Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
qwertyuiopasdfghjklzxcvbnmqwerty
uiopasdfghjklzxcvbnmqwertyuiopasd
fghjklzxcvbnmqwertyuiopasdfghjklzx
cvbnmqwertyuiopasdfghjklzxcvbnmq
wertyuiopasdfghjklzxcvbnmqwertyui
opasdfghjklzxcvbnmqwertyuiopasdfg
hjklzxcvbnmqwertyuiopasdfghjklzxc
vbnmqwertyuiopasdfghjklzxcvbnmq
wertyuiopasdfghjklzxcvbnmqwertyui
opasdfghjklzxcvbnmqwertyuiopasdfg
hjklzxcvbnmqwertyuiopasdfghjklzxc
vbnmqwertyuiopasdfghjklzxcvbnmq
wertyuiopasdfghjklzxcvbnmqwertyui
opasdfghjklzxcvbnmqwertyuiopasdfg
hjklzxcvbnmrtyuiopasdfghjklzxcvbn
mqwertyuiopasdfghjklzxcvbnmqwert
yuiopasdfghjklzxcvbnmqwertyuiopas
dfghjklzxcvbnmqwertyuiopasdfghjklz
Cuaderno electrónico SAD UD2
UD2 Implantación de mecanismos de
seguridad activa
29/11/2011
Ramón Ballesteros Jiménez
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 2
Indice:
1. Clasificación de los ataques en sistemas personales. .................................. 4
2. Anatomía de ataques. .................................................................... 9
3. Análisis del software malicioso o malware ............................................. 11
Malware ................................................................................... 11
Un poco de Historia: el Malware .......................................................... 11
El Gran Cambio ........................................................................... 13
Virus ......................................................................................... 14
Gusano ....................................................................................... 14
Troyanos ..................................................................................... 14
Stealer....................................................................................... 15
Infostealer ................................................................................ 15
Crimeware ................................................................................... 15
Grayware .................................................................................... 15
Métodos de infección Malware ............................................................. 16
Explotación de vulnerabilidades ............................................................ 16
Ingeniería Social ............................................................................ 17
Propagación de malware a través de dispositivos USB ................................ 17
¿Qué son las cookies? ...................................................................... 20
¿Cómo sé si un sitio tiene cookies maliciosas? ......................................... 20
¿Cómo configuro mi navegador para gestionar cookies? ............................... 20
Leyendas Urbanas de las cookies ..................................................... 20
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 3
4. Herramientas paliativas. Instalación y configuración. ................................ 21
5. Herramientas preventivas. Instalación y configuración. .............................. 23
5.2. Seguridad del BIOS y del gestor de arranque ..................................... 24
5.2.1. Contraseñas del BIOS ........................................................... 24
5.2.2. Contraseñas del gestor de arranque ............................................ 25
5.2.2.1. Protegiendo GRUB con contraseñas ........................................ 25
Definición de Directivas o Políticas de Grupos ............................................ 28
4. Política de Usuarios ................................................................... 29
6. Técnicas de Cifrado: .................................................................... 32
7. Identificación Digital: ................................................................... 34
-Firma Electrónica y Firma Digital. .................................................. 34
-Certificado Digital, Autoridad certificadora (CA). ................................ 34
- Documento Nacional de Identidad Electrónico (DNIe) ........................... 35
- Buenas prácticas en el uso del certificado digital y DNIe. ...................... 36
8. Amenazas y ataques en redes corporativas: .......................................... 38
9. Riesgos potenciales en los servicios de red. ........................................... 41
10. Monitorización del tráfico en redes: Herramientas. ................................ 46
11. Intentos de penetración. .............................................................. 48
12. Sistemas de seguridad en WLAN. .................................................... 57
13. Recomendaciones de seguridad en WLAN. ........................................... 61
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 4
1. Clasificación de los ataques en
sistemas personales.
Digamos que se entiende por amenaza una condición del entorno del sistema de información
(persona, máquina, suceso o idea) que, dada una oportunidad, podría dar lugar a que se
produjese una violación de la seguridad (confidencialidad, integridad, disponibilidad o uso
legítimo).
La política de seguridad y el análisis de riesgos habrán identificado las amenazas que han de
ser contrarrestadas, dependiendo del diseñador del sistema de seguridad especificar los
servicios y mecanismos de seguridad necesarios.
Las amenazas a la seguridad en una red pueden caracterizarse modelando el sistema como un
flujo de información desde una fuente, como por ejemplo un fichero o una región de la
memoria principal, a un destino, como por ejemplo otro fichero o un usuario.
Un ataque no es más que la realización de una amenaza. Las cuatro categorías generales de
amenazas o ataques son las siguientes:
1. Interrupción: un recurso del sistema es destruido o se vuelve no disponible. Este es un
ataque contra la disponibilidad. Ejemplos de este ataque son la destrucción de un
elemento hardware, como un disco duro, cortar una línea de comunicación o
deshabilitar el sistema de gestión de ficheros.
2. Intercepción: una entidad no autorizada consigue acceso a un recurso. Este es un
ataque contra la confidencialidad. La entidad no autorizada podría ser una persona, un
programa o un ordenador. Ejemplos de este ataque son pinchar una línea para hacerse
con datos que circulen por la red y la copia ilícita de ficheros o programas
(intercepción de datos), o bien la lectura de las cabeceras de paquetes para desvelar la
identidad de uno o más de los usuarios implicados en la comunicación observada
ilegalmente (intercepción de identidad).
3. Modificación: una entidad no autorizada no sólo consigue acceder a un recurso, sino
que es capaz de manipularlo. Este es un ataque contra la integridad. Ejemplos de este
ataque son el cambio de valores en un archivo de datos, alterar un programa para que
funcione de forma diferente y modificar el contenido de mensajes que están siendo
transferidos por la red.
4. Fabricación: una entidad no autorizada inserta objetos falsificados en el sistema. Este
es un ataque contra la autenticidad. Ejemplos de este ataque son la inserción de
mensajes espurios en una red o añadir registros a un archivo. Estos ataques se pueden
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 5
asimismo clasificar de forma útil en términos de ataques pasivos y ataques activos.
Ataques pasivos
En los ataques pasivos el atacante no altera la comunicación, sino que únicamente la escucha o
monitoriza, para obtener información que está siendo transmitida.
Sus objetivos son la intercepción de datos y el análisis de tráfico, una técnica más sutil para
obtener información de la comunicación, que puede consistir en:
Obtención del origen y destinatario de la comunicación, leyendo las cabeceras de los paquetes
monitorizados.
Control del volumen de tráfico intercambiado entre las entidades monitorizadas, obteniendo
así información acerca de actividad o inactividad inusuales.
Control de las horas habituales de intercambio de datos entre las entidades de la
comunicación, para extraer información acerca de los períodos de actividad.
Los ataques pasivos son muy difíciles de detectar, ya que no provocan ninguna alteración de
los datos.
Sin embargo, es posible evitar su éxito mediante el cifrado de la información y otros
mecanismos que se verán más adelante.
Ataques activos
Estos ataques implican algún tipo de modificación del flujo de datos transmitido o la creación
de un falso flujo de datos, pudiendo subdividirse en cuatro categorías:
a. Suplantación de identidad: el intruso se hace pasar por una entidad diferente.
Normalmente incluye alguna de las otras formas de ataque activo. Por ejemplo,
secuencias de autenticación pueden ser capturadas y repetidas, permitiendo a una
entidad no autorizada acceder a una serie de recursos privilegiados suplantando a la
entidad que posee esos privilegios, como al robar la contraseña de acceso a una
cuenta.
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 6
b. Repetición: uno o varios mensajes legítimos son capturados y repetidos para producir
un efecto no deseado, como por ejemplo ingresar dinero repetidas veces en una
cuenta dada.
c. Modificación de mensajes: una porción del mensaje legítimo es alterada, o los
mensajes son retardados o reordenados, para producir un efecto no autorizado. Por
ejemplo, el mensaje "Ingresa un millón de pesos en la cuenta A" podría ser modificado
para decir "Ingresa un millón de pesos en la cuenta B".
d. Interrupción: o degradación fraudulenta del servicio, impide o inhibe el uso normal o
la gestión de recursos informáticos y de comunicaciones. Por ejemplo, el intruso
podría suprimir todos los mensajes dirigidos a una determinada entidad o se podría
interrumpir el servicio de una red inundándola con mensajes espurios. Entre estos
ataques se encuentran los de denegación de servicio, consistentes en paralizar
temporalmente el servicio de un servidor de correo, Web, FTP, etc.
• Anatomía de ataques:
Anatomía de un ataque informático
Conocer las diferentes etapas que conforman un ataque informático brinda la ventaja de
aprender a pensar como los atacantes y a jamás subestimar su mentalidad. Desde la
perspectiva del profesional de seguridad, se debe aprovechar esas habilidades para
comprender y analizar la forma en que los atacantes llevan a cabo un ataque.
La siguiente imagen muestra las cinco etapas por las cuales suele pasar un ataque informático
al momento de ser ejecutado:
• Fase 1: Reconnaissance (Reconocimiento). Esta etapa involucra la obtención de
información (Information Gathering) con respecto a una potencial víctima que puede
ser una persona u organización, utilizando diferentes recursos.
Generalmente se recurre a diferentes recursos de Internet como búsquedas avanzadas
a través de Google y otros buscadores para recolectar datos del objetivo. Algunas de
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 7
las técnicas utilizadas en este primer paso son: diferentes estrategias de Ingeniería
social como el Dumpster diving (buscar información del objetivo en la basura), el
sniffing (interceptar información).
• Fase 2: Scanning (Exploración). En esta segunda etapa se utiliza la información
obtenida en la fase 1 para sondear el blanco y tratar de obtener información sobre el
sistema víctima como direcciones IP, nombres de host, datos de autenticación, entre
otros.
Entre las herramientas que un atacante puede emplear durante esta fase se
encuentran:
o Network mappers
o Port mappers
o Network scanners
o Port scanners
o Vulnerability scanners
• Fase 3: Gaining Access (Obtener acceso). En esta instancia comienza a materializarse
el ataque a través de la explotación de las vulnerabilidades y defectos del sistema
(Flaw exploitation) descubiertos durante las fases de reconocimiento y exploración.
Algunas de las técnicas que el atacante puede utilizar son:
o Buffer Overflow
o Denial of Service (DoS)
o Distributed Denial of Service (DDos)
o Password filtering
o Session hijacking
• Fase 4: Maintaining Access (Mantener el acceso). Una vez que el atacante ha
conseguido acceder al sistema, buscará implantar herramientas que le permitan volver
a acceder en el futuro desde cualquier lugar donde tenga acceso a Internet.
Para ello, suelen recurrir a recursos como:
o Backdoors
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 8
o Rootkits
o Troyanos
• Fase 5: Covering Tracks (Borrar huellas). Una vez que el atacante logró obtener y
mantener el acceso al sistema, intentará borrar todas las huellas que fue dejando
durante la intrusión para evitar ser detectado por el profesional de seguridad o los
administradores de la red. En consecuencia, buscará eliminar los archivos de registro
(log) o alarmas del Sistema de Detección de Intrusos (IDS).
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 9
2. Anatomía de ataques.
Uno de los recursos más importantes, para sobrellevar los desafíos en la seguridad de la
información, es el conocimiento práctico de las técnicas de hacking.
Si se limita a seguir listas de comprobación de seguridad así como las buenas prácticas se logra
tener la seguridad más básica.
Se requiere que el personal tenga una buena formación para que sea capaz de responder ante
una situación valorando el posible riesgo.
Las técnicas de hacking brindan una mejor comprensión del riesgo. Un ejemplo es si un
administrador detecta comportamientos extraños en un equipo y revisando los archivos de
registro (logs) observa que alguien ha realizado conexiones al sitio 132.168.1.67:80 a las 3:00
de la madrugada podría pensar que es solamente una página web, sin embargo, se podría
estar utilizando la herramienta netcat para enviar una Shell y posiblemente el puerto 80 sólo
sea para atravesar tranquilamente el cortafuegos.
Al hablar de la seguridad en la información es importante definir muy bien el riesgo. Puede
variar de acuerdo con el valor, las amenazas, vulnerabilidades y las medidas utilizadas para
prevenirlo. Si no se comprenden adecuadamente las amenazas y vulnerabilidades no se podrá
medir el riesgo.
El riesgo va a influir directamente en la inversión en seguridad informática. Se debe cambiar la
perspectiva de la seguridad informática como un gasto más, y verla como una inversión.
LAS 5 FASES DE LA ANATOMIA DE UN ATAQUE
Fase 1 – Reconocimiento (Reconnaissance)
El reconocimiento se refiere a la fase preparatoria donde el atacante obtiene toda la
información necesaria de su objetivo o victima antes de lanzar el ataque. Esta fase también
puede incluir el escaneo de la red que el Hacker quiere atacar no importa si el ataque va a ser
interno o externo. Esta fase le permite al atacante crear una estrategia para su ataque.
Esta fase puede incluir la Ingeniería Social, buscar en la basura (Dumpster diving), buscar que
tipo de sistema operativo y aplicaciones usa el objetivo o víctima, cuales son los puertos que
están abiertos, donde están localizados los routers (enrutadores), cuales son los host
(terminales, computadoras) más accesibles, buscar en las bases de datos del Internet (Whois)
información como direcciones de Internet (IP), nombres de dominios, información de
contacto, servidores de email y toda la información que se pueda extraer de los DNS (Domain
Name Server).
Esta fase le puede tomar bastante tiempo al Hacker ya que tiene que analizar toda la
información que ha obtenido para lanzar el ataque con mayor precisión.
Fase 2 – Escaneo (Scanning)
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 10
Esta es la fase que el atacante realiza antes de la lanzar un ataque a la red (network). En el
escaneo el atacante utiliza toda la información que obtuvo en la Fase del Reconocimiento
(Fase 1) para identificar vulnerabilidades específicas. Por ejemplo, si en la Fase 1 el atacante
descubrió que su objetivo o su víctima usa el sistema operativo Windows XP entonces el
buscara vulnerabilidades especificas que tenga ese sistema operativo para saber por dónde
atacarlo.
También hace un escaneo de puertos para ver cuáles son los puertos abiertos para saber por
cual puerto va entrar y usa herramientas automatizadas para escanear la red y los host en
busca de mas vulnerabilidades que le permitan el acceso al sistema.
Fase 3 – Ganar Acceso (Gaining Access)
Esta es una de las fases más importantes para el Hacker porque es la fase de penetración al
sistema, en esta fase el Hacker explota las vulnerabilidades que encontró en la fase 2. La
explotación puede ocurrir localmente, offline (sin estar conectado), sobre el LAN (Local Area
Network), o sobre el Internet y puede incluir técnicas como buffer overflows (desbordamiento
del buffer), denial-of-service (negación de servicios), sesión hijacking (secuestro de sesión), y
password cracking (romper o adivinar claves usando varios métodos como: diccionary atack y
brute forcé atack).
Los factores que ayudan al Hacker en esta fase a tener una penetración exitosa al sistema
dependen de cómo es la arquitectura del sistema y de cómo está configurado el sistema
objetivo o víctima, una configuración de seguridad simple significa un acceso más fácil al
sistema, otro factor a tener en cuenta es el nivel de destrezas, habilidades y conocimientos
sobre seguridad informática y redes que tenga el Hacker y el nivel de acceso que obtuvo al
principio de la penetración (Fase 3).
Fase 4 – Mantener el Acceso (Maintaining Access)
Una vez el Hacker gana acceso al sistema objetivo (Fase3) su prioridad es mantener el acceso
que gano en el sistema. En esta fase el Hacker usa sus recursos y recursos del sistema y usa el
sistema objetivo como plataforma de lanzamiento de ataques para escanear y explotar a otros
sistemas que quiere atacar, también usa programas llamados sniffers para capturar todo el
trafico de la red, incluyendo sesiones de telnet y FTP (File Transfer Protocol).
En esta fase el Hacker puede tener la habilidad de subir, bajar y alterar programas y data.
Fase 5 – Cubrir las huellas (Covering Tracks)
En esta fase es donde el Hacker trata de destruir toda la evidencia de sus actividades ilícitas y
lo hace por varias razones entre ellas seguir manteniendo el acceso al sistema comprometido
ya que si borra sus huellas los administradores de redes no tendrán pistas claras del atacante y
el Hacker podrá seguir penetrando el sistema cuando quiera, además borrando sus huellas
evita ser detectado y ser atrapado por la policía o los Federales.
Las herramientas y técnicas que usa para esto son caballos de Troya, Steganography,
Tunneling, Rootkits y la alteración de los “log files” (Archivos donde se almacenan todos los
eventos ocurridos en un sistema informático y permite obtener información detallada sobre
los hábitos de los usuarios), una vez que el Hacker logra plantar caballos de Troya en el sistema
este asume que tiene control total del sistema.
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 11
3. Análisis del software malicioso o
malware
Malware (del inglés malicious software, también llamado badware, software malicioso o
software malintencionado) es un software que tiene como objetivo infiltrarse en el sistema y
dañar la computadora sin el conocimiento de su dueño, con finalidades muy diversas, ya que
en esta categoría encontramos desde un troyano a un spyware.
Esta expresión es un término general muy utilizado por profesionales de la computación para
definir una variedad de software o programas de códigos hostiles e intrusivos. Muchos
usuarios de computadores no están aún familiarizados con este término y otros incluso nunca
lo han utilizado. Sin embargo la expresión “virus informático” es más utilizada en el lenguaje
cotidiano y a menudo en los medios de comunicación para describir todos los tipos de
malware. Se debe considerar que el ataque a la vulnerabilidad por malware, puede ser a una
aplicación, una computadora, un sistema operativo o una red.
Siguiendo algunos sencillos consejos se puede aumentar considerablemente la seguridad de
una computadora, algunos son:
Protección a través del número de cliente y la del generador de claves dinámicas
• Tener el sistema operativo y el navegador web actualizados.
• Tener instalado un antivirus y un firewall y configurarlos para que se actualicen
automáticamente de forma regular ya que cada día aparecen nuevas amenazas.
• Utilizar una cuenta de usuario con privilegios limitados, la cuenta de administrador
solo debe utilizarse cuándo sea necesario cambiar la configuración o instalar un nuevo
software.
• Tener precaución al ejecutar software procedente de Internet o de medios extraíbles
como CD o memorias USB. Es importante asegurarse de que proceden de algún sitio
de confianza.
• Evitar descargar software de redes P2P, ya que realmente no se sabe su contenido ni
su procedencia.
• Desactivar la interpretación de Visual Basic Script y permitir JavaScript, ActiveX y
cookies sólo en páginas web de confianza.
• Utilizar contraseñas de alta seguridad para evitar ataques de diccionario.
Un poco de Historia: el Malware
Fue en 1949 cuando Von Neumann estableció la idea de programa almacenado y expuso La
Teoría y Organización de Autómatas Complejos, donde presentaba por primera vez la
posibilidad de desarrollar pequeños programas replicantes y capaces de tomar el control de
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 12
otros programas de similar estructura. Si bien el concepto tiene miles de aplicaciones en la
ciencia, es fácil apreciar una aplicación negativa de la teoría expuesta por Von Neumann: los
virus informáticos, programas que se reproducen a sí mismos el mayor número de veces
posible y aumentan su población de forma exponencial.
En 1959, en los laboratorios de Bell Computer, tres jóvenes programadores: Robert Thomas
Morris, Douglas Mcllroy y Victor Vysottsky crean un juego denominado CoreWar basado en la
teoría de Von Neumann y en el que el objetivo es que programas combatan entre sí tratando
de ocupar toda la memoria de la máquina eliminando así a los oponentes. Este juego es
considerado el precursor de los virus informáticos.
Fue en 1972 cuando Robert Thomas Morris creó el que es considerado cómo el primer virus
propiamente dicho: el Creeper era capaz de infectar máquinas IBM 360 de la red ARPANET (la
precedente de Internet) y emitía un mensaje en pantalla que decía “Soy una enredadera
(creeper), atrápame si puedes”. Para eliminarlo, se creó otro virus llamado Reaper (segadora)
que estaba programado para buscarlo y eliminarlo. Este es el origen de los actuales antivirus.
En la década de los 80 los PC ganaban popularidad y cada vez más gente entendía la
informática y experimentaba con sus propios programas. Esto dio lugar a los primeros
desarrolladores de programas dañinos y en 1981, Richard Skrenta escribe el primer virus de
amplia reproducción: Elk Cloner, que contaba el número de veces que arrancaba el equipo y al
llegar a 50 mostraba un poema.
En 1984, Frederick B. Cohen acuña por primera vez el término virus informático en uno de sus
estudios definiéndolo como “Programa que puede infectar a otros programas incluyendo una
copia posiblemente evolucionada de sí mismo”.
En 1987 hace su aparición el virus Jerusalem o Viernes 13, que era capaz de infectar archivos
.EXE y .COM. Su primera aparición fue reportada desde la Universidad Hebrea de Jerusalem y
ha llegado a ser uno de los virus más famosos de la historia.
En 1999 surge el gusano Happy desarrollado por el francés Spanska que crea una nueva
corriente en cuanto al desarrollo de malware que persiste hasta el día de hoy: el envío de
gusanos por correo electrónico. Este gusano estaba encaminado y programado para
propagarse a través del correo electrónico.
En el año 2000 hubo una infección que tuvo muchísima repercusión mediática debido a los
daños ocasionados por la infección tan masiva que produjo. Fuel el gusano I Love You o
LoveLetter, que, basándose en técnicas de ingeniería social infectaba a los usuarios a través del
correo electrónico. Comenzaba aquí la época de grandes epidemias masivas que tuvieron su
punto álgido en el 2004.
Fue en ese año cuando aparecieron gusanos como el Mydoom, el Netsky, el Sasser, o el Bagle,
que alarmaron a toda la sociedad y lo que buscaban era tener la mayor repercusión y
reconocimiento posible. Ese fue el año más duro de este tipo epidemias y curiosamente el
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 13
último. Los creadores de malware se dieron cuenta de que sus conocimientos servirían para
algo más que para tener repercusión mediática… para ganar dinero.
El Gran Cambio
Fue en 2005 cuando, tras 5 años de tendencia sostenida en la que los virus tal y como los
conocíamos fueron dejando su lugar a gusanos y troyanos encargados de formar redes de bots
para obtener dinero, cuando vieron que el entretenimiento que podía suponer la creación de
malware se podía convertir en un negocio muy rentable.
Quizá la mejor prueba de ello sean los denominados Troyanos Bancarios de los que existen
miles de variantes dado que los creadores, para dificultar su detección modificaban
permanente el código de los mismos.
Este tipo de malware actualmente se distribuye mediante exploits, spam o a través de otro
malware que descarga el troyano bancario. Este último tipo de troyano es el encargado de
robar información relacionada con las transacciones comerciales y/o datos bancarios del
usuario infectado.
Otra amenaza latente relacionada con la obtención de beneficios económicos a través del
malware es el spyware y adware, donde algunas empresas de software permiten al usuario
utilizar sus aplicaciones a cambio de que los creadores puedan realizar un monitoreo de las
actividades del usuario sin su consentimiento.
En cuanto a las amenazas para móviles, no cabe duda de que la llegada de las tecnologías,
móviles e inalámbricas, y su constante evolución han revolucionado en los últimos años la
forma en la que nos comunicamos y trabajamos. Sin embargo, la expansión del uso de esta
tecnología ha hecho que también se convierta en un vector de ataque importante para la
industria del malware.
Fue durante el año 2004 cuando se informó de la existencia del primer código malicioso para
plataformas móviles: Cabir.A siendo, junto al ComWar.A, los mas conocidos, este último no
solo por su capacidad de replicarse a través de Bluetooth sino también a través de mensajes de
texto con imágenes y sonido (MMS), enviándose a las direcciones y números de la agenda de
sus víctimas. Actualmente existe malware para las plataformas más comunes, como pueden
ser Symbian, PocketPC, Palm, etc, siendo el método de propagación tan diverso como las
posibilidades que nos ofrecen estos avances tecnológicos: SMS, MMS, IrDA, Bluetooth, etc.
A día de hoy la plataforma más atacada es Windows sobre procesadores de 32 bits. Como
hemos mencionado anteriormente, los creadores de malware han visto en esta actividad un
método de enriquecimiento y pensando en términos económicos y estableciendo el target
más amplio posible, los usuarios de plataforma Windows representan el 90% del mercado.
Quizás otro obstáculo con el que chocan los creadores de malware para Linux y Macintosh
tiene que ver con la capacitación media/alta de los usuarios de este tipo de plataformas, por lo
que la Ingeniería Social, principal método de propagación en la actualidad, no resulta tan
eficiente con estos usuarios.
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 14
Virus es una secuencia de código que se inserta en un fichero ejecutable (denominado
huésped), de forma que cuando el archivo se ejecuta, el virus también lo hace, insertándose a
sí mismo en otros programas.
Algunas acciones que puede realizar un virus son:
- Mostrar en la pantalla mensajes o imágenes humorísticas, generalmente molestas.
- Ralentizar o bloquear el ordenador.
- Destruir la información almacenada en el disco, en algunos casos vital para el sistema,
que impedirá el funcionamiento del equipo.
- Reducir el espacio en el disco.
- Molestar al usuario cerrando ventanas, moviendo el ratón.
Gusano (también llamados IWorm por su apocope en inglés, I de Internet, Worm de gusano) es
un malware que tiene la propiedad de duplicarse a sí mismo. Los gusanos utilizan las partes
automáticas de un sistema operativo que generalmente son invisibles al usuario.
A diferencia de un virus, un gusano no precisa alterar los archivos de programas, sino que
reside en la memoria y se duplica a sí mismo. Los gusanos casi siempre causan problemas en la
red (aunque sea simplemente consumiendo ancho de banda), mientras que los virus siempre
infectan o corrompen los archivos de la computadora que atacan.
Es algo usual detectar la presencia de gusanos en un sistema cuando, debido a su incontrolada
replicación, los recursos del sistema se consumen hasta el punto de que las tareas ordinarias
del mismo son excesivamente lentas o simplemente no pueden ejecutarse.
Los gusanos se basan en una red de computadoras para enviar copias de sí mismos a otros
nodos (es decir, a otras terminales en la red) y son capaces de llevar esto a cabo sin
intervención del usuario propagándose, utilizando Internet, basándose en diversos métodos,
como SMTP, IRC, P2P entre otros.
Troyanos o caballos de Troya son instrucciones escondidas en un programa de forma que éste
parezca realizar las tareas que un usuario espera de él, pero que realmente ejecute funciones
ocultas (generalmente en detrimento de la seguridad) sin el conocimiento del usuario.
Evitar la infección de un troyano es difícil, algunas de las formas más comunes de infectarse
son:
- Descarga de programas de redes p2p y sitios web que no son de confianza.
- Páginas web que contienen contenido ejecutable (por ejemplo controles ActiveX o
aplicaciones Java).
- Exploits para aplicaciones no actualizadas (navegadores, reproductores multimedia,
clientes de mensajería instantánea).
- Ingeniería social (por ejemplo un cracker manda directamente el troyano a la víctima a
través de la mensajería instantánea).
- Archivos adjuntos en correos electrónicos y archivos enviados por mensajería
instantánea.
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 15
Stealer (en español "ladrón de información") es el nombre genérico de programas
informáticos maliciosos del tipo troyano, que se introducen a través de internet en un
ordenador con el propósito de obtener de forma fraudulenta información confidencial del
propietario, tal como su nombre de acceso a sitios web, contraseña o número de tarjeta de
crédito.
Infostealer puede afectar también al servicio de correo electrónico MSN Messenger, enviando
mensajes falsos e incluso introduciendo en ellos datos incluidos por los usuarios en sus
mensajes a través de dicho servicio.
Otro problema causado por stealer puede ser la desconexión involuntaria de un sitio web.
Estos programas pueden detectarse y eliminarse mediante software antivirus, aunque la mejor
forma de evitarlos consiste en no abrir documentos anexos a correos electrónicos enviados
por remitentes desconocidos o dudosos.
Crimeware es un tipo de software que ha sido específicamente diseñado para la ejecución de
delitos financieros en entornos en línea. El término fue creado por Peter Cassidy, Secretario
General del Anti-Phishing Working Group para diferenciarlo de otros tipos de software
malicioso.
El crimeware (que debe ser diferenciado del spyware, adware) ha sido diseñado, mediante
técnicas de ingeniería social u otras técnicas genéricas de fraude en línea, con el fin de
conseguir el robo de identidades para acceder a los datos de usuario de las cuentas en línea de
compañías de servicios financieros (típicamente clínicas) o compañías de venta por correo, con
el objetivo de obtener los fondos de dichas cuentas, o de completar transacciones no
autorizadas por su propietario legítimo, que enriquecerán al ladrón que controla el crimeware.
El crimeware puede, de forma subrepticia, instalar un keylogger con el objetivo de obtener los
datos (logins, passwords, etc.) que permitirán al ladrón, acceder a cuentas bancarias accesibles
a través de Internet.
Un software de tipo crimeware (generalmente un troyano) también podría conseguir redirigir
el navegador web utilizado por el usuario, a una réplica del sitio web original, estando éste
controlado por el ladrón. Esta redirección se podría dar incluso cuando el usuario teclee
correctamente la URL del sitio web al que deseaba acceder, ya que si el troyano ha
completado su trabajo, podría haber modificado el conjunto de direcciones DNS que asocian el
nombre de dominio introducido por el usuario, con su dirección IP original. Ahora la
información DNS contenida en la máquina infectada por el crimeware, indicará al navegador la
dirección IP del sitio replicado y controlado por el ladrón.
Grayware es un tipo de programa maligno que involucra aquellos programas que se
comportan de forma molesta o indeseada.
Los grayware abarcan otros tipos de malwares (programas malignos) como espías, adwares,
dialers, etc. Grayware no incluye virus o troyanos.
Suelen afectar el rendimiento de la computadora. También a menudo los grayware suelen
realizar acciones que son molestas para los usuarios, como ventanas pop-up con publicidad,
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 16
entre otras.
Posibles problemas que acarrean los graywares
* Reducción del rendimiento de la computadora.
* Incremento de los cuelgues en aplicaciones y errores fatales.
* Reducen la eficiencia del usuario.
* Degradan el ancho de banda de la red o de internet.
* Pueden producir pérdida de información.
* Pérdida de privacidad del usuario que emplea la computadora infectada.
Métodos de infección Malware
Entre los canales más usados por malware son:
• Internet. La red global es el origen principal de distribución de todos tipos de malware.
En general, los virus y otros programas maliciosos se colocan en unas páginas Web
populares pretendiéndose algún software útil y gratis. Muchos de los scripts que se
ejecutan automáticamente al abrir las páginas Web también pueden contener
programas maliciosos.
• Correo electrónico. Los emails en los buzones privados y las bases de correo pueden
contener virus. Los archivos adjuntos y el cuerpo de email pueden contener malware.
Los tipos principales de malware distribuido por correo electrónico son virus y
gusanos. Puede infectar su equipo cuando abre un email o guarda un archivo adjunto.
El correo electrónico es también un fuente de spam y phishing. Mientras spam es
generalmente una perdida de tiempo, phishing es un método de robar sus datos
confidenciales (el número de su tarjeta de crédito, p.e.).
• Vulnerabilidades de software. Explotación de vulnerabilidades de software instalado
en el sistema es el método preferido por los hackers. Las vulnerabilidades permiten a
un hacker establecer una conexión remota a su equipo, y consecuentemente a sus
datos, los datos de su red, etc.
• Todos tipos de unidades de almacenamiento portátiles. Discos externos, discos
compactos y disquetes, unidades flash. Al conectar una unidad portátil a su equipo o
iniciar algún archivo de allí, puede infectar su equipo con malware y empezar
distribuirlo involuntariamente.
Explotación de vulnerabilidades
Existen varios factores que hacen a un sistema más vulnerable al malware: homogeneidad,
errores de software, código sin confirmar, sobre-privilegios de usuario y sobre-privilegios de
código.
Una causa de la vulnerabilidad de redes, es la homogeneidad del software multiusuario. Por
ejemplo, cuando todos los ordenadores de una red funcionan con el mismo sistema operativo,
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 17
si se puede comprometer ese sistema, se podría afectar a cualquier ordenador que lo use. En
particular, Microsoft Windows16
tiene la mayoría del mercado de los sistemas operativos, esto
permite a los creadores de malware infectar una gran cantidad de computadoras sin tener que
adaptar el software malicioso a diferentes sistemas operativos.
La mayoría del software y de los sistemas operativos contienen bugs que pueden ser
aprovechados por el malware. Los ejemplos típicos son los desbordamiento de búfer (buffer
overflow), en los cuales la estructura diseñada para almacenar datos en un área determinada
de la memoria permite que sea ocupada por más datos de los que le caben, sobre escribiendo
otras partes de la memoria. Esto puede ser utilizado por el malware para forzar al sistema a
ejecutar su código malicioso.
Las memorias USB infectadas pueden dañar la computadora durante el arranque.
Originalmente las computadoras tenían que ser booteadas con un diskette, y hasta hace poco
tiempo era común que fuera el dispositivo de arranque por defecto. Esto significaba que un
diskette contaminado podía dañar la computadora durante el arranque, e igual se aplica a CD y
memorias USB. Aunque eso es menos común ahora, sigue siendo posible olvidarse de que el
equipo se inicia por defecto en un medio removible, y por seguridad normalmente no debería
haber ningún diskette, CD, etc, al encender la computadora. Para solucionar este problema de
seguridad basta con entrar en la BIOS del ordenador y cambiar el modo de arranque del
ordenador.
Ingeniería Social
En el campo de la seguridad informática, ingeniería social es la práctica de obtener
información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que
pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes
computacionales, para obtener información, acceso o privilegios en sistemas de información
que les permitan realizar algún acto que perjudique o exponga la persona u organismo
comprometido a riesgo o abusos.
El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el
eslabón débil". En la práctica, un ingeniero social usará comúnmente el teléfono o Internet
para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra
empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet o la web se usa,
adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o
memos falsos que solicitan respuestas e incluso las famosas "cadenas", llevando así a revelar
información sensible, o a violar las políticas de seguridad típicas. Con este método, los
ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera
predecible en ciertas situaciones, -por ejemplo proporcionando detalles financieros a un
aparente funcionario de un banco- en lugar de tener que encontrar agujeros de seguridad en
los sistemas informáticos.
Propagación de malware a través de dispositivos USB
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 18
Los códigos maliciosos que se propagan a través de dispositivos USB son cada vez más
comunes y todos tienen un funcionamiento similar.
La posibilidad de que el malware aproveche los avances tecnológicos para que a través de ellos
se obtengan nuevos canales y medios de infección y propagación, constituye una de las
tendencias de este y los próximos años.
Los dispositivos de almacenamiento siempre constituyeron una de las vías más comunes de
infección, desde los viejos discos magnéticos de 5´1/4, pasando por los ya casi olvidados
disquetes de 3´1/2 hasta llegar a los dispositivos de almacenamiento que permiten guardar
información a través del puerto USB.
La natural evolución de la tecnología fue alimentando el crecimiento de las técnicas y
metodologías de infección utilizadas por los desarrolladores de malware a través de sus
creaciones maliciosas.
La interconexión de redes de computadoras logró interacción a nivel mundial y,
consecuentemente, la proliferación de nuevas técnicas de infección viral, cuya diseminación se
produce casi en forma instantánea.
En lo particular, los medios de almacenamiento masivo a través de conexiones del tipo USB,
como lo son los PenDriver (o flashdrive, memorias USB, etc.), representan un punto vulnerable
para cualquier sistema informático. Debido a la masividad de uso y facilidad de conexión, se
convierten en un medio común utilizado para transportar archivos y también todo tipo de
malware.
Los gusanos de Internet constituyen el principal tipo de programa dañino que comúnmente se
aprovecha de estas características: la esencia de los gusanos informáticos es propagarse hacia
la mayor cantidad de sistemas posibles copiando su propio código malicioso en cada infección,
sin importar el medio por el cual lo haga.
Algunos ejemplos de malware que se diseminan aprovechándose de estos dispositivos son:
• RJUMP: este gusano posee características de troyano y abre una puerta trasera en el
sistema infectado. Entre los medios de almacenamiento masivo que puede infectar se
encuentran discos rígidos extraíbles, cámaras digitales y memorias USB.
• Fujacks: esta familia de gusanos no sólo se propaga a través de dispositivos de
almacenamiento masivo sino que también infecta archivos ejecutables y recursos compartidos
que existen en la red configurados con contraseñas débiles (o sin ellas).
• AutoRun.C (también conocido como Zayle): es un gusano de Internet que aprovecha la
conexión a los dispositivos USB para propagarse e infectar las computadoras. Para lograr
ejecutarse en forma automática, se vale de un archivo “autorun.inf”. Además posee la
capacidad de deshabilitar la opción de abrir las unidades con doble clic.
Tanto los códigos maliciosos mencionados como la mayoría del malware en general, utilizan
formas comunes de infección; como por ejemplo, copiarse a sí mismo a un determinado sector
del disco, manipular el registro de Windows, etc.
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 19
En el caso de las infecciones a través de dispositivos USB, el malware se vale de un archivo
llamado “autorun.inf” que se encarga de ejecutar el código malicioso en forma automática
cuando el dispositivo es insertado en la computadora. Esto sucede si el usuario no ha
deshabilitado esta opción explícitamente (lo que la mayoría de los usuarios no hacemos) y que
a continuación muestra la siguiente ventana:
Este es el comportamiento normal del sistema operativo al insertar un CD o dispositivo USB,
del cual se vale el programa dañino para infectar el equipo.
Estos programas dañinos trabajan de la siguiente manera: al conectar el dispositivo en uno de
los puertos USB el malware se ejecuta en forma automática (valiéndose del archivo
mencionado) y se copia en distintas ubicaciones de los discos locales (generalmente con
atributos de oculto/sistema), infectando de esta manera a cada uno de los dispositivos donde
se lo inserta.
Asimismo, cada vez que un nuevo dispositivo de almacenamiento masivo es insertado en la
computadora comprometida, el gusano se encargará de copiarse en el nuevo medio extraíble
y así sucesivamente, infectando la máxima cantidad de dispositivos posibles.
Estadísticamente, durante el 2007 este tipo de malware se mantuvo entre las primeras 10
posiciones del ranking de detecciones a nivel mundial y en América Latina.
Esta tendencia expresa que la utilización de este tipo de dispositivos se irá incrementando
rápidamente; de hecho, ya se ha convertido en uno de los medios más elegidos por los
diseminadores de malware.
Por todos estos motivos, es muy importante que los usuarios tomen conciencia del peligro que
representan los dispositivos de almacenamiento masivo como los mencionados, debido a la
facilidad con la que pueden disparar infecciones de cualquier tipo de malware.
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 20
¿Qué son las cookies?
Las cookies son ficheros de texto que se crean al visitar una página web, y que sirven para almacenar información de diversos tipos que no debería afectar a tu privacidad. Por poner un
ejemplo, gracias a las cookies se pueden guardar las preferencias de una página web o la
contraseña y el nombre de usuario durante un determinado tiempo.
Sin embargo, algunas páginas web utilizan la información recogida en estas cookies para
recopilar información del usuario y seguidamente enviarle publicidad, por lo que se consideran
un tipo de spyware.
¿Cómo sé si un sitio tiene cookies maliciosas?
Cuando se navega por internet, se debe hacer de una manera responsable: debe primar la desconfianza. Generalmente, las páginas que aparentan tener un ‘contenido de dudosa
legalidad’, material pornográfico e incluso que ofrecen descargas de programas de pago de
forma gratuita, suelen ser los principales focos de cookies maliciosas, y es por ello que
empresas como Google o Microsoft nos avisan si nos dirigimos desde sus buscadores a estos
sitios de que podríamos estar en riesgo.
Además, los navegadores modernos, disponen de algoritmos para identificar este tipo de
páginas, aunque no son ni mucho menos perfectos, por lo que no es recomendable fiarse al
100% de ellos.
¿Cómo configuro mi navegador para gestionar cookies?
Todos los navegadores actuales permiten gestionar las cookies a distintos niveles de
seguridad. Por ejemplo, en Internet Explorer, se puede elegir el nivel de seguridad moviendo
una barra deslizante. Cuanto más arriba esté dicha barra, mayor seguridad y privacidad
tendremos, y, cuanto más abajo esté, más cookies y menos seguridad tendremos.
Aunque parezca lo contrario, no siempre resulta mejor tener la barra deslizante en lo más alto, ya que hay numerosas páginas web (Por ejemplo los bancos) que requieren tenerlas
activadas.
Leyendas Urbanas de las cookies
• Las cookies son similares a gusanos y virus en que pueden borrar datos de los discos
duros de los usuarios.
• Las cookies son un tipo de spyware porque pueden leer información personal
almacenada en el ordenador de los usuarios.
• Las cookies generan popups.
• Las cookies se utilizan para generar spam.
• Las cookies sólo se utilizan con fines publicitarios.
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 21
4. Herramientas paliativas. Instalación y
configuración.
Programas anti-malware
Como los ataques con malware son cada vez mas frecuentes, el interés ha empezado a
cambiar de protección frente a virus y spyware, a protección frente al malware, y los
programas han sido específicamente desarrollados para combatirlos.
Los programas anti-malware pueden combatir el malware de dos formas:
Proporcionando protección en tiempo real (real-time protection) contra la instalación de
malware en una computadora. El software anti-malware escanea todos los datos procedentes
de la red en busca de malware y bloquea todo lo que suponga una amenaza.
Detectando y eliminando malware que ya ha sido instalado en una computadora. Este tipo
de protección frente al malware es normalmente mucho más fácil de usar y más popular.17
Este tipo de programas anti-malware escanean el contenido del registro de Windows, los
archivos del sistema operativo, la memoria y los programas instalados en la computadora. Al
terminar el escaneo muestran al usuario una lista con todas las amenazas encontradas y
permiten escoger cuales eliminar.
La protección en tiempo real funciona idénticamente a la protección de los antivirus: el
software escanea los archivos al ser descargados de Internet y bloquea la actividad de los
componentes identificados como malware. En algunos casos, también pueden interceptar
intentos de ejecutarse automáticamente al arrancar el sistema o modificaciones en el
navegador web. Debido a que muchas veces el malware es instalado como resultado de
exploits para un navegador web o errores del usuario, usar un software de seguridad para
proteger el navegador web puede ser una ayuda efectiva para restringir los daños que el
malware puede causar.
Antivirus
Son programas cuyo objetivo es detectar y/o eliminar virus informáticos. Nacieron durante la
década de 1980.
Con el transcurso del tiempo, la aparición de sistemas operativos más avanzados e Internet, ha
hecho que los antivirus hayan evolucionado hacia programas más avanzados que no sólo
buscan detectar virus informáticos, sino bloquearlos, desinfectarlos y prevenir una infección
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 22
de los mismos, y actualmente ya son capaces de reconocer otros tipos de malware, como
spyware, rootkits, etc.
Antispyware
tipo de aplicación que se encarga de buscar, detectar y eliminar spywares o espías en el
sistema.
Un spyware es un software espía. Es una aplicación o pequeño programa que recolecta
información valiosa de la computadora desde donde está operando. Es un tipo de malware
que por lo general se introduce y opera en las PCs sin que el usuario lo advierta. Esta
introducción no solo puede ocurrir vía Internet, sino que también hay espías que entran en las
computadoras cuando el usuario acepta las condiciones de uso de un programa al instalarlo, ya
que por lo general, no está especificada la existencia del mismo.
Además de verse vulnerada la privacidad de los usuarios, los spywares pueden producir
pérdidas económicas, pues son capaces de recolectar números de tarjetas de crédito y claves
de accesos. También pueden producir gran deterioro en el funcionamiento de la computadora
tales como bajo rendimiento, errores constantes e inestabilidad general.
Si bién Avast tiene antispyware incoroprado, no hay problemas en que instales uno en el
sistema.
Descarga e instala el Ad-Aware. Puedes hacerlo de:
http://www.bajenlo.com/191/descargar/ad-…
En su versión gratuita no constituye un programa residente, pero actualizándolo y
ejecutándolo periódicamente resulta muy bueno para la detección y eliminación de spywares y
adwares….
Herramientas de bloqueo web
Estas herramientas pueden ser automatizadas o no. Las herramientas automátizadas son
aplicaciones para la computadora que permiten trabajar en dos niveles de seguridad: la
prevención y el control. Ninguna de estas herramientas es 100% efectiva por lo que debemos
ser conscientes de la importancia de las herramientas no automátizadas: la educación y la concientización. El diálogo con los menores es la mejor herramienta de prevención para los
riesgos que existen en la web.
Todas las herramientas indicadas en la presente sección deben ser aplicadas con el
compromiso de la familia, siendo conscientes de cuáles son las configuraciones que se realizan
y tomando la responsabilidadsobre cuáles son los contenidos a los que se podrá acceder y a
cuáles no.
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 23
5. Herramientas preventivas.
Instalación y configuración. - Control de acceso lógico (política de contraseñas seguras, control de acceso en la
BIOS y gestor de arranque, control de acceso en el sistema operativo, política de
usuarios y grupos, actualización de sistemas y aplicaciones)
Son una serie de herramientas que tratan de evitar cualquiera de los ataques informáticos que
hemos estudiado en el tema anterior
Incluyen:
● Encriptado de información en disco
● AnWvirus
● Sistemas de detección de intrusos (IDS)
● Sistemas de prevención de intrusos (IPS)
● Backup
- Control de acceso lógico (política de contraseñas seguras, control de acceso en la
BIOS y gestor de arranque, control de acceso en el sistema operativo, política de
usuarios y grupos, actualización de sistemas y aplicaciones)
Control de acceso lógico:
Los controles de acceso lógico se pueden definir como las políticas, procedimientos y controles
de acceso electrónico diseñados para restringir el acceso a los archivos de datos. Dichos
controles pueden estar incorporados en el sistema operativo, en los programas o aplicaciones,
en las bases de datos, los dispositivos de control de red etc.
POLITICAS DE CONTRASEÑAS SEGURAS
Al conectarse a un sistema informático, generalmente se debe ingresar: un nombre de
registro o nombre de usuario y una contraseña para acceder. Este par nombre de
registro/contraseña forma la clave para tener acceso al sistema.
Mientras que al nombre de registro generalmente lo brinda el sistema o el administrador de
forma automática, el usuario casi siempre tiene la libertad de elegir la contraseña. La mayoría
de los usuarios, como piensan que no tienen ninguna información secreta que proteger, usan
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 24
una contraseña fácil de recordar (por ejemplo, su nombre de registro, el nombre de su pareja
o su fecha de nacimiento).
Esto implica, particularmente, que los empleados elijan las contraseñas a partir de ciertos
requisitos, por ejemplo:
• Que la contraseña tenga una longitud mínima
• Que tenga caracteres especiales
• Que combinen mayúsculas con minúsculas
Además, se puede afianzar la política de seguridad si se pone una fecha de expiración en las
contraseñas para hacer que los usuarios las modifiquen periódicamente. Esto dificulta el
trabajo de los hackers que tratan de craquear las contraseñas con el correr del tiempo.
También es una excelente forma de limitar la duración de la contraseña craqueada.
Por último, es aconsejable que los administradores usen software que craquea contraseñas en
sus contraseñas de usuario para probar su solidez. Sin embargo, se debe hacer dentro del
marco de la política de protección y con discreción para tener el apoyo de la gerencia y los
usuarios.
5.2. Seguridad del BIOS y del gestor de arranque
La protección con contraseñas para el BIOS (o equivalentes al BIOS) y el gestor de arranque,
pueden ayudar a prevenir que usuarios no autorizados que tengan acceso físico a sus sistemas,
arranquen desde medios removibles u obtengan acceso como root a través del modo
monousuario. Pero las medidas de seguridad que uno debería tomar para protegerse contra
tales ataques dependen tanto de la confidencialidad de la información que las estaciones
tengan como de la ubicación de la máquina.
Por ejemplo, si se utiliza una máquina en una exhibición y esta no contiene datos
confidenciales, entonces puede que no sea crítico prevenir tales ataques. Sin embargo, si se
deja al descuido en la misma exhibición, la portátil de uno de los empleados con llaves
privadas SSH sin encriptar para la red corporativa, esto puede conducir a una violación de
seguridad importante para la compañía completa.
Por otro lado, si la estación de trabajo está localizada en un lugar donde sólo los usuarios
autorizados o de confianza tienen acceso, entonces la seguridad del BIOS o del gestor de
arranque puede que no sea necesaria.
5.2.1. Contraseñas del BIOS
Las siguientes son las dos razones básicas por las que proteger la BIOS de una computadora
con una contraseña [1]:
1. Prevenir cambios a las configuraciones del BIOS — Si un intruso tiene acceso a la BIOS,
puede configurarlo para que arranque desde un diskette o CD-ROM. Esto les permite
entrar en modo de rescate o monousuario, lo que a su vez les permite plantar
programas dañinos en el sistema o copiar datos confidenciales.
2. Prevenir el arranque del sistema — Algunas BIOSes le permiten proteger el proceso de
arranque con una contraseña. Cuando está funcionalidad está activada, un atacante
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 25
esta forzado a introducir una contraseña antes de que el BIOS lanze el gestor de
arranque.
Debido a que los métodos para colocar contraseñas del BIOS varían entre fabricantes de
equipos, consulte el manual de su computador para ver las instrucciones específicas.
Si olvida su contraseña del BIOS, usualmente esta se puede reconfigurar bien sea a través de
los jumpers en la tarjeta madre o desconectando la batería CMOS. Por esta razón, es una
buena idea bloquear el chasis del computador si es posible. Sin embargo, consulte el manual
del computador o tarjeta madre antes de proceder a desconectar la batería CMOS.
5.2.2. Contraseñas del gestor de arranque
A continuación se muestran las razones principales por las cuales proteger el gestor de
arranque Linux:
1. Previene el acceso en modo monousuario — Si un atacante puede arrancar en modo
monousuario, se convierte en el superusuario de forma automática sin que se le
solicite la contraseña de acceso.
2. Previene el acceso a la consola de GRUB — Si la máquina utiliza GRUB como el gestor
de arranque, un atacante puede usar la interfaz del editor para cambiar su
configuración o para reunir información usando el comando cat.
3. Previene el acceso a sistemas operativos inseguros — Si es un sistema de arranque
dual, un atacante puede seleccionar un sistema operativo en el momento de arranque,
tal como DOS, el cual ignora los controles de acceso y los permisos de archivos.
5.2.2.1. Protegiendo GRUB con contraseñas
Puede configurar GRUB para solucionar los primeros dos problemas listados en la Sección
5.2.2 añadiendo una directiva de contraseña a su archivo de configuración. Para hacer esto,
primero seleccione una contraseña, luego abra un indicador de comandos del shell, conéctese
como root y escriba:
/sbin/grub-md5-crypt
Cuando se le pida, escriba la contraseña GRUB y presione [Intro]. Esto retornará un hash MD5
para la contraseña.
Luego, modifique el archivo de configuración GRUB /boot/grub/grub.conf. Abra el archivo y
debajo de la línea timeout en la sección principal del documento, añada la siguiente línea:
password --md5 <password-hash>
Reemplace <password-hash> con el valor retornado por /sbin/grub-md5-crypt.
La próxima vez que el sistema arranque, el menú de GRUB no le permitirá accesar el editor o la
interfaz de comandos sin primero presionar [p] seguido por la contraseña de GRUB.
Cuaderno electrónico SAD
Ramón Ballesteros Jiménez
Lamentablemente, esta solución no previene a un atacante de arrancar en un sistema
operativo inseguro, si se está en un ambiente de arranque dual. Para esto, necesita editar una
parte diferente del archivo /boot/grub/grub.conf
Busque la línea title del sistema operativo inseguro y añada una línea que
diga lock directamente debajo de ella.
Para un sistema DOS, la estrofa debería comenzar con algo similar a:
title DOS lock
Aviso
Debe tener una líneaarchivo /boot/grub/grub.confun atacante podrá acceder a la interfaz del editor de GRUB y eliminar la línea de bloqueo.
Para crear una contraseña diferente para un kernel o sistema operativo particular, añada u
línea lock a la estrofa, seguido por una línea de contraseña.
Cada estrofa que usted proteja con una contraseña única debería comenzar con líneas
similares a las del ejemplo siguiente:
title DOS lock password --md5 <password-hash>
control de acceso en el sistema operativo
Windows NT, Windows 2000, Windows XP y Windows Server 2003 comparten un modelo común de control de accesos basado en lo siguiente:
• Autorización basada en el usuario: El código se procesa en el mismo contexto de
seguridad del usuario
esté autorizado.
• Acceso discrecional a objetos asegurables: El propietario de un objeto (por ejemplo, un
archivo o una carpeta) puede conceder o denegar permisos para controlar cómo se
utiliza y quién lo utiliza.
• Herencia de permisos: Un objeto puede heredar permisos del objeto que lo contiene
(así, un objeto de archivo puede heredar los permisos del objeto de carpeta al que
pertenece).
Cuaderno electrónico SAD UD2
Lamentablemente, esta solución no previene a un atacante de arrancar en un sistema
operativo inseguro, si se está en un ambiente de arranque dual. Para esto, necesita editar una
/boot/grub/grub.conf.
del sistema operativo inseguro y añada una línea que
directamente debajo de ella.
Para un sistema DOS, la estrofa debería comenzar con algo similar a:
Debe tener una línea password en la sección principal del
/boot/grub/grub.conf para que esto funcione adecuadamente. De otra forma
un atacante podrá acceder a la interfaz del editor de GRUB y eliminar la línea de
Para crear una contraseña diferente para un kernel o sistema operativo particular, añada u
a la estrofa, seguido por una línea de contraseña.
Cada estrofa que usted proteja con una contraseña única debería comenzar con líneas
similares a las del ejemplo siguiente:
hash>
el sistema operativo
Windows NT, Windows 2000, Windows XP y Windows Server 2003 comparten un modelo
común de control de accesos basado en lo siguiente:
Autorización basada en el usuario: El código se procesa en el mismo contexto de
seguridad del usuario que lo inicia. No puede hacerse nada para lo que el usuario no
Acceso discrecional a objetos asegurables: El propietario de un objeto (por ejemplo, un
archivo o una carpeta) puede conceder o denegar permisos para controlar cómo se
y quién lo utiliza.
Herencia de permisos: Un objeto puede heredar permisos del objeto que lo contiene
(así, un objeto de archivo puede heredar los permisos del objeto de carpeta al que
Página 26
Lamentablemente, esta solución no previene a un atacante de arrancar en un sistema
operativo inseguro, si se está en un ambiente de arranque dual. Para esto, necesita editar una
para que esto funcione adecuadamente. De otra forma
un atacante podrá acceder a la interfaz del editor de GRUB y eliminar la línea de
Para crear una contraseña diferente para un kernel o sistema operativo particular, añada una
Cada estrofa que usted proteja con una contraseña única debería comenzar con líneas
Windows NT, Windows 2000, Windows XP y Windows Server 2003 comparten un modelo
Autorización basada en el usuario: El código se procesa en el mismo contexto de
que lo inicia. No puede hacerse nada para lo que el usuario no
Acceso discrecional a objetos asegurables: El propietario de un objeto (por ejemplo, un
archivo o una carpeta) puede conceder o denegar permisos para controlar cómo se
Herencia de permisos: Un objeto puede heredar permisos del objeto que lo contiene
(así, un objeto de archivo puede heredar los permisos del objeto de carpeta al que
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 27
• Privilegios administrativos: Es posible controlar qué usuarios o grupos de usuarios pueden desempeñar funciones administrativas y realizar cambios que afecten a recursos de todo el sistema.
• Auditoría de eventos del sistema: Estas funciones permiten tanto detectar los intentos
de burla a la seguridad del sistema como crear un registro de auditoría.
Se considera principal de seguridad a toda entidad capaz de ejecutar código. Los principales de
seguridad pueden ser tanto usuarios como programas capaces de actuar en lugar de un
usuario o un equipo. Procesos como los servicios de Windows se ejecutan normalmente en el
contexto de identidades de especial seguridad, como la cuenta LocalSystem.
Los identificadores de seguridad (SID) son valores únicos de longitud variable que se emplean
para identificar tanto a los principales como a los grupos de seguridad.
La Autoridad local de seguridad (LSA) es un subsistema de Windows protegido que conserva
toda la información relativa a la seguridad local de un equipo.
El contexto de seguridad hace referencia a la información de cuenta de usuario empleada por
el sistema para aplicar la seguridad cada vez que un proceso intenta obtener acceso a un
objeto protegido (por ejemplo, un archivo). El contexto de seguridad incluye aspectos como el
identificador de seguridad del usuario, los identificadores de seguridad de la pertenencia a un
grupo o los privilegios. Los principales de seguridad constituyen un contexto de seguridad para
sus propias acciones al presentar credenciales de una autoridad de seguridad digna de
confianza (por ejemplo, un controlador de dominios reconocido por la Autoridad local de
seguridad del equipo en el que intenta actuar el principal).
Los símbolos (token) de acceso son estructuras de datos que, asociadas a un principal, son
utilizadas por el subproceso que ejecuta código en nombre de dicho principal. Proporcionan
una descripción completa del contexto de seguridad del proceso o subproceso. Entre la
abundante información que contienen, cabe destacar el identificador de seguridad de la
cuenta del usuario, una lista con los identificadores de seguridad de los grupos a los que
pertenece el usuario, así como una lista de los privilegios de que disfruta el usuario y sus
grupos de seguridad en el equipo local.
En una Lista de control de acceso (ACL) se enumeran, de forma ordenada, las entradas de
control de acceso (entradas ACE) que definen las protecciones aplicables a un objeto y sus
propiedades. Cada una de estas entradas identifica a un principal de seguridad y especifica el
conjunto de derechos de acceso que le son concedidos o denegados o sobre los que se ha de
efectuar una auditoría. A cada objeto asegurable se le asocia un descriptor de seguridad capaz
de incluir dos tipos de listas de control de acceso (ACL):
• Listas de control de acceso discrecional (DACL): identifican a los usuarios y a los grupos
a los que se permiten o se deniegan los distintos tipos de acceso (lectura, lectura y
escritura, etc.) al objeto asegurable.
• Listas de control de acceso al sistema (SACL): controlan cómo debe auditar el sistema
operativo las cuestiones de acceso.
El sistema operativo efectúa una comprobación de acceso cada vez que un principal de
seguridad solicita realizar una acción sobre un objeto protegido. El objetivo de estas
comprobaciones es determinar si el principal de seguridad cuenta con los derechos de acceso
necesarios para realizar la acción. Para ello, el sistema operativo valida los identificadores de
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 28
seguridad del símbolo (token) de acceso con las entradas ACE de la lista DACL del objeto
protegido. Si el símbolo (token) de acceso tiene suficientes derechos, el sistema operativo
permitirá la acción; de lo contrario, iniciará un error de acceso denegado.
Definición de Directivas o Políticas de Grupos
La configuración de Directiva de Grupo define los distintos componentes del entorno de
Escritorio del usuario que accede de forma autenticada al dominio de nuestro servidor
Windows 2000, de modo que el administrador del sistema determina cuales le serán aplicadas
a cada usuario englobado en un sitio, dominio o unidad organizativa; entre las directivas que
pueden especificarse, por ejemplo, podemos indicar aquellos programas que deseemos se
encuentren disponibles para nuestros usuarios, los programas que aparecerán en su Escritorio,
las opciones del menú Inicio, las opciones del navegador, etc.
Para crear una configuración específica de Escritorio para un grupo de usuarios en particular,
se utilizan las Directiva de Grupo. La configuración de Directiva de Grupo está contenida en un
objeto de Directiva de Grupo, de modo que se asocia dicha directiva a los Sitios, Dominios o
Unidades Organizativas indicadas en Active Directory.
Curiosamente, y pese a su nombre, las Directivas de Grupo no pueden ser asociadas a un
grupo de usuarios o grupos de equipos (sólo a Sitios, Dominios o Unidades Organizativas),
aunque el resultado de su aplicación afecte únicamente a los usuarios y a los equipos de Active
Directory.
Las directivas se aplican en este orden:
1. En primer lugar se aplica el objeto de Directiva de Grupo local único.
2. En segundo lugar se aplican los Objetos de Directiva de Grupo del Sitio, en orden
especificado administrativamente.
3. En tercer lugar los Objetos de Directiva de Grupo del Dominio, en orden especificado
administrativamente.
4. En cuarto lugar los Objetos de Directiva de Grupo de las Unidades Organizativas, de Unidad
Organizativa principal a secundaria, y en orden especificado administrativamente en el nivel de
cada Unidad Organizativa.
5. Finalmente, de forma predeterminada, las directivas aplicadas posteriormente sobrescriben
las directivas aplicadas con anterioridad cuando las directivas son incoherentes. Sin embargo,
si no hay incoherencias de configuración, tanto las directivas anteriores como las posteriores
contribuyen a la directiva efectiva, es decir, se suman las configuraciones de las distintas
directivas asociadas al objeto en cuestión.
Podemos resumir el funcionamiento de las Directivas de Grupo como sigue:
La Directiva de Grupo se aplica de manera jerárquica desde el grupo menos restrictivo (Sitio) al
grupo más restrictivo (Unidad Organizativa). La Directiva de Grupo también es acumulativa.
Los contenedores de servicio de directorio secundarios heredan la Directiva de Grupo de los
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 29
contenedores primarios y el procesamiento de la Directiva de Grupo tiene lugar en el siguiente
orden: Sitio, Dominio y Unidad Organizativa. Esto significa que, si se ha asignado una Directiva
de Grupo determinada a un contenedor primario de alto nivel, esa Directiva de Grupo se aplica
a todos los contenedores por debajo de dicho contenedor primario, incluidos los objetos
equipo y usuario de cada contenedor. Sin embargo, si especifica de manera explícita una
Directiva de Grupo para un contenedor secundario, dicha directiva suplantará a la del
contenedor primario, si es que son contradictorias, y se sumará a la anterior si no lo son.
Es importante resaltar que las Directivas de Grupo tienen prioridad sobre las opciones de
configuración del perfil del usuario en caso de que se cree un conflicto.
En los siguientes apartados nos centraremos en definir una estructura de Unidades
Organizativas para nuestro centro educativo, así como en asociar las Políticas o Directivas de
Grupo al dominio o a las Unidades Organizativas anteriormente creadas.
Vamos a citar y definir los siguientes términos, con los que trabajaremos habitualmente a lo
largo de este apartado:
Sitio .- Podemos definir un sitio como un conjunto de equipos en una o varias subredes IP. Los
sitios suelen representar la estructura física de la red.
Dominio .- Un dominio tiene un nombre único y permite el acceso a las cuentas de usuario y
de grupo centralizadas mantenidas por el administrador del dominio. Cada dominio tiene sus
propias directivas de seguridad y relaciones de seguridad con otros dominios, y representa
límite de seguridad en una red Windows 2000. Active Directory está compuesto de uno o
varios dominios, cada uno de los cuales puede abarcar más de una ubicación física. Los
dominios representan la estructura lógica de la organización.
Unidad Organizativa .- Es un objeto contenedor de Active Directory que se utiliza en los
dominios. Las Unidades Organizativas son contenedores lógicos en los que pueden colocarse
usuarios, grupos, equipos y otras Unidades Organizativas. Sólo pueden contener objetos de su
dominio principal. Una U.O. es el ámbito más pequeño al que se puede aplicar una Directiva de
Grupo.
4. Política de Usuarios
Desactivación y/o borrado de cuentas
En la gestión del ciclo de vida de las cuentas de usuario es muy importante delimitar las
cuentas temporales y aplicarles un sistema de caducidad para que no queden activas cuentas
obsoletas y se mantengan únicamente aquellas que se utilizan y son realmente necesarias.
Debemos distinguir, por tanto, entre las cuentas de usuario con relaciones temporales y las
que tienen relaciones fijas. La distinción se hace a través de un atributo del directorio
corporativo que recogerá la fecha de expiración de las cuentas temporales. Tienen fecha de
expiración los usuarios con relaciones ALUMNOEEPP, ALUMNOSECUNDARIA, EXALUMNO,
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 30
MISCELANEA, PDIEXTERNO, PROFESORSECUNDARIA y algunos casos de PDI particulares, que
son las cuentas de investigadores, colaboradores honorarios, becarios, etc.
Las cuentas que tienen asociada una fecha de expiración reciben 30, 15 y 7 días antes de la fecha de expiración un mensaje a su cuenta de correo electrónico indicándole que debe
renovar dicha cuenta. En el cuerpo del mensaje se le indicará la cuenta que pierde y la fecha
en la que se producirá, además contendrá un enlace a una URL donde se explica la política de
desactivaciones y borrados, formas de reactivar o renovar la cuenta y personas de contacto
para cada caso. Si no renueva la cuenta en dicho plazo, el día que expira la cuenta, ésta se deshabilita y se borra la relación 3 meses después . En el caso particular que sea la única
relación que tenía el usuario se borrará la cuenta en el directorio corporativo.
Solo se avisará a los usuarios que pierden una de sus cuentas en el directorio corporativo. Los
usuarios que pierdan alguna relación pero mantengan el usuario porque tienen otra relación
no se les notificará.
Política de claves
Se ha implementado una política de contraseñas . Con la implantación de la Gestión de
Identidad, sólo hay un único punto de gestión de la contraseña; todos los cambios de
contraseña realizados por el propio usuario o por las administraciones delegadas son
realizadas en todos los recursos asignados al usuario, por lo que se aplica a todas las cuentas
de usuarios la misma política de contraseñas.
La nueva política de contraseñas es la siguiente:
• La longitud de la nueva contraseña debe ser como mínimo de 8 caracteres
• La nueva contraseña debe contener al menos 4 caracteres alfabético
• La nueva contraseña debe contener al menos 2 caracteres numéricos
• El número máximo de repeticiones de caracteres adyacentes de la nueva contraseña es 4
• El número máximo de caracteres numéricos en secuencia de la nueva contraseña es 4
• La nueva contraseña no podrá contener el nombre o apellido del usuario, ni el documento de identidad del mismo o su UVUS.
En cualquier caso, es importante señalar que se mantendrá la unicidad del UVUS en el tiempo,
i.e, un nombre de usuario que se haya utilizado alguna vez para alguna persona nunca se
volverá a utilizar en el tiempo.
actualización de sistemas
Un Sistema Operativo (S.O.) es un conjunto de programas destinados a permitir la
comunicación del usuario con un ordenador y gestionar sus recursos de manera eficiente.
Comienza a trabajar cuando se enciende el ordenador, y gestiona el hardware de la
máquina desde los niveles más básicos.
Los Sistemas Operativos requieren de actualizaciones periódicas, por varios motivos:
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 31
• Actualizaciones hardware: Debido a que el hardware de las máquinas evoluciona,
es necesario crear programas capaces de gestionar este nuevo hardware.
• Actualizaciones de los programas: En ocasiones, se detectan vulnerabilidades o
fallos en los programas que son subsanados en posteriores actualizaciones.
• Nuevas funcionalidades: Con frecuencia, los sistemas operativos incorporan
nuevas funcionalidades que los usuarios pueden aprovechar descargándoselas en
las actualizaciones.
Nota: Para cada Sistema Operativo se muestran enlaces al soporte y las descargas del
producto en inglés y español, debido a que las versiones en inglés suelen estar más
actualizadas.
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 32
6. Técnicas de Cifrado:
-Criptografía simétrica.
La criptografía simétrica se refiere al conjunto de métodos que permiten tener comunicación segura entre las partes siempre y cuando anteriormente se hayan intercambiado la clave correspondiente que llamaremos clave simétrica. La simetría se refiere a que las partes tienen la misma llave tanto para cifrar como para descifrar.
Este tipo de criptografía se conoce también como criptografía de clave privada o criptografía de llave privada.
Existe una clasificación de este tipo de criptografía en tres familias, la criptografía simétrica de bloques (block cipher), la criptografía simétrica de lluvia (stream cipher) y la criptografia simétrica de resumen (hash functions). Aunque con ligeras modificaciones un sistema de
criptografía simétrica de bloques puede modificarse para convertirse en alguna de las otras
dos formas, sin embargo es importante verlas por separado dado que se usan en diferentes
aplicaciones.
La criptografía simétrica ha sido la más usada en toda la historia, ésta a podido ser
implementada en diferente dispositivos, manuales, mecánicos, eléctricos, hasta los algoritmos
actuales que son programables en cualquier computadora. La idea general es aplicar
diferentes funciones al mensaje que se quiere cifrar de tal modo que solo conociendo una
clave pueda aplicarse de forma inversa para poder así descifrar.
Aunque no existe un tipo de diseño estándar, quizá el más popular es el de Fiestel, que
consiste esencialmente en aplicar un número finito de interacciones de cierta forma, que
finalmente da como resultado el mensaje cifrado. Este es el caso del sistema criptográfico
simétrico más conocido, DES.
-Criptografía asimétrica.
La criptografía de clave asimétrica o pública fue inventada en 1976 por los matemáticos Whit
Diffie y Martin Hellman y es la base de la moderna criptografía.
La criptografía asimétrica utiliza dos claves complementarias llamadas clave privada y clave
pública. Lo que está codificado con una clave privada necesita su correspondiente clave
pública para ser descodificado. Y viceversa, lo codificado con una clave pública sólo puede ser
descodificado con su clave privada. (Ver explicación en presentación Power Point).
Las claves privadas deben ser conocidas únicamente por su propietario, mientra que la
correspondiente clave pública puede ser dada a conocer abiertamente. Si Ana quiere enviar a
Benito un mensaje de forma que sólo él pueda entenderlo, lo codificará con la clave pública de
Benito. Benito utilizará su clave privada, que solo él tiene, para poder leerlo. Pero otra posible
utilidad del sistema es garantizar la identidad del remitente. Si Ana envía a Benito un mensaje
codificado con la clave privada de Ana, Benito necesitará la clave pública de Ana para
descifrarlo. Es posible combinar ambos: Ana puede enviar a Benito un mensaje codificado dos
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 33
veces, con la clave privada de Ana y con la clave pública de Benito. Así se consigue garantizar la
identidad del emisor y del receptor.
La criptografía asimétrica está basada en la utilización de números primos muy grandes. Si
multiplicamos entre sí dos números primos muy grandes, el resultado obtenido no puede
descomponerse eficazmente, es decir, utilizando los métodos aritméticos más avanzados en
los ordenadores más avanzados sería necesario utilizar durante miles de millones de años
tantos ordenadores como átomos existen en el universo. El proceso será más seguro cuanto
mayor sea el tamaño de los números primos utilizados. Los protocolos modernos de
encriptación tales como SET y PGP utilizan claves generadas con números primos de un
tamaño tal que los hace completamente inexpugnables.
El problema de las claves asimétricas es que cuando el texto a tratar es largo el proceso de
codificación es muy lento. Los protocolos modernos codifican el texto base con una clave
simétrica tipo DES o IDEA y utilizan las claves asimétricas para la comunicación de la clave
simétrica utilizada. Cuando un texto se codifica mediante una clave simétrica y se envía esta
clave codificada con la clave pública del receptor, el resultado se llama “sobre digital”.
-Criptografía híbrida.
La criptografía híbrida emplea el cifrado de clave pública para compartir una clave para el
cifrado simétrico. El mensaje que se esté enviando en el momento, se cifra usando la clave y
enviándolo al destinatario. Ya que compartir una clave simétrica no es seguro, la clave usada
es diferente para cada sesión.
Un sistema de cifrado híbrido no es más fuerte que el de cifrado asimétrico o el de cifrado
simétrico de los que hace uso, independientemente de cuál sea más débil. En PGP y GnuPG el sistema de clave pública es probablemente la parte más débil de la combinación. Sin
embargo, si un atacante pudiera descifrar una clave de sesión, sólo sería útil para poder leer
un mensaje, el cifrado con esa clave de sesión. El atacante tendría que volver a empezar y
descifrar otra clave de sesión para poder leer cualquier otro mensaje.
Herramientas como PGP, SSH o la capa de seguridad SSL para la jerarquía de protocolos TCP/IP
utilizan un criptografía asimétrica para intercambiar claves de criptografía simétrica, y la
criptografía simétrica para la transmisión de la información.
La función hash es un algoritmo matemático unidireccional que permite calcular un valor
resumen de los datos a ser firmados digitalmente. Cuando la entrada es un documento, el
resultado de la función es un número que identifica casi inequivocamente al texto. Si se
adjunta este número al texto, el destinatario puede aplicar de nuevo la función y comprobar su
resultado con el que ha recibido. Existen funciones “hash” específicamente diseñadas para
satisfacer estas dos importantes propiedades. SHA y MD5 son dos ejemplos de este tipo de
algoritmos.
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 34
7. Identificación Digital:
-Firma Electrónica y Firma Digital.
Una firma electrónica es una firma digital que se ha almacenado en un soporte de hardware; mientras que la firma digital se puede almacenar tanto en soportes de hardware como de software. La firma electrónica reconocida tiene el mismo valor legal que la firma manuscrita.
De hecho se podría decir que una firma electrónica es una firma digital contenida o almacenada en un contenedor electrónico, normalmente un chip de ROM. Su principal característica diferenciadora con la firma digital es su cualidad de ser inmodificable (que no inviolable). No se debe confundir el almacenamiento en hardware, como por ejemplo, en un chip, con el almacenamiento de la firma digital en soportes físicos; es posible almacenar una firma digital en una memoria flash, pero al ser esta del tipo RAM y no ROM, no se consideraría
una firma electrónica si no una firma digital contenida en un soporte físico.
Las características y usos de la Firma electrónica son exactamente los mismos que los de la
Firma digital con la única diferenciación del tipo de soporte en el que se almacenan. Su
condición de inmodificable aporta un grado superior de seguridad, si bien la ausencia habitual
de contraseñas de seguridad que protejan su uso permitiría que un portador ilegítimo pudiese
suplantar al propietario con facilidad.
-Certificado Digital, Autoridad certificadora (CA).
Un certificado digital (también conocido como certificado de clave pública o certificado de
identidad) es un documento digital mediante el cual un tercero confiable (una autoridad de
certificación) garantiza la vinculación entre la identidad de un sujeto o entidad (por ejemplo:
nombre, dirección y otros aspectos de identificación) y una clave pública.
Este tipo de certificados se emplea para comprobar que una clave pública pertenece a un
individuo o entidad. La existencia de firmas en los certificados aseguran por parte del firmante
del certificado (una autoridad de certificación, por ejemplo) que la información de identidad y
la clave pública perteneciente al usuario o entidad referida en el certificado digital están
vinculadas.
Un aspecto fundamental que hay que entender es que el certificado para cumplir la función de
identificación y autenticación necesita del uso de la clave privada (que sólo el titular conoce).
El certificado y la clave pública se consideran información no sensible que puede distribuirse
perfectamente a terceros.
Por tanto el certificado sin más no puede ser utilizado como medio de identificación, pero es
pieza imprescindible en los protocolos usados para autenticar a las partes de una
Si bien existen variados formatos para certificados digitales, los más comúnmente empleados
se rigen por el estándar UIT-T X.509. El certificado debe contener al menos lo siguiente:
• La identidad del propietario del certificado (identidad a certificar),
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 35
• La clave pública asociada a esa identidad, • La identidad de la entidad que expide y firma el certificado, • El algoritmo criptográfico usado para firmar el certificado.
Autoridad certificadora (CA). Es una entidad de confianza, responsable de emitir y revocar los
certificados digitales o certificados, utilizados en la firma electrónica, para lo cual se emplea la
criptografía de clave pública. Jurídicamente es un caso particular de Prestador de Servicios de
Certificación.
por sí misma o mediante la intervención de una Autoridad de Registro, verifica la identidad del
solicitante de un certificado antes de su expedición o, en caso de certificados expedidos con la
condición de revocados, elimina la revocación de los certificados al comprobar dicha identidad.
Los certificados son documentos que recogen ciertos datos de su titular y su clave pública y
están firmados electrónicamente por la Autoridad de Certificación utilizando su clave privada.
La Autoridad de Certificación es un tipo particular de Prestador de Servicios de Certificación
que legitima ante los terceros que confían en sus certificados la relación entre la identidad de
un usuario y su clave pública. La confianza de los usuarios en la CA es importante para el
funcionamiento del servicio y justifica la filosofía de su empleo, pero no existe un
procedimiento normalizado para demostrar que una CA merece dicha confianza.
Un certificado revocado es un certificado que no es válido aunque se emplee dentro de su
período de vigencia. Un certificado revocado tiene la condición de suspendido si su vigencia
puede restablecerse en determinadas condiciones.
- Documento Nacional de Identidad Electrónico (DNIe)
El Documento Nacional de Identidad (DNI), emitido por la Dirección General de la Policía
(Ministerio del Interior), es el documento que acredita, desde hace más de 50 años, la
identidad, los datos personales que en él aparecen y la nacionalidad española de su titular.
A lo largo de su vida, el Documento Nacional de Identidad ha ido evolucionado e incorporando
las innovaciones tecnológicas disponibles en cada momento, con el fin de aumentar tanto la
seguridad del documento como su ámbito de aplicación.
Con la llegada de la Sociedad de la Información y la generalización del uso de Internet se hace
necesario adecuar los mecanismos de acreditación de la personalidad a la nueva realidad y
disponer de un instrumento eficaz que traslade al mundo digital las mismas certezas con las
que operamos cada día en el mundo físico y que, esencialmente, son:
• Acreditar electrónicamente y de forma indubitada la identidad de la persona
• Firmar digitalmente documentos electrónicos, otorgándoles una validez jurídica
equivalente a la que les proporciona la firma manuscrita
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 36
Para responder a estas nuevas necesidades nace el Documento Nacional de Identidad electrónico (DNIe), similar al tradicional y cuya principal novedad es que incorpora un pequeño circuito integrado (chip), capaz de guardar de forma segura información y de procesarla internamente. Para poder incorporar este chip, el Documento Nacional de Identidad cambia su soporte tradicional (cartulina plastificada) por una tarjeta de material plástico, dotada de nuevas y mayores medidas de seguridad. A esta nueva versión del Documento Nacional de Identidad
nos referimos como DNI electrónico nos permitirá, además de su uso tradicional, acceder a los
nuevos servicios de la Sociedad de la Información, que ampliarán nuestras capacidades de
actuar a distancia con las Administraciones Públicas, con las empresas y con otros ciudadanos.
En la medida que el DNI electrónico vaya sustituyendo al DNI tradicional y se implanten las
nuevas aplicaciones, podremos utilizarlo para:
• Realizar compras firmadas a través de Internet
• Hacer trámites completos con las Administraciones Públicas a cualquier hora y sin
tener que desplazarse ni hacer colas
• Realizar transacciones seguras con entidades bancarias
• Acceder al edificio donde trabajamos
• Utilizar de forma segura nuestro ordenador personal
• Participar en un conversación por Internet con la certeza de que nuestro interlocutor
es quien dice ser
- Buenas prácticas en el uso del certificado digital y DNIe.
Tal y como recoge la Declaración de Prácticas de Certificación del DNI electrónico, los
certificados electrónicos podrán utilizarse:
• Como medio de Autenticación de la Identidad.
El Certificado de Autenticación (Digital Signature) asegura que la comunicación electrónica se
realiza con la persona que dice que es. El titular podrá, a través de su certificado, acreditar su
identidad frente a cualquiera, ya que se encuentra en posesión del certificado de identidad y
de la clave privada asociada al mismo.
• Como medio de firma electrónica de documentos.
Mediante la utilización del Certificado de Firma (nonRepudition), el receptor de un mensaje
firmado electrónicamente puede verificar la autenticidad de esa firma, pudiendo de esta
forma demostrar la identidad del firmante sin que éste pueda repudiarlo.
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 37
• Como medio de certificación de Integridad de un documento.
Permite comprobar que el documento no ha sido modificado por ningún agente externo a la
comunicación. La garantía de la integridad del documento se lleva a cabo mediante la
utilización de funciones resumen (hash), utilizadas en combinación con la firma electrónica.
Esto esquema permite comprobar si un mensaje firmado ha sido alterado posteriormente a su
envío.
Para tal fin, utilizando la clave privada del ciudadano, se firma un resumen del documento ,de
forma tal que cualquier alteración posterior del documento dará lugar a una alteración del
resumen.
El Certificado de Identidad Pública español (DNI electrónico) contribuirá, necesariamente a la
existencia de empresas prestadoras de servicios de valor añadido ya que el DNI electrónico no
facilitara en ningún caso los denominados "sobres" (sistemas de cifrado, sellos de tiempo, etc.)
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 38
8. Amenazas y ataques en redes
corporativas: Amenazas externas Mediante métodos de ingeniería social avanzada, estafas de robo de identidad, troyanos y otras formas de malware, los hackers apuntan a las credenciales VPN y a las redes corporativas para intentar robar información confidencial de la empresa, como propiedad intelectual y contraseñas comerciales. Las botnets, en particular, representan una seria amenaza para las organizaciones, ya que la mayoría de las infecciones provienen de programas malware diseñados especialmente para infiltrarse en redes corporativas y realizar tareas específicas de extracción de información confidencial o robo de contraseñas. Actualmente, la mactividad de
botnets afecta al 90% de las empresas del ranking Fortune 5003. Las pequeñas y medianas
empresas, que solo pueden gastar una fracción del dinero que sus equivalentes invierten en
tecnología de seguridad, son las que corren más riesgo.
Otra forma de amenaza externa que apunta a las organizaciones es el robo de identidad
“spear”, una modalidad de ataque orientada principalmente a empleados u objetivos de gran
importancia en el negocio. Los mensajes de correo electrónico para robo de identidad “spear”
pretenden lograr que los usuarios divulguen información confidencial o personal, o hagan clic
en un enlace o archivo adjunto que contiene software malicioso. Una vez que el usuario hace
clic en el enlace o el archivo adjunto, se instala el malware, por lo general, en forma de un
capturador de teclado. Este método le permite al hacker robar todo lo que el usuario escriba,
ya sean credenciales corporativas, información de cuentas bancarias u otras contraseñas
confidenciales.
Amenazas internas Los empleados utilizan innumerables aplicaciones y sistemas que requieren contraseñas e
inicios de sesión distintos e individuales. Esto suele provocar prácticas riesgosas con las
contraseñas, como la utilización de una misma contraseña en múltiples sistemas, el uso
compartir donde contraseñas o el registro de contraseñas en papel o documentos
electrónicos. Entre los profesionales comerciales que participaron de la encuesta sobre
administración de contraseñas2, el 66% respondió haber visto que los empleados registraban
sus contraseñas en papel en el lugar de trabajo. Además, el 40% respondió haber observado
que los empleados escribían las contraseñas en borradores o notas Post-It y las pegaban
alrededor de sus equipos. Las prácticas deficientes de administración de contraseñas ponen a
las organizaciones en riesgo de manera diaria.
El crecimiento de la fuerza laboral móvil y la posibilidad de acceso en cualquier momento y
desde cualquier ubicación es otro ejemplo de las amenazas generadas por el personal interno.
Si bien muchos empleados móviles acceden a la red corporativa por medio de una fuente
confiable, como un dispositivo móvil o una laptop de la empresa, es muy común el uso de
equipos públicos y puntos de acceso inalámbricos para ingresar en sistemas corporativos, lo
cual hace posible que un capturador de teclado y otros programas maliciosos roben las
contraseñas de los empleados. Según los datos obtenidos en la encuesta sobre amenazas
internas llevada a cabo por RSA en 2008, el 58% de los encuestados admitió
Amenazas: Interrupción, Intercepción, Modificación y Fabricación
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 39
Los tres elementos principales a proteger en cualquier sistema informático son el software, el hardware y los datos. Contra cualquier de los elementos dichos anteriormente (pero principalmente los datos) se pueden realizar multitud de ataques o, dicho de otra forma, están expuestos a diferentes amenazas. Generalmente, la taxonomía mas elemental de estas amenazas las divide en cuatro grandes grupos: interrupción, interceptación, modificación y fabricación: Interrupción: Un ataque se clasifica como interrupción si hace que un objeto del sistema se pierda, quede inutilizable o no disponible. -Se tratara de una interceptación si un elemento no autorizado consigue acceso a un determinado objeto del sistema. -Se tratara de un ataque modificación si además de conseguir el acceso consigue modificar el objeto. -Se considera un ataque destrucción cuando en el ataque, se realiza una modificación que inutiliza al objeto afectado - Un ataque de fabricación se trata de una modificación destinada a conseguir un objeto similar al atacado de forma que sea difícil distinguir entre el objeto original y el fabricado. Ahora veremos unos ejemplos:
Flujo normal de información entre emisor y receptos y posibles amenazas: a) interrupción b) interceptación c) modificación y d) fabricación * Ataques: DoS, Sniffing, Man in the middle, Spoofing, Pharming. DENEGACIÓN DE SERVICIO (DOS)
Su objetivo es degradar considerablemente o detener el funcionamiento de un servicio
ofrecido por un sistema o dispositivo de red. Existen diferentes técnicas para la
explotación de este tipo de ataques:
Envío de paquetes de información mal conformados de manera de que la aplicación que
debe interpretarlo no puede hacerlo y colapsa.
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 40
Inundación de la red con paquetes (como ser ICMP - ping, TCP – SYN, IP origen igual a IP destino, etc.) que no permiten que circulen los paquetes de información de usuarios. Bloqueo de cuentas por excesivos intentos de login fallidos.
Impedimento de logueo del administrador. MAN-IN-THE-MIDDLE El atacante se interpone entre el origen y el destino en una comunicación pudiendo conocer y/o modificar el contenido de los paquetes de información, sin esto ser advertido por las víctimas. Esto puede ocurrir en diversos ambientes, como por ejemplo, en comunicaciones por e-mail, navegación en Internet, dentro de una red LAN, etc.
IP SPOOFING - MAC ADDRESS SPOOFING El atacante modifica la dirección IP o la dirección MAC de origen de los paquetes de
información que envía a la red, falsificando su identificación para hacerse pasar por otro
usuario. De esta manera, el atacante puede asumir la identificación de un usuario válido de la
red, obteniendo sus privilegios.
PHARMING Es la manipulación del mecanismo de resolución de nombres de dominio en Internet, llevada a
cabo mediante la introducción de código malicioso en los servidores conectados a la red.
Cuando un usuario ingresa una dirección en su navegador, ésta debe ser convertida a una
dirección de IP numérica. Este proceso, que se denomina resolución de nombres, es llevado a
cabo por servidores DNS (Domain Name Servers). En ellos se almacenan tablas con las
direcciones de IP de cada nombre de dominio. El pharming consiste en adulterar este sistema,
de manera que cuando el usuario cree que está accediendo a su entidad financiera en
Internet, en realidad esta ingresado a una página Web falsa.
AIRsniffing: consiste en capturar paquetes de información que circulan por redes
inalámbricas. Para ello es necesario contar con una placa de red "wireless" configurada en
modo promiscuo y una antena.
War Driving y Netstumbling: estas técnicas se valen del AIRsniffing, ya que consisten en
circular (generalmente en un vehículo) por un vecindario o zona urbana, con el objeto de
capturar información transmitida a través de redes inalámbricas. Esto es posible debido a que
generalmente las ondas de transmisión de información en redes inalámbricas se expanden
fuera del área donde se ubican los usuarios legítimos de la red, pudiendo ser alcanzadas por
atacantes. Lo que en ocasiones las hace más vulnerables es la falta de seguridad con que se
encuentran implementadas.
Para mas información mirar el tema 1 de Seguridad y Alta Disponibilidad
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 41
9. Riesgos potenciales en los servicios de red.
• Seguridad en los dispositivos de red : terminales, switch y router.
Seguridad en los terminales: instalaciones por defecto no pensadas para la seguridad o
la facilitación a los usuarios son algunos de los motivos por los que nuestros quipos no
son seguros.algunas medidas que se pueden tomar son:
- Conocimientos del sistema
- Verificación de la integridad
- Protocolos cifrados
- Revisión de los registros
- Paranoia (evitar ejecución de código externo. Aplicaciones “seguras”)
- Eliminación de servicios innecesarios
- Reglas de acceso (cotafuegos)
o Ventajas
� Control de acceso
� Limita el alcance de los problemas de seguridad en redes locales
� Limita la posibilidad de utilizar sistemas comprometidos para atacar a
terceros
� Limita la posibilidad de extraer información
o Inconvenientes
� Dificultad a la hora de configurarlos
� Dificultad a la hora de instalar nuevos servicios
� Dificultad con protocolos que usan puertos aleatorios
� Ralentización
� Importancia relativa en maquinas sin servicios y con accesos
controlados
- Mantener el sistema actualizado
- A nivel de administración
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 42
o Políticas de seguridad
o Diseño estricto de la red
o Barreras de acceso
o Copias de seguridad (recuperación ante desastres)
o Cifrado de las comunicaciones
o Protoclos de autentificación seguros
o Medidas preventivas
o Trampas (Honeypots)
Protección de los switch: los puertos de entrada pueden ser un punto de entrada a la red por
parte de usuarios no autorizados. Para evitarlo, los switches ofrecen una función que se
conoce como seguridad de puertos. La seguridad de puertos limita la cantidad de direcciones
MAC validas que se permiten por puerto. El puerto no reenvia paquetes con direcciones MAC
de origen que se encuentran fuera del grupo de direcciones definidas. Existen tres maneras de
configurar la seguridad de puertos:
Estatica: las direcciones MAC se configuran manualmente con el comando de configuración de
interfaz switchport port-security mac-address. Las direcciones MAC estaticas se almacenan en
la tabla de direcciones y se agregan a la configuración.
Dinámica: las direcciones MAC se aprenden de manera dinámica y se almacenan en la tabla de
direcciones. Se puede controlar la cantidad de direcciones que se aprenden. La cantidad
máxima predeterminada de direcciones MAC que se aprenden por puerto es una. Las
direcciones que se aprenden se borran de la tabla si el puerto se desconecta o si el switch se
reinicia.
Sin modificación: similar a la dinámica excepto que las direcciones también se guardan en la
configuración en ejecución.
Routers: debemos tomar las siguientes políticas de seguridad:
- Seguridad física
o Designar al personal para actividades de instalación y desinstalación
o Designar la persona para realizar actividades de mantenimiento
o Designar al personal para realizar la conexión física
o Definir controles de colocación y usos de la consola y los puertos de acceso
o Definir procedimientos de resuperacion ante eventualidades físicas
- Seguridad de configuración física
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 43
o Designar las personas que acceden al router via consola o en forma remota
o Designar la persona con privilegios de administración.
o Definir procedimientos para realizar cambios a la configuración.
o Definir políticas de contraseñas de usuario y administración.
o Definir protocolos, procedimientos y redes para acceso remoto.
o Definir plan de recuperación que incluya responsabilidades individuales ante
incidentes.
o Definir políticas de revisión de bitácoras.
o Definir procedimientos y limitaciones del monitoreo remoto (SNMP)
- Seguridad deconfiguracionestatica
o Definir directrices para la detección de ataques directos
o Definir políticas de administración en intercambio de información (Protocolos
de ruteo, RADIUS, SNMP, TACAS+, NTP).
o Definir políticas de intercambio de llaves de encriptación.
- Seguridad de configuración dinámica
o Identificar los servicios de configuración dinámica del router, y las redes
permitidas para accesar dichos servicios.
o Identificar los protocolos de routeo a utilizar, y sus esquemos de seguridad
que proveen.
o Designar mecanismos y políticas de actualización del reloj (manual o por NTP)
o Identificar los algoritmos criptográficos autorizados para levantar vpn´s.
- Seguridad en servicios de red
o Enumerar protocolos, pùertos y servicios a ser permitidos o filtrados en cada
interface, asi como los procedimientos para su autorización.
o Describir procedimientos de seguridad y roles para interactuar con
proveedores externos.
Para conseguir seguridad en el router debemos:
- Loopback
o Enumerar a las personas u organizaciones y ser notificadas en caso de una red
comprometida
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 44
o Identificar la información relavante a ser capturada y retenida
o Definir procedimientos de respuesta, autoridades y los objetivos de la
respuesta después de un ataque exitoso, incluir esquemas de preservación de
la evidencia (cadena de custodia)
- Seguridad en servicios de red
o Enumerar protocolos, puertos y servicios a ser permitidos o filtrados en cada
interface, asi como los procedimientos para su autorización.
o Describir procedimientos de seguridad y roles para interactuar con
proveedores externos.
• Seguridad en los servicios de red por niveles: Enlace, Red (IP), Transporte(TCP-UDP) y Aplicación.
Seguridad en el nivel de enlace:
- Ataques basados en MAC y ARP
o CAM Table Overlow:consiste en el inundar la tabla de direcciones MAC
de un switch haciendo que el switch envie todas las tramas de las
direcciones MAC que no tiene en la tabla a todos los equipos,
haciendo que actue como HUB.
o ARP Spoofing:es una técnica usada para infiltrarse en una red Ethernet
conmutada que puede permitir al atacante husmear paquetes de
datos en la LAN, modificar trafico, o incluso detenerlo.
o Ataques que emplean ARP Spoofing:
� Switch Port Stealing: el atacante consigue que todas las tramas
dirigidas hacia otro puerto del switch lleguen a puertos del
atacante para luego re-enviarlos hacia su destinatario y de
esta manera poder ver el trafico que viaja desde el remitente
hacia el destinatiario
� Man in the middle: utilizando ARP Spoofing el atacacnte logra
que todas las tramas que intercambian las victimas pasen
priemro por su equipo
� Hijacking: el atacante puede lograr redirigir el flujo de tramas
entre dos dispositivos hacia su equipo. Asi puede lograr
colocarse en cualquera de los dos extremos de la
comunicación
� Denial of service (DoS): el atacante puede hacer que un equipo
critico de la red tenga una dirección MAC inaccesible. Con esto
se logra que las tramas dirigidas a la IP de este dispositivo se
pierdan
- Ataques basados en VLAN
o Dinamic trunking protocol: automatiza la configuración de los trunk
802.1Q. sincroniza el modo de trunking en los extremos haciendo
innecesaria la intervención administrativa en ambos extremos.
o Vlan hopping attack: un equipo puede hacerse para coo un switch con
80.2.1Q y DTP , o bien se puede emplear como un Switch volviendo al
equipo miembro de todas las VLAN. Requiere que el puerto este
configurado con trunking automatico.
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 45
o Doublé encapsulated VLAN Hopping Attack: una trama 802.1Q lleva
otra trama 802.1Q, solo permiten trafico en una sola dirección y solo
funciona entre VLAN.
o VLAN trunking Protocol:se emplea para distribuir configuración de
VLAN a través de multiples dispositivos. Solo se emplea en puertos
trunk y puede causar muchos inconvenientes. Utiliza autentificación
MD5.
- Ataques basados en STP: l atacante puede ver tramas que no debería(esto
permite ataques DoS,MIM, etc )
Seguridad a nivel de red:
- Filtrado de paquetes: permitir a los usuarios de la red local acceder a los
servicios, limitando asi el acceso a los del exterior. Esto se hace en los filtros
del router.
- Monitorización de routers y equipos de acceso:controlar los accesos mediante
ficheros LOG
- Separa las redes y filtros anti-sniffing: con esto conseguimos evitar que una
atacante pueda obtener calves de acceso mediante sniffers.
Seguridad en la capa de alicacion:
- Cifrado: nos da integridad, autenticidad, garantía de recepción, y un
comprobante del envio
- Certificados digitales:son contenedores de información que se intercambian
en trasacciones digitales. Un certificado puede contener datos del emisor y su
clave publica.estan firmados con claves privadasde uno o mas entes
certificadores.
- SSL: es un protocolo de seguridad que provee privacia en las comunicaciones a
través de internet. Sus objetivos son: dar seguridad criptográfica,
interoperabilidad, extensibilidad y eficienca relativa
- TLS: este protocolo se basa en SSL 3.0 y presenta diferencias menores
SET: propuesta de Visa y Mastercard àra permitir transacciones elctronicas seguras. Utiliza
certificados digitales para verificar la identidad de las partes involucradas en la transacción. La
verificación se realiza mediante cifrado asimetrica
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 46
10. Monitorización del tráfico en redes: Herramientas.
A pesar de la inmensa cantidad de herramientas que encontramos solo se mencionan algunas:
Network Manager agregado es una red de clase empresarial / aplicación / plataforma de
supervisión del rendimiento. Se integra perfectamente con otros sistemas inteligentes de
gestión de edificios, tales como control de acceso físico, HVAC, iluminación, y el tiempo /
control de asistencia.
Airwave Gestión PlatformT (AMP) de red inalámbrica de software de gestión permite un
control centralizado para redes Wi-Fi. Las características incluyen: punto de acceso de gestión
de configuración, presentación de informes, seguimiento de los usuarios, ayudar a puntos de
vista escritorio, y rogue AP descubrimiento.
akk da es un sistema de monitoreo de red simple diseñado para redes de ordenadores
pequeños y medianos. Su objetivo es detectar rápido fallo del sistema o de red y para mostrar
información acerca de los problemas detectados por los administradores. akk da está
diseñado como un monitor de red pro-activa. No esperar a que la información de todos los
agentes, sistemas, etc recoge la información que cada minuto (puede reducir este período de 1
segundo). Casi todos los servicios de los anfitriones control se descubren de forma automática.
Andrisoft WANGuard plataforma ofrece soluciones para la monitorización de enlaces WAN,
detección y mitigación de DDoS, lo que representa el tráfico y la representación gráfica.
Axence nVision supervisa la infraestructura de red: Windows, servicios TCP / IP, servidores
web y de correo, URLs, aplicaciones (MS Exchange, SQL, etc.) También supervisa routers y
conmutadores: tráfico de red, estado de la interfaz, los ordenadores conectados. nVision
recoge el inventario de la red y el uso de licencias de auditoría - puede alertar en caso de una
instalación de programas o cualquier cambio de configuración en un nodo remoto. Con el
agente usted puede supervisar la actividad del usuario y acceso remoto a los ordenadores.
Castle Rock
CommandCenter NOC de Raritan proporciona votación, Windows y UNIX / Linux de
administración de servidores, detección de intrusos, análisis de vulnerabilidades y análisis de
tráfico en un dispositivo integrado.
Cymphonix Red Compositor supervisa el tráfico de Internet por usuario, aplicación, y la
amenaza. Incluye controles de forma de acceso a recursos de Internet por usuario, grupo y / u
hora del día. También con el bloqueo de proxy anónimos, la gestión de políticas y la
supervisión en tiempo real.
David sistema le permite gestionar sus recursos y servicios a través de intranet e Internet.
proporcionar auto-descubrimiento y la construcción de la topología de la red ofrece para
ayudar a mantener una visión intuitiva de su infraestructura de TI. Recursos, monitoreo en
tiempo real y accesibilidad de los datos históricos de la reacción al fracaso. Interfaces
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 47
configuradas para los dispositivos de control le permiten centrarse en los aspectos más
importantes de su trabajo.
dopplerVUe proporciona la detección de redes, la cartografía y el sistema de reglas permite
el monitoreo de Ping, SNMP, syslog, y las métricas de rendimiento de WMI. Se puede utilizar
para controlar los dispositivos IPv6. Monitores de servicios tales como DNS, HTTP y correo
electrónico.
eBox es una distribución de código abierto y de desarrollo, basada en Ubuntu Linux,
destinados a gestionar los servicios en una red informática.
EM de Sciencelogic es un NMS integrado con problemas de entradas, gestión de eventos,
informes, gestión de IP, DNS y supervisión.
Fidelia también tiene la hélice herramienta de nivel de entrada para las pequeñas empresas.
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 48
11. Intentos de penetración.
Un intento de Penetración es un análisis que permite detectar vulnerabilidades en un entorno
informatizado mediante la búsqueda, la identificación y explotación de vulnerabilidades. Su
alcance se extiende a:
- Equipos de comunicaciones;
- Servidores;
- Estaciones de trabajo;
- Aplicaciones;
- Bases de Datos;
- Servicios Informáticos;
- Casillas de Correo Electrónico;
- Portales de Internet;
- Intranet corporativa;
- Acceso físico a recursos y documentación;
Ingeniería social (La ingeniería social es la técnica por la cual se obtiene información
convenciendo al usuario que otorgue información confidencial, haciéndose pasar por usuarios
con altos privilegios como administradores y técnicos).
Para realizar un Intento de Penetración es necesario realizar las siguientes tareas:
Reconocimiento de los recursos disponibles mediante el empleo de herramientas automáticas.
Identificación de las vulnerabilidades existentes mediante herramientas automáticas.
Explotación manual y automática de las vulnerabilidades para determinar su alcance.
Análisis de los resultados.
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 49
Sistemas de Detección de intrusos (IDS).
Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection System)
es un programa usado para detectar accesos no autorizados a un computador o a una red.
Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan
herramientas automáticas.
El término IDS (Sistema de detección de intrusiones) hace referencia a un mecanismo que,
sigilosamente, escucha el tráfico en la red para detectar actividades anormales o sospechosas,
y de este modo, reducir el riesgo de intrusión.
Existen dos claras familias importantes de IDS:
El grupo N-IDS (Sistema de detección de intrusiones de red), que garantiza la seguridad dentro
de la red.
El grupo H-IDS (Sistema de detección de intrusiones en el host), que garantiza la seguridad en
el host.
Un N-IDS necesita un hardware exclusivo. Éste forma un sistema que puede verificar paquetes
de información que viajan por una o más líneas de la red para descubrir si se ha producido
alguna actividad maliciosa o anormal. El N-IDS pone uno o más de los adaptadores de red
exclusivos del sistema en modo promiscuo. Éste es una especie de modo "invisible" en el que
no tienen dirección IP. Tampoco tienen una serie de protocolos asignados. Es común encontrar
diversos IDS en diferentes partes de la red. Por lo general, se colocan sondas fuera de la red
para estudiar los posibles ataques, así como también se colocan sondas internas para analizar
solicitudes que hayan pasado a través del firewall o que se han realizado desde dentro.
El H-IDS se encuentra en un host particular. Por lo tanto, su software cubre una amplia gama
de sistemas operativos como Windows, Solaris, Linux, HP-UX, Aix, etc.
El H-IDS actúa como un daemon o servicio estándar en el sistema de un host.
Tradicionalmente, el H-IDS analiza la información particular almacenada en registros (como
registros de sistema, mensajes, lastlogs y wtmp) y también captura paquetes de la red que se
introducen/salen del host para poder verificar las señales de intrusión (como ataques por
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 50
denegación de servicio, puertas traseras, troyanos, intentos de acceso no autorizado,
ejecución de códigos malignos o ataques de desbordamiento de búfer).
Técnicas de Detección de intrusos.
El tráfico en la red (en todo caso, en Internet) generalmente está compuesto por datagramas
de IP. Un N-IDS puede capturar paquetes mientras estos viajan a través de las conexiones
físicas a las que está sujeto. Un N-IDS contiene una lista TCP/IP que se asemeja a los
datagramas de IP y a las conexiones TCP. Puede aplicar las siguientes técnicas para detectar
intrusiones:
Verificación de la lista de protocolos: Algunas formas de intrusión, como "Ping de la muerte" y
"escaneo silencioso TCP" utilizan violaciones de los protocolos IP, TCP, UDP e ICMP para atacar
un equipo. Una simple verificación del protocolo puede revelar paquetes no válidos e indicar
esta táctica comúnmente utilizada.
Verificación de los protocolos de la capa de aplicación: Algunas formas de intrusión emplean
comportamientos de protocolos no válidos, como "WinNuke", que utiliza datos NetBIOS no
válidos (al agregar datos fuera de la banda). Para detectar eficazmente estas intrusiones, un N-
IDS debe haber implementado una amplia variedad de protocolos de la capa de aplicación,
como NetBIOS, TCP/IP, etc.
Esta técnica es rápida (el N-IDS no necesita examinar la base de datos de firmas en su totalidad
para secuencias de bytes particulares) y es también más eficiente, ya que elimina algunas
falsas alarmas. Por ejemplo, al analizar protocolos, N-IDS puede diferenciar un "Back Orifice
PING" (bajo peligro) de un "Back Orifice COMPROMISE" (alto peligro).
Reconocimiento de ataques de "comparación de patrones": Esta técnica de reconocimiento de
intrusión es el método más antiguo de análisis N-IDS y todavía es de uso frecuente.
Consiste en la identificación de una intrusión al examinar un paquete y reconocer, dentro de
una serie de bytes, la secuencia que corresponde a una firma específica. Por ejemplo, al buscar
la cadena de caracteres "cgi-bin/phf", se muestra un intento de sacar provecho de un defecto
del script CGI "phf". Este método también se utiliza como complemento de los filtros en
direcciones IP, en destinatarios utilizados por conexiones y puertos de origen y/o destino. Este
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 51
método de reconocimiento también se puede refinar si se combina con una sucesión o
combinación de indicadores TCP.
Esta táctica está difundida por los grupos N-IDS "Network Grep", que se basan en la captura de
paquetes originales dentro de una conexión supervisada y en su posterior comparación al
utilizar un analizador de "expresiones regulares". Éste intentará hacer coincidir las secuencias
en la base de firmas byte por byte con el contenido del paquete capturado.
La ventaja principal de esta técnica radica en la facilidad de actualización y también en la gran
cantidad de firmas que se encuentran en la base N-IDS. Sin embargo, cantidad no siempre
significa calidad. Por ejemplo, los 8 bytes “CE63D1D2 16E13CF”, cuando se colocan al inicio
de una transferencia de datos UDP, indican un tráfico Back Orifice con una contraseña
predeterminada. Aunque el 80% de las intrusiones utilicen la contraseña predeterminada, el
20% utilizarán contraseñas personalizadas y no serán necesariamente reconocidas por el N-
IDS. Por ejemplo, si la contraseña se cambia a "evadir", la serie de bytes se convertirá en
"8E42A52C 0666BC4A", lo que automáticamente la protegerá de que el N-IDS la capture.
Además, la técnica inevitablemente conducirá a un gran número de falsas alarmas y falsos
positivos.
Existen otros métodos para detectar e informar sobre intrusiones, como el método Pattern
Matching Stateful, y/o para controlar el tráfico peligroso o anormal en la red.
En conclusión, un perfecto N-IDS es un sistema que utiliza las mejores partes de todas las
técnicas mencionadas anteriormente.
Tipos de IDS: (Host IDS, Net IDS).
Existen dos tipos de sistemas de detección de intrusos:
HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del éxito de los intrusos,
que generalmente dejaran rastros de sus actividades en el equipo atacado, cuando intentan
adueñarse del mismo, con propósito de llevar a cabo otras actividades. El HIDS intenta
detectar tales modificaciones en el equipo afectado, y hacer un reporte de sus conclusiones.
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 52
NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red.
Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.
Software libre y commercial
El software libre (en inglés free software, aunque esta denominación también se confunde a
veces con "gratis" por la ambigüedad del término "free" en el idioma inglés, por lo que
también se usa "libre software") es la denominación del software que respeta la libertad de los
usuarios sobre su producto adquirido y, por tanto, una vez obtenido puede ser usado, copiado,
estudiado, modificado y redistribuido libremente. Según la Free Software Foundation, el
software libre se refiere a la libertad de los usuarios para ejecutar, copiar, distribuir, estudiar,
modificar el software y distribuirlo modificado.
El software libre suele estar disponible gratuitamente, o al precio de costo de la distribución a
través de otros medios; sin embargo no es obligatorio que sea así, por lo tanto no hay que
asociar software libre a "software gratuito" (denominado usualmente freeware), ya que,
conservando su carácter de libre, puede ser distribuido comercialmente ("software
comercial"). Análogamente, el "software gratis" o "gratuito" incluye en ocasiones el código
fuente; no obstante, este tipo de software no es libre en el mismo sentido que el software
libre, a menos que se garanticen los derechos de modificación y redistribución de dichas
versiones modificadas del programa.
Software Libre se refiere a la libertad de los usuarios para ejecutar, copiar, distribuir, estudiar,
cambiar y mejorar el software. De modo más preciso, se refiere a cuatro libertades de los
usuarios del software:
La libertad de usar el programa, con cualquier propósito (libertad 0).
La libertad de estudiar cómo funciona el programa, y adaptarlo a tus necesidades (libertad 1).
El acceso al código fuente es una condición previa para esto.
La libertad de distribuir copias, con lo que puedes ayudar a tu vecino (libertad 2).
La libertad de mejorar el programa y hacer públicas las mejoras a los demás, de modo que
toda la comunidad se beneficie. (libertad 3). El acceso al código fuente es un requisito previo
para esto.
'Software libre' no significa 'no comercial'. Un programa libre debe estar disponible para uso
comercial, desarrollo comercial y distribución comercial. El desarrollo comercial del software
libre ha dejado de ser inusual; el software comercial libre es muy importante.
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 53
Cuando se habla de software libre, es mejor evitar términos como: `regalar' o `gratis', porque
esos téminos implican que lo importante es el precio, y no la libertad.
El software comercial es el software, libre o no, que es comercializado, es decir, que existen
sectores de la economía que lo sostiene a través de su producción, su distribución o soporte.
El software comercial cuenta con las siguientes características:
Tienen licencias, las cuales están limitadas por usuarios y son pagadas. Estas licencias
restringen las libertades de los usuarios a usar, modificar, copiar y distribuir el software.
El desarrollo, programación y actualización de este software sólo lo hace la empresa que tiene
los derechos. Como sucede con los productos Microsoft (Windows, Office, etc).
En el software comercial se suele esconder y mezquinar los avances y descubrimientos
tecnológicos entre las empresas que lo desarrollan.
Muchas veces con estrategias comerciales se suele hacer que los usuarios actualicen su
software comercial, sin que exista una necesidad verdadera de ello, consiguiendo de esta
forma hacer que el usuario invierta en nuevas licencias, la mayoría de las veces innecesarias.
Existen además tipos de software intermedios.
Software semilibre
Es aquel que mantiene las mismas características que el software libre para los usuarios
individuales, entidades educativas o sin ánimo de lucro, sin embargo prohibe esas libertades
para su uso comercial o empresarial.
Software propietario
Es aquel que no es libre ni semilibre; por lo tanto, su redistribución, modificación y copia están
prohibidas o, al menos, tan restringidas que es imposible hacerlas efectivas.
Freeware
No tiene una definición clara y precisa, sin embargo suele usarse para clasificar al software que
puede redistribuirse libremente pero no modificarse, entre otras cosas, porque no está
disponible su código fuente. El freeware no es software libre.
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 54
Shareware
Es un software que permite su redistribución, sin embargo no viene acompañado de su código
fuente y, por tanto, no puede ser modificado. Además, pasado un periodo de tiempo,
normalmente es necesario pagar una licencia para continuar usándolo, luego tampoco es
software libre
VENTAJAS Y DESVENTAJAS
SOFTWARE COMERCIAL.
VENTAJAS
Las compañías productoras de software propietario, por lo general, tienen departamentos de
control de calidad que llevan a cabo muchas pruebas sobre el software que producen.
Se destina una parte importante de los recursos a la investigación sobre la usabilidad del
producto.
Se tienen contratados algunos programadores muy capaces y con mucha experiencia.
El software propietario de marca conocida ha sido usado por muchas personas y es
relativamente fácil encontrar a alguien que lo sepa usar.
Existe software propietario diseñado para aplicaciones muy específicas que no existe en
ningún otro lado más que con la compañía que lo produce.
Los planes de estudios de la mayoría de las universidades del país tienen tradicionalmente un
marcado enfoque al uso de herramientas propietarias y las compañías fabricantes ofrecen a las
universidades planes educativos de descuento muy atractivos.
Existen gran cantidad de publicaciones, ampliamente difundidas, que documentan y facilitan el
uso de las tecnologías proveídas por compañías de software propietario, aunque el número de
publicaciones orientadas al software libre va en aumento.
DESVENTAJAS
Es difícil aprender a utilizar eficientemente el software propietario sin haber asistido a
costosos cursos de capacitación.
El funcionamiento del software propietario es un secreto que guarda celosamente la compañía
que lo produce. En muchos casos resulta riesgosa la utilización de un componente que es
como una caja negra, cuyo funcionamiento se desconoce y cuyos resultados son
impredecibles. En otros casos es imposible encontrar la causa de un resultado erróneo,
producido por un componente cuyo funcionamiento se desconoce.
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 55
En la mayoría de los casos el soporte técnico es insuficiente o tarda demasiado tiempo en
ofrecer una respuesta satisfactoria.
Es ilegal extender una pieza de software propietario para adaptarla a las necesidades
particulares de un problema específico. En caso de que sea vitalmente necesaria tal
modificación, es necesario pagar una elevada suma de dinero a la compañía fabricante, para
que sea ésta quien lleve a cabo la modificación a su propio ritmo de trabajo y sujeto a su
calendario de proyectos.
La innovación es derecho exclusivo de la compañía fabricante. Si alguien tiene una idea
innovadora con respecto a una aplicación propietaria, tiene que elegir entre venderle la idea a
la compañía dueña de la aplicación o escribir desde cero su propia versión de una aplicación
equivalente, para una vez logrado esto poder aplicar su idea innovadora.
Es ilegal hacer copias del software propietario sin antes haber contratado las licencias
necesarias.
Si una dependencia de gobierno tiene funcionando exitosamente un sistema dependiente de
tecnología propietaria no lo puede compartir con otras dependencias a menos que cada una
de éstas contrate todas las licencias necesarias.
Si la compañía fabricante del software propietario se va a la banca rota el soporte técnico
desaparece, la posibilidad de en un futuro tener versiones mejoradas de dicho software
desaparece y la posibilidad de corregir las erratas de dicho software también desaparece. Los
clientes que contrataron licencias para el uso de ese software quedan completamente
abandonados a su propia suerte.
Si una compañía fabricante de software es comprada por otra más poderosa, es probable que
esa línea de software quede descontinuada y nunca más en la vida vuelva a tener una
modificación.
En la mayoría de los casos el gobierno se hace dependiente de un solo proveedor.
SOFTWARE LIBRE
VENTAJAS
Ahorros multimillonarios en la adquisición de licencias.
Combate efectivo a la copia ilícita de software.
Eliminación de barreras presupuestales.
Beneficio social para el país.
Beneficio tecnológico para el país.
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 56
Muchos colaboradores de primera línea dispuestos a ayudar.
Tiempos de desarrollo sobre algo que no exista son menores por la amplia disponibilidad de
herramientas y librerías.
Las aplicaciones son fácilmente auditadas antes de ser usadas en procesos de misión crítica,
además del hecho de que las más populares se encuentran muy depuradas.
Tiende a ser muy eficiente (por que mucha gente lo optimiza, mejora).
Tiende a ser muy diverso: la gente que contribuye tiene muchas necesidades diferentes y esto
hace que el software esté adaptado a una cantidad más grande de problemas.
DESVENTAJAS
La curva de aprendizaje es mayor.
El software libre no tiene garantía proveniente del autor.
Se necesita dedicar recursos a la reparación de erratas.
No existiría una compañía única que respaldará toda la tecnología.
Las interfaces amigables con el usuario (GUI) y la multimedia apenas se están estabilizando.
El usuario debe tener nociones de programación, ya que la administración del sistema recae
mucho en la automatización de tareas y esto se logra utilizando, en muchas ocasiones,
lenguajes de guiones (perl, python, shell, etc).
La diversidad de distribuciones, métodos de empaquetamiento, licencias de uso, herramientas
con un mismo fin, etc., pueden crear confusión en cierto número de personas.
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 57
12. Sistemas de seguridad en WLAN.
La revolución WiFi en todo el mundo significa poder conectarse en cualquier sitio dentro de
una gran ciudad, donde suele haber redes sin cables en hogares y oficinas. Pero resulta triste
comprobar que detrás de tanta generosidad no hay altruismo sino dificultades tecnológicas.
Los propietarios de las conexiones no las cierran porque es demasiado complicado.
¿Abierto o cerrado?
Las redes WiFi pueden ser abiertas o cerradas. En una red abierta, cualquier ordenador
cercano al punto de acceso puede conectarse a Internet a través de él, siempre que tenga una
tarjeta WiFi incorporada, claro. En la red cerrada el ordenador detectará una red inalámbrica
cercana disponible, pero para acceder habrá que introducir la contraseña. Es lo que suele
ocurrir en los aeropuertos y algunos hoteles, donde la contraseña se obtiene previo pago.
Hasta hace poco se empleaba un sistema de cifrado llamado WEP (Wired Equivalent Privacy)
para proteger las redes WiFi. Las transmisiones se cifran con una clave de 128 bits, y sólo los
usuarios con contraseña pueden conectarse al punto de acceso. La mayoría de las tarjetas y
puntos de acceso WiFi son compatibles con WEP, pero este sistema está desconectado por
defecto. Los usuarios por lo general no se molestan en activarlo, y la red queda abierta. Si el
vecino de al lado utiliza de vez en cuando la conexión de Internet quizá no sea demasiado
grave, pero cuando accede a información confidencial de la empresa o a fotos comprometidas
de las vacaciones la cosa es más seria.
Hoy se utiliza un sistema de seguridad llamado WPA, que son las siglas de WiFi Protected
Access. Este sistema está incluido en Windows XP con Service Pack 1, es más seguro que WEP y
mucho más fácil de utilizar.
REDES CERRADAS
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 58
La mayoría de los puntos de acceso o routers sin cable funcionan nada más conectarlos, o
vienen configurados por el operador. Pero si se quiere modificar algo, como la seguridad,
conviene conocer algunos de los parámetros de la conexión:
• El identificador SSID: es el nombre de la red WiFi que crea el punto de acceso. Por
defecto suele ser el nombre del fabricante ("3Com" o "Linksys"), pero se puede
cambiar y poner "PerezWiFi", por ejemplo.
• El canal: por lo general se usa el canal 6, pero si el vecino también tiene un punto de
acceso en este canal habrá que cambiarlo para evitar interferencias. Puede ser un
número entre 1 y 11.
• La clave WEP: si se utiliza WEP para cerrar la red WiFi, hay que indicar la contraseña
que tendrá que introducirse en los ordenadores que se quieran conectar.
• La clave compartida WPA: Como en el caso anterior, si se emplea seguridad WPA hay
que seleccionar una clave de acceso para poder conectarse a la red WiFi.
• Cifrado de 128 bits: En WEP y WPA las comunicaciones se transmiten cifradas para
protegerlas. Esto quiere decir que los números y letras se cambian por otros mediante
un factor. Sólo con la clave adecuada se puede recuperar la información. Cuanto más
grande sea el factor de cifrado (más bits), tanto más difícil resulta romper la clave.
La seguridad con WEP tiene algunos defectos. Las claves puede que no funcionen bien si se
utilizan tarjetas y puntos de acceso de distintos fabricantes, por ejemplo. Con WPA esto queda
solucionado con una clave o secreto compartido que puede tener entre 8 y 63 caracteres de
largo.
Lo que hace a WPA más seguro es que la clave se cambia automáticamente cada cierto
tiempo, y se actualiza en todos los equipos conectados. Hay un sistema que se encarga de
distribuir las nuevas claves de forma segura llamado TKIP.
SEGURIDAD Y FIABILIDAD
Uno de los problemas a los cuales se enfrenta actualmente la tecnología Wi-Fi es la progresiva
saturación del espectro radioeléctrico, debido a la masificación de usuarios, esto afecta
especialmente en las conexiones de larga distancia (mayor de 100 metros). En realidad Wi-Fi
está diseñado para conectar ordenadores a la red a distancias reducidas, cualquier uso de
mayor alcance está expuesto a un excesivo riesgo de interferencias.
Un muy elevado porcentaje de redes son instalados sin tener en consideración
la seguridad convirtiendo así sus redes en redes abiertas (o completamente vulnerables a los
hackers), sin proteger la información que por ellas circulan.
Existen varias alternativas para garantizar la seguridad de estas redes. Las más comunes son la
utilización de protocolos de cifrado de datos para los estándares Wi-Fi como el WEP, el WPA, o
el WPA2 que se encargan de codificar la información transmitida para proteger su
confidencialidad, proporcionados por los propios dispositivos inalámbricos. La mayoría de las
formas son las siguientes:
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 59
� WEP, cifra los datos en su red de forma que sólo el destinatario deseado pueda acceder a
ellos. Los cifrados de 64 y 128 bits son dos niveles de seguridad WEP. WEP codifica los
datos mediante una “clave” de cifrado antes de enviarlo al aire. Este tipo de cifrado no
está muy recomendado, debido a las grandes vulnerabilidades que presenta, ya que
cualquier cracker puede conseguir sacar la clave.
� WPA: presenta mejoras como generación dinámica de la clave de acceso. Las claves se
insertan como de dígitos alfanuméricos, sin restricción de longitud
� IPSEC (túneles IP) en el caso de las VPN y el conjunto de estándares IEEE 802.1X, que
permite la autenticación y autorización de usuarios.
� Filtrado de MAC, de manera que sólo se permite acceso a la red a aquellos dispositivos
autorizados. Es lo más recomendable si solo se va a usar con los mismos equipos, y si son
pocos.
� Ocultación del punto de acceso: se puede ocultar el punto de acceso (Router) de manera
que sea invisible a otros usuarios.
� El protocolo de seguridad llamado WPA2 (estándar 802.11i), que es una mejora relativa
a WPA. En principio es el protocolo de seguridad más seguro para Wi-Fi en este momento.
Sin embargo requieren hardware y software compatibles, ya que los antiguos no lo son.
Sin embargo, no existe ninguna alternativa totalmente fiable, ya que todas ellas son
susceptibles de ser vulneradas.
* Recomendaciones de seguridad en WLAN.
Para finalizar esta serie de notas sobre la seguridad para redes WIFI, entregamos algunos
consejos finales para mejorar la seguridad.
- Instale el router en el ambiente más alejado de la calle y las ventanas. Muchos routers
permiten controlar la intensidad de la señal, por esto, disminuya la intensidad para restringir la
propagación fuera del edificio.
- Cambie la contraseña por default del router inalambrico: en general, el nombre de usuario es
admin y la contraseña también es admin.
- Cambie el SSID por default del router inalambrico y deshabilite el broadcast del SSID. Si es
posible, no hay que permitir acceder a la red local a través de la red inalámbrica sino
solamente a través de la red cableada conectada a uno de los puertos LAN del router.
- Utilice WPA, en caso de que no estar disponible utilice WEP con una contraseña de 128 bits,
si es posible.
- Instale actualizaciones de firmware cuando esten disponibles por el fabricante.
- Desconecte el router o deshabilite la red inalámbrica cuando no la utilice.
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 60
- Tenga siempre en mente la seguridad de todo el sistema instalando un firewall, actualizando
el antivirus, el sistema operativo y los programas.
� Establecer y hacer cumplir las políticas de fuerte autenticación para los dispositivos que
intentan acceder a redes corporativas.
� Establecer el uso obligatorio de una VPN corporativa y el cifrado cuando se hacen conexiones e
intercambio de datos. Mejor aún, instalar computadoras y otros dispositivos móviles para que
se conecten automáticamente a los datos cifrados de la VPN , de esta forma se pueden
determinar sí el dispositivo no ha sido extraviado o robado.
� Cerciorarse de que todos los dispositivos y aplicaciones de software están configurados
correctamente y tienen los últimos parches.
� Asegurarse que las políticas de seguridad corporativa prohíban a las personas la transferencia
de datos sensibles a dispositivos móviles o equipos no autorizados.
� Proporcionar a los trabajadores tarjetas de acceso a la banda ancha que requieren un plan de
servicio, para que los empleados no tengan que usar los puntos de acceso públicos para
conexiones inalámbricas.
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 61
13. Recomendaciones de seguridad en
WLAN. Recomendaciones de seguridad en WLAN.
Para finalizar esta serie de notas sobre la seguridad para redes WIFI, entregamos algunos
consejos finales para mejorar la seguridad.
- Instale el router en el ambiente más alejado de la calle y las ventanas. Muchos routers
permiten controlar la intensidad de la señal, por esto, disminuya la intensidad para restringir la
propagación fuera del edificio.
- Cambie la contraseña por default del router inalambrico: en general, el nombre de usuario es
admin y la contraseña también es admin.
- Cambie el SSID por default del router inalambrico y deshabilite el broadcast del SSID. Si es
posible, no hay que permitir acceder a la red local a través de la red inalámbrica sino
solamente a través de la red cableada conectada a uno de los puertos LAN del router.
- Utilice WPA, en caso de que no estar disponible utilice WEP con una contraseña de 128 bits,
si es posible.
- Instale actualizaciones de firmware cuando esten disponibles por el fabricante.
- Desconecte el router o deshabilite la red inalámbrica cuando no la utilice.
- Tenga siempre en mente la seguridad de todo el sistema instalando un firewall, actualizando
el antivirus, el sistema operativo y los programas.
� Establecer y hacer cumplir las políticas de fuerte autenticación para los dispositivos que
intentan acceder a redes corporativas.
� Establecer el uso obligatorio de una VPN corporativa y el cifrado cuando se hacen conexiones e
intercambio de datos. Mejor aún, instalar computadoras y otros dispositivos móviles para que
se conecten automáticamente a los datos cifrados de la VPN, de esta forma se pueden
determinar sí el dispositivo no ha sido extraviado o robado.
� Cerciorarse de que todos los dispositivos y aplicaciones de software están configurados
correctamente y tienen los últimos parches.
� Asegurarse que las políticas de seguridad corporativa prohíban a las personas la transferencia
de datos sensibles a dispositivos móviles o equipos no autorizados.
Cuaderno electrónico SAD UD2
Ramón Ballesteros Jiménez Página 62
� Proporcionar a los trabajadores tarjetas de acceso a la banda ancha que requieren un plan de
servicio, para que los empleados no tengan que usar los puntos de acceso públicos para
conexiones inalámbricas.