Cuaderno electrónico SAD UD2 · qwertyuiopasdfghjklzxcvbnmqwerty uiopasdfghjklzxcvbnmqwertyuiopasd fghjklzxcvbnmqwertyuiopasdfghjklzx cvbnmqwertyuiopasdfghjklzxcvbnmq wertyuiopasdfghjklzxcvbnmqwertyui

qwertyuiopasdfghjklzxcvbnmqwerty

uiopasdfghjklzxcvbnmqwertyuiopasd

fghjklzxcvbnmqwertyuiopasdfghjklzx

cvbnmqwertyuiopasdfghjklzxcvbnmq

wertyuiopasdfghjklzxcvbnmqwertyui

opasdfghjklzxcvbnmqwertyuiopasdfg

hjklzxcvbnmqwertyuiopasdfghjklzxc

vbnmqwertyuiopasdfghjklzxcvbnmq



hjklzxcvbnmqwertyuiopasdfghjklzxc

vbnmqwertyuiopasdfghjklzxcvbnmq



hjklzxcvbnmrtyuiopasdfghjklzxcvbn

mqwertyuiopasdfghjklzxcvbnmqwert

yuiopasdfghjklzxcvbnmqwertyuiopas

dfghjklzxcvbnmqwertyuiopasdfghjklz

Cuaderno electrónico SAD UD2

UD2 Implantación de mecanismos de

seguridad activa

29/11/2011

Ramón Ballesteros Jiménez


Ramón Ballesteros Jiménez Página 2

Indice:

1. Clasificación de los ataques en sistemas personales. .................................. 4

2. Anatomía de ataques. .................................................................... 9

3. Análisis del software malicioso o malware ............................................. 11

Malware ................................................................................... 11

Un poco de Historia: el Malware .......................................................... 11

El Gran Cambio ........................................................................... 13

Virus ......................................................................................... 14

Gusano ....................................................................................... 14

Troyanos ..................................................................................... 14

Stealer....................................................................................... 15

Infostealer ................................................................................ 15

Crimeware ................................................................................... 15

Grayware .................................................................................... 15

Métodos de infección Malware ............................................................. 16

Explotación de vulnerabilidades ............................................................ 16

Ingeniería Social ............................................................................ 17

Propagación de malware a través de dispositivos USB ................................ 17

¿Qué son las cookies? ...................................................................... 20

¿Cómo sé si un sitio tiene cookies maliciosas? ......................................... 20

¿Cómo configuro mi navegador para gestionar cookies? ............................... 20

Leyendas Urbanas de las cookies ..................................................... 20



4. Herramientas paliativas. Instalación y configuración. ................................ 21

5. Herramientas preventivas. Instalación y configuración. .............................. 23

5.2. Seguridad del BIOS y del gestor de arranque ..................................... 24

5.2.1. Contraseñas del BIOS ........................................................... 24

5.2.2. Contraseñas del gestor de arranque ............................................ 25

5.2.2.1. Protegiendo GRUB con contraseñas ........................................ 25

Definición de Directivas o Políticas de Grupos ............................................ 28

4. Política de Usuarios ................................................................... 29

6. Técnicas de Cifrado: .................................................................... 32

7. Identificación Digital: ................................................................... 34

-Firma Electrónica y Firma Digital. .................................................. 34

-Certificado Digital, Autoridad certificadora (CA). ................................ 34

- Documento Nacional de Identidad Electrónico (DNIe) ........................... 35

- Buenas prácticas en el uso del certificado digital y DNIe. ...................... 36

8. Amenazas y ataques en redes corporativas: .......................................... 38

9. Riesgos potenciales en los servicios de red. ........................................... 41

10. Monitorización del tráfico en redes: Herramientas. ................................ 46

11. Intentos de penetración. .............................................................. 48

12. Sistemas de seguridad en WLAN. .................................................... 57

13. Recomendaciones de seguridad en WLAN. ........................................... 61



1. Clasificación de los ataques en

sistemas personales.

Digamos que se entiende por amenaza una condición del entorno del sistema de información

(persona, máquina, suceso o idea) que, dada una oportunidad, podría dar lugar a que se

produjese una violación de la seguridad (confidencialidad, integridad, disponibilidad o uso

legítimo).

La política de seguridad y el análisis de riesgos habrán identificado las amenazas que han de

ser contrarrestadas, dependiendo del diseñador del sistema de seguridad especificar los

servicios y mecanismos de seguridad necesarios.

Las amenazas a la seguridad en una red pueden caracterizarse modelando el sistema como un

flujo de información desde una fuente, como por ejemplo un fichero o una región de la

memoria principal, a un destino, como por ejemplo otro fichero o un usuario.

Un ataque no es más que la realización de una amenaza. Las cuatro categorías generales de

amenazas o ataques son las siguientes:

1. Interrupción: un recurso del sistema es destruido o se vuelve no disponible. Este es un

ataque contra la disponibilidad. Ejemplos de este ataque son la destrucción de un

elemento hardware, como un disco duro, cortar una línea de comunicación o

deshabilitar el sistema de gestión de ficheros.

2. Intercepción: una entidad no autorizada consigue acceso a un recurso. Este es un

ataque contra la confidencialidad. La entidad no autorizada podría ser una persona, un

programa o un ordenador. Ejemplos de este ataque son pinchar una línea para hacerse

con datos que circulen por la red y la copia ilícita de ficheros o programas

(intercepción de datos), o bien la lectura de las cabeceras de paquetes para desvelar la

identidad de uno o más de los usuarios implicados en la comunicación observada

ilegalmente (intercepción de identidad).

3. Modificación: una entidad no autorizada no sólo consigue acceder a un recurso, sino

que es capaz de manipularlo. Este es un ataque contra la integridad. Ejemplos de este

ataque son el cambio de valores en un archivo de datos, alterar un programa para que

funcione de forma diferente y modificar el contenido de mensajes que están siendo

transferidos por la red.

4. Fabricación: una entidad no autorizada inserta objetos falsificados en el sistema. Este

es un ataque contra la autenticidad. Ejemplos de este ataque son la inserción de

mensajes espurios en una red o añadir registros a un archivo. Estos ataques se pueden



asimismo clasificar de forma útil en términos de ataques pasivos y ataques activos.

Ataques pasivos

En los ataques pasivos el atacante no altera la comunicación, sino que únicamente la escucha o

monitoriza, para obtener información que está siendo transmitida.

Sus objetivos son la intercepción de datos y el análisis de tráfico, una técnica más sutil para

obtener información de la comunicación, que puede consistir en:

Obtención del origen y destinatario de la comunicación, leyendo las cabeceras de los paquetes

monitorizados.

Control del volumen de tráfico intercambiado entre las entidades monitorizadas, obteniendo

así información acerca de actividad o inactividad inusuales.

Control de las horas habituales de intercambio de datos entre las entidades de la

comunicación, para extraer información acerca de los períodos de actividad.

Los ataques pasivos son muy difíciles de detectar, ya que no provocan ninguna alteración de

los datos.

Sin embargo, es posible evitar su éxito mediante el cifrado de la información y otros

mecanismos que se verán más adelante.

Ataques activos

Estos ataques implican algún tipo de modificación del flujo de datos transmitido o la creación

de un falso flujo de datos, pudiendo subdividirse en cuatro categorías:

a. Suplantación de identidad: el intruso se hace pasar por una entidad diferente.

Normalmente incluye alguna de las otras formas de ataque activo. Por ejemplo,

secuencias de autenticación pueden ser capturadas y repetidas, permitiendo a una

entidad no autorizada acceder a una serie de recursos privilegiados suplantando a la

entidad que posee esos privilegios, como al robar la contraseña de acceso a una

cuenta.



b. Repetición: uno o varios mensajes legítimos son capturados y repetidos para producir

un efecto no deseado, como por ejemplo ingresar dinero repetidas veces en una

cuenta dada.

c. Modificación de mensajes: una porción del mensaje legítimo es alterada, o los

mensajes son retardados o reordenados, para producir un efecto no autorizado. Por

ejemplo, el mensaje "Ingresa un millón de pesos en la cuenta A" podría ser modificado

para decir "Ingresa un millón de pesos en la cuenta B".

d. Interrupción: o degradación fraudulenta del servicio, impide o inhibe el uso normal o

la gestión de recursos informáticos y de comunicaciones. Por ejemplo, el intruso

podría suprimir todos los mensajes dirigidos a una determinada entidad o se podría

interrumpir el servicio de una red inundándola con mensajes espurios. Entre estos

ataques se encuentran los de denegación de servicio, consistentes en paralizar

temporalmente el servicio de un servidor de correo, Web, FTP, etc.

• Anatomía de ataques:

Anatomía de un ataque informático

Conocer las diferentes etapas que conforman un ataque informático brinda la ventaja de

aprender a pensar como los atacantes y a jamás subestimar su mentalidad. Desde la

perspectiva del profesional de seguridad, se debe aprovechar esas habilidades para

comprender y analizar la forma en que los atacantes llevan a cabo un ataque.

La siguiente imagen muestra las cinco etapas por las cuales suele pasar un ataque informático

al momento de ser ejecutado:

• Fase 1: Reconnaissance (Reconocimiento). Esta etapa involucra la obtención de

información (Information Gathering) con respecto a una potencial víctima que puede

ser una persona u organización, utilizando diferentes recursos.

Generalmente se recurre a diferentes recursos de Internet como búsquedas avanzadas

a través de Google y otros buscadores para recolectar datos del objetivo. Algunas de



las técnicas utilizadas en este primer paso son: diferentes estrategias de Ingeniería

social como el Dumpster diving (buscar información del objetivo en la basura), el

sniffing (interceptar información).

• Fase 2: Scanning (Exploración). En esta segunda etapa se utiliza la información

obtenida en la fase 1 para sondear el blanco y tratar de obtener información sobre el

sistema víctima como direcciones IP, nombres de host, datos de autenticación, entre

otros.

Entre las herramientas que un atacante puede emplear durante esta fase se

encuentran:

o Network mappers

o Port mappers

o Network scanners

o Port scanners

o Vulnerability scanners

• Fase 3: Gaining Access (Obtener acceso). En esta instancia comienza a materializarse

el ataque a través de la explotación de las vulnerabilidades y defectos del sistema

(Flaw exploitation) descubiertos durante las fases de reconocimiento y exploración.

Algunas de las técnicas que el atacante puede utilizar son:

o Buffer Overflow

o Denial of Service (DoS)

o Distributed Denial of Service (DDos)

o Password filtering

o Session hijacking

• Fase 4: Maintaining Access (Mantener el acceso). Una vez que el atacante ha

conseguido acceder al sistema, buscará implantar herramientas que le permitan volver

a acceder en el futuro desde cualquier lugar donde tenga acceso a Internet.

Para ello, suelen recurrir a recursos como:

o Backdoors



o Rootkits

o Troyanos

• Fase 5: Covering Tracks (Borrar huellas). Una vez que el atacante logró obtener y

mantener el acceso al sistema, intentará borrar todas las huellas que fue dejando

durante la intrusión para evitar ser detectado por el profesional de seguridad o los

administradores de la red. En consecuencia, buscará eliminar los archivos de registro

(log) o alarmas del Sistema de Detección de Intrusos (IDS).



2. Anatomía de ataques.

Uno de los recursos más importantes, para sobrellevar los desafíos en la seguridad de la

información, es el conocimiento práctico de las técnicas de hacking.

Si se limita a seguir listas de comprobación de seguridad así como las buenas prácticas se logra

tener la seguridad más básica.

Se requiere que el personal tenga una buena formación para que sea capaz de responder ante

una situación valorando el posible riesgo.

Las técnicas de hacking brindan una mejor comprensión del riesgo. Un ejemplo es si un

administrador detecta comportamientos extraños en un equipo y revisando los archivos de

registro (logs) observa que alguien ha realizado conexiones al sitio 132.168.1.67:80 a las 3:00

de la madrugada podría pensar que es solamente una página web, sin embargo, se podría

estar utilizando la herramienta netcat para enviar una Shell y posiblemente el puerto 80 sólo

sea para atravesar tranquilamente el cortafuegos.

Al hablar de la seguridad en la información es importante definir muy bien el riesgo. Puede

variar de acuerdo con el valor, las amenazas, vulnerabilidades y las medidas utilizadas para

prevenirlo. Si no se comprenden adecuadamente las amenazas y vulnerabilidades no se podrá

medir el riesgo.

El riesgo va a influir directamente en la inversión en seguridad informática. Se debe cambiar la

perspectiva de la seguridad informática como un gasto más, y verla como una inversión.

LAS 5 FASES DE LA ANATOMIA DE UN ATAQUE

Fase 1 – Reconocimiento (Reconnaissance)

El reconocimiento se refiere a la fase preparatoria donde el atacante obtiene toda la

información necesaria de su objetivo o victima antes de lanzar el ataque. Esta fase también

puede incluir el escaneo de la red que el Hacker quiere atacar no importa si el ataque va a ser

interno o externo. Esta fase le permite al atacante crear una estrategia para su ataque.

Esta fase puede incluir la Ingeniería Social, buscar en la basura (Dumpster diving), buscar que

tipo de sistema operativo y aplicaciones usa el objetivo o víctima, cuales son los puertos que

están abiertos, donde están localizados los routers (enrutadores), cuales son los host

(terminales, computadoras) más accesibles, buscar en las bases de datos del Internet (Whois)

información como direcciones de Internet (IP), nombres de dominios, información de

contacto, servidores de email y toda la información que se pueda extraer de los DNS (Domain

Name Server).

Esta fase le puede tomar bastante tiempo al Hacker ya que tiene que analizar toda la

información que ha obtenido para lanzar el ataque con mayor precisión.

Fase 2 – Escaneo (Scanning)



Esta es la fase que el atacante realiza antes de la lanzar un ataque a la red (network). En el

escaneo el atacante utiliza toda la información que obtuvo en la Fase del Reconocimiento

(Fase 1) para identificar vulnerabilidades específicas. Por ejemplo, si en la Fase 1 el atacante

descubrió que su objetivo o su víctima usa el sistema operativo Windows XP entonces el

buscara vulnerabilidades especificas que tenga ese sistema operativo para saber por dónde

atacarlo.

También hace un escaneo de puertos para ver cuáles son los puertos abiertos para saber por

cual puerto va entrar y usa herramientas automatizadas para escanear la red y los host en

busca de mas vulnerabilidades que le permitan el acceso al sistema.

Fase 3 – Ganar Acceso (Gaining Access)

Esta es una de las fases más importantes para el Hacker porque es la fase de penetración al

sistema, en esta fase el Hacker explota las vulnerabilidades que encontró en la fase 2. La

explotación puede ocurrir localmente, offline (sin estar conectado), sobre el LAN (Local Area

Network), o sobre el Internet y puede incluir técnicas como buffer overflows (desbordamiento

del buffer), denial-of-service (negación de servicios), sesión hijacking (secuestro de sesión), y

password cracking (romper o adivinar claves usando varios métodos como: diccionary atack y

brute forcé atack).

Los factores que ayudan al Hacker en esta fase a tener una penetración exitosa al sistema

dependen de cómo es la arquitectura del sistema y de cómo está configurado el sistema

objetivo o víctima, una configuración de seguridad simple significa un acceso más fácil al

sistema, otro factor a tener en cuenta es el nivel de destrezas, habilidades y conocimientos

sobre seguridad informática y redes que tenga el Hacker y el nivel de acceso que obtuvo al

principio de la penetración (Fase 3).

Fase 4 – Mantener el Acceso (Maintaining Access)

Una vez el Hacker gana acceso al sistema objetivo (Fase3) su prioridad es mantener el acceso

que gano en el sistema. En esta fase el Hacker usa sus recursos y recursos del sistema y usa el

sistema objetivo como plataforma de lanzamiento de ataques para escanear y explotar a otros

sistemas que quiere atacar, también usa programas llamados sniffers para capturar todo el

trafico de la red, incluyendo sesiones de telnet y FTP (File Transfer Protocol).

En esta fase el Hacker puede tener la habilidad de subir, bajar y alterar programas y data.

Fase 5 – Cubrir las huellas (Covering Tracks)

En esta fase es donde el Hacker trata de destruir toda la evidencia de sus actividades ilícitas y

lo hace por varias razones entre ellas seguir manteniendo el acceso al sistema comprometido

ya que si borra sus huellas los administradores de redes no tendrán pistas claras del atacante y

el Hacker podrá seguir penetrando el sistema cuando quiera, además borrando sus huellas

evita ser detectado y ser atrapado por la policía o los Federales.

Las herramientas y técnicas que usa para esto son caballos de Troya, Steganography,

Tunneling, Rootkits y la alteración de los “log files” (Archivos donde se almacenan todos los

eventos ocurridos en un sistema informático y permite obtener información detallada sobre

los hábitos de los usuarios), una vez que el Hacker logra plantar caballos de Troya en el sistema

este asume que tiene control total del sistema.



3. Análisis del software malicioso o

malware

Malware (del inglés malicious software, también llamado badware, software malicioso o

software malintencionado) es un software que tiene como objetivo infiltrarse en el sistema y

dañar la computadora sin el conocimiento de su dueño, con finalidades muy diversas, ya que

en esta categoría encontramos desde un troyano a un spyware.

Esta expresión es un término general muy utilizado por profesionales de la computación para

definir una variedad de software o programas de códigos hostiles e intrusivos. Muchos

usuarios de computadores no están aún familiarizados con este término y otros incluso nunca

lo han utilizado. Sin embargo la expresión “virus informático” es más utilizada en el lenguaje

cotidiano y a menudo en los medios de comunicación para describir todos los tipos de

malware. Se debe considerar que el ataque a la vulnerabilidad por malware, puede ser a una

aplicación, una computadora, un sistema operativo o una red.

Siguiendo algunos sencillos consejos se puede aumentar considerablemente la seguridad de

una computadora, algunos son:

Protección a través del número de cliente y la del generador de claves dinámicas

• Tener el sistema operativo y el navegador web actualizados.

• Tener instalado un antivirus y un firewall y configurarlos para que se actualicen

automáticamente de forma regular ya que cada día aparecen nuevas amenazas.

• Utilizar una cuenta de usuario con privilegios limitados, la cuenta de administrador

solo debe utilizarse cuándo sea necesario cambiar la configuración o instalar un nuevo

software.

• Tener precaución al ejecutar software procedente de Internet o de medios extraíbles

como CD o memorias USB. Es importante asegurarse de que proceden de algún sitio

de confianza.

• Evitar descargar software de redes P2P, ya que realmente no se sabe su contenido ni

su procedencia.

• Desactivar la interpretación de Visual Basic Script y permitir JavaScript, ActiveX y

cookies sólo en páginas web de confianza.

• Utilizar contraseñas de alta seguridad para evitar ataques de diccionario.

Un poco de Historia: el Malware

Fue en 1949 cuando Von Neumann estableció la idea de programa almacenado y expuso La

Teoría y Organización de Autómatas Complejos, donde presentaba por primera vez la

posibilidad de desarrollar pequeños programas replicantes y capaces de tomar el control de



otros programas de similar estructura. Si bien el concepto tiene miles de aplicaciones en la

ciencia, es fácil apreciar una aplicación negativa de la teoría expuesta por Von Neumann: los

virus informáticos, programas que se reproducen a sí mismos el mayor número de veces

posible y aumentan su población de forma exponencial.

En 1959, en los laboratorios de Bell Computer, tres jóvenes programadores: Robert Thomas

Morris, Douglas Mcllroy y Victor Vysottsky crean un juego denominado CoreWar basado en la

teoría de Von Neumann y en el que el objetivo es que programas combatan entre sí tratando

de ocupar toda la memoria de la máquina eliminando así a los oponentes. Este juego es

considerado el precursor de los virus informáticos.

Fue en 1972 cuando Robert Thomas Morris creó el que es considerado cómo el primer virus

propiamente dicho: el Creeper era capaz de infectar máquinas IBM 360 de la red ARPANET (la

precedente de Internet) y emitía un mensaje en pantalla que decía “Soy una enredadera

(creeper), atrápame si puedes”. Para eliminarlo, se creó otro virus llamado Reaper (segadora)

que estaba programado para buscarlo y eliminarlo. Este es el origen de los actuales antivirus.

En la década de los 80 los PC ganaban popularidad y cada vez más gente entendía la

informática y experimentaba con sus propios programas. Esto dio lugar a los primeros

desarrolladores de programas dañinos y en 1981, Richard Skrenta escribe el primer virus de

amplia reproducción: Elk Cloner, que contaba el número de veces que arrancaba el equipo y al

llegar a 50 mostraba un poema.

En 1984, Frederick B. Cohen acuña por primera vez el término virus informático en uno de sus

estudios definiéndolo como “Programa que puede infectar a otros programas incluyendo una

copia posiblemente evolucionada de sí mismo”.

En 1987 hace su aparición el virus Jerusalem o Viernes 13, que era capaz de infectar archivos

.EXE y .COM. Su primera aparición fue reportada desde la Universidad Hebrea de Jerusalem y

ha llegado a ser uno de los virus más famosos de la historia.

En 1999 surge el gusano Happy desarrollado por el francés Spanska que crea una nueva

corriente en cuanto al desarrollo de malware que persiste hasta el día de hoy: el envío de

gusanos por correo electrónico. Este gusano estaba encaminado y programado para

propagarse a través del correo electrónico.

En el año 2000 hubo una infección que tuvo muchísima repercusión mediática debido a los

daños ocasionados por la infección tan masiva que produjo. Fuel el gusano I Love You o

LoveLetter, que, basándose en técnicas de ingeniería social infectaba a los usuarios a través del

correo electrónico. Comenzaba aquí la época de grandes epidemias masivas que tuvieron su

punto álgido en el 2004.

Fue en ese año cuando aparecieron gusanos como el Mydoom, el Netsky, el Sasser, o el Bagle,

que alarmaron a toda la sociedad y lo que buscaban era tener la mayor repercusión y

reconocimiento posible. Ese fue el año más duro de este tipo epidemias y curiosamente el



último. Los creadores de malware se dieron cuenta de que sus conocimientos servirían para

algo más que para tener repercusión mediática… para ganar dinero.

El Gran Cambio

Fue en 2005 cuando, tras 5 años de tendencia sostenida en la que los virus tal y como los

conocíamos fueron dejando su lugar a gusanos y troyanos encargados de formar redes de bots

para obtener dinero, cuando vieron que el entretenimiento que podía suponer la creación de

malware se podía convertir en un negocio muy rentable.

Quizá la mejor prueba de ello sean los denominados Troyanos Bancarios de los que existen

miles de variantes dado que los creadores, para dificultar su detección modificaban

permanente el código de los mismos.

Este tipo de malware actualmente se distribuye mediante exploits, spam o a través de otro

malware que descarga el troyano bancario. Este último tipo de troyano es el encargado de

robar información relacionada con las transacciones comerciales y/o datos bancarios del

usuario infectado.

Otra amenaza latente relacionada con la obtención de beneficios económicos a través del

malware es el spyware y adware, donde algunas empresas de software permiten al usuario

utilizar sus aplicaciones a cambio de que los creadores puedan realizar un monitoreo de las

actividades del usuario sin su consentimiento.

En cuanto a las amenazas para móviles, no cabe duda de que la llegada de las tecnologías,

móviles e inalámbricas, y su constante evolución han revolucionado en los últimos años la

forma en la que nos comunicamos y trabajamos. Sin embargo, la expansión del uso de esta

tecnología ha hecho que también se convierta en un vector de ataque importante para la

industria del malware.

Fue durante el año 2004 cuando se informó de la existencia del primer código malicioso para

plataformas móviles: Cabir.A siendo, junto al ComWar.A, los mas conocidos, este último no

solo por su capacidad de replicarse a través de Bluetooth sino también a través de mensajes de

texto con imágenes y sonido (MMS), enviándose a las direcciones y números de la agenda de

sus víctimas. Actualmente existe malware para las plataformas más comunes, como pueden

ser Symbian, PocketPC, Palm, etc, siendo el método de propagación tan diverso como las

posibilidades que nos ofrecen estos avances tecnológicos: SMS, MMS, IrDA, Bluetooth, etc.

A día de hoy la plataforma más atacada es Windows sobre procesadores de 32 bits. Como

hemos mencionado anteriormente, los creadores de malware han visto en esta actividad un

método de enriquecimiento y pensando en términos económicos y estableciendo el target

más amplio posible, los usuarios de plataforma Windows representan el 90% del mercado.

Quizás otro obstáculo con el que chocan los creadores de malware para Linux y Macintosh

tiene que ver con la capacitación media/alta de los usuarios de este tipo de plataformas, por lo

que la Ingeniería Social, principal método de propagación en la actualidad, no resulta tan

eficiente con estos usuarios.



Virus es una secuencia de código que se inserta en un fichero ejecutable (denominado

huésped), de forma que cuando el archivo se ejecuta, el virus también lo hace, insertándose a

sí mismo en otros programas.

Algunas acciones que puede realizar un virus son:

- Mostrar en la pantalla mensajes o imágenes humorísticas, generalmente molestas.

- Ralentizar o bloquear el ordenador.

- Destruir la información almacenada en el disco, en algunos casos vital para el sistema,

que impedirá el funcionamiento del equipo.

- Reducir el espacio en el disco.

- Molestar al usuario cerrando ventanas, moviendo el ratón.

Gusano (también llamados IWorm por su apocope en inglés, I de Internet, Worm de gusano) es

un malware que tiene la propiedad de duplicarse a sí mismo. Los gusanos utilizan las partes

automáticas de un sistema operativo que generalmente son invisibles al usuario.

A diferencia de un virus, un gusano no precisa alterar los archivos de programas, sino que

reside en la memoria y se duplica a sí mismo. Los gusanos casi siempre causan problemas en la

red (aunque sea simplemente consumiendo ancho de banda), mientras que los virus siempre

infectan o corrompen los archivos de la computadora que atacan.

Es algo usual detectar la presencia de gusanos en un sistema cuando, debido a su incontrolada

replicación, los recursos del sistema se consumen hasta el punto de que las tareas ordinarias

del mismo son excesivamente lentas o simplemente no pueden ejecutarse.

Los gusanos se basan en una red de computadoras para enviar copias de sí mismos a otros

nodos (es decir, a otras terminales en la red) y son capaces de llevar esto a cabo sin

intervención del usuario propagándose, utilizando Internet, basándose en diversos métodos,

como SMTP, IRC, P2P entre otros.

Troyanos o caballos de Troya son instrucciones escondidas en un programa de forma que éste

parezca realizar las tareas que un usuario espera de él, pero que realmente ejecute funciones

ocultas (generalmente en detrimento de la seguridad) sin el conocimiento del usuario.

Evitar la infección de un troyano es difícil, algunas de las formas más comunes de infectarse

son:

- Descarga de programas de redes p2p y sitios web que no son de confianza.

- Páginas web que contienen contenido ejecutable (por ejemplo controles ActiveX o

aplicaciones Java).

- Exploits para aplicaciones no actualizadas (navegadores, reproductores multimedia,

clientes de mensajería instantánea).

- Ingeniería social (por ejemplo un cracker manda directamente el troyano a la víctima a

través de la mensajería instantánea).

- Archivos adjuntos en correos electrónicos y archivos enviados por mensajería

instantánea.



Stealer (en español "ladrón de información") es el nombre genérico de programas

informáticos maliciosos del tipo troyano, que se introducen a través de internet en un

ordenador con el propósito de obtener de forma fraudulenta información confidencial del

propietario, tal como su nombre de acceso a sitios web, contraseña o número de tarjeta de

crédito.

Infostealer puede afectar también al servicio de correo electrónico MSN Messenger, enviando

mensajes falsos e incluso introduciendo en ellos datos incluidos por los usuarios en sus

mensajes a través de dicho servicio.

Otro problema causado por stealer puede ser la desconexión involuntaria de un sitio web.

Estos programas pueden detectarse y eliminarse mediante software antivirus, aunque la mejor

forma de evitarlos consiste en no abrir documentos anexos a correos electrónicos enviados

por remitentes desconocidos o dudosos.

Crimeware es un tipo de software que ha sido específicamente diseñado para la ejecución de

delitos financieros en entornos en línea. El término fue creado por Peter Cassidy, Secretario

General del Anti-Phishing Working Group para diferenciarlo de otros tipos de software

malicioso.

El crimeware (que debe ser diferenciado del spyware, adware) ha sido diseñado, mediante

técnicas de ingeniería social u otras técnicas genéricas de fraude en línea, con el fin de

conseguir el robo de identidades para acceder a los datos de usuario de las cuentas en línea de

compañías de servicios financieros (típicamente clínicas) o compañías de venta por correo, con

el objetivo de obtener los fondos de dichas cuentas, o de completar transacciones no

autorizadas por su propietario legítimo, que enriquecerán al ladrón que controla el crimeware.

El crimeware puede, de forma subrepticia, instalar un keylogger con el objetivo de obtener los

datos (logins, passwords, etc.) que permitirán al ladrón, acceder a cuentas bancarias accesibles

a través de Internet.

Un software de tipo crimeware (generalmente un troyano) también podría conseguir redirigir

el navegador web utilizado por el usuario, a una réplica del sitio web original, estando éste

controlado por el ladrón. Esta redirección se podría dar incluso cuando el usuario teclee

correctamente la URL del sitio web al que deseaba acceder, ya que si el troyano ha

completado su trabajo, podría haber modificado el conjunto de direcciones DNS que asocian el

nombre de dominio introducido por el usuario, con su dirección IP original. Ahora la

información DNS contenida en la máquina infectada por el crimeware, indicará al navegador la

dirección IP del sitio replicado y controlado por el ladrón.

Grayware es un tipo de programa maligno que involucra aquellos programas que se

comportan de forma molesta o indeseada.

Los grayware abarcan otros tipos de malwares (programas malignos) como espías, adwares,

dialers, etc. Grayware no incluye virus o troyanos.

Suelen afectar el rendimiento de la computadora. También a menudo los grayware suelen

realizar acciones que son molestas para los usuarios, como ventanas pop-up con publicidad,



entre otras.

Posibles problemas que acarrean los graywares

* Reducción del rendimiento de la computadora.

* Incremento de los cuelgues en aplicaciones y errores fatales.

* Reducen la eficiencia del usuario.

* Degradan el ancho de banda de la red o de internet.

* Pueden producir pérdida de información.

* Pérdida de privacidad del usuario que emplea la computadora infectada.

Métodos de infección Malware

Entre los canales más usados por malware son:

• Internet. La red global es el origen principal de distribución de todos tipos de malware.

En general, los virus y otros programas maliciosos se colocan en unas páginas Web

populares pretendiéndose algún software útil y gratis. Muchos de los scripts que se

ejecutan automáticamente al abrir las páginas Web también pueden contener

programas maliciosos.

• Correo electrónico. Los emails en los buzones privados y las bases de correo pueden

contener virus. Los archivos adjuntos y el cuerpo de email pueden contener malware.

Los tipos principales de malware distribuido por correo electrónico son virus y

gusanos. Puede infectar su equipo cuando abre un email o guarda un archivo adjunto.

El correo electrónico es también un fuente de spam y phishing. Mientras spam es

generalmente una perdida de tiempo, phishing es un método de robar sus datos

confidenciales (el número de su tarjeta de crédito, p.e.).

• Vulnerabilidades de software. Explotación de vulnerabilidades de software instalado

en el sistema es el método preferido por los hackers. Las vulnerabilidades permiten a

un hacker establecer una conexión remota a su equipo, y consecuentemente a sus

datos, los datos de su red, etc.

• Todos tipos de unidades de almacenamiento portátiles. Discos externos, discos

compactos y disquetes, unidades flash. Al conectar una unidad portátil a su equipo o

iniciar algún archivo de allí, puede infectar su equipo con malware y empezar

distribuirlo involuntariamente.

Explotación de vulnerabilidades

Existen varios factores que hacen a un sistema más vulnerable al malware: homogeneidad,

errores de software, código sin confirmar, sobre-privilegios de usuario y sobre-privilegios de

código.

Una causa de la vulnerabilidad de redes, es la homogeneidad del software multiusuario. Por

ejemplo, cuando todos los ordenadores de una red funcionan con el mismo sistema operativo,



si se puede comprometer ese sistema, se podría afectar a cualquier ordenador que lo use. En

particular, Microsoft Windows16

tiene la mayoría del mercado de los sistemas operativos, esto

permite a los creadores de malware infectar una gran cantidad de computadoras sin tener que

adaptar el software malicioso a diferentes sistemas operativos.

La mayoría del software y de los sistemas operativos contienen bugs que pueden ser

aprovechados por el malware. Los ejemplos típicos son los desbordamiento de búfer (buffer

overflow), en los cuales la estructura diseñada para almacenar datos en un área determinada

de la memoria permite que sea ocupada por más datos de los que le caben, sobre escribiendo

otras partes de la memoria. Esto puede ser utilizado por el malware para forzar al sistema a

ejecutar su código malicioso.

Las memorias USB infectadas pueden dañar la computadora durante el arranque.

Originalmente las computadoras tenían que ser booteadas con un diskette, y hasta hace poco

tiempo era común que fuera el dispositivo de arranque por defecto. Esto significaba que un

diskette contaminado podía dañar la computadora durante el arranque, e igual se aplica a CD y

memorias USB. Aunque eso es menos común ahora, sigue siendo posible olvidarse de que el

equipo se inicia por defecto en un medio removible, y por seguridad normalmente no debería

haber ningún diskette, CD, etc, al encender la computadora. Para solucionar este problema de

seguridad basta con entrar en la BIOS del ordenador y cambiar el modo de arranque del

ordenador.

Ingeniería Social

En el campo de la seguridad informática, ingeniería social es la práctica de obtener

información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que

pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes

computacionales, para obtener información, acceso o privilegios en sistemas de información

que les permitan realizar algún acto que perjudique o exponga la persona u organismo

comprometido a riesgo o abusos.

El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el

eslabón débil". En la práctica, un ingeniero social usará comúnmente el teléfono o Internet

para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra

empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet o la web se usa,

adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o

memos falsos que solicitan respuestas e incluso las famosas "cadenas", llevando así a revelar

información sensible, o a violar las políticas de seguridad típicas. Con este método, los

ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera

predecible en ciertas situaciones, -por ejemplo proporcionando detalles financieros a un

aparente funcionario de un banco- en lugar de tener que encontrar agujeros de seguridad en

los sistemas informáticos.

Propagación de malware a través de dispositivos USB



Los códigos maliciosos que se propagan a través de dispositivos USB son cada vez más

comunes y todos tienen un funcionamiento similar.

La posibilidad de que el malware aproveche los avances tecnológicos para que a través de ellos

se obtengan nuevos canales y medios de infección y propagación, constituye una de las

tendencias de este y los próximos años.

Los dispositivos de almacenamiento siempre constituyeron una de las vías más comunes de

infección, desde los viejos discos magnéticos de 5´1/4, pasando por los ya casi olvidados

disquetes de 3´1/2 hasta llegar a los dispositivos de almacenamiento que permiten guardar

información a través del puerto USB.

La natural evolución de la tecnología fue alimentando el crecimiento de las técnicas y

metodologías de infección utilizadas por los desarrolladores de malware a través de sus

creaciones maliciosas.

La interconexión de redes de computadoras logró interacción a nivel mundial y,

consecuentemente, la proliferación de nuevas técnicas de infección viral, cuya diseminación se

produce casi en forma instantánea.

En lo particular, los medios de almacenamiento masivo a través de conexiones del tipo USB,

como lo son los PenDriver (o flashdrive, memorias USB, etc.), representan un punto vulnerable

para cualquier sistema informático. Debido a la masividad de uso y facilidad de conexión, se

convierten en un medio común utilizado para transportar archivos y también todo tipo de

malware.

Los gusanos de Internet constituyen el principal tipo de programa dañino que comúnmente se

aprovecha de estas características: la esencia de los gusanos informáticos es propagarse hacia

la mayor cantidad de sistemas posibles copiando su propio código malicioso en cada infección,

sin importar el medio por el cual lo haga.

Algunos ejemplos de malware que se diseminan aprovechándose de estos dispositivos son:

• RJUMP: este gusano posee características de troyano y abre una puerta trasera en el

sistema infectado. Entre los medios de almacenamiento masivo que puede infectar se

encuentran discos rígidos extraíbles, cámaras digitales y memorias USB.

• Fujacks: esta familia de gusanos no sólo se propaga a través de dispositivos de

almacenamiento masivo sino que también infecta archivos ejecutables y recursos compartidos

que existen en la red configurados con contraseñas débiles (o sin ellas).

• AutoRun.C (también conocido como Zayle): es un gusano de Internet que aprovecha la

conexión a los dispositivos USB para propagarse e infectar las computadoras. Para lograr

ejecutarse en forma automática, se vale de un archivo “autorun.inf”. Además posee la

capacidad de deshabilitar la opción de abrir las unidades con doble clic.

Tanto los códigos maliciosos mencionados como la mayoría del malware en general, utilizan

formas comunes de infección; como por ejemplo, copiarse a sí mismo a un determinado sector

del disco, manipular el registro de Windows, etc.



En el caso de las infecciones a través de dispositivos USB, el malware se vale de un archivo

llamado “autorun.inf” que se encarga de ejecutar el código malicioso en forma automática

cuando el dispositivo es insertado en la computadora. Esto sucede si el usuario no ha

deshabilitado esta opción explícitamente (lo que la mayoría de los usuarios no hacemos) y que

a continuación muestra la siguiente ventana:

Este es el comportamiento normal del sistema operativo al insertar un CD o dispositivo USB,

del cual se vale el programa dañino para infectar el equipo.

Estos programas dañinos trabajan de la siguiente manera: al conectar el dispositivo en uno de

los puertos USB el malware se ejecuta en forma automática (valiéndose del archivo

mencionado) y se copia en distintas ubicaciones de los discos locales (generalmente con

atributos de oculto/sistema), infectando de esta manera a cada uno de los dispositivos donde

se lo inserta.

Asimismo, cada vez que un nuevo dispositivo de almacenamiento masivo es insertado en la

computadora comprometida, el gusano se encargará de copiarse en el nuevo medio extraíble

y así sucesivamente, infectando la máxima cantidad de dispositivos posibles.

Estadísticamente, durante el 2007 este tipo de malware se mantuvo entre las primeras 10

posiciones del ranking de detecciones a nivel mundial y en América Latina.

Esta tendencia expresa que la utilización de este tipo de dispositivos se irá incrementando

rápidamente; de hecho, ya se ha convertido en uno de los medios más elegidos por los

diseminadores de malware.

Por todos estos motivos, es muy importante que los usuarios tomen conciencia del peligro que

representan los dispositivos de almacenamiento masivo como los mencionados, debido a la

facilidad con la que pueden disparar infecciones de cualquier tipo de malware.



¿Qué son las cookies?

Las cookies son ficheros de texto que se crean al visitar una página web, y que sirven para almacenar información de diversos tipos que no debería afectar a tu privacidad. Por poner un

ejemplo, gracias a las cookies se pueden guardar las preferencias de una página web o la

contraseña y el nombre de usuario durante un determinado tiempo.

Sin embargo, algunas páginas web utilizan la información recogida en estas cookies para

recopilar información del usuario y seguidamente enviarle publicidad, por lo que se consideran

un tipo de spyware.

¿Cómo sé si un sitio tiene cookies maliciosas?

Cuando se navega por internet, se debe hacer de una manera responsable: debe primar la desconfianza. Generalmente, las páginas que aparentan tener un ‘contenido de dudosa

legalidad’, material pornográfico e incluso que ofrecen descargas de programas de pago de

forma gratuita, suelen ser los principales focos de cookies maliciosas, y es por ello que

empresas como Google o Microsoft nos avisan si nos dirigimos desde sus buscadores a estos

sitios de que podríamos estar en riesgo.

Además, los navegadores modernos, disponen de algoritmos para identificar este tipo de

páginas, aunque no son ni mucho menos perfectos, por lo que no es recomendable fiarse al

100% de ellos.

¿Cómo configuro mi navegador para gestionar cookies?

Todos los navegadores actuales permiten gestionar las cookies a distintos niveles de

seguridad. Por ejemplo, en Internet Explorer, se puede elegir el nivel de seguridad moviendo

una barra deslizante. Cuanto más arriba esté dicha barra, mayor seguridad y privacidad

tendremos, y, cuanto más abajo esté, más cookies y menos seguridad tendremos.

Aunque parezca lo contrario, no siempre resulta mejor tener la barra deslizante en lo más alto, ya que hay numerosas páginas web (Por ejemplo los bancos) que requieren tenerlas

activadas.

Leyendas Urbanas de las cookies

• Las cookies son similares a gusanos y virus en que pueden borrar datos de los discos

duros de los usuarios.

• Las cookies son un tipo de spyware porque pueden leer información personal

almacenada en el ordenador de los usuarios.

• Las cookies generan popups.

• Las cookies se utilizan para generar spam.

• Las cookies sólo se utilizan con fines publicitarios.



4. Herramientas paliativas. Instalación y

configuración.

Programas anti-malware

Como los ataques con malware son cada vez mas frecuentes, el interés ha empezado a

cambiar de protección frente a virus y spyware, a protección frente al malware, y los

programas han sido específicamente desarrollados para combatirlos.

Los programas anti-malware pueden combatir el malware de dos formas:

Proporcionando protección en tiempo real (real-time protection) contra la instalación de

malware en una computadora. El software anti-malware escanea todos los datos procedentes

de la red en busca de malware y bloquea todo lo que suponga una amenaza.

Detectando y eliminando malware que ya ha sido instalado en una computadora. Este tipo

de protección frente al malware es normalmente mucho más fácil de usar y más popular.17

Este tipo de programas anti-malware escanean el contenido del registro de Windows, los

archivos del sistema operativo, la memoria y los programas instalados en la computadora. Al

terminar el escaneo muestran al usuario una lista con todas las amenazas encontradas y

permiten escoger cuales eliminar.

La protección en tiempo real funciona idénticamente a la protección de los antivirus: el

software escanea los archivos al ser descargados de Internet y bloquea la actividad de los

componentes identificados como malware. En algunos casos, también pueden interceptar

intentos de ejecutarse automáticamente al arrancar el sistema o modificaciones en el

navegador web. Debido a que muchas veces el malware es instalado como resultado de

exploits para un navegador web o errores del usuario, usar un software de seguridad para

proteger el navegador web puede ser una ayuda efectiva para restringir los daños que el

malware puede causar.

Antivirus

Son programas cuyo objetivo es detectar y/o eliminar virus informáticos. Nacieron durante la

década de 1980.

Con el transcurso del tiempo, la aparición de sistemas operativos más avanzados e Internet, ha

hecho que los antivirus hayan evolucionado hacia programas más avanzados que no sólo

buscan detectar virus informáticos, sino bloquearlos, desinfectarlos y prevenir una infección



de los mismos, y actualmente ya son capaces de reconocer otros tipos de malware, como

spyware, rootkits, etc.

Antispyware

tipo de aplicación que se encarga de buscar, detectar y eliminar spywares o espías en el

sistema.

Un spyware es un software espía. Es una aplicación o pequeño programa que recolecta

información valiosa de la computadora desde donde está operando. Es un tipo de malware

que por lo general se introduce y opera en las PCs sin que el usuario lo advierta. Esta

introducción no solo puede ocurrir vía Internet, sino que también hay espías que entran en las

computadoras cuando el usuario acepta las condiciones de uso de un programa al instalarlo, ya

que por lo general, no está especificada la existencia del mismo.

Además de verse vulnerada la privacidad de los usuarios, los spywares pueden producir

pérdidas económicas, pues son capaces de recolectar números de tarjetas de crédito y claves

de accesos. También pueden producir gran deterioro en el funcionamiento de la computadora

tales como bajo rendimiento, errores constantes e inestabilidad general.

Si bién Avast tiene antispyware incoroprado, no hay problemas en que instales uno en el

sistema.

Descarga e instala el Ad-Aware. Puedes hacerlo de:

http://www.bajenlo.com/191/descargar/ad-…

En su versión gratuita no constituye un programa residente, pero actualizándolo y

ejecutándolo periódicamente resulta muy bueno para la detección y eliminación de spywares y

adwares….

Herramientas de bloqueo web

Estas herramientas pueden ser automatizadas o no. Las herramientas automátizadas son

aplicaciones para la computadora que permiten trabajar en dos niveles de seguridad: la

prevención y el control. Ninguna de estas herramientas es 100% efectiva por lo que debemos

ser conscientes de la importancia de las herramientas no automátizadas: la educación y la concientización. El diálogo con los menores es la mejor herramienta de prevención para los

riesgos que existen en la web.

Todas las herramientas indicadas en la presente sección deben ser aplicadas con el

compromiso de la familia, siendo conscientes de cuáles son las configuraciones que se realizan

y tomando la responsabilidadsobre cuáles son los contenidos a los que se podrá acceder y a

cuáles no.



5. Herramientas preventivas.

Instalación y configuración. - Control de acceso lógico (política de contraseñas seguras, control de acceso en la

BIOS y gestor de arranque, control de acceso en el sistema operativo, política de

usuarios y grupos, actualización de sistemas y aplicaciones)

Son una serie de herramientas que tratan de evitar cualquiera de los ataques informáticos que

hemos estudiado en el tema anterior

Incluyen:

● Encriptado de información en disco

● AnWvirus

● Sistemas de detección de intrusos (IDS)

● Sistemas de prevención de intrusos (IPS)

● Backup

- Control de acceso lógico (política de contraseñas seguras, control de acceso en la

BIOS y gestor de arranque, control de acceso en el sistema operativo, política de

usuarios y grupos, actualización de sistemas y aplicaciones)

Control de acceso lógico:

Los controles de acceso lógico se pueden definir como las políticas, procedimientos y controles

de acceso electrónico diseñados para restringir el acceso a los archivos de datos. Dichos

controles pueden estar incorporados en el sistema operativo, en los programas o aplicaciones,

en las bases de datos, los dispositivos de control de red etc.

POLITICAS DE CONTRASEÑAS SEGURAS

Al conectarse a un sistema informático, generalmente se debe ingresar: un nombre de

registro o nombre de usuario y una contraseña para acceder. Este par nombre de

registro/contraseña forma la clave para tener acceso al sistema.

Mientras que al nombre de registro generalmente lo brinda el sistema o el administrador de

forma automática, el usuario casi siempre tiene la libertad de elegir la contraseña. La mayoría

de los usuarios, como piensan que no tienen ninguna información secreta que proteger, usan



una contraseña fácil de recordar (por ejemplo, su nombre de registro, el nombre de su pareja

o su fecha de nacimiento).

Esto implica, particularmente, que los empleados elijan las contraseñas a partir de ciertos

requisitos, por ejemplo:

• Que la contraseña tenga una longitud mínima

• Que tenga caracteres especiales

• Que combinen mayúsculas con minúsculas

Además, se puede afianzar la política de seguridad si se pone una fecha de expiración en las

contraseñas para hacer que los usuarios las modifiquen periódicamente. Esto dificulta el

trabajo de los hackers que tratan de craquear las contraseñas con el correr del tiempo.

También es una excelente forma de limitar la duración de la contraseña craqueada.

Por último, es aconsejable que los administradores usen software que craquea contraseñas en

sus contraseñas de usuario para probar su solidez. Sin embargo, se debe hacer dentro del

marco de la política de protección y con discreción para tener el apoyo de la gerencia y los

usuarios.

5.2. Seguridad del BIOS y del gestor de arranque

La protección con contraseñas para el BIOS (o equivalentes al BIOS) y el gestor de arranque,

pueden ayudar a prevenir que usuarios no autorizados que tengan acceso físico a sus sistemas,

arranquen desde medios removibles u obtengan acceso como root a través del modo

monousuario. Pero las medidas de seguridad que uno debería tomar para protegerse contra

tales ataques dependen tanto de la confidencialidad de la información que las estaciones

tengan como de la ubicación de la máquina.

Por ejemplo, si se utiliza una máquina en una exhibición y esta no contiene datos

confidenciales, entonces puede que no sea crítico prevenir tales ataques. Sin embargo, si se

deja al descuido en la misma exhibición, la portátil de uno de los empleados con llaves

privadas SSH sin encriptar para la red corporativa, esto puede conducir a una violación de

seguridad importante para la compañía completa.

Por otro lado, si la estación de trabajo está localizada en un lugar donde sólo los usuarios

autorizados o de confianza tienen acceso, entonces la seguridad del BIOS o del gestor de

arranque puede que no sea necesaria.

5.2.1. Contraseñas del BIOS

Las siguientes son las dos razones básicas por las que proteger la BIOS de una computadora

con una contraseña [1]:

1. Prevenir cambios a las configuraciones del BIOS — Si un intruso tiene acceso a la BIOS,

puede configurarlo para que arranque desde un diskette o CD-ROM. Esto les permite

entrar en modo de rescate o monousuario, lo que a su vez les permite plantar

programas dañinos en el sistema o copiar datos confidenciales.

2. Prevenir el arranque del sistema — Algunas BIOSes le permiten proteger el proceso de

arranque con una contraseña. Cuando está funcionalidad está activada, un atacante



esta forzado a introducir una contraseña antes de que el BIOS lanze el gestor de

arranque.

Debido a que los métodos para colocar contraseñas del BIOS varían entre fabricantes de

equipos, consulte el manual de su computador para ver las instrucciones específicas.

Si olvida su contraseña del BIOS, usualmente esta se puede reconfigurar bien sea a través de

los jumpers en la tarjeta madre o desconectando la batería CMOS. Por esta razón, es una

buena idea bloquear el chasis del computador si es posible. Sin embargo, consulte el manual

del computador o tarjeta madre antes de proceder a desconectar la batería CMOS.

5.2.2. Contraseñas del gestor de arranque

A continuación se muestran las razones principales por las cuales proteger el gestor de

arranque Linux:

1. Previene el acceso en modo monousuario — Si un atacante puede arrancar en modo

monousuario, se convierte en el superusuario de forma automática sin que se le

solicite la contraseña de acceso.

2. Previene el acceso a la consola de GRUB — Si la máquina utiliza GRUB como el gestor

de arranque, un atacante puede usar la interfaz del editor para cambiar su

configuración o para reunir información usando el comando cat.

3. Previene el acceso a sistemas operativos inseguros — Si es un sistema de arranque

dual, un atacante puede seleccionar un sistema operativo en el momento de arranque,

tal como DOS, el cual ignora los controles de acceso y los permisos de archivos.

5.2.2.1. Protegiendo GRUB con contraseñas

Puede configurar GRUB para solucionar los primeros dos problemas listados en la Sección

5.2.2 añadiendo una directiva de contraseña a su archivo de configuración. Para hacer esto,

primero seleccione una contraseña, luego abra un indicador de comandos del shell, conéctese

como root y escriba:

/sbin/grub-md5-crypt

Cuando se le pida, escriba la contraseña GRUB y presione [Intro]. Esto retornará un hash MD5

para la contraseña.

Luego, modifique el archivo de configuración GRUB /boot/grub/grub.conf. Abra el archivo y

debajo de la línea timeout en la sección principal del documento, añada la siguiente línea:

password --md5 <password-hash>

Reemplace <password-hash> con el valor retornado por /sbin/grub-md5-crypt.

La próxima vez que el sistema arranque, el menú de GRUB no le permitirá accesar el editor o la

interfaz de comandos sin primero presionar [p] seguido por la contraseña de GRUB.

Cuaderno electrónico SAD

Ramón Ballesteros Jiménez

Lamentablemente, esta solución no previene a un atacante de arrancar en un sistema

operativo inseguro, si se está en un ambiente de arranque dual. Para esto, necesita editar una

parte diferente del archivo /boot/grub/grub.conf

Busque la línea title del sistema operativo inseguro y añada una línea que

diga lock directamente debajo de ella.

Para un sistema DOS, la estrofa debería comenzar con algo similar a:

title DOS lock

Aviso

Debe tener una líneaarchivo /boot/grub/grub.confun atacante podrá acceder a la interfaz del editor de GRUB y eliminar la línea de bloqueo.

Para crear una contraseña diferente para un kernel o sistema operativo particular, añada u

línea lock a la estrofa, seguido por una línea de contraseña.

Cada estrofa que usted proteja con una contraseña única debería comenzar con líneas

similares a las del ejemplo siguiente:

title DOS lock password --md5 <password-hash>

control de acceso en el sistema operativo

Windows NT, Windows 2000, Windows XP y Windows Server 2003 comparten un modelo común de control de accesos basado en lo siguiente:

• Autorización basada en el usuario: El código se procesa en el mismo contexto de

seguridad del usuario

esté autorizado.

• Acceso discrecional a objetos asegurables: El propietario de un objeto (por ejemplo, un

archivo o una carpeta) puede conceder o denegar permisos para controlar cómo se

utiliza y quién lo utiliza.

• Herencia de permisos: Un objeto puede heredar permisos del objeto que lo contiene

(así, un objeto de archivo puede heredar los permisos del objeto de carpeta al que

pertenece).




/boot/grub/grub.conf.

del sistema operativo inseguro y añada una línea que

directamente debajo de ella.

Para un sistema DOS, la estrofa debería comenzar con algo similar a:

Debe tener una línea password en la sección principal del

/boot/grub/grub.conf para que esto funcione adecuadamente. De otra forma

un atacante podrá acceder a la interfaz del editor de GRUB y eliminar la línea de

Para crear una contraseña diferente para un kernel o sistema operativo particular, añada u

a la estrofa, seguido por una línea de contraseña.


similares a las del ejemplo siguiente:

hash>

el sistema operativo

Windows NT, Windows 2000, Windows XP y Windows Server 2003 comparten un modelo

común de control de accesos basado en lo siguiente:

Autorización basada en el usuario: El código se procesa en el mismo contexto de

seguridad del usuario que lo inicia. No puede hacerse nada para lo que el usuario no

Acceso discrecional a objetos asegurables: El propietario de un objeto (por ejemplo, un


y quién lo utiliza.

Herencia de permisos: Un objeto puede heredar permisos del objeto que lo contiene


Página 26



para que esto funcione adecuadamente. De otra forma

un atacante podrá acceder a la interfaz del editor de GRUB y eliminar la línea de

Para crear una contraseña diferente para un kernel o sistema operativo particular, añada una


Windows NT, Windows 2000, Windows XP y Windows Server 2003 comparten un modelo

Autorización basada en el usuario: El código se procesa en el mismo contexto de

que lo inicia. No puede hacerse nada para lo que el usuario no

Acceso discrecional a objetos asegurables: El propietario de un objeto (por ejemplo, un


Herencia de permisos: Un objeto puede heredar permisos del objeto que lo contiene




• Privilegios administrativos: Es posible controlar qué usuarios o grupos de usuarios pueden desempeñar funciones administrativas y realizar cambios que afecten a recursos de todo el sistema.

• Auditoría de eventos del sistema: Estas funciones permiten tanto detectar los intentos

de burla a la seguridad del sistema como crear un registro de auditoría.

Se considera principal de seguridad a toda entidad capaz de ejecutar código. Los principales de

seguridad pueden ser tanto usuarios como programas capaces de actuar en lugar de un

usuario o un equipo. Procesos como los servicios de Windows se ejecutan normalmente en el

contexto de identidades de especial seguridad, como la cuenta LocalSystem.

Los identificadores de seguridad (SID) son valores únicos de longitud variable que se emplean

para identificar tanto a los principales como a los grupos de seguridad.

La Autoridad local de seguridad (LSA) es un subsistema de Windows protegido que conserva

toda la información relativa a la seguridad local de un equipo.

El contexto de seguridad hace referencia a la información de cuenta de usuario empleada por

el sistema para aplicar la seguridad cada vez que un proceso intenta obtener acceso a un

objeto protegido (por ejemplo, un archivo). El contexto de seguridad incluye aspectos como el

identificador de seguridad del usuario, los identificadores de seguridad de la pertenencia a un

grupo o los privilegios. Los principales de seguridad constituyen un contexto de seguridad para

sus propias acciones al presentar credenciales de una autoridad de seguridad digna de

confianza (por ejemplo, un controlador de dominios reconocido por la Autoridad local de

seguridad del equipo en el que intenta actuar el principal).

Los símbolos (token) de acceso son estructuras de datos que, asociadas a un principal, son

utilizadas por el subproceso que ejecuta código en nombre de dicho principal. Proporcionan

una descripción completa del contexto de seguridad del proceso o subproceso. Entre la

abundante información que contienen, cabe destacar el identificador de seguridad de la

cuenta del usuario, una lista con los identificadores de seguridad de los grupos a los que

pertenece el usuario, así como una lista de los privilegios de que disfruta el usuario y sus

grupos de seguridad en el equipo local.

En una Lista de control de acceso (ACL) se enumeran, de forma ordenada, las entradas de

control de acceso (entradas ACE) que definen las protecciones aplicables a un objeto y sus

propiedades. Cada una de estas entradas identifica a un principal de seguridad y especifica el

conjunto de derechos de acceso que le son concedidos o denegados o sobre los que se ha de

efectuar una auditoría. A cada objeto asegurable se le asocia un descriptor de seguridad capaz

de incluir dos tipos de listas de control de acceso (ACL):

• Listas de control de acceso discrecional (DACL): identifican a los usuarios y a los grupos

a los que se permiten o se deniegan los distintos tipos de acceso (lectura, lectura y

escritura, etc.) al objeto asegurable.

• Listas de control de acceso al sistema (SACL): controlan cómo debe auditar el sistema

operativo las cuestiones de acceso.

El sistema operativo efectúa una comprobación de acceso cada vez que un principal de

seguridad solicita realizar una acción sobre un objeto protegido. El objetivo de estas

comprobaciones es determinar si el principal de seguridad cuenta con los derechos de acceso

necesarios para realizar la acción. Para ello, el sistema operativo valida los identificadores de



seguridad del símbolo (token) de acceso con las entradas ACE de la lista DACL del objeto

protegido. Si el símbolo (token) de acceso tiene suficientes derechos, el sistema operativo

permitirá la acción; de lo contrario, iniciará un error de acceso denegado.

Definición de Directivas o Políticas de Grupos

La configuración de Directiva de Grupo define los distintos componentes del entorno de

Escritorio del usuario que accede de forma autenticada al dominio de nuestro servidor

Windows 2000, de modo que el administrador del sistema determina cuales le serán aplicadas

a cada usuario englobado en un sitio, dominio o unidad organizativa; entre las directivas que

pueden especificarse, por ejemplo, podemos indicar aquellos programas que deseemos se

encuentren disponibles para nuestros usuarios, los programas que aparecerán en su Escritorio,

las opciones del menú Inicio, las opciones del navegador, etc.

Para crear una configuración específica de Escritorio para un grupo de usuarios en particular,

se utilizan las Directiva de Grupo. La configuración de Directiva de Grupo está contenida en un

objeto de Directiva de Grupo, de modo que se asocia dicha directiva a los Sitios, Dominios o

Unidades Organizativas indicadas en Active Directory.

Curiosamente, y pese a su nombre, las Directivas de Grupo no pueden ser asociadas a un

grupo de usuarios o grupos de equipos (sólo a Sitios, Dominios o Unidades Organizativas),

aunque el resultado de su aplicación afecte únicamente a los usuarios y a los equipos de Active

Directory.

Las directivas se aplican en este orden:

1. En primer lugar se aplica el objeto de Directiva de Grupo local único.

2. En segundo lugar se aplican los Objetos de Directiva de Grupo del Sitio, en orden

especificado administrativamente.

3. En tercer lugar los Objetos de Directiva de Grupo del Dominio, en orden especificado

administrativamente.

4. En cuarto lugar los Objetos de Directiva de Grupo de las Unidades Organizativas, de Unidad

Organizativa principal a secundaria, y en orden especificado administrativamente en el nivel de

cada Unidad Organizativa.

5. Finalmente, de forma predeterminada, las directivas aplicadas posteriormente sobrescriben

las directivas aplicadas con anterioridad cuando las directivas son incoherentes. Sin embargo,

si no hay incoherencias de configuración, tanto las directivas anteriores como las posteriores

contribuyen a la directiva efectiva, es decir, se suman las configuraciones de las distintas

directivas asociadas al objeto en cuestión.

Podemos resumir el funcionamiento de las Directivas de Grupo como sigue:

La Directiva de Grupo se aplica de manera jerárquica desde el grupo menos restrictivo (Sitio) al

grupo más restrictivo (Unidad Organizativa). La Directiva de Grupo también es acumulativa.

Los contenedores de servicio de directorio secundarios heredan la Directiva de Grupo de los



contenedores primarios y el procesamiento de la Directiva de Grupo tiene lugar en el siguiente

orden: Sitio, Dominio y Unidad Organizativa. Esto significa que, si se ha asignado una Directiva

de Grupo determinada a un contenedor primario de alto nivel, esa Directiva de Grupo se aplica

a todos los contenedores por debajo de dicho contenedor primario, incluidos los objetos

equipo y usuario de cada contenedor. Sin embargo, si especifica de manera explícita una

Directiva de Grupo para un contenedor secundario, dicha directiva suplantará a la del

contenedor primario, si es que son contradictorias, y se sumará a la anterior si no lo son.

Es importante resaltar que las Directivas de Grupo tienen prioridad sobre las opciones de

configuración del perfil del usuario en caso de que se cree un conflicto.

En los siguientes apartados nos centraremos en definir una estructura de Unidades

Organizativas para nuestro centro educativo, así como en asociar las Políticas o Directivas de

Grupo al dominio o a las Unidades Organizativas anteriormente creadas.

Vamos a citar y definir los siguientes términos, con los que trabajaremos habitualmente a lo

largo de este apartado:

Sitio .- Podemos definir un sitio como un conjunto de equipos en una o varias subredes IP. Los

sitios suelen representar la estructura física de la red.

Dominio .- Un dominio tiene un nombre único y permite el acceso a las cuentas de usuario y

de grupo centralizadas mantenidas por el administrador del dominio. Cada dominio tiene sus

propias directivas de seguridad y relaciones de seguridad con otros dominios, y representa

límite de seguridad en una red Windows 2000. Active Directory está compuesto de uno o

varios dominios, cada uno de los cuales puede abarcar más de una ubicación física. Los

dominios representan la estructura lógica de la organización.

Unidad Organizativa .- Es un objeto contenedor de Active Directory que se utiliza en los

dominios. Las Unidades Organizativas son contenedores lógicos en los que pueden colocarse

usuarios, grupos, equipos y otras Unidades Organizativas. Sólo pueden contener objetos de su

dominio principal. Una U.O. es el ámbito más pequeño al que se puede aplicar una Directiva de

Grupo.

4. Política de Usuarios

Desactivación y/o borrado de cuentas

En la gestión del ciclo de vida de las cuentas de usuario es muy importante delimitar las

cuentas temporales y aplicarles un sistema de caducidad para que no queden activas cuentas

obsoletas y se mantengan únicamente aquellas que se utilizan y son realmente necesarias.

Debemos distinguir, por tanto, entre las cuentas de usuario con relaciones temporales y las

que tienen relaciones fijas. La distinción se hace a través de un atributo del directorio

corporativo que recogerá la fecha de expiración de las cuentas temporales. Tienen fecha de

expiración los usuarios con relaciones ALUMNOEEPP, ALUMNOSECUNDARIA, EXALUMNO,



MISCELANEA, PDIEXTERNO, PROFESORSECUNDARIA y algunos casos de PDI particulares, que

son las cuentas de investigadores, colaboradores honorarios, becarios, etc.

Las cuentas que tienen asociada una fecha de expiración reciben 30, 15 y 7 días antes de la fecha de expiración un mensaje a su cuenta de correo electrónico indicándole que debe

renovar dicha cuenta. En el cuerpo del mensaje se le indicará la cuenta que pierde y la fecha

en la que se producirá, además contendrá un enlace a una URL donde se explica la política de

desactivaciones y borrados, formas de reactivar o renovar la cuenta y personas de contacto

para cada caso. Si no renueva la cuenta en dicho plazo, el día que expira la cuenta, ésta se deshabilita y se borra la relación 3 meses después . En el caso particular que sea la única

relación que tenía el usuario se borrará la cuenta en el directorio corporativo.

Solo se avisará a los usuarios que pierden una de sus cuentas en el directorio corporativo. Los

usuarios que pierdan alguna relación pero mantengan el usuario porque tienen otra relación

no se les notificará.

Política de claves

Se ha implementado una política de contraseñas . Con la implantación de la Gestión de

Identidad, sólo hay un único punto de gestión de la contraseña; todos los cambios de

contraseña realizados por el propio usuario o por las administraciones delegadas son

realizadas en todos los recursos asignados al usuario, por lo que se aplica a todas las cuentas

de usuarios la misma política de contraseñas.

La nueva política de contraseñas es la siguiente:

• La longitud de la nueva contraseña debe ser como mínimo de 8 caracteres

• La nueva contraseña debe contener al menos 4 caracteres alfabético

• La nueva contraseña debe contener al menos 2 caracteres numéricos

• El número máximo de repeticiones de caracteres adyacentes de la nueva contraseña es 4

• El número máximo de caracteres numéricos en secuencia de la nueva contraseña es 4

• La nueva contraseña no podrá contener el nombre o apellido del usuario, ni el documento de identidad del mismo o su UVUS.

En cualquier caso, es importante señalar que se mantendrá la unicidad del UVUS en el tiempo,

i.e, un nombre de usuario que se haya utilizado alguna vez para alguna persona nunca se

volverá a utilizar en el tiempo.

actualización de sistemas

Un Sistema Operativo (S.O.) es un conjunto de programas destinados a permitir la

comunicación del usuario con un ordenador y gestionar sus recursos de manera eficiente.

Comienza a trabajar cuando se enciende el ordenador, y gestiona el hardware de la

máquina desde los niveles más básicos.

Los Sistemas Operativos requieren de actualizaciones periódicas, por varios motivos:



• Actualizaciones hardware: Debido a que el hardware de las máquinas evoluciona,

es necesario crear programas capaces de gestionar este nuevo hardware.

• Actualizaciones de los programas: En ocasiones, se detectan vulnerabilidades o

fallos en los programas que son subsanados en posteriores actualizaciones.

• Nuevas funcionalidades: Con frecuencia, los sistemas operativos incorporan

nuevas funcionalidades que los usuarios pueden aprovechar descargándoselas en

las actualizaciones.

Nota: Para cada Sistema Operativo se muestran enlaces al soporte y las descargas del

producto en inglés y español, debido a que las versiones en inglés suelen estar más

actualizadas.



6. Técnicas de Cifrado:

-Criptografía simétrica.

La criptografía simétrica se refiere al conjunto de métodos que permiten tener comunicación segura entre las partes siempre y cuando anteriormente se hayan intercambiado la clave correspondiente que llamaremos clave simétrica. La simetría se refiere a que las partes tienen la misma llave tanto para cifrar como para descifrar.

Este tipo de criptografía se conoce también como criptografía de clave privada o criptografía de llave privada.

Existe una clasificación de este tipo de criptografía en tres familias, la criptografía simétrica de bloques (block cipher), la criptografía simétrica de lluvia (stream cipher) y la criptografia simétrica de resumen (hash functions). Aunque con ligeras modificaciones un sistema de

criptografía simétrica de bloques puede modificarse para convertirse en alguna de las otras

dos formas, sin embargo es importante verlas por separado dado que se usan en diferentes

aplicaciones.

La criptografía simétrica ha sido la más usada en toda la historia, ésta a podido ser

implementada en diferente dispositivos, manuales, mecánicos, eléctricos, hasta los algoritmos

actuales que son programables en cualquier computadora. La idea general es aplicar

diferentes funciones al mensaje que se quiere cifrar de tal modo que solo conociendo una

clave pueda aplicarse de forma inversa para poder así descifrar.

Aunque no existe un tipo de diseño estándar, quizá el más popular es el de Fiestel, que

consiste esencialmente en aplicar un número finito de interacciones de cierta forma, que

finalmente da como resultado el mensaje cifrado. Este es el caso del sistema criptográfico

simétrico más conocido, DES.

-Criptografía asimétrica.

La criptografía de clave asimétrica o pública fue inventada en 1976 por los matemáticos Whit

Diffie y Martin Hellman y es la base de la moderna criptografía.

La criptografía asimétrica utiliza dos claves complementarias llamadas clave privada y clave

pública. Lo que está codificado con una clave privada necesita su correspondiente clave

pública para ser descodificado. Y viceversa, lo codificado con una clave pública sólo puede ser

descodificado con su clave privada. (Ver explicación en presentación Power Point).

Las claves privadas deben ser conocidas únicamente por su propietario, mientra que la

correspondiente clave pública puede ser dada a conocer abiertamente. Si Ana quiere enviar a

Benito un mensaje de forma que sólo él pueda entenderlo, lo codificará con la clave pública de

Benito. Benito utilizará su clave privada, que solo él tiene, para poder leerlo. Pero otra posible

utilidad del sistema es garantizar la identidad del remitente. Si Ana envía a Benito un mensaje

codificado con la clave privada de Ana, Benito necesitará la clave pública de Ana para

descifrarlo. Es posible combinar ambos: Ana puede enviar a Benito un mensaje codificado dos



veces, con la clave privada de Ana y con la clave pública de Benito. Así se consigue garantizar la

identidad del emisor y del receptor.

La criptografía asimétrica está basada en la utilización de números primos muy grandes. Si

multiplicamos entre sí dos números primos muy grandes, el resultado obtenido no puede

descomponerse eficazmente, es decir, utilizando los métodos aritméticos más avanzados en

los ordenadores más avanzados sería necesario utilizar durante miles de millones de años

tantos ordenadores como átomos existen en el universo. El proceso será más seguro cuanto

mayor sea el tamaño de los números primos utilizados. Los protocolos modernos de

encriptación tales como SET y PGP utilizan claves generadas con números primos de un

tamaño tal que los hace completamente inexpugnables.

El problema de las claves asimétricas es que cuando el texto a tratar es largo el proceso de

codificación es muy lento. Los protocolos modernos codifican el texto base con una clave

simétrica tipo DES o IDEA y utilizan las claves asimétricas para la comunicación de la clave

simétrica utilizada. Cuando un texto se codifica mediante una clave simétrica y se envía esta

clave codificada con la clave pública del receptor, el resultado se llama “sobre digital”.

-Criptografía híbrida.

La criptografía híbrida emplea el cifrado de clave pública para compartir una clave para el

cifrado simétrico. El mensaje que se esté enviando en el momento, se cifra usando la clave y

enviándolo al destinatario. Ya que compartir una clave simétrica no es seguro, la clave usada

es diferente para cada sesión.

Un sistema de cifrado híbrido no es más fuerte que el de cifrado asimétrico o el de cifrado

simétrico de los que hace uso, independientemente de cuál sea más débil. En PGP y GnuPG el sistema de clave pública es probablemente la parte más débil de la combinación. Sin

embargo, si un atacante pudiera descifrar una clave de sesión, sólo sería útil para poder leer

un mensaje, el cifrado con esa clave de sesión. El atacante tendría que volver a empezar y

descifrar otra clave de sesión para poder leer cualquier otro mensaje.

Herramientas como PGP, SSH o la capa de seguridad SSL para la jerarquía de protocolos TCP/IP

utilizan un criptografía asimétrica para intercambiar claves de criptografía simétrica, y la

criptografía simétrica para la transmisión de la información.

La función hash es un algoritmo matemático unidireccional que permite calcular un valor

resumen de los datos a ser firmados digitalmente. Cuando la entrada es un documento, el

resultado de la función es un número que identifica casi inequivocamente al texto. Si se

adjunta este número al texto, el destinatario puede aplicar de nuevo la función y comprobar su

resultado con el que ha recibido. Existen funciones “hash” específicamente diseñadas para

satisfacer estas dos importantes propiedades. SHA y MD5 son dos ejemplos de este tipo de

algoritmos.



7. Identificación Digital:

-Firma Electrónica y Firma Digital.

Una firma electrónica es una firma digital que se ha almacenado en un soporte de hardware; mientras que la firma digital se puede almacenar tanto en soportes de hardware como de software. La firma electrónica reconocida tiene el mismo valor legal que la firma manuscrita.

De hecho se podría decir que una firma electrónica es una firma digital contenida o almacenada en un contenedor electrónico, normalmente un chip de ROM. Su principal característica diferenciadora con la firma digital es su cualidad de ser inmodificable (que no inviolable). No se debe confundir el almacenamiento en hardware, como por ejemplo, en un chip, con el almacenamiento de la firma digital en soportes físicos; es posible almacenar una firma digital en una memoria flash, pero al ser esta del tipo RAM y no ROM, no se consideraría

una firma electrónica si no una firma digital contenida en un soporte físico.

Las características y usos de la Firma electrónica son exactamente los mismos que los de la

Firma digital con la única diferenciación del tipo de soporte en el que se almacenan. Su

condición de inmodificable aporta un grado superior de seguridad, si bien la ausencia habitual

de contraseñas de seguridad que protejan su uso permitiría que un portador ilegítimo pudiese

suplantar al propietario con facilidad.

-Certificado Digital, Autoridad certificadora (CA).

Un certificado digital (también conocido como certificado de clave pública o certificado de

identidad) es un documento digital mediante el cual un tercero confiable (una autoridad de

certificación) garantiza la vinculación entre la identidad de un sujeto o entidad (por ejemplo:

nombre, dirección y otros aspectos de identificación) y una clave pública.

Este tipo de certificados se emplea para comprobar que una clave pública pertenece a un

individuo o entidad. La existencia de firmas en los certificados aseguran por parte del firmante

del certificado (una autoridad de certificación, por ejemplo) que la información de identidad y

la clave pública perteneciente al usuario o entidad referida en el certificado digital están

vinculadas.

Un aspecto fundamental que hay que entender es que el certificado para cumplir la función de

identificación y autenticación necesita del uso de la clave privada (que sólo el titular conoce).

El certificado y la clave pública se consideran información no sensible que puede distribuirse

perfectamente a terceros.

Por tanto el certificado sin más no puede ser utilizado como medio de identificación, pero es

pieza imprescindible en los protocolos usados para autenticar a las partes de una

Si bien existen variados formatos para certificados digitales, los más comúnmente empleados

se rigen por el estándar UIT-T X.509. El certificado debe contener al menos lo siguiente:

• La identidad del propietario del certificado (identidad a certificar),



• La clave pública asociada a esa identidad, • La identidad de la entidad que expide y firma el certificado, • El algoritmo criptográfico usado para firmar el certificado.

Autoridad certificadora (CA). Es una entidad de confianza, responsable de emitir y revocar los

certificados digitales o certificados, utilizados en la firma electrónica, para lo cual se emplea la

criptografía de clave pública. Jurídicamente es un caso particular de Prestador de Servicios de

Certificación.

por sí misma o mediante la intervención de una Autoridad de Registro, verifica la identidad del

solicitante de un certificado antes de su expedición o, en caso de certificados expedidos con la

condición de revocados, elimina la revocación de los certificados al comprobar dicha identidad.

Los certificados son documentos que recogen ciertos datos de su titular y su clave pública y

están firmados electrónicamente por la Autoridad de Certificación utilizando su clave privada.

La Autoridad de Certificación es un tipo particular de Prestador de Servicios de Certificación

que legitima ante los terceros que confían en sus certificados la relación entre la identidad de

un usuario y su clave pública. La confianza de los usuarios en la CA es importante para el

funcionamiento del servicio y justifica la filosofía de su empleo, pero no existe un

procedimiento normalizado para demostrar que una CA merece dicha confianza.

Un certificado revocado es un certificado que no es válido aunque se emplee dentro de su

período de vigencia. Un certificado revocado tiene la condición de suspendido si su vigencia

puede restablecerse en determinadas condiciones.

- Documento Nacional de Identidad Electrónico (DNIe)

El Documento Nacional de Identidad (DNI), emitido por la Dirección General de la Policía

(Ministerio del Interior), es el documento que acredita, desde hace más de 50 años, la

identidad, los datos personales que en él aparecen y la nacionalidad española de su titular.

A lo largo de su vida, el Documento Nacional de Identidad ha ido evolucionado e incorporando

las innovaciones tecnológicas disponibles en cada momento, con el fin de aumentar tanto la

seguridad del documento como su ámbito de aplicación.

Con la llegada de la Sociedad de la Información y la generalización del uso de Internet se hace

necesario adecuar los mecanismos de acreditación de la personalidad a la nueva realidad y

disponer de un instrumento eficaz que traslade al mundo digital las mismas certezas con las

que operamos cada día en el mundo físico y que, esencialmente, son:

• Acreditar electrónicamente y de forma indubitada la identidad de la persona

• Firmar digitalmente documentos electrónicos, otorgándoles una validez jurídica

equivalente a la que les proporciona la firma manuscrita



Para responder a estas nuevas necesidades nace el Documento Nacional de Identidad electrónico (DNIe), similar al tradicional y cuya principal novedad es que incorpora un pequeño circuito integrado (chip), capaz de guardar de forma segura información y de procesarla internamente. Para poder incorporar este chip, el Documento Nacional de Identidad cambia su soporte tradicional (cartulina plastificada) por una tarjeta de material plástico, dotada de nuevas y mayores medidas de seguridad. A esta nueva versión del Documento Nacional de Identidad

nos referimos como DNI electrónico nos permitirá, además de su uso tradicional, acceder a los

nuevos servicios de la Sociedad de la Información, que ampliarán nuestras capacidades de

actuar a distancia con las Administraciones Públicas, con las empresas y con otros ciudadanos.

En la medida que el DNI electrónico vaya sustituyendo al DNI tradicional y se implanten las

nuevas aplicaciones, podremos utilizarlo para:

• Realizar compras firmadas a través de Internet

• Hacer trámites completos con las Administraciones Públicas a cualquier hora y sin

tener que desplazarse ni hacer colas

• Realizar transacciones seguras con entidades bancarias

• Acceder al edificio donde trabajamos

• Utilizar de forma segura nuestro ordenador personal

• Participar en un conversación por Internet con la certeza de que nuestro interlocutor

es quien dice ser

- Buenas prácticas en el uso del certificado digital y DNIe.

Tal y como recoge la Declaración de Prácticas de Certificación del DNI electrónico, los

certificados electrónicos podrán utilizarse:

• Como medio de Autenticación de la Identidad.

El Certificado de Autenticación (Digital Signature) asegura que la comunicación electrónica se

realiza con la persona que dice que es. El titular podrá, a través de su certificado, acreditar su

identidad frente a cualquiera, ya que se encuentra en posesión del certificado de identidad y

de la clave privada asociada al mismo.

• Como medio de firma electrónica de documentos.

Mediante la utilización del Certificado de Firma (nonRepudition), el receptor de un mensaje

firmado electrónicamente puede verificar la autenticidad de esa firma, pudiendo de esta

forma demostrar la identidad del firmante sin que éste pueda repudiarlo.



• Como medio de certificación de Integridad de un documento.

Permite comprobar que el documento no ha sido modificado por ningún agente externo a la

comunicación. La garantía de la integridad del documento se lleva a cabo mediante la

utilización de funciones resumen (hash), utilizadas en combinación con la firma electrónica.

Esto esquema permite comprobar si un mensaje firmado ha sido alterado posteriormente a su

envío.

Para tal fin, utilizando la clave privada del ciudadano, se firma un resumen del documento ,de

forma tal que cualquier alteración posterior del documento dará lugar a una alteración del

resumen.

El Certificado de Identidad Pública español (DNI electrónico) contribuirá, necesariamente a la

existencia de empresas prestadoras de servicios de valor añadido ya que el DNI electrónico no

facilitara en ningún caso los denominados "sobres" (sistemas de cifrado, sellos de tiempo, etc.)



8. Amenazas y ataques en redes

corporativas: Amenazas externas Mediante métodos de ingeniería social avanzada, estafas de robo de identidad, troyanos y otras formas de malware, los hackers apuntan a las credenciales VPN y a las redes corporativas para intentar robar información confidencial de la empresa, como propiedad intelectual y contraseñas comerciales. Las botnets, en particular, representan una seria amenaza para las organizaciones, ya que la mayoría de las infecciones provienen de programas malware diseñados especialmente para infiltrarse en redes corporativas y realizar tareas específicas de extracción de información confidencial o robo de contraseñas. Actualmente, la mactividad de

botnets afecta al 90% de las empresas del ranking Fortune 5003. Las pequeñas y medianas

empresas, que solo pueden gastar una fracción del dinero que sus equivalentes invierten en

tecnología de seguridad, son las que corren más riesgo.

Otra forma de amenaza externa que apunta a las organizaciones es el robo de identidad

“spear”, una modalidad de ataque orientada principalmente a empleados u objetivos de gran

importancia en el negocio. Los mensajes de correo electrónico para robo de identidad “spear”

pretenden lograr que los usuarios divulguen información confidencial o personal, o hagan clic

en un enlace o archivo adjunto que contiene software malicioso. Una vez que el usuario hace

clic en el enlace o el archivo adjunto, se instala el malware, por lo general, en forma de un

capturador de teclado. Este método le permite al hacker robar todo lo que el usuario escriba,

ya sean credenciales corporativas, información de cuentas bancarias u otras contraseñas

confidenciales.

Amenazas internas Los empleados utilizan innumerables aplicaciones y sistemas que requieren contraseñas e

inicios de sesión distintos e individuales. Esto suele provocar prácticas riesgosas con las

contraseñas, como la utilización de una misma contraseña en múltiples sistemas, el uso

compartir donde contraseñas o el registro de contraseñas en papel o documentos

electrónicos. Entre los profesionales comerciales que participaron de la encuesta sobre

administración de contraseñas2, el 66% respondió haber visto que los empleados registraban

sus contraseñas en papel en el lugar de trabajo. Además, el 40% respondió haber observado

que los empleados escribían las contraseñas en borradores o notas Post-It y las pegaban

alrededor de sus equipos. Las prácticas deficientes de administración de contraseñas ponen a

las organizaciones en riesgo de manera diaria.

El crecimiento de la fuerza laboral móvil y la posibilidad de acceso en cualquier momento y

desde cualquier ubicación es otro ejemplo de las amenazas generadas por el personal interno.

Si bien muchos empleados móviles acceden a la red corporativa por medio de una fuente

confiable, como un dispositivo móvil o una laptop de la empresa, es muy común el uso de

equipos públicos y puntos de acceso inalámbricos para ingresar en sistemas corporativos, lo

cual hace posible que un capturador de teclado y otros programas maliciosos roben las

contraseñas de los empleados. Según los datos obtenidos en la encuesta sobre amenazas

internas llevada a cabo por RSA en 2008, el 58% de los encuestados admitió

Amenazas: Interrupción, Intercepción, Modificación y Fabricación



Los tres elementos principales a proteger en cualquier sistema informático son el software, el hardware y los datos. Contra cualquier de los elementos dichos anteriormente (pero principalmente los datos) se pueden realizar multitud de ataques o, dicho de otra forma, están expuestos a diferentes amenazas. Generalmente, la taxonomía mas elemental de estas amenazas las divide en cuatro grandes grupos: interrupción, interceptación, modificación y fabricación: Interrupción: Un ataque se clasifica como interrupción si hace que un objeto del sistema se pierda, quede inutilizable o no disponible. -Se tratara de una interceptación si un elemento no autorizado consigue acceso a un determinado objeto del sistema. -Se tratara de un ataque modificación si además de conseguir el acceso consigue modificar el objeto. -Se considera un ataque destrucción cuando en el ataque, se realiza una modificación que inutiliza al objeto afectado - Un ataque de fabricación se trata de una modificación destinada a conseguir un objeto similar al atacado de forma que sea difícil distinguir entre el objeto original y el fabricado. Ahora veremos unos ejemplos:

Flujo normal de información entre emisor y receptos y posibles amenazas: a) interrupción b) interceptación c) modificación y d) fabricación * Ataques: DoS, Sniffing, Man in the middle, Spoofing, Pharming. DENEGACIÓN DE SERVICIO (DOS)

Su objetivo es degradar considerablemente o detener el funcionamiento de un servicio

ofrecido por un sistema o dispositivo de red. Existen diferentes técnicas para la

explotación de este tipo de ataques:

Envío de paquetes de información mal conformados de manera de que la aplicación que

debe interpretarlo no puede hacerlo y colapsa.



Inundación de la red con paquetes (como ser ICMP - ping, TCP – SYN, IP origen igual a IP destino, etc.) que no permiten que circulen los paquetes de información de usuarios. Bloqueo de cuentas por excesivos intentos de login fallidos.

Impedimento de logueo del administrador. MAN-IN-THE-MIDDLE El atacante se interpone entre el origen y el destino en una comunicación pudiendo conocer y/o modificar el contenido de los paquetes de información, sin esto ser advertido por las víctimas. Esto puede ocurrir en diversos ambientes, como por ejemplo, en comunicaciones por e-mail, navegación en Internet, dentro de una red LAN, etc.

IP SPOOFING - MAC ADDRESS SPOOFING El atacante modifica la dirección IP o la dirección MAC de origen de los paquetes de

información que envía a la red, falsificando su identificación para hacerse pasar por otro

usuario. De esta manera, el atacante puede asumir la identificación de un usuario válido de la

red, obteniendo sus privilegios.

PHARMING Es la manipulación del mecanismo de resolución de nombres de dominio en Internet, llevada a

cabo mediante la introducción de código malicioso en los servidores conectados a la red.

Cuando un usuario ingresa una dirección en su navegador, ésta debe ser convertida a una

dirección de IP numérica. Este proceso, que se denomina resolución de nombres, es llevado a

cabo por servidores DNS (Domain Name Servers). En ellos se almacenan tablas con las

direcciones de IP de cada nombre de dominio. El pharming consiste en adulterar este sistema,

de manera que cuando el usuario cree que está accediendo a su entidad financiera en

Internet, en realidad esta ingresado a una página Web falsa.

AIRsniffing: consiste en capturar paquetes de información que circulan por redes

inalámbricas. Para ello es necesario contar con una placa de red "wireless" configurada en

modo promiscuo y una antena.

War Driving y Netstumbling: estas técnicas se valen del AIRsniffing, ya que consisten en

circular (generalmente en un vehículo) por un vecindario o zona urbana, con el objeto de

capturar información transmitida a través de redes inalámbricas. Esto es posible debido a que

generalmente las ondas de transmisión de información en redes inalámbricas se expanden

fuera del área donde se ubican los usuarios legítimos de la red, pudiendo ser alcanzadas por

atacantes. Lo que en ocasiones las hace más vulnerables es la falta de seguridad con que se

encuentran implementadas.

Para mas información mirar el tema 1 de Seguridad y Alta Disponibilidad



9. Riesgos potenciales en los servicios de red.

• Seguridad en los dispositivos de red : terminales, switch y router.

Seguridad en los terminales: instalaciones por defecto no pensadas para la seguridad o

la facilitación a los usuarios son algunos de los motivos por los que nuestros quipos no

son seguros.algunas medidas que se pueden tomar son:

- Conocimientos del sistema

- Verificación de la integridad

- Protocolos cifrados

- Revisión de los registros

- Paranoia (evitar ejecución de código externo. Aplicaciones “seguras”)

- Eliminación de servicios innecesarios

- Reglas de acceso (cotafuegos)

o Ventajas

� Control de acceso

� Limita el alcance de los problemas de seguridad en redes locales

� Limita la posibilidad de utilizar sistemas comprometidos para atacar a

terceros

� Limita la posibilidad de extraer información

o Inconvenientes

� Dificultad a la hora de configurarlos

� Dificultad a la hora de instalar nuevos servicios

� Dificultad con protocolos que usan puertos aleatorios

� Ralentización

� Importancia relativa en maquinas sin servicios y con accesos

controlados

- Mantener el sistema actualizado

- A nivel de administración



o Políticas de seguridad

o Diseño estricto de la red

o Barreras de acceso

o Copias de seguridad (recuperación ante desastres)

o Cifrado de las comunicaciones

o Protoclos de autentificación seguros

o Medidas preventivas

o Trampas (Honeypots)

Protección de los switch: los puertos de entrada pueden ser un punto de entrada a la red por

parte de usuarios no autorizados. Para evitarlo, los switches ofrecen una función que se

conoce como seguridad de puertos. La seguridad de puertos limita la cantidad de direcciones

MAC validas que se permiten por puerto. El puerto no reenvia paquetes con direcciones MAC

de origen que se encuentran fuera del grupo de direcciones definidas. Existen tres maneras de

configurar la seguridad de puertos:

Estatica: las direcciones MAC se configuran manualmente con el comando de configuración de

interfaz switchport port-security mac-address. Las direcciones MAC estaticas se almacenan en

la tabla de direcciones y se agregan a la configuración.

Dinámica: las direcciones MAC se aprenden de manera dinámica y se almacenan en la tabla de

direcciones. Se puede controlar la cantidad de direcciones que se aprenden. La cantidad

máxima predeterminada de direcciones MAC que se aprenden por puerto es una. Las

direcciones que se aprenden se borran de la tabla si el puerto se desconecta o si el switch se

reinicia.

Sin modificación: similar a la dinámica excepto que las direcciones también se guardan en la

configuración en ejecución.

Routers: debemos tomar las siguientes políticas de seguridad:

- Seguridad física

o Designar al personal para actividades de instalación y desinstalación

o Designar la persona para realizar actividades de mantenimiento

o Designar al personal para realizar la conexión física

o Definir controles de colocación y usos de la consola y los puertos de acceso

o Definir procedimientos de resuperacion ante eventualidades físicas

- Seguridad de configuración física



o Designar las personas que acceden al router via consola o en forma remota

o Designar la persona con privilegios de administración.

o Definir procedimientos para realizar cambios a la configuración.

o Definir políticas de contraseñas de usuario y administración.

o Definir protocolos, procedimientos y redes para acceso remoto.

o Definir plan de recuperación que incluya responsabilidades individuales ante

incidentes.

o Definir políticas de revisión de bitácoras.

o Definir procedimientos y limitaciones del monitoreo remoto (SNMP)

- Seguridad deconfiguracionestatica

o Definir directrices para la detección de ataques directos

o Definir políticas de administración en intercambio de información (Protocolos

de ruteo, RADIUS, SNMP, TACAS+, NTP).

o Definir políticas de intercambio de llaves de encriptación.

- Seguridad de configuración dinámica

o Identificar los servicios de configuración dinámica del router, y las redes

permitidas para accesar dichos servicios.

o Identificar los protocolos de routeo a utilizar, y sus esquemos de seguridad

que proveen.

o Designar mecanismos y políticas de actualización del reloj (manual o por NTP)

o Identificar los algoritmos criptográficos autorizados para levantar vpn´s.

- Seguridad en servicios de red

o Enumerar protocolos, pùertos y servicios a ser permitidos o filtrados en cada

interface, asi como los procedimientos para su autorización.

o Describir procedimientos de seguridad y roles para interactuar con

proveedores externos.

Para conseguir seguridad en el router debemos:

- Loopback

o Enumerar a las personas u organizaciones y ser notificadas en caso de una red

comprometida



o Identificar la información relavante a ser capturada y retenida

o Definir procedimientos de respuesta, autoridades y los objetivos de la

respuesta después de un ataque exitoso, incluir esquemas de preservación de

la evidencia (cadena de custodia)

- Seguridad en servicios de red

o Enumerar protocolos, puertos y servicios a ser permitidos o filtrados en cada

interface, asi como los procedimientos para su autorización.

o Describir procedimientos de seguridad y roles para interactuar con

proveedores externos.

• Seguridad en los servicios de red por niveles: Enlace, Red (IP), Transporte(TCP-UDP) y Aplicación.

Seguridad en el nivel de enlace:

- Ataques basados en MAC y ARP

o CAM Table Overlow:consiste en el inundar la tabla de direcciones MAC

de un switch haciendo que el switch envie todas las tramas de las

direcciones MAC que no tiene en la tabla a todos los equipos,

haciendo que actue como HUB.

o ARP Spoofing:es una técnica usada para infiltrarse en una red Ethernet

conmutada que puede permitir al atacante husmear paquetes de

datos en la LAN, modificar trafico, o incluso detenerlo.

o Ataques que emplean ARP Spoofing:

� Switch Port Stealing: el atacante consigue que todas las tramas

dirigidas hacia otro puerto del switch lleguen a puertos del

atacante para luego re-enviarlos hacia su destinatario y de

esta manera poder ver el trafico que viaja desde el remitente

hacia el destinatiario

� Man in the middle: utilizando ARP Spoofing el atacacnte logra

que todas las tramas que intercambian las victimas pasen

priemro por su equipo

� Hijacking: el atacante puede lograr redirigir el flujo de tramas

entre dos dispositivos hacia su equipo. Asi puede lograr

colocarse en cualquera de los dos extremos de la

comunicación

� Denial of service (DoS): el atacante puede hacer que un equipo

critico de la red tenga una dirección MAC inaccesible. Con esto

se logra que las tramas dirigidas a la IP de este dispositivo se

pierdan

- Ataques basados en VLAN

o Dinamic trunking protocol: automatiza la configuración de los trunk

802.1Q. sincroniza el modo de trunking en los extremos haciendo

innecesaria la intervención administrativa en ambos extremos.

o Vlan hopping attack: un equipo puede hacerse para coo un switch con

80.2.1Q y DTP , o bien se puede emplear como un Switch volviendo al

equipo miembro de todas las VLAN. Requiere que el puerto este

configurado con trunking automatico.



o Doublé encapsulated VLAN Hopping Attack: una trama 802.1Q lleva

otra trama 802.1Q, solo permiten trafico en una sola dirección y solo

funciona entre VLAN.

o VLAN trunking Protocol:se emplea para distribuir configuración de

VLAN a través de multiples dispositivos. Solo se emplea en puertos

trunk y puede causar muchos inconvenientes. Utiliza autentificación

MD5.

- Ataques basados en STP: l atacante puede ver tramas que no debería(esto

permite ataques DoS,MIM, etc )

Seguridad a nivel de red:

- Filtrado de paquetes: permitir a los usuarios de la red local acceder a los

servicios, limitando asi el acceso a los del exterior. Esto se hace en los filtros

del router.

- Monitorización de routers y equipos de acceso:controlar los accesos mediante

ficheros LOG

- Separa las redes y filtros anti-sniffing: con esto conseguimos evitar que una

atacante pueda obtener calves de acceso mediante sniffers.

Seguridad en la capa de alicacion:

- Cifrado: nos da integridad, autenticidad, garantía de recepción, y un

comprobante del envio

- Certificados digitales:son contenedores de información que se intercambian

en trasacciones digitales. Un certificado puede contener datos del emisor y su

clave publica.estan firmados con claves privadasde uno o mas entes

certificadores.

- SSL: es un protocolo de seguridad que provee privacia en las comunicaciones a

través de internet. Sus objetivos son: dar seguridad criptográfica,

interoperabilidad, extensibilidad y eficienca relativa

- TLS: este protocolo se basa en SSL 3.0 y presenta diferencias menores

SET: propuesta de Visa y Mastercard àra permitir transacciones elctronicas seguras. Utiliza

certificados digitales para verificar la identidad de las partes involucradas en la transacción. La

verificación se realiza mediante cifrado asimetrica



10. Monitorización del tráfico en redes: Herramientas.

A pesar de la inmensa cantidad de herramientas que encontramos solo se mencionan algunas:

Network Manager agregado es una red de clase empresarial / aplicación / plataforma de

supervisión del rendimiento. Se integra perfectamente con otros sistemas inteligentes de

gestión de edificios, tales como control de acceso físico, HVAC, iluminación, y el tiempo /

control de asistencia.

Airwave Gestión PlatformT (AMP) de red inalámbrica de software de gestión permite un

control centralizado para redes Wi-Fi. Las características incluyen: punto de acceso de gestión

de configuración, presentación de informes, seguimiento de los usuarios, ayudar a puntos de

vista escritorio, y rogue AP descubrimiento.

akk da es un sistema de monitoreo de red simple diseñado para redes de ordenadores

pequeños y medianos. Su objetivo es detectar rápido fallo del sistema o de red y para mostrar

información acerca de los problemas detectados por los administradores. akk da está

diseñado como un monitor de red pro-activa. No esperar a que la información de todos los

agentes, sistemas, etc recoge la información que cada minuto (puede reducir este período de 1

segundo). Casi todos los servicios de los anfitriones control se descubren de forma automática.

Andrisoft WANGuard plataforma ofrece soluciones para la monitorización de enlaces WAN,

detección y mitigación de DDoS, lo que representa el tráfico y la representación gráfica.

Axence nVision supervisa la infraestructura de red: Windows, servicios TCP / IP, servidores

web y de correo, URLs, aplicaciones (MS Exchange, SQL, etc.) También supervisa routers y

conmutadores: tráfico de red, estado de la interfaz, los ordenadores conectados. nVision

recoge el inventario de la red y el uso de licencias de auditoría - puede alertar en caso de una

instalación de programas o cualquier cambio de configuración en un nodo remoto. Con el

agente usted puede supervisar la actividad del usuario y acceso remoto a los ordenadores.

Castle Rock

CommandCenter NOC de Raritan proporciona votación, Windows y UNIX / Linux de

administración de servidores, detección de intrusos, análisis de vulnerabilidades y análisis de

tráfico en un dispositivo integrado.

Cymphonix Red Compositor supervisa el tráfico de Internet por usuario, aplicación, y la

amenaza. Incluye controles de forma de acceso a recursos de Internet por usuario, grupo y / u

hora del día. También con el bloqueo de proxy anónimos, la gestión de políticas y la

supervisión en tiempo real.

David sistema le permite gestionar sus recursos y servicios a través de intranet e Internet.

proporcionar auto-descubrimiento y la construcción de la topología de la red ofrece para

ayudar a mantener una visión intuitiva de su infraestructura de TI. Recursos, monitoreo en

tiempo real y accesibilidad de los datos históricos de la reacción al fracaso. Interfaces



configuradas para los dispositivos de control le permiten centrarse en los aspectos más

importantes de su trabajo.

dopplerVUe proporciona la detección de redes, la cartografía y el sistema de reglas permite

el monitoreo de Ping, SNMP, syslog, y las métricas de rendimiento de WMI. Se puede utilizar

para controlar los dispositivos IPv6. Monitores de servicios tales como DNS, HTTP y correo

electrónico.

eBox es una distribución de código abierto y de desarrollo, basada en Ubuntu Linux,

destinados a gestionar los servicios en una red informática.

EM de Sciencelogic es un NMS integrado con problemas de entradas, gestión de eventos,

informes, gestión de IP, DNS y supervisión.

Fidelia también tiene la hélice herramienta de nivel de entrada para las pequeñas empresas.



11. Intentos de penetración.

Un intento de Penetración es un análisis que permite detectar vulnerabilidades en un entorno

informatizado mediante la búsqueda, la identificación y explotación de vulnerabilidades. Su

alcance se extiende a:

- Equipos de comunicaciones;

- Servidores;

- Estaciones de trabajo;

- Aplicaciones;

- Bases de Datos;

- Servicios Informáticos;

- Casillas de Correo Electrónico;

- Portales de Internet;

- Intranet corporativa;

- Acceso físico a recursos y documentación;

Ingeniería social (La ingeniería social es la técnica por la cual se obtiene información

convenciendo al usuario que otorgue información confidencial, haciéndose pasar por usuarios

con altos privilegios como administradores y técnicos).

Para realizar un Intento de Penetración es necesario realizar las siguientes tareas:

Reconocimiento de los recursos disponibles mediante el empleo de herramientas automáticas.

Identificación de las vulnerabilidades existentes mediante herramientas automáticas.

Explotación manual y automática de las vulnerabilidades para determinar su alcance.

Análisis de los resultados.



Sistemas de Detección de intrusos (IDS).

Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection System)

es un programa usado para detectar accesos no autorizados a un computador o a una red.

Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan

herramientas automáticas.

El término IDS (Sistema de detección de intrusiones) hace referencia a un mecanismo que,

sigilosamente, escucha el tráfico en la red para detectar actividades anormales o sospechosas,

y de este modo, reducir el riesgo de intrusión.

Existen dos claras familias importantes de IDS:

El grupo N-IDS (Sistema de detección de intrusiones de red), que garantiza la seguridad dentro

de la red.

El grupo H-IDS (Sistema de detección de intrusiones en el host), que garantiza la seguridad en

el host.

Un N-IDS necesita un hardware exclusivo. Éste forma un sistema que puede verificar paquetes

de información que viajan por una o más líneas de la red para descubrir si se ha producido

alguna actividad maliciosa o anormal. El N-IDS pone uno o más de los adaptadores de red

exclusivos del sistema en modo promiscuo. Éste es una especie de modo "invisible" en el que

no tienen dirección IP. Tampoco tienen una serie de protocolos asignados. Es común encontrar

diversos IDS en diferentes partes de la red. Por lo general, se colocan sondas fuera de la red

para estudiar los posibles ataques, así como también se colocan sondas internas para analizar

solicitudes que hayan pasado a través del firewall o que se han realizado desde dentro.

El H-IDS se encuentra en un host particular. Por lo tanto, su software cubre una amplia gama

de sistemas operativos como Windows, Solaris, Linux, HP-UX, Aix, etc.

El H-IDS actúa como un daemon o servicio estándar en el sistema de un host.

Tradicionalmente, el H-IDS analiza la información particular almacenada en registros (como

registros de sistema, mensajes, lastlogs y wtmp) y también captura paquetes de la red que se

introducen/salen del host para poder verificar las señales de intrusión (como ataques por



denegación de servicio, puertas traseras, troyanos, intentos de acceso no autorizado,

ejecución de códigos malignos o ataques de desbordamiento de búfer).

Técnicas de Detección de intrusos.

El tráfico en la red (en todo caso, en Internet) generalmente está compuesto por datagramas

de IP. Un N-IDS puede capturar paquetes mientras estos viajan a través de las conexiones

físicas a las que está sujeto. Un N-IDS contiene una lista TCP/IP que se asemeja a los

datagramas de IP y a las conexiones TCP. Puede aplicar las siguientes técnicas para detectar

intrusiones:

Verificación de la lista de protocolos: Algunas formas de intrusión, como "Ping de la muerte" y

"escaneo silencioso TCP" utilizan violaciones de los protocolos IP, TCP, UDP e ICMP para atacar

un equipo. Una simple verificación del protocolo puede revelar paquetes no válidos e indicar

esta táctica comúnmente utilizada.

Verificación de los protocolos de la capa de aplicación: Algunas formas de intrusión emplean

comportamientos de protocolos no válidos, como "WinNuke", que utiliza datos NetBIOS no

válidos (al agregar datos fuera de la banda). Para detectar eficazmente estas intrusiones, un N-

IDS debe haber implementado una amplia variedad de protocolos de la capa de aplicación,

como NetBIOS, TCP/IP, etc.

Esta técnica es rápida (el N-IDS no necesita examinar la base de datos de firmas en su totalidad

para secuencias de bytes particulares) y es también más eficiente, ya que elimina algunas

falsas alarmas. Por ejemplo, al analizar protocolos, N-IDS puede diferenciar un "Back Orifice

PING" (bajo peligro) de un "Back Orifice COMPROMISE" (alto peligro).

Reconocimiento de ataques de "comparación de patrones": Esta técnica de reconocimiento de

intrusión es el método más antiguo de análisis N-IDS y todavía es de uso frecuente.

Consiste en la identificación de una intrusión al examinar un paquete y reconocer, dentro de

una serie de bytes, la secuencia que corresponde a una firma específica. Por ejemplo, al buscar

la cadena de caracteres "cgi-bin/phf", se muestra un intento de sacar provecho de un defecto

del script CGI "phf". Este método también se utiliza como complemento de los filtros en

direcciones IP, en destinatarios utilizados por conexiones y puertos de origen y/o destino. Este



método de reconocimiento también se puede refinar si se combina con una sucesión o

combinación de indicadores TCP.

Esta táctica está difundida por los grupos N-IDS "Network Grep", que se basan en la captura de

paquetes originales dentro de una conexión supervisada y en su posterior comparación al

utilizar un analizador de "expresiones regulares". Éste intentará hacer coincidir las secuencias

en la base de firmas byte por byte con el contenido del paquete capturado.

La ventaja principal de esta técnica radica en la facilidad de actualización y también en la gran

cantidad de firmas que se encuentran en la base N-IDS. Sin embargo, cantidad no siempre

significa calidad. Por ejemplo, los 8 bytes “CE63D1D2 16E13CF”, cuando se colocan al inicio

de una transferencia de datos UDP, indican un tráfico Back Orifice con una contraseña

predeterminada. Aunque el 80% de las intrusiones utilicen la contraseña predeterminada, el

20% utilizarán contraseñas personalizadas y no serán necesariamente reconocidas por el N-

IDS. Por ejemplo, si la contraseña se cambia a "evadir", la serie de bytes se convertirá en

"8E42A52C 0666BC4A", lo que automáticamente la protegerá de que el N-IDS la capture.

Además, la técnica inevitablemente conducirá a un gran número de falsas alarmas y falsos

positivos.

Existen otros métodos para detectar e informar sobre intrusiones, como el método Pattern

Matching Stateful, y/o para controlar el tráfico peligroso o anormal en la red.

En conclusión, un perfecto N-IDS es un sistema que utiliza las mejores partes de todas las

técnicas mencionadas anteriormente.

Tipos de IDS: (Host IDS, Net IDS).

Existen dos tipos de sistemas de detección de intrusos:

HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del éxito de los intrusos,

que generalmente dejaran rastros de sus actividades en el equipo atacado, cuando intentan

adueñarse del mismo, con propósito de llevar a cabo otras actividades. El HIDS intenta

detectar tales modificaciones en el equipo afectado, y hacer un reporte de sus conclusiones.



NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red.

Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.

Software libre y commercial

El software libre (en inglés free software, aunque esta denominación también se confunde a

veces con "gratis" por la ambigüedad del término "free" en el idioma inglés, por lo que

también se usa "libre software") es la denominación del software que respeta la libertad de los

usuarios sobre su producto adquirido y, por tanto, una vez obtenido puede ser usado, copiado,

estudiado, modificado y redistribuido libremente. Según la Free Software Foundation, el

software libre se refiere a la libertad de los usuarios para ejecutar, copiar, distribuir, estudiar,

modificar el software y distribuirlo modificado.

El software libre suele estar disponible gratuitamente, o al precio de costo de la distribución a

través de otros medios; sin embargo no es obligatorio que sea así, por lo tanto no hay que

asociar software libre a "software gratuito" (denominado usualmente freeware), ya que,

conservando su carácter de libre, puede ser distribuido comercialmente ("software

comercial"). Análogamente, el "software gratis" o "gratuito" incluye en ocasiones el código

fuente; no obstante, este tipo de software no es libre en el mismo sentido que el software

libre, a menos que se garanticen los derechos de modificación y redistribución de dichas

versiones modificadas del programa.

Software Libre se refiere a la libertad de los usuarios para ejecutar, copiar, distribuir, estudiar,

cambiar y mejorar el software. De modo más preciso, se refiere a cuatro libertades de los

usuarios del software:

La libertad de usar el programa, con cualquier propósito (libertad 0).

La libertad de estudiar cómo funciona el programa, y adaptarlo a tus necesidades (libertad 1).

El acceso al código fuente es una condición previa para esto.

La libertad de distribuir copias, con lo que puedes ayudar a tu vecino (libertad 2).

La libertad de mejorar el programa y hacer públicas las mejoras a los demás, de modo que

toda la comunidad se beneficie. (libertad 3). El acceso al código fuente es un requisito previo

para esto.

'Software libre' no significa 'no comercial'. Un programa libre debe estar disponible para uso

comercial, desarrollo comercial y distribución comercial. El desarrollo comercial del software

libre ha dejado de ser inusual; el software comercial libre es muy importante.



Cuando se habla de software libre, es mejor evitar términos como: `regalar' o `gratis', porque

esos téminos implican que lo importante es el precio, y no la libertad.

El software comercial es el software, libre o no, que es comercializado, es decir, que existen

sectores de la economía que lo sostiene a través de su producción, su distribución o soporte.

El software comercial cuenta con las siguientes características:

Tienen licencias, las cuales están limitadas por usuarios y son pagadas. Estas licencias

restringen las libertades de los usuarios a usar, modificar, copiar y distribuir el software.

El desarrollo, programación y actualización de este software sólo lo hace la empresa que tiene

los derechos. Como sucede con los productos Microsoft (Windows, Office, etc).

En el software comercial se suele esconder y mezquinar los avances y descubrimientos

tecnológicos entre las empresas que lo desarrollan.

Muchas veces con estrategias comerciales se suele hacer que los usuarios actualicen su

software comercial, sin que exista una necesidad verdadera de ello, consiguiendo de esta

forma hacer que el usuario invierta en nuevas licencias, la mayoría de las veces innecesarias.

Existen además tipos de software intermedios.

Software semilibre

Es aquel que mantiene las mismas características que el software libre para los usuarios

individuales, entidades educativas o sin ánimo de lucro, sin embargo prohibe esas libertades

para su uso comercial o empresarial.

Software propietario

Es aquel que no es libre ni semilibre; por lo tanto, su redistribución, modificación y copia están

prohibidas o, al menos, tan restringidas que es imposible hacerlas efectivas.

Freeware

No tiene una definición clara y precisa, sin embargo suele usarse para clasificar al software que

puede redistribuirse libremente pero no modificarse, entre otras cosas, porque no está

disponible su código fuente. El freeware no es software libre.



Shareware

Es un software que permite su redistribución, sin embargo no viene acompañado de su código

fuente y, por tanto, no puede ser modificado. Además, pasado un periodo de tiempo,

normalmente es necesario pagar una licencia para continuar usándolo, luego tampoco es

software libre

VENTAJAS Y DESVENTAJAS

SOFTWARE COMERCIAL.

VENTAJAS

Las compañías productoras de software propietario, por lo general, tienen departamentos de

control de calidad que llevan a cabo muchas pruebas sobre el software que producen.

Se destina una parte importante de los recursos a la investigación sobre la usabilidad del

producto.

Se tienen contratados algunos programadores muy capaces y con mucha experiencia.

El software propietario de marca conocida ha sido usado por muchas personas y es

relativamente fácil encontrar a alguien que lo sepa usar.

Existe software propietario diseñado para aplicaciones muy específicas que no existe en

ningún otro lado más que con la compañía que lo produce.

Los planes de estudios de la mayoría de las universidades del país tienen tradicionalmente un

marcado enfoque al uso de herramientas propietarias y las compañías fabricantes ofrecen a las

universidades planes educativos de descuento muy atractivos.

Existen gran cantidad de publicaciones, ampliamente difundidas, que documentan y facilitan el

uso de las tecnologías proveídas por compañías de software propietario, aunque el número de

publicaciones orientadas al software libre va en aumento.

DESVENTAJAS

Es difícil aprender a utilizar eficientemente el software propietario sin haber asistido a

costosos cursos de capacitación.

El funcionamiento del software propietario es un secreto que guarda celosamente la compañía

que lo produce. En muchos casos resulta riesgosa la utilización de un componente que es

como una caja negra, cuyo funcionamiento se desconoce y cuyos resultados son

impredecibles. En otros casos es imposible encontrar la causa de un resultado erróneo,

producido por un componente cuyo funcionamiento se desconoce.



En la mayoría de los casos el soporte técnico es insuficiente o tarda demasiado tiempo en

ofrecer una respuesta satisfactoria.

Es ilegal extender una pieza de software propietario para adaptarla a las necesidades

particulares de un problema específico. En caso de que sea vitalmente necesaria tal

modificación, es necesario pagar una elevada suma de dinero a la compañía fabricante, para

que sea ésta quien lleve a cabo la modificación a su propio ritmo de trabajo y sujeto a su

calendario de proyectos.

La innovación es derecho exclusivo de la compañía fabricante. Si alguien tiene una idea

innovadora con respecto a una aplicación propietaria, tiene que elegir entre venderle la idea a

la compañía dueña de la aplicación o escribir desde cero su propia versión de una aplicación

equivalente, para una vez logrado esto poder aplicar su idea innovadora.

Es ilegal hacer copias del software propietario sin antes haber contratado las licencias

necesarias.

Si una dependencia de gobierno tiene funcionando exitosamente un sistema dependiente de

tecnología propietaria no lo puede compartir con otras dependencias a menos que cada una

de éstas contrate todas las licencias necesarias.

Si la compañía fabricante del software propietario se va a la banca rota el soporte técnico

desaparece, la posibilidad de en un futuro tener versiones mejoradas de dicho software

desaparece y la posibilidad de corregir las erratas de dicho software también desaparece. Los

clientes que contrataron licencias para el uso de ese software quedan completamente

abandonados a su propia suerte.

Si una compañía fabricante de software es comprada por otra más poderosa, es probable que

esa línea de software quede descontinuada y nunca más en la vida vuelva a tener una

modificación.

En la mayoría de los casos el gobierno se hace dependiente de un solo proveedor.

SOFTWARE LIBRE

VENTAJAS

Ahorros multimillonarios en la adquisición de licencias.

Combate efectivo a la copia ilícita de software.

Eliminación de barreras presupuestales.

Beneficio social para el país.

Beneficio tecnológico para el país.



Muchos colaboradores de primera línea dispuestos a ayudar.

Tiempos de desarrollo sobre algo que no exista son menores por la amplia disponibilidad de

herramientas y librerías.

Las aplicaciones son fácilmente auditadas antes de ser usadas en procesos de misión crítica,

además del hecho de que las más populares se encuentran muy depuradas.

Tiende a ser muy eficiente (por que mucha gente lo optimiza, mejora).

Tiende a ser muy diverso: la gente que contribuye tiene muchas necesidades diferentes y esto

hace que el software esté adaptado a una cantidad más grande de problemas.

DESVENTAJAS

La curva de aprendizaje es mayor.

El software libre no tiene garantía proveniente del autor.

Se necesita dedicar recursos a la reparación de erratas.

No existiría una compañía única que respaldará toda la tecnología.

Las interfaces amigables con el usuario (GUI) y la multimedia apenas se están estabilizando.

El usuario debe tener nociones de programación, ya que la administración del sistema recae

mucho en la automatización de tareas y esto se logra utilizando, en muchas ocasiones,

lenguajes de guiones (perl, python, shell, etc).

La diversidad de distribuciones, métodos de empaquetamiento, licencias de uso, herramientas

con un mismo fin, etc., pueden crear confusión en cierto número de personas.



12. Sistemas de seguridad en WLAN.

La revolución WiFi en todo el mundo significa poder conectarse en cualquier sitio dentro de

una gran ciudad, donde suele haber redes sin cables en hogares y oficinas. Pero resulta triste

comprobar que detrás de tanta generosidad no hay altruismo sino dificultades tecnológicas.

Los propietarios de las conexiones no las cierran porque es demasiado complicado.

¿Abierto o cerrado?

Las redes WiFi pueden ser abiertas o cerradas. En una red abierta, cualquier ordenador

cercano al punto de acceso puede conectarse a Internet a través de él, siempre que tenga una

tarjeta WiFi incorporada, claro. En la red cerrada el ordenador detectará una red inalámbrica

cercana disponible, pero para acceder habrá que introducir la contraseña. Es lo que suele

ocurrir en los aeropuertos y algunos hoteles, donde la contraseña se obtiene previo pago.

Hasta hace poco se empleaba un sistema de cifrado llamado WEP (Wired Equivalent Privacy)

para proteger las redes WiFi. Las transmisiones se cifran con una clave de 128 bits, y sólo los

usuarios con contraseña pueden conectarse al punto de acceso. La mayoría de las tarjetas y

puntos de acceso WiFi son compatibles con WEP, pero este sistema está desconectado por

defecto. Los usuarios por lo general no se molestan en activarlo, y la red queda abierta. Si el

vecino de al lado utiliza de vez en cuando la conexión de Internet quizá no sea demasiado

grave, pero cuando accede a información confidencial de la empresa o a fotos comprometidas

de las vacaciones la cosa es más seria.

Hoy se utiliza un sistema de seguridad llamado WPA, que son las siglas de WiFi Protected

Access. Este sistema está incluido en Windows XP con Service Pack 1, es más seguro que WEP y

mucho más fácil de utilizar.

REDES CERRADAS



La mayoría de los puntos de acceso o routers sin cable funcionan nada más conectarlos, o

vienen configurados por el operador. Pero si se quiere modificar algo, como la seguridad,

conviene conocer algunos de los parámetros de la conexión:

• El identificador SSID: es el nombre de la red WiFi que crea el punto de acceso. Por

defecto suele ser el nombre del fabricante ("3Com" o "Linksys"), pero se puede

cambiar y poner "PerezWiFi", por ejemplo.

• El canal: por lo general se usa el canal 6, pero si el vecino también tiene un punto de

acceso en este canal habrá que cambiarlo para evitar interferencias. Puede ser un

número entre 1 y 11.

• La clave WEP: si se utiliza WEP para cerrar la red WiFi, hay que indicar la contraseña

que tendrá que introducirse en los ordenadores que se quieran conectar.

• La clave compartida WPA: Como en el caso anterior, si se emplea seguridad WPA hay

que seleccionar una clave de acceso para poder conectarse a la red WiFi.

• Cifrado de 128 bits: En WEP y WPA las comunicaciones se transmiten cifradas para

protegerlas. Esto quiere decir que los números y letras se cambian por otros mediante

un factor. Sólo con la clave adecuada se puede recuperar la información. Cuanto más

grande sea el factor de cifrado (más bits), tanto más difícil resulta romper la clave.

La seguridad con WEP tiene algunos defectos. Las claves puede que no funcionen bien si se

utilizan tarjetas y puntos de acceso de distintos fabricantes, por ejemplo. Con WPA esto queda

solucionado con una clave o secreto compartido que puede tener entre 8 y 63 caracteres de

largo.

Lo que hace a WPA más seguro es que la clave se cambia automáticamente cada cierto

tiempo, y se actualiza en todos los equipos conectados. Hay un sistema que se encarga de

distribuir las nuevas claves de forma segura llamado TKIP.

SEGURIDAD Y FIABILIDAD

Uno de los problemas a los cuales se enfrenta actualmente la tecnología Wi-Fi es la progresiva

saturación del espectro radioeléctrico, debido a la masificación de usuarios, esto afecta

especialmente en las conexiones de larga distancia (mayor de 100 metros). En realidad Wi-Fi

está diseñado para conectar ordenadores a la red a distancias reducidas, cualquier uso de

mayor alcance está expuesto a un excesivo riesgo de interferencias.

Un muy elevado porcentaje de redes son instalados sin tener en consideración

la seguridad convirtiendo así sus redes en redes abiertas (o completamente vulnerables a los

hackers), sin proteger la información que por ellas circulan.

Existen varias alternativas para garantizar la seguridad de estas redes. Las más comunes son la

utilización de protocolos de cifrado de datos para los estándares Wi-Fi como el WEP, el WPA, o

el WPA2 que se encargan de codificar la información transmitida para proteger su

confidencialidad, proporcionados por los propios dispositivos inalámbricos. La mayoría de las

formas son las siguientes:



� WEP, cifra los datos en su red de forma que sólo el destinatario deseado pueda acceder a

ellos. Los cifrados de 64 y 128 bits son dos niveles de seguridad WEP. WEP codifica los

datos mediante una “clave” de cifrado antes de enviarlo al aire. Este tipo de cifrado no

está muy recomendado, debido a las grandes vulnerabilidades que presenta, ya que

cualquier cracker puede conseguir sacar la clave.

� WPA: presenta mejoras como generación dinámica de la clave de acceso. Las claves se

insertan como de dígitos alfanuméricos, sin restricción de longitud

� IPSEC (túneles IP) en el caso de las VPN y el conjunto de estándares IEEE 802.1X, que

permite la autenticación y autorización de usuarios.

� Filtrado de MAC, de manera que sólo se permite acceso a la red a aquellos dispositivos

autorizados. Es lo más recomendable si solo se va a usar con los mismos equipos, y si son

pocos.

� Ocultación del punto de acceso: se puede ocultar el punto de acceso (Router) de manera

que sea invisible a otros usuarios.

� El protocolo de seguridad llamado WPA2 (estándar 802.11i), que es una mejora relativa

a WPA. En principio es el protocolo de seguridad más seguro para Wi-Fi en este momento.

Sin embargo requieren hardware y software compatibles, ya que los antiguos no lo son.

Sin embargo, no existe ninguna alternativa totalmente fiable, ya que todas ellas son

susceptibles de ser vulneradas.

* Recomendaciones de seguridad en WLAN.

Para finalizar esta serie de notas sobre la seguridad para redes WIFI, entregamos algunos

consejos finales para mejorar la seguridad.

- Instale el router en el ambiente más alejado de la calle y las ventanas. Muchos routers

permiten controlar la intensidad de la señal, por esto, disminuya la intensidad para restringir la

propagación fuera del edificio.

- Cambie la contraseña por default del router inalambrico: en general, el nombre de usuario es

admin y la contraseña también es admin.

- Cambie el SSID por default del router inalambrico y deshabilite el broadcast del SSID. Si es

posible, no hay que permitir acceder a la red local a través de la red inalámbrica sino

solamente a través de la red cableada conectada a uno de los puertos LAN del router.

- Utilice WPA, en caso de que no estar disponible utilice WEP con una contraseña de 128 bits,

si es posible.

- Instale actualizaciones de firmware cuando esten disponibles por el fabricante.

- Desconecte el router o deshabilite la red inalámbrica cuando no la utilice.



- Tenga siempre en mente la seguridad de todo el sistema instalando un firewall, actualizando

el antivirus, el sistema operativo y los programas.

� Establecer y hacer cumplir las políticas de fuerte autenticación para los dispositivos que

intentan acceder a redes corporativas.

� Establecer el uso obligatorio de una VPN corporativa y el cifrado cuando se hacen conexiones e

intercambio de datos. Mejor aún, instalar computadoras y otros dispositivos móviles para que

se conecten automáticamente a los datos cifrados de la VPN , de esta forma se pueden

determinar sí el dispositivo no ha sido extraviado o robado.

� Cerciorarse de que todos los dispositivos y aplicaciones de software están configurados

correctamente y tienen los últimos parches.

� Asegurarse que las políticas de seguridad corporativa prohíban a las personas la transferencia

de datos sensibles a dispositivos móviles o equipos no autorizados.

� Proporcionar a los trabajadores tarjetas de acceso a la banda ancha que requieren un plan de

servicio, para que los empleados no tengan que usar los puntos de acceso públicos para

conexiones inalámbricas.



13. Recomendaciones de seguridad en

WLAN. Recomendaciones de seguridad en WLAN.

Para finalizar esta serie de notas sobre la seguridad para redes WIFI, entregamos algunos

consejos finales para mejorar la seguridad.

- Instale el router en el ambiente más alejado de la calle y las ventanas. Muchos routers

permiten controlar la intensidad de la señal, por esto, disminuya la intensidad para restringir la

propagación fuera del edificio.

- Cambie la contraseña por default del router inalambrico: en general, el nombre de usuario es

admin y la contraseña también es admin.

- Cambie el SSID por default del router inalambrico y deshabilite el broadcast del SSID. Si es

posible, no hay que permitir acceder a la red local a través de la red inalámbrica sino

solamente a través de la red cableada conectada a uno de los puertos LAN del router.

- Utilice WPA, en caso de que no estar disponible utilice WEP con una contraseña de 128 bits,

si es posible.

- Instale actualizaciones de firmware cuando esten disponibles por el fabricante.

- Desconecte el router o deshabilite la red inalámbrica cuando no la utilice.

- Tenga siempre en mente la seguridad de todo el sistema instalando un firewall, actualizando

el antivirus, el sistema operativo y los programas.

� Establecer y hacer cumplir las políticas de fuerte autenticación para los dispositivos que

intentan acceder a redes corporativas.

� Establecer el uso obligatorio de una VPN corporativa y el cifrado cuando se hacen conexiones e

intercambio de datos. Mejor aún, instalar computadoras y otros dispositivos móviles para que

se conecten automáticamente a los datos cifrados de la VPN, de esta forma se pueden

determinar sí el dispositivo no ha sido extraviado o robado.

� Cerciorarse de que todos los dispositivos y aplicaciones de software están configurados

correctamente y tienen los últimos parches.

� Asegurarse que las políticas de seguridad corporativa prohíban a las personas la transferencia

de datos sensibles a dispositivos móviles o equipos no autorizados.



� Proporcionar a los trabajadores tarjetas de acceso a la banda ancha que requieren un plan de

servicio, para que los empleados no tengan que usar los puntos de acceso públicos para

conexiones inalámbricas.

Documents

Cuaderno electrónico SAD UD2 · qwertyuiopasdfghjklzxcvbnmqwerty uiopasdfghjklzxcvbnmqwertyuiopasd fghjklzxcvbnmqwertyuiopasdfghjklzx cvbnmqwertyuiopasdfghjklzxcvbnmq wertyuiopasdfghjklzxcvbnmqwertyui