Seguridad Informática Tema 1: Introducción a la seguridad informática

Seguridad Informática
1. Introducción a la Seguridad Informática
Francisco Medina López —
paco.medina@comunidad.unam.mx
http://aulavirtual.capacitacionentics.com
Facultad de Contadur´ıa y Administración
Universidad Nacional Autónoma de México
2015-1

Agenda
1 Introducción a la Seguridad Informática
Conceptos y principios de la administración de la seguridad
Evolución histórica de la seguridad
Amenazas a la seguridad
Control de Acceso
Hackers, crackers y sus variantes

Introducci´on a la Seguridad Inform´atica
Control de Acceso

¿Qué es seguridad?
Según la Real Academia de la Lengua Española:
f. Calidad de lo que es o está seguro: la seguridad de una
cuerda, de un apoyo.
Certeza, garant´ıa de que algo va a cumplirse: tener la
seguridad de que se va a sanar.
loc. adj. Se apl. a ciertos mecanismos que previenen algún
riesgo o aseguran el buen funcionamiento de alguna
cosa, precaviendo que falle: puerta, cinturón de seguridad.
http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=seguridad

¿Qué es seguro?
adj. Libre y exento de todo peligro, daño o riesgo.
adj. Cierto, indubitable y en cierta manera infalible.
adj. Firme, constante y que no está en peligro de faltar o
caerse.
adj. No sospechoso.
m. Seguridad, certeza, confianza.
m. Lugar o sitio libre de todo peligro.
m. Mecanismo que impide el funcionamiento indeseado
de un aparato, utensilio, máquina o arma, o que aumenta la
firmeza de un cierre.
http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=seguro

¿Qu´e es riesgo?
m. Contingencia o proximidad de un da˜no.
m. Cada una de las contingencias que pueden ser objeto de un
contrato de seguro.
http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=riesgo

¿Qué es informática?
1. f. Conjunto de conocimientos cient´ıficos y técnicas que
hacen posible el tratamiento automático de la información por
medio de ordenadores.
http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=inform%E1tica

¿Qué es información?
Definición
Conjunto organizado de datos procesados, que constituyen un
mensaje que cambia el estado de conocimiento del sujeto o sistema
que recibe dicho mensaje.
La información puede existir en muchas formas (estados de la
información):
puede estar impresa o escrita en papel,
almacenada electrónicamente,
transmitida por correo o utilizando medios electrónicos,
presentada en imágenes, o
expuesta en una conversación.

¿Qué es seguridad de la información?
Definición
Es la protección de la información y los sistemas de información del
acceso, uso, divulgación y destrucción no autorizada a través de
estándares, procesos, procedimientos, estrategias, recursos
informáticos, recursos educativos y recursos humanos. 1
La seguridad de la información protege a esta, de una amplia gama
de amenazas, a fin de garantizar la continuidad de una
organización.
No importando la forma que se adquiere la información, o los
medios por los cuales se distribuye o almacena, siempre debe ser
protegida en forma adecuada.
1
http://www.law.cornell.edu/uscode/html/uscode44/usc_sec_44_00003542----000-.html

Seguridad de la información según MAAGTIC
Definición
La capacidad de preservar la confidencialidad, integridad y
disponibilidad de la información, as´ı como la autenticidad,
confiabilidad, trazabilidad y no repudio de la misma. 2
Objetivo:
Proteger los activos de información de la organización
2
Manual Administrativo de Aplicación General en Materia de Tecnolog´ıas de la Información y Comunicaciones
(MAAGTIC) http://www.normateca.gob.mx/Archivos/66_D_3309_20-11-2012.pdf

Seguridad de la información según el ISO 27001
Definición
Preservación de la confidencialidad, integridad y disponibilidad de
la información; además, también pueden estar involucradas otras
propiedades como la autenticidad, responsabilidad, no-repudio y
confiabilidad. 3
3
ISO/IEC 27001:2005

The BIG three / AIC Triad / C-I-A

Confidencialidad
Definición
La propiedad que esa información esté disponible y no sea
divulgada a personas, entidades o procesos no-autorizados
Identificación, Autenticación y Autorización (Control de
acceso).

Integridad
Definición
La propiedad de salvaguardar la exactitud e integridad de los
activos.
Integridad de datos / información. Consistencia
Integridad del proceso de manipulación de datos /
información.
Consistencia interna y externa

Disponibilidad
Deﬁnici´on
La propiedad de estar disponible y utilizable cuando lo requiera una
entidad autorizada

Objetivos de la seguridad (resúmen)
Confidencialidad
Prevenir la divulgación NO Autorizada de información sensible.
Integridad
Prevenir la modificación NO Autorizada de los sistemas e
información.
Disponibilidad
Prevenir interrupción del servicio y la perdida de productividad.
El Opuesto a las The BIG three
Revelación (disclosure)
Modificación (alteration)
Destrucción - Interrupción (detruction - disruption)

¿Qué es seguridad informática?
Definición
La seguridad informática o seguridad en cómputo son los
mecanismos tecnológicos que protegen los sistemas de información
y todo lo asociado con ellos (edificios, impresoras, cableado, etc.).
Entonces:
La seguridad informática: Esta enfocado a sistemas de
cómputo y redes de datos.
La seguridad de la información: Esta enfocado al
tratamiento y uso de la información, involucrando sistemas de
cómputo, redes de datos, personas y procesos.

¿Por qué es importante la seguridad de la información?
1 Porque la información y los procesos, sistemas y redes de
apoyo son activos organizacionales importantes y en algunos
casos estratégicos.
2 Porque definir, lograr, mantener y mejorar la seguridad de la
información puede ser esencial para mantener una ventaja
competitiva, el flujo de caja, rentabilidad, observancia legal e
imagen organizacional.
El 94 % de las empresas que pierden su información desaparece.4
4
http://www.mundoenlinea.cl/noticia.php?noticia_id=638&categoria_id=35

Componentes de la seguridad de la información
Gestión del riesgo
Normativas de seguridad:
pol´ıticas,
normas,
procedimientos,
estándares,
gu´ıas
Clasificación de la información
Organización de la seguridad
Educación en seguridad
Definición e implantación de controles
Seguimiento y mejora continuos

Activo
Definición
Recursos que están tratando de proteger
Pueden ser datos, sistemas, personas, edificios, propiedades,
etc.
El valor o la criticidad del activo determina las medidas de
seguridad a implementar.
Las personas son el activo más valioso.

Activos de un sistema de c´omputo

Amenaza
Definición
Evento o circunstancia cuya ocurrencia podr´ıa impactar en forma
negativa a una organización.
La amenazas explotan (toman ventaja de) las vulnerabilidades.
La “entidad” que toma ventaja de una vulnerabilidad, suele
referirse como “agente de la amenaza” (Threat Agent).
Ejemplo de amenazas:
Naturales (terremotos, inundaciones, . . . ), Cyberdelincuentes,
Malware, . . .

Amenazas respecto de la confidencialidad
“Shoulder surfing”
Ingenier´ıa Social
Usuarios descuidados
Hacker / Cracker
Masqueraders / Spoofing (Suplantación)
Descarga de archivos sin protección
Actividad de usuario no autorizada
Caballos de Troya
Sniffing / Man-in-the-middle
Trashing (Dumpster Diving)
Emanations (electromagnetic radiation)
. . .

Amenazas respecto de la integridad
Ingenier´ıa Social
Usuarios descuidados
Hacker / Cracker
Masqueraders (Suplantación)
Actividad de usuario no autorizada
Descarga de archivos sin protección
Caballos de troya
Virus / Gusanos
Buffer overflow
Trapdoor − Maintenance hook
. . .

Amenazas respecto de la disponibilidad
Denegaci´on de servicio (DOS)
Desastres naturales
Acciones humanas − intencionales o accidentales
. . .

Vulnerabilidad
Definición
Cualquier debilidad que puede explotarse para causar pérdida o
daño al sistema.
Condición que podr´ıa permitir que una amenaza se materialice
con mayor frecuencia, impacto o ambas.
Una vulnerabilidad puede ser la ausencia o debilidad en los
controles administrativos, técnicos o f´ısicos.
El punto más débil de seguridad de un sistema consiste en el punto
de mayor vulnerabilidad de ese sistema.

Riesgo
Definición
Probabilidad de que un agente de amenaza explote una
vulnerabilidad, en combinación con el impacto que esto ocasiona.
Se conoce por riesgo a la combinación de probabilidad de
ocurrencia e impacto de una amenaza.

Atacante
Atacante
Cualquier cualquier entidad que realiza un ataque. Puede ser:
Persona.
Proceso.
Dispositivo.

¿Quién es un intruso?
Intruso
Persona que intenta acceder a un sistema informático sin
autorización. adj. Que se ha introducido sin derecho.
Un cracker es una persona que intenta acceder a un sistema
informático sin autorización.
Estas personas tienen a menudo malas intenciones, en
contraste con los hackers, y pueden disponer de muchos
medios para introducirse en un sistema.

Compromiso de seguridad
Definición
Cualquier forma posible de pérdida o daño en un sistema de
cómputo.
comprometer la seguridad de un sistema equivale a la posibilidad
de provocar pérdida o daño al sistema.

Evento de seguridad de la información
Definición
Una ocurrencia identificada del estado de un sistema, servicio o red
indicando una posible violación de la pol´ıtica de seguridad de la
información o falla en las salvaguardas, o una situación
previamente desconocida que puede ser relevante para la seguridad.

Contramedidas o controles
Definición
Cualquier tipo de medida que permita detectar, prevenir o
minimizar el riesgo asociado con la ocurrencia de una
amenaza espec´ıfica.
Ejemplos:
Contraseñas robustas.
Mecanismos de control de acceso.
Antivirus
El estándar ISO/IEC 27002:2005 define 134 controles

Objetivo de las contramedias o controles
Reducir los efectos producidos por las amenazas de seguridad
(threats) y vulnerabilidades (vulnerabilities) a un nivel
tolerable por la empresa.
Estos controles pueden ser:
Preventivos / Detectivos / Correctivos
F´ısicos / T´ecnicos (L´ogicos) / Administrativos

Tipos de Controles
Controles Administrativos
Administración de responsabilidades necesarias para proteger
los activos.
Controles Suaves. (Pol´ıticas, procedimientos, gu´ıas, estándares)
Controles Técnicos.
Mecanismos lógicos de protección.
Software o Hardware
Controles F´ısicos
Destinados a proteger las instalaciones.

Control de seguridad de la informaci´on (2)
Fuente: Harris Shon, CISSP All-In-One Exam Guide, p 57, McGraw-Hill Professional, 2007.

ISO/IEC 27002:2013
Fuente: http://www.iso27000.es/download/ControlesISO27002-2013.pdf

Medidas de protección contra la perdida de
confidencialidad
Cifrado de datos (origen, transito y destino)
Estrictos mecanismos de control de acceso
Capacitación
Procedimientos

Medidas de protección contra la perdida de integridad
Menor Privilegio − Need−to−Know Access (Otorgar acceso
solo a lo necesario)
Separación de Deberes / Tareas (Separation of Duties)
Rotación de Deberes / Tareas (Rotation of Duties)
Procedimientos de control de cambios
Integrity checkers (Tripwire)
Algoritmos de hash

Medidas de protecci´on contra la perdida de disponibilidad
Conjunto de Controles: F´ısicos, T´ecnicos y Administrativos
Seguridad f´ısica
Mecanismos de tolerancia a fallos
Plan de contingencia
Procedimientos operativos

Relaci´on entre los diferentes conceptos de seguridad
Fuente: Shon Harris, CISSP All-In-One Exam Guide, McGraw-Hill Professional, 2007, p. 63

Administración de Seguridad de la Información
Objetivo
Proteger los activos de información de la organización
Comprende:
Gestión del riesgo
Normativas de seguridad: pol´ıticas, normas, procedimientos,
estándares, gu´ıas
Organización de la seguridad
Educación en seguridad
Definición e implantación de controles
Seguimiento y mejora continuos

Enfoque Top-Down
La seguridad de la información debe ser preocupación de la
alta dirección de la organización.
Definitivamente NO debe circunscribirse el área de TI o al ára
de seguridad.
Enfoque TOP-DOWN

Función del Information Security Manager
Función
Establecer y mantener un Programa Integral de Seguridad, el
cual permita garantizar la existencia de tres requerimientos básicos:
Confidencialidad, Integridad y Disponibilidad, sobre los activos de
información de la organización.
Determinar objetivos, alcance, pol´ıticas, prioridades,
estándares y estratégias.

Ubicación dentro de la estructura organizacional
Debe ser independiente de otras áreas de la organización:
Como staff de la alta gerencia:

Posibles inconvenientes con la alta gerencia
Falta de entendimiento sobre la necesidad de seguridad.
Concepción de la seguridad como costosa e innecesaria
Incapacidad de identificar amenazas y vulnerabilidades.
Incapacidad para estimar el impacto y probabilidad de los
riesgos relacionados con los recursos.
Creer que la implementación de seguridad interferirá con los
objetivos de negocio.
Creer que la seguridad es un tema de TI.

Sistema Confiable (Trustworthy System)
Definición
Aquel que posee la combinación apropiada de confidencialidad,
integridad y disponibilidad a efectos de soportar los objetivos
particulares de negocio fijados por la organización.

Estándares de seguridad informática
Fuente: Data Cetenrs Hoy: Protección y administración de datos en la empresa, Alfaomega, 2014.

Control de Acceso

Primera Revoluci´on: La Computadora Personal

Primera Revolución: La Computadora Personal
En 1981 IBM introduce la primera computadora personal
(PC) alrededor de la familia de procesadores 8086.
La computadora llega al hogar, las escuelas y oficinas en una
variedad de aplicaciones.
El control de procesamiento que se encontraba presente en el
centro de cómputo se pone en manos de los usuarios.
Los sistemas de escritorio no fueron diseñados con la
seguridad en mente.
No todos los usuarios de PC son expertos y el mal uso de los
equipos puede comprometer la seguridad.
Existen más recursos que perder y más formas de hacerlo.

Problemas de seguridad en las computadoras personales
Accesibilidad f´ısica al hardware Facilidad de robo.

Software Código malicioso (virus): compromete la integridad
de información, disponibilidad del servicio,
confidencialidad, etc.

Respaldos No se ejecutan por falta de inter´es de los usuarios.

Respaldos No se ejecutan por falta de interés de los usuarios.
Concientización de seguridad a los usuarios El mejor software del
mundo para proteger los activos de información no
sirve si los usuarios no ponen en práctica buenos
hábitos de seguridad.

Segunda Revolución: Internet
Internet proporciona la infraestructura para la comunicación e
intercambio de información.
Utiliza el protocolo TCP/IP para las comunicaciones.
Hace posible servicios como: correo electrónico, transferencia
de archivos, acceso a sistemas remotos, conferencias
interactivas, grupos de noticias y acceso a WWW.
Internet y TCP/IP no fueron diseñados pensando en seguridad, su
filosof´ıa es el procesamiento distribuido y las comunicaciones
abiertas. De este hecho se derivan sus principales vulnerabilidades.

Internet hace algunos a˜nos
http://personalpages.manchester.ac.uk/staff/m.dodge/cybergeography/atlas/more_isp_maps.html

Internet en nuestros d´ıas
http://www.cheswick.com/ches/map/gallery/index.html

N´umero de vulnerabilidades reportadas
http://www.cert.org/stats/

Ataques reportados en el 2004
http://www.gocsi.com/

Ataques reportados del 2007 al 2010

Evoluci´on de los ataques

Problem´atica Actual

Problem´atica Actual (2)

Diez pa´ıses m´as vulnerables a los ataques cibern´eticos
1 Indonesia
2 China
3 Thailand
4 Philippines
5 Malaysia
6 India
7 Mexico
8 UAE
9 Taiwan
10 Hong Kong.
http://cyberintelligence.in/top-ten-countries-with-weak-cyber-security/

Ataques m´as utilizados
http://cyberintelligence.in/top-ten-countries-with-weak-cyber-security/

Limitantes en la investigación
Falta de legislación que responsabilice y controle a los
Proveedores de Servicios de Internet en relación a los datos
que se transmiten y almacenan en sus servidores y dispositivo
de conexión.
Falta de legislación que controle y garantice la producción de
software que indique niveles de vulnerabilidad del mismo.
Falta de acuerdos interinstitucionales que permitan lograr
eficiencia en la investigación evitando la duplicidad de
esfuerzos.
Falta de acuerdos Internacionales que permitan el
establecimiento claro de protocolos de trabajo en la
persecución de delincuentes cibernéticos mas allá de nuestras
fronteras.
Mas del 50 % de los delitos reconocidos como graves en el Código
Penal Federal Se pueden cometer a través de TIC’s

Control de Acceso

Amenaza
Definición
Evento o circunstancia cuya ocurrencia podr´ıa impactar en forma
negativa a una organización.
La amenazas explotan (toman ventaja de) las vulnerabilidades.
La “entidad” que toma ventaja de una vulnerabilidad, suele
referirse como “agente de la amenaza” (Threat Agent).
Ejemplo de amenazas:
Naturales (terremotos, inundaciones, . . . ), Cyberdelincuentes,
Malware, . . .

Clasiﬁcaci´on de amenazas por vulnerabilidad explotada

Interrupción
Definición
Un activo del sistema se pierde, se hace no disponible o inutilizable.
Ejemplos:
Destrucción maliciosa de un dispositivo.
Borrado de un programa o de un archivo de datos.
Malfuncionamiento del manejador de archivos del sistema
operativo que trajera como consecuencia que no se pueda
hallar un archivo particular en el disco duro.

Ejemplo interrupci´on con LOIC
http://sourceforge.net/projects/loic/

Intercepción
Definición
Alguna parte no autorizada logra acceso a un activo del sistema.
Ejemplos:
Copiado il´ıcito de programas o archivos de datos.
La intervención del canal para obtener datos sobre la red.

Ejemplo de intercepci´on con Subterfuge
https://code.google.com/p/subterfuge/

Modificación
Definición
Cuando una parte no autorizada logra acceso al activo del sistema
y puede manipular ese activo.
Ejemplos:
Cambiar datos en una base de datos.
Alterar un programa para que realice alguna computación
adicional o distinta a la que realiza
Modificar datos en una comunicación, entre otras acciones.

Ejemplo de modiﬁcaci´on con sqlmap
http://sqlmap.org/

Ejemplo: Fabricación
Definición
Una parte no autorizada puede fabricar objetos falsos en un
sistema.
Ejemplos:
Inserción de transacciones espurias en un sistema de
comunicación en red.
Agregar registros a una base datos ya existente.

Ejemplo: Fabricaci´on

Amenazas a Hardware, Software y Datos

Clasiﬁcaci´on de amenazas por su origen
IT for Decision Makers

Ejemplos Amenazas Naturales
Relacionadas con clima fr´ıo
Avalancha de nieve
Severa tormenta de hielo, tormenta de granizo
Viento fuerte o prolongado
Relacionadas con clima c´alido
Lluvias severa o prolongada
Tormentas
Inundaciones
inundaciones repentinas
iinundaciones de r´ıo
inundaciones urbanas
Sequ´ıa (puede afectar a las zonas urbanas, rurales y agr´ıcolas)
Incendio
Incendios forestales
Incendios urbanos, rurales, agr´ıcolas

Ejemplos Amenazas Naturales (2)
Relacionadas con clima cálido (2)
Tormentas tropicales
Huracanes, ciclones, tifones
Tornados
Riesgos Geológicos
Terremoto
Tsunami
Erupción volcánica
La ceniza volcánica
Flujo de lava
Alud de lodo
Desplazamientos

Ejemplo Amenazas de origen humano
Terrorismo
Bombas
Los ataques armados
Liberación de material peligroso (riesgo biológico, radioactivo)
ciber ataque
Ataque biológico (aire, agua, alimentos)
Ataque a medios de transporte (aeropuertos, puertos,
ferrocarriles de agua)
Ataque a infraestructura cr´ıtica (aeropuertos, edificios
gubernamentales, bases militares, servicios públicos, suministro
de agua)
Secuestro
Fuego
incendio provocado
accidental

Ejemplo Amenazas de origen humano (2)
Ciber ataque
Amenaza o alarde
Intrusión menos
Intrusión mayor
Interrupción total
Infraestructura de red deteriorada (Internet, columna vertebral,
etc)
Disturbios civiles, motines
Protestas
Las protestas pol´ıticas generales
Las protestas dirigidas (espec´ıficamente a su empresa, por
ejemplo)

Ejemplo de relación Amenaza y Vulnerabilidad
La amenaza Conficker, se esparce por tres diferentes vectores:
1 Falta de la actualización MS08-067 (http://technet.
microsoft.com/en-us/security/bulletin/ms08-067).
2 Dispositivos de almacenamiento USB infectados que ejectuan
el comando “autorun” en sistemas operativos Windows.
3 Contraseñas débiles usadas en recursos compartidos.

Jinetes del Apocalipsis Electrónico
1 Spam
2 Bugs
3 Negación de servicio
4 Código malicioso

Spam
Definición
Mensajes no solicitados, habitualmente de tipo publicitario,
enviados en grandes cantidades (incluso masivas) que perjudican
de alguna o varias maneras al receptor.
Se estima que el 88 % del correo electrónico es spam.
Causa perdidas por $20 mil millones de dlls.
http://es.wikipedia.org/wiki/Spam

Bugs
Definición
Es el resultado de un fallo o deficiencia durante el proceso de
creación de programas (software).
En 1947, los creadores de
Mark II informaron del primer
caso de error en un ordenador
causado por un bicho.
http://es.wikipedia.org/wiki/Error_de_software

Negación de Servicio
Definición
Ataque a un sistema de computadoras o red que causa que un
servicio o recurso sea inaccesible a los usuarios leg´ıtimos.
Normalmente provoca la pérdida de la conectividad de la red por el
consumo del ancho de banda de la red de la v´ıctima o sobrecarga
de los recursos computacionales del sistema de la v´ıctima.
Se genera mediante la saturación de los puertos con flujo de
información, haciendo que el servidor se sobrecargue y no pueda
seguir prestando servicios, por eso se le dice ”denegación”, pues
hace que el servidor no dé abasto a la cantidad de usuarios. Esta
técnica es usada por los llamados crackers para dejar fuera de
servicio a servidores objetivo.

Negaci´on de Servicio (DoS)
Tipos:
TCP
SYN
ACK
NULL
ICMP
UDP
Randomized SRC IP:
Full 32 bits
Subnet /24
Examples: trinoo, tfn2k, stacheldraht, mstream, etc.

Código Malicioso
Definición
Es un software que tiene como objetivo infiltrarse en el sistema y
dañar la computadora sin el conocimiento de su dueño, con
finalidades muy diversas, ya que en esta categor´ıa encontramos
desde un troyano a un spyware.

Tipos de Malware
Virus
Macrovirus
Bombas Lógicas
Troyanos
Backdooors
Polimorfismo/Metamofirmos
Virus de Bootsector
Worms (I-worms, p2p,
@mm)
Octopus / Rabbits
Hydras
TSR
Script
Programas peligrosos
Rootkits
Spyware/ADware
Vgen Droopers, Dialers,
. . .
Fuente: Peter Szor, The art of computer virus research and defense, Addison-Wesley, 2005.

Worm
Definición
Agente infeccioso capaz de autoduplicarse de manera autónoma,
capaz de buscar nuevos sistemas e infectarlos a través de la red.

Ejemplo de gusano: Sapphire/Slammer Worm
http://www.caida.org/publications/papers/2003/sapphire/sapphire.html

Pa´ıses m´as atacados por software malicioso de agosto del
2011 a agosto del 2012
http://securitylabs.websense.com/content/CrimewarePhishing.aspx

¿De donde viene el malware?
http://www.stopbadware.org/home/reports

¿Donde es más vulnerable la información confidencial?
Fuente: Informe de investigación de ESG, Protecting Confidential Data Revisited, abril de 2009

Control de Acceso
Control de Acceso

Control de Acceso
¿Qué es el control de acceso?
Definición
Mecanismos empleados para proteger los recursos de un sistema de
cómputo de accesos no autorizados.

Control de Acceso
¿Qué es acceso?
Definición
Transferencia de información desde un sujeto a un objeto
Los sujetos son entidades
activas, que pueden este
representadas por:
Usuarios
Programas
Procesos
Computadoras, . . .
Los objetos son entidades
pasivas, que pueden este
representadas por:
Archivos
Bases de datos
Programas
Impresoras
Medios de
almacenamiento, . . .

Control de Acceso
Control de acceso
El sujeto es siempre la entidad que recibe información acerca
del objeto, o datos que provienen de éste.
El sujeto es también la entidad que altera o modifica la
información del objeto, o bien, los datos almacenados dentro
de él.

Control de Acceso
Objetivo del control de acceso
El control de acceso se implementa para asegurar:
Confidencialidad: Necesidad de que la información sólo sea
conocida por personas autorizadas.
Integridad: Caracter´ıstica que hace que el contenido de la
información permanezca inalterado, a menos que sea
modificado por personal atomizado.
Disponibilidad: Capacidad que permite que la información se
encuentre siempre disponible, para que pueda ser procesada
por el personal autorizado.

Control de Acceso
Pasos para acceder a un objeto
El control de acceso gobierna el acceso de sujetos a objetos

Control de Acceso
Identificación
Definición
Forma en la cual los usuarios comunican su identidad a un sistema.
Identidad: Conjunto de rasgos o información que
individualizan o distinguen algo y confirman que es realmente
lo que se dice que es.
Un usuario puede utilizar como identidad:
Nombre de usuario (Username)
Logon ID
PIN
Ïdentificación es un paso necesario para lograr la autenticación y
autorización. Equivale a la presentación de credenciales a un
autoridad”

Control de Acceso
Autenticación
Definición
Es el proceso por el cual se prueba que la información de
identificación se corresponde con el sujeto que la presenta.
La autenticación requiere que el sujeto proporcione
información adicional que debe corresponder exactamente
con la identidad indicada.
El método más común, es el empleo de contraseñas.
“Equivale a la validación por parte de la autoridad de las
credenciales presentadas.”

Control de Acceso
Autenticación (2)
Los tipos de información más comunes que pueden ser empleados
son:
Tipo 1: Un factor de autenticación por Tipo 1 es “Algo que
el usuario conoce”, como una contraseña, un PIN, . . .
el usuario tiene”, como una tarjeta inteligente, un token, . . .
el usuario es”, como su huella digital, análisis de voz, escáner
de retina o iris , . . .

Control de Acceso
Técnicas más comunes de Identificación y Autenticación
Entre las principales técnicas de mayor utilización en la
actualidad, encontramos:
Contraseñas
Sistemas biométricos
Tockens
Tickets

Control de Acceso
¿Qué son las contraseñas?
Definición
Una contraseña o clave (password en ingles) es una cadena
alfanumérica utilizada para autenticar una identidad. Esta cadena
debe permanecer en secreto5.
Prueban nuestra identidad a través de un proceso de
autenticación ante sistemas informáticos.
Aseguran nuestra privacidad.
Garantizan el no-repudio
5
The 2011 SNIA Dictionary

Control de Acceso
Contraseñas (Password)
Es la técnica de autenticación más usada, pero también es
considerada la más débil.
Las fallas habituales de seguridad se deben a:
Usuarios que eligen frecuentemente contraseñas que son fáciles
de recordar y, en consecuencia, fáciles de romper.
Las contraseñas aleatorias son dif´ıciles de recordar.
Las contraseñas son fáciles de compartir, olvidar y escribir.
Pueden ser robadas fácilmente, por observación, grabación,etc.
Algunas contraseñas se transmiten en texto claro o protegidas
por técnicas fáciles de romper.
Contraseñas cortas pueden ser descubiertas rápidamente por
ataques de fuerza bruta, etc.

Control de Acceso
Antecedentes de las contraseñas
Los primeros registros históricos que se tienen datan de los
tiempos de los romanos.
En la antigüedad , los centinelas solicitaban el santo y seña
(contraseña) para permitir el paso.
Actualmente, se utilizan para identificarse en sistemas
operativos, correo electrónico, redes sociales, sitios web, . . .

Control de Acceso
Tipos de contraseñas
Existen dos tipos de contraseñas:
1 Estáticas
2 Dinámicas
Las contraseñas Estáticas siempre permanecen iguales y solo
cambian cuando expiare su tiempo de vida.
Las contraseñas Dinámicas cambian después de un periodo
de tiempo de uso. Las One-Time Password son una variante
de esta categor´ıa.

Control de Acceso
One Time Password
Esta técnica utiliza contraseñas que sólo tienen validez para
un usuario espec´ıfico durante una determinada sesión.
Un ejemplo caracter´ıstico lo constituye el sistema S/Key.
El sistema utiliza algoritmos de hashing de una v´ıa con el fin
de crear un esquema de contraseñas de única vez.
Aqu´ı las contraseñas son evitadas a través de la red, pero
luego que la contraseña fue utilizada, caduca y no es válida
para ser utilizada nuevamente.

Control de Acceso
One Time Password (2)
Componentes de S/Key:
Cliente: Pide el nombre de usuario. No realiza
almacenamiento de contraseñas.
Servidor: Procesa la contraseña, almacena la contraseña de
única vez y también le provee al cliente el valor inicial para
calcular el hash.
Calculador de claves: Es la función de hash para la
contraseña de única vez.

Control de Acceso
Ataques a contraseñas
Cuando un atacante busca obtener las contraseñas, puede
utilizar diferentes métodos:
Análisis de tráfico de red
Acceso al archivo de contraseñas
Ataques por fuera bruta
Ataques por diccionario
Ingenier´ıa social

Control de Acceso
Pol´ıticas de definición de contraseñas
Muchas organizaciones poseen pol´ıticas de definición de
contraseñas, las cuales comprenden una serie de restricciones:
Longitud m´ınima
Duración m´ınima y máxima
No reutilizar el nombre de usuario o parte del mismo
Guardar histórico de contraseña
Utilizar mayúsculas, minúsculas, números, caracteres especiales
Prevenir reuso

Control de Acceso
Sistemas Biométricos
Los sistemas biométricos se basan en caracter´ısticas f´ısicas del
usuario a identificar o en patrones de conducta.
El proceso general de autenticación sigue unos pasos comunes
a todos los modelos de autenticación biométrica:
Extracción de ciertas caracter´ısticas de la muestra (por
ejemplo, el detalle de una huella dactilar).
Comparación de tales caracter´ısticas con las almacenadas en
una base de datos.
Finalmente la decisión de si el usuario es válido o no.

Control de Acceso
Sistemas Biométricos (2)
La mayor´ıa de los dispositivos biométricos tienen un ajuste de
sensibilidad para que puedan ser configurados de manera que
operen en forma más sensible o menos sensible.
Cuando un dispositivo es demasiado sensible, ocurre un error
Tipo 1, es decir, un sujeto válido no es autenticado; eso se
conoce como Tasa de Falso Rechazados (FRR).
Cuando un dispositivo no es lo suficientemente sensible, ocurre
un error Tipo 2, es decir, un sujeto inválido es autenticado;
esto se conoce como Tasa de Falsas Aceptaciones (FAR).
El punto en el cual FRR=FAR es conocido como Crossover
Error Rate (CER).
El nivel CER es usado como un estándar para evaluar el
desempeño de los dispositivos biométricos.

Control de Acceso
Crossover error rate
Fuente: IS Auditing Guideline: G36 Biometric Controls

Control de Acceso
Sistemas biométricos más utilizados
Huellas digitales
Reconocimiento de retina
Reconocimiento de iris
Reconocimietno facial
Geometr´ıa de la mano
Reconocimiento de la palma
Verificación de voz
Fuente: Eric Conrad, Eleventh Hour CISSP,Syngress,
2010.

Control de Acceso
Sistemas biométricos
Además de los costos hay tres puntos cr´ıticos a determinar al
momento de elegir un sistema biométrico como método de
control de acceso:
Aceptación del usuario
Tiempo de implantación
Precisión
Adicionalmente también son importantes:
Facilidad de implementación
Tamaño y manejo de las muestras

Control de Acceso
Enrollment
Definición
Es el proceso por medio del cual se toma la muestra del atributo
f´ısico del individuo, la cual será almacenada en una base de datos
sobre la cual se verificará posteriormente su identidad
Muchas veces se necesita tomar repetidas muestras del
atributo hasta que se logra finalmente.
Esto puede hacer que los tiempo de enrollment sean altos y el
sistema tenga baja aceptación.

Control de Acceso
Ventajas de los Sistemas Biométricos
No pueden ser prestados, como una llave o token y no se
pueden olvidar como una contraseña.
Buena relación entre facilidad de uso, costo y precisión.
Permiten la identificación única de un individuo, aún en casos
de bases de datos de gran tamaño.
Duran para siempre. . .
Logran que los procesos de login y autenticación no requieran
esfuerzo alguno.

Control de Acceso
Desventajas de los Sistemas Biométricos
Siguen siendo particularmente caros.
Aún existe rechazo o desconfianza por parte de los usuarios.

Control de Acceso
Sistemas Biométricos y Privacidad
Seguimiento y Vigilancia: Permiten seguir y vigilar los
movimientos de una persona.
Anonimicidad: Si la identificación está asociada a una base
de datos, se pierde el anonimato al acceder a servicios a través
de sistemas biométricos.
Profiling: La recopilación de datos acerca de de transacciones
realizadas por un indiviudo en particular, permite definir un
perfil de las preferencias, afiliaciones y creencias de ese
individuo.

Control de Acceso
Tokens
Son dispositivos generadores de contraseñas que un sujeto
lleva con él.
Los dispositivos tokens pertenecen a la clase “Algo que el
usuario tiene” (Tipo 2).
Existen cuatro tipos de tokens:
Estáticos
S´ıncronos basados en tiempo.
S´ıncronos basados en eventos.
As´ıncronos basados en desaf´ıo / respuesta.

Control de Acceso
Tokens Estáticos
Requieren de un factor adicional para brindas autenticación,
como una contraseña o una caracter´ısticas biométrica
La mayor´ıa de estos dispositivos almacenan una clave
criptográfica.
Son utilizados principalmente como técnica de identificación
en lugar de autenticación.
Algunos ejemplos son:
Smart card
Dispositivos USB

Control de Acceso
Tokens S´ıncronos Basados en Tiempo
Las tarjetas y el servidor tienen relojes que miden el tiempo
transcurrido desde la inicialización.
Cada cierto tiempo el número resultante se cifra y se muestra
en la pantalla de la tarjeta; el usuario ingresa su PIN en el
servidor junto con el número que se visualiza en su tarjeta.
Como el servidor conoce el momento de inicialización de la
tarjeta también puede calcular el tiempo transcurrido, dicho
valor cifrado deberá coincidir con el introducido por el usuario
para que éste sea aceptado.

Control de Acceso
Tokens S´ıncronos Basados en Eventos
Las contraseñas se generan debido a la ocurrencia de un
evento, por ejemplo se requiere que el sujeto presione una
tecla en la tarjeta.
Esto causa que la tarjeta y el servidor avancen al próximo
valor de autenticación.
El usuario debe ingresar su PIN en la tarjeta.
A partir del conjunto formado por el PIN y el nuevo valor de
autenticación, se genera una nueva contraseña aplicando una
función criptográfica (Ej: DES, Hash, etc.) a dicho conjunto,
la que será enviada al servidor para su verificación.

Control de Acceso
Autorización
Definición
Derechos y permisos otorgados a un individuo (o proceso) que le
permite acceder a un recurso del sistema / computadora.
Ejemplo:
Un usuario puede estar habilitado para imprimir un
documento, pero no puede alterar la cola de impresión.
“El proceso de autorización se realiza una vez que se ha logrado la
identificación y autenticación del usuario.“

Control de Acceso
Auditor´ıa (Accounting)
Definición
Proceso de registrar eventos, errores, accesos e intentos de
autenticaciones en un sistema
Justificación:
Detección de intrusiones
Reconstrucción de eventos y condiciones del sistema
Obtener evidencias para acciones legales
Generar reportes de problemas.
El conjunto de acciones a ser auditadas pueden ser:
1 Eventos de sistema
2 Eventos de aplicaciones
3 Eventos de usuario

Control de Acceso
Pasos para acceder a un objeto (resumen)
1 Identificación → Nombre de usuario
2 Autenticación → Contraseña
3 Autorización → Derechos / Permisos
4 Auditoria → Eventos

Control de Acceso

Hacker
Definición
1 Tradicionalmente, se dice de quien goza averiguando los
detalles de sistemas de cómputo y cómo llevarlos a su l´ımite,
en contraposición a la mayor´ıa de los usuarios que prefieren
sólo aprender lo necesario.6
2 En la actualidad, se dice de quien de forma malintencionada
penetra un sistema informático para obtener algún beneficio.
También conocidos como crackers.
Motivados por lucro, protesta, o por el desaf´ıo.
6
http://searchsecurity.techtarget.com/definition/hacker

Nombres comunes para los hackers
Wannabe lamer: “I wanna be a hacker but I can’t ‘hack’ it”
(9-8 años / Grupo / Usuario Final / Diversión)
Script-kiddie: The script kid (10-18 años / Grupo /
Organizaciones con vulnerabilidad bien conocidas / Fama)
Cracker: The destroyer (17-35 años / Solo / Empresas /
Fama, Reconocimiento)
Ethical hacker: The Hacker “par excellence” (15-50 años /
Solo (rara vez en grupo)/ Organizaciones de gran tamaño /
Curiosidad, Aprender, Mejorar habilidades)
Quiet: Highly specialized hacker, uncommunicative, extremely
paranoid (16-50 años / Solo / Desconocido / Curiosidad,
Aprender, Egocentrismo)
Profiling Hackers: The Science of Criminal Profiling as Applied to the World of Hacking, p 240

Nombres comunes para los hackers (2)
Cyber warrior: The mercenary (18-50 años / Solo /
Organizaciones de prestigio / Lucro)
Industrial spy: The industrial spy (22-50 años / Solo /
Empresas multinacionales/ Lucro)
Government agent: The government agent (CIA, Mossad,
FBI, etc.) (25-45 años / Solo o en Grupo / Terroristas,
prófugos, industrias / Actividad profesional)
Military hacker: Recruited to fight “with a computer”(25-45
años / Solo o en Grupo (rara vez en grupo)/ Gobiernos e
Industria / Actividad profesional y por una causa)
Hacktivista: Idealistas (16-35 años / Grupo / Gobierno,
Figuras públicas / Desprestigio)

Nombres comunes para los hackers (3)
Black-hats: Muestran sus habilidades en informática
rompiendo sistemas de seguridad de computadoras,
colapsando servidores, entrando a zonas restringidas,
infectando redes o apoderándose de ellas, entre otras muchas
cosas utilizando sus destrezas en métodos hacking.
Grey-hats: Grupo de individuos que en ocasiones penetran
sistema sin permiso y otras con permiso.
White-hats: Se dedican a asegurar y proteger los sistemas de
Tecnolog´ıas de información y comunicación. Suelen trabajar
para empresas de seguridad informática.

Ataques famosos
1986 Clifford Stoll Rastreo de intrusos que trataban de vio-
lar sistemas de computo de los Labora-
torios Lawrence Berkeley.
1986 Captian Mid-
night
Mensaje satelital enviado a 8 millones
de usuarios de la HBO protestando por
las tarifas que deb´ıan pagar los dueños
de antenas parabólicas.
1988 Robert Morris Gusano que se introdujo en 6,000 equi-
pos de universidades y gobierno.
1988 Virus Viernes 13 infecto cientos de
computadoras borrando información.

Ataques famosos
1994 Kevin Mitnick Robo de software y tarjetas de crédito
a través de ingenier´ıa social y ataques
IP-Spoofing.
1996 Alteración de la pagina web de la fuerza
aérea de EUA.
1998 Alteración de la pagina del Departamen-
to de Justicia de EUA.
1998 X-Ploit En México: Secretar´ıa de Hacienda y
Crédito Público, INEGI, Secretar´ıa de
Salud, Senado de la República

Caso Clifford Stoll
Astrónomo de Berkeley, Stoll tuvo las ideas y la paciencia
necesarias para cazar al cracker del KGB Markus Hess a través de
la red de Hanover en Alemania. Stoll hizo un libro sobre ello, The
Cuckoo’s Egg”; para muchos fue la primera introducción seria al
mundo del hacking.
Intrusión: Agosto 1986 (LBL).
Detección:
Error de 75c en contabilidad
Creación de una nueva cuenta
“hunter”
Actividad en una cuenta
dormida “sventek”
http://en.wikipedia.org/wiki/Clifford_Stoll

El gusano de internet
Aparición: 02/11/88 (Se reproduce de
máquina en máquina).
Daños: Carga las máquinas, se caen, y niega
el acceso
V´ıctimas: Sun3 y VAX, 6,000 en total.
Vulnerabilidad explotada: rsh, finger y
sendmail.
Responsable: Robert Tappan Morris
Sentencia:
04/05/90
$10,000 multa
3 años de libertad provisional
400 horas servicio comunitario.
http://es.wikipedia.org/wiki/
Gusano_Morris

Kevin Mitnick -“Condor”-
http://www.kevinmitnick.com/
Se le considera el padre de los hackers y
fue el primero en aparecer inmortalizado
como hombre más buscado por el FBI. Su
historial arranca en los ochenta cuando
robaba manuales de hardware y culmina en
1995 cuando es detenido por el FBI gracias
al contra-hacker Tsutomu Shimomura.
Ataques:
20.000 números de tarjetas de
crédito,
mando central aéreo,
Centrales telefónicas en California y
Móviles de Motorola y Qualcomm.

Casos en México
1996 Cinvestav, IPN
1998 Secretar´ıa de Hacienda y Crédito Público
1998 Comision nacional del Agua
1998 INEGI
1998 Senado de la República
1998 Secretar´ıa de Salud
http://www.noticias.com/articulo/18-09-1998/redaccion/x-plot-grupo-hackers-mexicanos-16fa.html

”X-Ploit Team”: Sólo queremos que nos escuchen, no
causar daños
La primera irrupción de los “X-Ploit” –una traducción podr´ıa ser
“los incendiario”– se produjo el 4 de febrero de 1998, cuando
dieron la bienvenida al recién designado secretario de Hacienda y
Crédito Público, José Angel Gurr´ıa, quien en su anterior cargo
como canciller hab´ıa afirmado que la de Chiapas era “una guerra
de tinta e Internet”.
La página presentaba varias fotograf´ıas de Emiliano Zapata y la
siguiente leyenda:
“Nuestra afiliación no es ninguna, no pertenecemos al EZLN, pero
éste es nuestro derecho de libre expresión como mexicanos.”
http://www.accessmylibrary.com/coms2/summary_0286-31913234_ITM

Referencias bibliográficas
Referencias bibliográficas I
C. Wilson.
Computer Attack and Cyberterrorism: Vulnerabilities and
Policy Issues for Congress.
CRS Report for Congress, 2005.
E. Spafford.
Seguridad Práctica en Unix e Internet.
W. Preston
Backup & Recovery.
O’Reilly, 2006.
Seguridad Práctica en Unix e Internet.

Referencias bibliográficas
Referencias bibliográficas II
K. O’Shea
Examining the RPC DCOM Vulnerability: Developing a
Vulnerability-Exploit Cycle.
SANS.
Samuel Greengard
Seis errores de seguridad de TI comunes y métodos para
evitarlos
http://www.microsoft.com/business/smb/es-mx/
seguridad/evitar-errores-de-ti-comunes.mspx

Seguridad Informática Tema 1: Introducción a la seguridad informática

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a Seguridad Informática Tema 1: Introducción a la seguridad informática

Semelhante a Seguridad Informática Tema 1: Introducción a la seguridad informática (20)

Mais de Francisco Medina

Mais de Francisco Medina (16)

Último

Último (20)

Seguridad Informática Tema 1: Introducción a la seguridad informática