Guia 2ep

SEGURIDAD INFORMATICA EIAO - UANL
PRINCIPIOS DE LA SEGURIDAD INFORMATICA
QUE SE ENTIENDE POR SEGURIDAD INFORMTICA El espectacular crecimient !e Internet " !e l s ser#ici s telem$tic s %a c ntri&ui! a p pulari'ar a(n mas) si ca&e) el us !e la in* rm$tica " !e las re!es !e r!ena! res) %asta el punt !e +ue en la actuali!a! n se circunscri&en al $m&it la& ral " pr *esi nal) sin +ue inclus se %an c n#erti! en un element c ti!ian en muc% s % ,ares) c n un creciente impact en las pr pias acti#i!a!es !e c municaci-n " !e ci !e l s ciu!a!an s. P r tra parte) ser#ici s cr/tic s para una s cie!a! m !erna c m p !r/an ser ser#ici s *inancier s) el c ntr l !e la pr !ucci-n " suministr el0ctric ) l s me!i s !e transp rte) la sani!a!. Las re!es !e a&astecimient la pr pia A!ministraci-n Pu&lica est$n s p rta! s en su practica t tal p r sistemas " re!es in* rm$ticas) %asta el punt !e +ue en muc% s !e ell s se %an elimina! re!uci! !e * rma !r$stica l s pap0ales " l s pr ces s manuales. De a%/ la ,ran imp rtancia +ue se !e&er/a c nce!er a t ! s l s aspect s relaci na! s c n la se,uri!a! in* rm$tica en una r,ani'aci-n. La plani*icaci-n !e l s #irus " c-!i, s mali,n s " su r$pi!a !istri&uci-n en Internet a tra#0s !e re!es c m Internet) as/ c m l s miles !e ata+ues e inci!entes !e se,uri!a! +ue se pr !ucen t ! s l a1 s %an c ntri&ui! a !espertar un ma" r inter0s p r esta cuesti-n. Se puede definir La Seguridad Inform i!a como cualquier medida que impida la ejecucin de operaciones no autorizadas sobre un sistema o red informtica, cuyos efectos puedan conllevar daos sobre la informacin, comprometer su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de los usuarios autorizados al sistema Asimismo, es necesario considerar otros aspectos o cuestiones relacionadas cuando se habla de Seguridad Informtica Cumpliment !e las re,ulaci nes le,ales aplica!as a ca!a sect r tip !e r,ani'aci nes) !epen!ien! !el marc le,al !e ca!a pais. C ntr l en el acces a l s ser#ici s *reci! s " la in* rmaci-n ,uar!a!a p r un sistemas in* rm$tic
C ntr l en el acces " utili'aci-n !e *ic%er s pr te,i! s p r la le" c nteni! s !i,itales c n !erec% s !e aut r) *ic%er s c n !at s !e car$cter) etc. I!enti*icaci-n !e l s aut res !e la in* rmaci-n !e l s mensa2es . Re,istr !el us !e l s ser#ici s !e un sistema in* rm$tic ) etc. Des!e el punt !e #ista m$s ampli . La n rma ISO3IEC 14455 se !e*ine la se,uri!a! !e la in* rm$tica c m la preser#aci-n !e su c n*i!enciali!a! su inte,ri!a! " su !isp ni&ili!a! 6me!i!as c n ci!as p r su acr-nim 7CIA8en in,les 7C n*i!ential") Inte,rit") A#aila&ilit"89. P r su parte) la n rma ISO 4:5; !e*ine la Se,uri!a! In* rm$tica c m 7Una seria !e mecanism s +ue minimi'an la #ulnera&ili!a! !e &ienes " recurs s en una r,ani'aci-n8. Asimism p !em s menci nar tra !e*inici-n pr puesta p r INFOSEC Gl ssar" <===8 Se,uri!a! In* rm$tica s n las me!i!as " c ntr les +ue ase,uran la c n*i!enciali!a!) inte,ri!a! " !isp ni&ili!a! !e l s acti# s !e l s sistemas !e in* rmaci-n) inclu"en! %ar!>are) s *t>are) *ire>are " a+uella in* rmaci-n +ue pr cesan almacenan " c munican8. !ebemos tener en cuenta que la seguridad de un sistema informtico dependera de diversos factores, entre los que podr"amos destacar los sig La sensi&ili'aci-n !e l s !irecti# s " resp nsa&les !e la r,ani'aci-n) +ue !e&en ser c nscientes !e la necesi!a! !e !estinar recurs s a esta *unci-n. L s c n cimient s) capaci!a!es i implicaci-n !e l s resp nsa&les !el sistema in* rm$tic ? ! mini !e la tecn l ,/a utili'a!a en el sistema in* rm$tic " c n cimient s &re las p si&les amena'as " l s tip s !e ata+ues. La mentali'aci-n) * rmaci-n " asunci-n !e resp nsa&ili!a!es !e t ! s l s usuari s !el sistema. La c rrecta instalaci-n) c n*i,uraci-n " mantenimient !e l s e+uip s. La limitaci-n !e la asi,naci-n !e l s permis s " pri#ile,i s !e l s usuari s El s p rte !e l s *a&ricantes !e %ar!>are " s *t>are) c n la pu&licaci-n !e parc%es " actuali'aci nes !e sus pr !uct s +ue permitan c rre,ir l s *all s " pr &lemas relaci na! s c n la se,uri!a!. C ntemplara n s l la se,uri!a! *rente a las amena'as !el e@teri r) sin tam&i0n las amena'as pr ce!entes !el interi r !e la r,ani'aci-n aplican! a!em$s el principi !e 7De*ensa en Pr *un!i!a!8. La a!aptaci-n !e l s &2eti# s !e se,uri!a! !e las acti#i!a!es a reali'ar a las necesi!a!es reales !e la r,ani'aci-n. En este senti! ) se
!e&er/an e#itar p l/ticas " pr ce!imient s ,en0ric s) !e*ini! s para tratar !e cumplir l s re+uisit s impuest s p r tr s r,anism s. Para c ncluir % " se pue!e a*irmar +ue es resp nsa&ili!a! !e la Alta Direcci-n al p ner l s recurs s " me!i s necesari s para la implantaci-n !e un a!ecua! sistema !e Gesti-n !e la Se,uri!a! !e la In* rm$tica. #$I%&I#I' !( )!(*(%SA (% #$'*+%!I!A!, Est c nsiste en el !ise1 e implantaci-n !e #ari s ni#eles !e se,uri!a! !entr !el sistema in* rm$tic !e la r,ani'aci-n. De este m ! si una !e las &arreras es *ran+uea!a p r l s atacantes) c n#iene !isp ner !e me!i!as !e se,uri!a! a!ici nales +ue !i*iculten " retrasen su acces a in* rmaci-n c n*i!encial el c ntr l p r su parte !e recurs s cr/tic s !el sistema? se,uri!a! perimetral) se,uri!a! en l s ser#i! resA au!it rias " m nit ri'aci-n !e e#ent s !e se,uri!a!A etc. Aplican! este principi se re!uce !e * rma n ta&le el n(mer !e p tenciales atacantes) "a +ue l s a*ici na! s " 7script Bi!!ies8 s l se atre#en c n l s sistemas in* rm$tic s mas #ulnera&les ") p r tant mas *$ciles !e atacar. O"#ETI$OS DE LA SEGURIDAD INFORMATICA L s principales &2eti# s !e Se,uri!a! In* rm$tica s n l s si,uientes? Minimi'ar " ,esti nar l s ries, s " !etectar l s p si&les pr &lemas " amena'as a la se,uri!a!. Garanti'ar la a!ecua!a utili'aci-n !e l s recurs s " !e las aplicaci nes !el sistema. Limitar las per!i!as " c nse,uir la a!ecua!a recuperaci-n !el sistema en cas !e un inci!ente !e se,uri!a!. Cumplir c n el marc le,al " c n l s re+uisit s impuest s p r l s clientes en sus c ntrat s. Para cumplir c n est s plan s !e actuaci-n? &2eti# s una r,ani'aci-n !e&e c ntemplar cuatr
Tcnico) tant a ni#el */sic c m ni#el l-,ic Legal? al,un s pa/ses &li,an p r le" a +ue en !etermina! s sect res implanten una serie !e me!i!as !e se,uri!a! 6*inancier s) sanitari E. U. pr tecci-n !e !at s pers nales en la Uni-n Eur pea) etc.9 Humano? sensi&ili'aci-n " * rmaci-n !e emplea! s " !irecti# s) !e*inici-n !e *unci nes " &li,aci nes !el pers nalC Organizativo? !e*inici-n e implantaci-n !e p l/ticas !e se,uri!a!) planes) n rmas) pr ce!imient s " &uenas practicas !e actuaci-n.
Una r,ani'aci-n !e&e enten!er la Se,uri!a! In* rm$tica c m un pr ces " n c m un pr !uct +ue se pue!a 7c mprar8 7instalar8. Se trata !e un cicl iterati# ) en el +ue se inclu"en acti#i!a!es c m la #al raci-n !e ries, s) pre#enci-n) !etecci-n) " respuesta ante inci!entes !e se,uri!a!.
Reducir la posi$ilidad de%ue se produzca incidentes de seguridad
Revisin y actualizacin de las medidas de seguridad implantadas (auditoria)
La seguridad como proceso
Facilitar la rpida deteccin de los incidentes de seguridad
!onseguir la rpida recuperacin de los da"os e#perimentados
Minimizar el impacto en el sistema de in ormacin
SER$ICIOS DE SEGURIDAD DE LA INFORMATICA Para p !er alcan'ar l s &2eti# s) !entr !el pr ces !e ,esti-n !e la se,uri!a! in* rm$tica es necesari c ntemplar una serie !e ser#ici s *unci nes !e se,uri!a! !e la in* rmaci-n. &onfidencialidad Me!iante este ser#ici *unci-n !e se,uri!a! se ,aranti'a +ue ca!a mensa2e transmiti! almacena! en un sistema in* rm$tic s l p !r$ ser le/! p r su le,/tim !estinatari Autenticacin Esta ,aranti'a +ue la i!enti!a! !el crea! r !e un mensa2e ! cument es le,/tima) es !ecir) ,racias a esta *unci-n) el !estinatari !e un mensa2e p !r$ estar se,ur !e +ue su crea! r es la pers na +ue *i,ura c m remitente !e !ic% mensa2e Integridad La *unci-n !e inte,ri!a! se encar,a !e ,aranti'ar +ue un mensa2e *ic%er n %a si! m !i*ica! !es!e su creaci-n !urante su transmisi-n a tra#0s !e una re! in* rm$tica.
%o repudiacin El &2eti# !e este c nsiste en implementar un mecanism pr &at ri +ue permita !em strar la aut r/a " en#/ !e un !etermina! mensa2e) !e tal m ! +ue el usuari +ue l %a crea! " en#ia! a tra#0s !el sistema n pue!a p steri rmente ne,ar esta circunstancia situaci-n +ue tam&i0n se aplica al !estinatari !el en#i-. !isponibilidad La !isp ni&ili!a! es una cuesti-n !e especial para ,aranti'ar el cumplimient !e sus &2eti# s) "a +ue se !e&e !ise1ar un sistema l su*iciente r &ust *rente a ata+ues e inter*erencias c m para ,aranti'ar su c rrect *unci namient ) !e manera +ue pue!a estar permanentemente a !isp sici-n !e l s usuari s. Tam&i0n !e&em s c nsi!erar la recuperaci-n !el sistema *rente a p si&les inci!entes !e se,uri!a!) as/ c m *rente a !esastres naturales intenci na! s. Autorizacin -control de acceso a equipo y servicios. Me!iante este ser#ici !e aut ri'aci-n se persi,ue c ntr lar el acces !e ls usuari s a l s !istint s e+uip s " ser#ici s *reci! s p r el sistema in* rm$tic ) una #e' supera! el pr ces !e autenti*icaci-n !e ca!a usuari . Para ell se !e*inen unas Listas !e C ntr l !e Acces 6ACL9. Auditabilidad Est permite re,istrar " m nit ri'ar la utili'aci-n !e l s !istint s recurs s !el sistema p r parte !e l s usuari s +ue %an si! pre#iamente autentica! s " aut ri'a! s. De este m ! ) es p si&le !etectar situaci nes c mp rtamient s an-mal s p r parte !e l s usuari s a!em$s !e lle#ar un c ntr l !el ren!imient !el sistema. $eclamacin de origen Me!iante la reclamaci-n !e ri,en el sistema permite pr &ar +uien %a si! el crea! r !e un !etermina! mensa2e ! cument . $eclamacin de propiedad Este permite pr &ar +ue un !etermina! ! cument un c nteni! !i,ital pr te,i! p r !erec% s !e aut r pertenecen a un !etermina! usuari u r,ani'aci-n +ue stenta la titulari!a! !e l s !erec% s !e aut r. Anonimato en el uso de los servicias En la utili'aci-n !e !etermina! s ser#ici s !entr !e las re!es " sistemas in* rm$tic s tam&i0n p !r/a resultar c n#eniente ,aranti'ar el an nimat !e l s usuari s +ue acce!en a l s recurs s " c nsumen !etermina! s tip s !e ser#ici s) preser#an! !e este m ! su pri#aci!a!. Est p !r/a entrar en
&
c n*lict c n l s "a menci na! s) c m acces a l s recurs s
la autenti*icaci-n
la au!it ria !el
#roteccin de replica Se trata !e impe!ir la reali'aci-n !e 7ata+ues !e repetici-n8p r parte !e usuari s malici s s) c nsistentes en la interpretaci-n " p steri r reen#i- !e mensa2es para tratar !e en,a1ar al sistema " pr # car peraci nes n !esea!as) c m p !r/a ser el cas !e reali'ar #arias #eces una misma transacci-n &ancaria. En este ser#ici se suele recurrir a la utili'aci-n !e un n(mer !e secuencia sell temp ral en t ! s l s mensa2es " ! cument s. &onfirmacin de la presentacin de un servicio o la realizacin de una transaccin Este ser#ici permite c n*i,urar la reali'aci-n !e una peraci-n transacci-n) re*le2an! l s usuari s enti!a!es +ue %an inter#eni! en esta. $eferencia temporal -certificacin de fechas. Me!iante este se c nsi,ue !em strar el instante c ncret en +ue se %a en#ia! un mensa2e se %a reali'a! una !etermina!a peraci-n utili'an! ,eneralmente una re*erencia UTC Uni#ersal Time Cl cB. &ertificacin mediante /erceros de confianza La reali'aci-n !e t ! tip !e transacci nes a tra#0s !e me!i s electr-nic s re+uiere !e nue# s re+uisit s !e se,uri!a!) para ,aranti'ar la autenticaci-n !e las partes +ue inter#ienen) el c nteni! e inte,ri!a! !e l s mensa2es la c nstataci-n !e la reali'aci-n !e la peraci-n c municaci-n en un !etermina! instante temp ral. Para p !er *recer al,un s !e est s ser#ici s !e se,uri!a! se empie'a a recurrir a la *i,ura !el 7Tercer !e C n*ian'a8 r,anism +ue se encar,a !e certi*icar la reali'aci-n " el c nteni! !e las peraci nes " !e a#alar la i!enti!a! !e l s inte#inientes) ! tan! !e este m ! a las transacci nes electr-nicas !e una ma" r se,uri!a! 2ur/!ica. En un sistema in* rm$tic se pue!e recurrir a la implantaci-n !e !istintas t0cnicas " mecanism s !e se,uri!a! para p !er *recer l s ser#ici s !e se,uri!a! +ue se %an !escrit anteri rmente. I!enti*icaci-n !e usuari s) C ntr l l-,ic ) C pias !e se,uri!a!) Centr s !e respal! ) Encriptaci-n !e las transmisi nes) Duella !i,ita !e mensa2es) Sella! temp ral !e mensa2es) Utili'aci-n !e *irma electr-nica) Pr t c l s cript ,r$*ic s) An$lisis " *iltra! !el tra*ic ) Ser#i! res Pr @") Sistema !e !etecci-n !e intrusi nes 6IDS9) Anti#irus) etc. GESTION DE LA SEGURIDAD DE LA INFOR ACION
'
(l Si% ema de Ge% i&n de 'a Seguridad de 'a Informa!i&n (SGSI) se define como aquella parte del sistema general de gestin que comprende la pol"tica, le estructura organizativa, los procedimientos, los recursos necesarios para implementar la gestin de la seguridad en una organizacin0 Para ,esti nar la se,uri!a! !e la in* rmaci-n es precis c ntemplar t !a un serie !e tareas " pr ce!imient s +ue permitan ,aranti'ar l s ni#eles !e se,uri!a! e@i,i&les en una r,ani'aci-n) tenien! en cuenta +ue l s ries, s n se pue!en eliminar t talmente) per si se pue!en ,esti nar. En pala&ras !el e@pert Gene Spa** r! 7el (nic sistema #er!a!eramente se,ur es a+uel +ue se encuentra apa,a! ) encerra! en un ca2a *uerte !e titani enterra! en un &l +ue !e % rmi,-n) r !ea! !e ,as ner#i s " #i,ila! p r ,uar!ias arma! s " mu" &ien pa,a! s. Inclus ) " n ap star/a mi #i!a p r ell . P r tra parte) las P l/ticas !e Gesti-n !e la Se,uri!a! !e la In* rmaci-n est$n c nstitui!as p r el c n2unt !e n rmas re,ula! ras) pr ce!imient s) re,las " &uenas pr$cticas +ue !eterminan el m ! en +ue t ! s ls acti# s " recurs s inclu"en! la in* rmaci-n) s n ,esti na! s) pr te,i! s " !istri&ui! s !entr !e una r,ani'aci-n. Al implementar un Sistema !e Gesti-n !e Se,uri!a! !e la In* rmaci-n una r,ani'aci-n !e&e c ntemplar l s recurs s !e l s si,uientes aspect s? 1.- F rmali'ar la ,esti-n !e la se,uri!a! !e la in* rmaci-n. <.- Anali'ar " ,esti nar l s ries, s. E.- Esta&lecer pr ces s !e la se,uri!a! si,uien! la met ! l ,/a PDCA 7Plan8? Selecci-n " !e*inici-n !e me!i!as " pr ce!imient s. 7D 8? Implantaci-n !e me!i!as " pr ce!imient s !e me2 ra. 7C%ecB8? C mpr &aci-n " #eri*icaci-n !e las me!i!as implanta!as 7Act8? Actuaci-n para c rre,ir las !i*erencias !etecta!as en el sistema.
MODELO PARA LA GESTION DE LA SEGUIRIDAD DE LA INFORMACION Personas )ensi$ilizacin y Tecnologa

ormacin !ontrol y supervisin !olectivos a considerar0 /irectivos* administrativos* programadores* 1suarios* personal .#terno
)eleccin* instalacin* con iguracin y actualizacin de soluciones +, y ), !riptogra -a .standarizacin de productos /esarrollo seguro de aplicaciones
S. G. S. I.
Legislacin
!umplimiento y adaptacin a la legislacin actual0 L45/* L))6* L78* irma electrnica* !digo 5enal* 5ropiedad 6ntelectual9
Organizacin
5oliticas* normas y procedimientos: 5lanes de contingencia y respuesta a incidentes Relaciones con terceros (clientes* proveedores9)
P !em s !istin,uir #arias etapas ni#eles !e ma!ure' en la ,esti-n !e la se,uri!a! !e la in* rmaci-n en una r,ani'aci-n. En la si,uiente *i,ura se representa la e# luci-n e@perimenta!a p r una r,ani'aci-n a tra#0s !e l s !istint s ni#eles etapas !e ma!ure'.
Etapa 1:
6mplantacin de medidas por ;)entido !om<n=0 > !opias de )eguridad > !ontrol de acceso a recursos9
Etapa 2:
!umplimiento de la legislacin vigente0 L45/* L))6* /elitos in ormticos etc::
Etapa 3:
7estin glo$al de la seguridad de la in ormtica0 > /e inicin de una pol-tica de seguridad: > implantacin de planes y procedimientos de seguridad: > ?nlisis y 7estin de Riesgos > /e inicin de un 5lan de respuesta a incidentes y de continuidad de l @egocio
Etapa 4: !erti icacin de la 7estin de la )eguridad > !on ianza y veri ica$ilidad por parte de terceros CONSECUENCIAS DE LA FALTA DE SEGURIDAD A la % ra !e anali'ar las c nsecuencias !e la ausencia !e unas !e*icientes me!i!as ! se,uri!a! in* rm$tica) el impact t tal para la r,ani'aci-n
23
pue!e resultar &astante !i*/cil !e e#aluar "a +ue a!em$s !e l s p si&les !a1 s casi na! s a la in* rmaci-n ,uar!a! " a l s e+uip s " !isp siti# s !e re!) !e&er/am s tener en cuenta tr s imp rtantes per2uici s para la r,ani'aci-n. D ras !e tra&a2 in#erti!as en las reparaci nes " rec n*i,uraci nes !e l s e+uip " re!es Per!i!a casi na!as p r la !isp ni&ili!a! !e !i#ersas aplicaci nes " ser#ici s in* rm$tic s. R & !e in* rmaci-n c n*i!enciali!a! " su p si&le re#elaci-n a tercer s n aut ri'a! s Filtraci-n !e !at s pers nales !e usuari s re,istra! s en el sistema. P si&le mala ima,en !e la empresa ante tercer s Retras en el pr ces !e pr !ucci-n) per!i!a !e pe!i! s) impact en la cali!a! !el ser#ici ) per!i!a !e p rtuni!a! !e ne, ci . Pa, !e in!emni'aci nes p r !a1 s " per2uici s a tercer s) tenien! +ue a*r ntar a!em$s p si&les resp nsa&ili!a!es le,ales " la imp sici-n !e sanci nes a!ministrati#as.
<
POLITICAS)
PLANES)
PROCEDIMIENTOS
DE
SEGURIDAD
CONCE!TOS "ASICOS 22
Po'* i!a% de Seguridad) se !e*ine c m una 7!eclaraci-n !e intenci nes !e alt ni#el +ue cu&re la se,uri!a! !e l s sistemas in* rm$tic s " +ue pr p rci na las &ases para !e*inir " !elimitar resp nsa&ili!a!es para las !i#ersas actuaci nes t0cnicas " r,ani'ati#as +ue se re+uieran8. Un P'an de Seguridad es un c n2unt ! !ecisi nes +ue !e*inen curs s !e acci-n *utur s) as/ c m l me!i s +ue se #an a utili'ar para c nse,uirl s. Un Pro!edimien o de Seguridad es la !e*inici-n !etalla!a !e l s pas s a e2ecutar para lle#ar a ca& unas tareas !etermina!as. L s Pr ce!imient s !e Se,uri!a! permiten aplicar e implantar las P l/ticas !e Se,uri!a! +ue %an si! apr &a!as p r la r,ani'aci-n. #erar$u%a &e conce'to( al !roce&imiento( &e Seguri&a& )a*lar &e !ol%tica(+ !lane( ,
En la c(spi!e !e la pir$mi!e se situar/an l s &2eti# s *un!amentales !e la se,uri!a! !e la In* rmaci-n) resumi! s me!iante el acr-nim CIA. Una #e' *i2a! l s &2eti# s *un!amentales) es necesari !e*inir las p l/ticas !e se,uri!a!) as/ c m l s Planes " Pr ce!imient s !e actuaci-n para c nse,uir su implantaci-n en al r,ani'aci-n.
!6? 5ol-ticas 5lanes 5rocedimientos
8areas B 4peraciones L e Pr ce!imient s !e Se,uri!a! se !esc mp nen en tareas " peraci nes c ncretas) las cuales) a su #e') pue!en Registros B .videncias ,enerar una serie !e re,istr s " e#i!encias +ue *acilitan el se,uimient ) c ntr l " super#isi-n !el *unci namient !el Sistema !e Gesti-n !e Se,uri!a!. Las P l/ticas !e*inen $u se !e&e pr te,er en el sistema mientras +ue l Pr ce!imient s !e Se,uri!a! !escri&en como se !e&e c nse,uir !ic%a pr tecci-n. CARACTERISTICAS DESEA"LES DE LAS !OLITICAS DE SEGURIDAD Las principales caracter/sticas " re+uisit s +ue !e&er/an cumplir las P l/ticas !e Se,uri!a!? Las p l/ticas !e se,uri!a! !e&er/an p !er ser implementa!as a tra#0s !e !etermina! s pr ce!imient s a!ministrati# s " la pu&licaci-n !e unas ,u/as !e us acepta&le !el sistema p r parte !el pers nal.
2A
De&en !e*inir claramente las resp nsa&ili!a!es e@i,i!as al pers nal c n acces al sistema. De&en cumplir c n las e@i,encias !el ent rn le,al Se tienen +ue re#isar !e * rma peri-!ica para p !er a!aptarlas a las nue#as e@i,encias !e la r,ani'aci-n " !el ent rn tecn l-,ic " le,al. Aplicaci-n !el principi !e 7De*ensa en Pr *un!a!8? !e*inici-n e implantaci-n !e #ari s ni#eles capas !e se,uri!a!. Asi,naci-n !e l s m/nim s pri#ile,i s? L s ser#ici s) aplicaci nes " usuari s !el sistema !e&er/an tener asi,na! s l s m/nim s pri#ile,i s necesari s para +ue pue!an reali'ar sus tareas. Las p l/ticas !e Se,uri!a! n !e&en limitarse a cumplir c n l s re+uisit s impuest s p r el ent rn le,al las e@i,encias !e tercer s) sin +ue !e&er/an estar a!apta!as a las necesi!a!es reales !e ca!a r,ani'aci-n. De&em s tener en cuenta ! s aspect s c ntra!ict ri s en las re!es " sistemas in* rm$tic s? p r un la! ) su principal ra'-n !e ser es *acilitar la c municaci-n " el acces a la in* rmaci-n ") p r tr la! ase,urar +ue s l acce!en a ella l s usuari s !e&i!amente aut ri'a! s. Las p l/ticas !e Se,uri!a! !e&en C ntemplar n s l l s ata+ues pr #enientes !el mun! e@teri r a2en a la r,ani'aci-n) sin tam&i0n l s pr ce!imient s !e us intern . DEFINICION E I !LE ENTACION DE LAS !OLITICAS DE SEGURIDAD A la % ra !e !e*inir las P l/ticas !e Se,uri!a! en una c n#eniente c ntemplar l s si,uientes aspect s? r,ani'aci-n) seria
Alcance? recurs s) instalaci nes " pr ces s !e la r,ani'aci-n. O&2eti# s perse,ui! s " pri ri!a!es !e la r,ani'aci-n C mpr mis !e la Direcci-n !e la r,ani'aci-n. Clasi*icaci-n e i!enti*icaci-n !e la in* rmaci-n a pr te,er An$lisis " ,esti-n !e ries, s Element s " a,entes in# lucra! s en la implantaci-n. Asi,naci-n !e resp nsa&ili!a!es en l s !istint s ni#eles r,ani'ati# s De*inici-n clara " precisa !e l s c mp rtamient s e@i,i! s t !e l s +ue est$n pr %i&i! s p r parte !el pers nal. I!enti*icaci-n !e las me!i!as) n rmas) " pr ce!imient s !e se,uri!a! a implementar Gesti-n !e las relaci nes c n tercer s Planes !e c ntin,encia " !e c ntinui!a! !el ne, ci Cumplimient !e la le,islaci-n #i,ente De*inici-n !e las p si&les #i laci nes " !e las c nsecuencias !eri#a!as !el incumplimient !e las p l/ticas !e se,uri!a!.
23
Pers nas +ue !e&er/an estar implica! s en la !e*inici-n !e las P l/ticas !e Se,uri!a! Directi# s " resp nsa&les !e l s !istint s !epartament s " $reas !e la r,ani'aci-n Pers nal !el Departament !e In* rm$tica " De C municaci nes Miem&r s !e E+uip !e respuesta a Inci!entes !e Se,uri!a! In* rm$tica) 6si e@iste9. Representantes !e l s usuari s +ue pue!en #erse a*ecta! s p r las me!i!as a! pta!as C nsult res e@tern s e@pert s en la se,uri!a! in* rm$tica.
IN-ENTARIO DE LOS RECURSOS . DEFINICION DE LAS SER-ICIOS OFRECIDOS A la % ra !e implementar las P l/ticas !e Se,uri!a! se re+uiere !e un in#entari pre#i " !el mantenimient !e un re,istr actuali'a! !e l s recurs s !el sistema in* rm$tic !e la r,ani'aci-n) asimism ) ser$ necesari i!enti*icar l s !istint s punt s !e acces a la re! l s tip s !e c ne@i nes utili'a!as. El in#entari !e l s !istint s recurs s *acilitara el p steri r an$lisis !e las #ulnera&ili!a!es !el sistema in* rm$tic ) i!enti*ican! l s p si&les &2eti# s !e l s ata+ues intent s !e intrusi-n. Este in#entari se !e&e c mpletar c n la relaci-n !e l s ser#ici s *reci! s p r le sistema in* rm$tic !e la r,ani'aci-n) !istin,uien! entre l s ser#ici s !isp ni&les para l s emplea! s " l s ser#ici s +ue se preten!en *recer a usuari s e@tern s. L s resp nsa&les !e la r,ani'aci-n !e&er/an !e*inir las c n!ici nes !e us acepta&le para ca!a un !e est s ser#ici s !el sistema in* rm$tic ) as/ c m +ue $reas !epartament s se #an a encar,ar !e *recer l s !istint s ser#ici s " +ue pers nas ser$n las resp nsa&les !e a!ministrar " super#isar ca!a un !e est s ser#ici s. Una c pia !el in#entari actuali'a! !e recurs s " !e ser#ici s !el sistema !e&er/a ser c nser#a!a !e * rma se,ura) a ser p si&le en un centr !e respal! " en * rmat impres a!em$s !e electr-nic ) para p !er ser utili'a!a en cas !e recuperaci-n *rente a un !esastre un inci!ente ,ra#e !e se,uri!a!. REALI/ACION DE !RUE"AS . AUDITORIAS !ERIODICAS
24
La reali'aci-n !e prue&as " au!it rias peri-!icas !e se,uri!a! c nstitu"en un element !e ,ran imp rtancia para p !er c mpr &ar la a!ecua!a implantaci-n !e las !irectrices " me!i!a !e*ini!as en la P l/ticas !e Se,uri!a!. Seria c n#eniente le#ar a ca& una re#isi-n !e la c rrecta implantaci-n !e estas !irectrices " me!i!as) reali'an! para ell !istintas prue&as !e se,uri!a!? An$lisis !e p si&les #ulnera&ili!a!es !el sistema in* rm$tic S n!e s !e se,uri!a! +ue c mplementan el an$lisis !e #ulnera&ili!a!es c n tareas !e !etecci-n " !e re#isi-n !e las instalaci nes " c n*i,uraci-n !e l s e+uip s !e se,uri!a!. Prue&as !e intrusi-n) en las n s l se !etectan las #ulnera&ili!a!es) sin +ue se trata !e e@pl tar las +ue se %a"an i!enti*ica! para tratar !e c mpr meter el sistema a*ecta! El an$lisis " e#aluaci-n !e ries, s en el +ue se preten!e !eterminar cual es el ni#el !e ries, asumi! p r al r,ani'aci-n a partir !el an$lisis !e las p si&les amena'as " #ulnera&ili!a!es.
Tam&i0n es c n#eniente estu!ia la respuesta !e la r,ani'aci-n ante ata+ues simula! s " !etermina! s tip !e inci!entes !e se,uri!a!) !e * rma +ue se pue!a c mpr &ar la a!ecua!a e2ecuci-n !e la tareas " la !isp ni&ili!a! !e recurs s pre#ist s en l s planes !e c ntin,encia. Asimism ) en l s tra&a2 s !e au!it ria se !e&er/a re#isar el ni#el !el cumpliment !e l s re+uisit s le,ales
ELEMENTOS DE LAS POLITICAS DE SEGURIDAD
SEGURIDAD FRENTE AL !ERSONAL
25
Alta de (mpleados.- El pr ce!imient !e alta !e nue# s emplea! s re+uiere prestar atenci-n a aspect s c m el a!ecua! c%e+ue !e re*erencias " la inc rp raci-n !e !etermina!as cl$usulas !e c n*i!enciali!a! en l s c ntrat s) s &re t ! si la pers na en cuesti-n #a a tener !at s sensi&les "3 #a a mane2ar aplicaci nes cr/ticas !entr !el sistema in* rm$tic . 1aja de empleados02 Ante una &a2a !e un emplea! tam&i0n !e&er/a +ue!ar claramente !e*ini! ) !e tal m ! +ue l s resp nsa&les !el sistema in* rm$tic pue!an pr ce!er a la cancelaci-n &l +ue inme!iat !e las cuentas !e usuari " a la ren #aci-n !e permis s " pri#ile,i s +ue tenia c nce!i! s. *unciones, obligaciones y derechos de los usuarios02 En *unci-n !e las !istintas atri&uci nes !e l s usuari s !e la r,ani'aci-n) se ten!r$ +ue esta&lecer +uien esta aut ri'a! para reali'ar una serie !e acti#i!a!es " peraci nes !entr !el sistema in* rm$tic . *ormacin, y sensibilizacin de los usuarios02 la r,ani'aci-n !e&er$ in* rmar puntualmente a sus emplea! s c n acces al sistema in* rm$tic !e cuales sus &li,aci nes en materia !e se,uri!a!. AD0UISICI1N DE !RODUCTOS La p l/tica !e se,uri!a! relaci na!a c n la a!+uisici-n !e pr !uct s tecn l-,ic s necesari s para el !esarr ll " el mantenimient !e la r,ani'aci-n !e&e c ntemplar t !a una serie !e acti#i!a!es li,a!as al pr ces !e c mpra? E#aluaci-n !e pr !uct s !e acuer! c n las necesi!a!es " re+uisit s !e sistema in* rm$tic . E#aluaci-n !e pr #ee! res " el ni#el !el ser#ici +ue *rece An$lisis c mparati# !e *ertas De*inici-n " t0rmin s " c n!ici nes !e la c mpra Instalaci-n " c n*i,uraci-n !e l s pr !uct s F rmaci-n " s p rte a usuari s " a pers nal t0cnic Tareas !e s p rte " mantenimient p st#enta RELACI1N CON !RO-EEDORES En relaci-n c n pr #ee! res e@tern s re+uiere c ntemplar aspect s c m la ne, ciaci-n !e l s m/nim s ni#eles !e ser#ici " cali!a! en especial c n a+uell s pr #ee! res relaci na! s c n la in* rm$tica) las c municaci nes el tratamient !e l s !at s) se !e&er$ e@i,ir un cumplimient !e ciertas me!i!as !e se,uri!a! +ue pue!an a*ectar al sistema in* rm$tic !e la r,ani'aci-n. En la p l/tica !e relaci-n c n pr #ee! res se !e&er/an estipular las cl$usulas " e@i,encias %a&ituales en la *irma !e c ntrat s c n l s pr #ee! res a *in !e !elimitar las resp nsa&ili!a!es " l s re+uisit s !el ser#ici c ntrata! . SEGURIDAD F2SICA DE LAS INSTALACIONES
26
L s l cales ! n!e se u&i+uen l s r!ena! res +ue c ntienen pue!an c ntener a l s *ic%er s " !at s m$s sensi&les !e la r,ani'aci-n !e&er$n c ntar c n l s me!i s m/nim s !e se,uri!a! +ue e#iten l s ries, s !e in!isp ni&ili!a! +ue pu!ieran pr !ucirse c m c nsecuencia !e inci!encias * rtuitas intenci na!as. Las me!ia!as relaci na!as c n la se,uri!a! */sica !e&er/an c ntemplar las caracter/sticas !e c nstrucci-n !e l s e!i*ici s instalaci nes anali'an! aspect s c m l s si,uientes? Pr tecci-n *rente a !a1 s p r *ue, ) inun!aci-n) e@pl si nes) acces s n aut ri'a! s) etc. Selecci-n !e l s element s c nstructi# s intern s m$s a!ecua! s. Est s element s !e&er/an cumplir c n el m$@im ni#el !e pr tecci-n e@i,i! p r la n rmati#a !e c nstrucci-n. De*inici-n !e !istintas $reas ' nas !e se,uri!a! !entr !el e!i*ici ? $reas p(&licas) $reas internas " $reas restin,uitas. Disp ni&ili!a! !e ' nas !estina!as a la car,a) !escar,a " almacenamient !e suministr s. Implantaci-n !e sistemas !e #i,ilancia &asa! s en c$maras !e circuit cerra! !e tele#isi-n " en alarmas " !etect res !e m #imient . C ntr l !e c n!ici nes am&ientales en las instalaci nes) me!iante un sistema in!epen!iente !e #entilaci-n) cale*acci-n) aira ac n!ici na! ) etc. SISTE A DE !ROTECCI1N EL3CTRICA Las !irectrices !e se,uri!a! relaci na!as c n la pr tecci-n el0ctrica !e l s e+uip s in* rm$tic s !e&er/an !e*inir l s si,uientes aspect s? A!ecua!a c ne@i-n !e l s e+uip s a la t ma !e tierra Re#isi-n !e la instalaci-n el0ctrica especi*ica para el sistema in* rm$tic 6esta&ili'a!a) pr te,i!a " aisla!a a la !e la r,ani'aci-n. Eliminaci-n !e la electrici!a! est$tica en las salas ! n!e se u&i+uen l s e+uip s m$s imp rtantes) c m l s ser#i! res. Filtra! !e rui! s e inter*erencias electr ma,n0ticas Utili'aci-n !e sistema !e Alimentaci-n Interrumpi!a6SAI9 CONTROL DE NI-EL DE E ISIONES ELECTRO AGN3TICAS T ! s l e e+uip s in* rm$tic s " electr-nic s emiten se1ales ra!i el0ctricas +ue p !r/an re#elar in* rmaci-n !e inter0s a a+uell s usuari s c n l s me!i s para interceptar " anali'ar !ic%as se1ales. Para ell &astar/a c n una antena !irecci nal) ampli*ica! res " e+uip s !e ra!i *recuencia c necta! s a un r!ena! r) p r ell en al,un s cas s las p l/ticas !e se,uri!a! !e&er/an c ntemplar tam&i0n el cumplimient !e la n rmati#a TEMPEST 6Transient Electrma,netic Pulse Emisi-n Stan!ar!) Est$n!ar !e Emisi nes !e Puls s
2&
Electr ma,n0tic s Transit ri s9 p r parte !e l s e+uip s !e la r,ani'aci-n +ue inclu"en in* rmaci-n mas sensi&le. -IGILANCIA DE LA RED . DE LOS ELE ENTOS DE CONECTI-IDAD L s %u&s) s>itc%es) r uters punt s !e acces inal$m&ric s) p !r/an *acilitar el acces a la re! a usuari s n aut ri'a! s si n se encuentran pr te,i! s !e * rma a!eu!a. P r este m ti# se !e&er/an c ntemplar las me!i!as pre#istas para re* r'ar la se,uri!a! se est s e+uip s " !e t !a la re! la in*raestructura !e re!. CONFIGURACI1N SER-IDORES EN EL ACCESO . CONFIGURACI1N DE LOS
L s ser#i! res) !e&i! a su imp rtancia para el c rrect *unci namient !e muc%as aplicaci nes " ser#ici s !e la re! !e la r,ani'aci-n " a +ue suelen inc rp rar in* rmaci-n sensi&le) ten!r/an +ue estar s meti! s a ma" res me!i!as !e se,uri!a! en c mparaci-n c n l s e+uip s !e l s usuari s) c m p r e2empl ? Utili'aci-n !e una c ntrase1a a ni#el GIOS Utili'aci-n !e c ntrase1as !e encen!i! !el e+uip Inici !e sesi-n c n tar2etas inteli,entes "3 t0cnicas &i m0trica U&icaci-n !e l s ser#i! res en salas c n acces restrin,i! C n*i,uraci-n mas r &usta " se,ura !e l s ser#i! res !ROTECCI1N DE LOS E0UI!OS . ESTACIONES DE TRA"A#O Est s e+uip s s l se !e&er/an utili'ar las %erramientas c rp rati#as) +ue!an! t talmente pr %i&i!a la instalaci-n !e tras aplicaci nes s *t>are en l s r!ena! res PC !e la empresa p r parte !e sus usuari s. En cual+uier cas ) el usuari !el e+uip !e&er/a s licitar la apr &aci-n !el Departament !e In* rm$tica antes !e pr ce!er a instalar un nue# pr ,rama c mp nente s *t>are en su e+uip . L s usuari s n p !r$n cam&iar las c n*i,uraci nes !e sus e+uip s ni !e&er/an intentar s luci nar l s pr &lemas !e *unci namient e inci!encias !e se,uri!a! p r su pr pia cuentan !e&ien! n ti*icarlas en t ! cas al Departament !e In* rm$tica. Tam&i0n se p !r/a limitar el us !e !is+ueteras " uni!a!es lect ras3,ra&a! ras !e CD " DHD para e#itar +ue se pu!ieran ,ra&ar in* rmaci-n sensi&le se pu!ieran intr !ucir !etermina! s c nteni! s !a1in s en le e+uip CONTROL DE LO E0UI!OS 0UE !UEDAN SALIR DE LA ORGANI/ACI1N Las P l/ticas !e Se,uri!a! tam&i0n !e&er/an prestar atenci-n al c ntr l !e l s e+uip s +ue pue!an salir !e la r,ani'aci-n) c m l s r!ena! res 2'
p rt$tiles) a,en!as electr-nicas) etc. C m n rma ,eneral) l s e+uip s " me!i s in* rm$tic s !e la r,ani'aci-n n p !r$n salir !e la r,ani'aci-n p r l emplea! s sin la c rresp n!iente aut ri'aci-n. L s usuari s !e est s e+uip s !e&en ser c nsientes !e sus &li,aci nes " resp nsa&ili!a!es en relaci-n c n la se,uri!a! !e l s !at s " las aplicaci nes instala!as. Est s e+uip s p rt$tiles !e&er$n ser transp rta! s en & lsas especialmente ac n!ici na!as) estan! pr #ist s !e l s me!i !e pr tecci-n a!ecua! s c ntra acces s n aut ri'a! s? aplicaci-n !e c ntrase1as !e acces a ni#el GIOS) encriptaci-n !e !at s !el !isc !ur " tras uni!a!es !e almacenamient ) utili'aci-n !e t0cnicas !e se,uri!a! &i m0trica !e tar2etas cript ,r$*icas) pr tecci-n c ntra #irus " pr ,ramas !a1in s. CO!IAS DE SEGURIDAD Para ,aranti'ar la plena se,uri!a! !e l s !at s " !e l s *ic%er s !e una r,ani'aci-n n s l es necesari c ntemplar la pr tecci-n !e la c n*i!enciali!a!) sin +ue tam&i0n se %ace imprescin!i&le sal#a,uar!ar su inte,ri!a! " !isp ni&ili!a!. P r 7c pia !e respal! !e se,uri!a!8se entien!e una c pia !e l s !at s !e un *ic%er aut mati'a! en un s p rte +ue p si&ilite su recuperaci-n. La P l/tica !e C pias !e Se,uri!a! !e&er/a esta&lecer la plani*icaci-n !e las c pias +ue se !e&er/an reali'ar en *unci-n !el # lumen " tip !e in* rmaci-n ,enera!a p r el sistema) especi*ican! el tip !e c pias 6c mpleta) incremental) !i*erencial9 " el cicl !e esta peraci-n 6!iari ) semanal9. Las c pias !e se,uri!a! !e l s !at !e&er/an ser reali'a!as " super#isa!as p r pers nal !e&i!amente aut ri'a! . CONTROL DE LA SEGURIDAD DIS!OSITI-OS !ERIF3RICOS DE I !RESORAS . OTROS
En l +ue se re*iere a la pr tecci-n */sica !e las impres ras " tr s peri*0ric s estas n !e&er/an estar situa!as en $reas p(&licas. A!em$s a la % ra !e c ntr lar las sali!as impresas) la r,ani'aci-n !e&er/a insistir en la necesi!a! !e +ue sea el pr pi usuari !el sistema +ue en#/a un ! cument a la impres ra en +ue suma la resp nsa&ili!a! para e#itar +ue !ic% ! cument pue!a caer en man s !e pers nas n aut ri'a!as. GESTI1N DE SO!ORTES INFOR 4TICOS La r,ani'aci-n !e&er/a !isp ner !e un in#entari actuali'a! !e l s s p rtes ! n!e se ,uar!en !at s " ! cument s sensi&les? !is+uetes) CD) DHD) pen!ri#es. Est s s p rtes) cuan! c ntienen !at s *ic%er s especialmente sensi&les !e&er/an estar almacena! s en un lu,ar c n acces restrin,i! al
2(
pers nal aut ri'a! 6la pr pia sala !e ser#i! res) p r e2empl 9 para e#itar +ue tras pers nas pu!ieran &tener in* rmaci-n !e !ic% s s p rtes. GESTI1N DE CUENTAS DE USUARIOS Esta c nstitu"e un element *un!amental !entr !e las p l/ticas !e se,uri!a!) "a +ue !e ella !epen!er$ el c rrect *unci namient !e tras me!i!as " !irectrices !e se,uri!a! c m el c ntr l !e acces l-,ic a l s recurs s el re,istr !e la acti#i!a! !e l s usuari s. P r este m ti# se !e&er/a incluir en las p l/ticas !e se,uri!a! las !irectrices relati#as al pr ces !e s licitu!) creaci-n) c n*i,uraci-n) se,uimient " cancelaci-n !e cuentas !e usuari s. Asimism se !e&er/a !e*inir una n rma % m ,0nea !e i!enti*icaci-n !e usuari s para t !a la r,ani'aci-n. IDENTIFICACI1N . AUTENTICACI1N DE USUARIOS Este c nstitu"e un !e l s element s !el m !el !e se,uri!a! c n ci! c m 7AAA8 6Aut%enticati n) Aut ri'ati n) I Acc untin,9 +ue p !r/am s !e*inir c m Autenticaci-n) aut ri'aci-n " c nta&ili!a!. Este m !el para!i,ma !e se,uri!a! se utili'a para p !er i!enti*icar a l s usuari s " c ntr lar su acces a l s !istint s recurs s !e un sistema in* rm$tic re,istran! a!em$s c m se utili'a !ic% s recurs s. Este m !el se &asa en tres element s *un!amentales? I!enti*icaci-n " autenticaci-n !e l s usuari s C ntr l !e acces Re,istr !el us !e l s recurs s AUTORI/ACI1N . CONTROL DE ACCESO 5SEGURIDAD L1GICA6 Me!iante el c ntr l !e acces a l s !istint s recurs s !el sistema es p si&le implementar las me!i!as !e*ini!as p r la r,ani'aci-n) tenien! en cuenta las restricci nes !e acces !e las aplicaci nes a l s !at s ,uar!a! s en el sistema) a l s ser#ici s *reci! s " a tr s recurs s !e tip l-,ic !el sistema. El m !el !e se,uri!a! aplica! en el c ntr l !e acces se &asa en la !e*inici-n " ,esti-n !e !etermina! s &2et s l-,ic s " su2et s a l s +ue se c nce!en !erec% s " pri#ile,i s para reali'ar !etermina!as peraci nes s &re l s &2et s. Est s !erec% s " pri#ile,i s se pue!en #eri*icar me!iante el pr ces !e aut ri'aci-n !e acces 7 P !em s !istin,uir ! s tip s !e c ntr l !e acces ? C ntr l !e acces O&li,at ri .- l s permis s !e acces s n !e*ini! s p r el sistema perati# . C ntr l !e acces Discreci nal.- l s permis s !e acces l s c ntr la " c n*i,ura el pr pietari !e ca!a &2et .
A3
La P l/tica !e C ntr l !e Acces permite !e*inir una serie !e restricci nes !e acces n s l "a en *unci-n !e la i!enti!a! !el su2et sin tam&i0n en *unci-n !el % rari "3 !e la u&icaci-n */sica !el usuari . ONITORI/ACI1N DE SER-IDORES . DIS!OSITI-OS DE LA RED La m nit ri'aci-n !el esta! " !el ren!imient !e l s ser#i! res " !isp siti# s !e re! c nstru"e una me!i!a *un!amental +ue !e&er/a estar pre#ista p r las p l/ticas !e se,uri!a!) para ell ) es necesari acti#ar " c n*i,urar !e * rma a!ecua!a en est s e+uip s l s re,istr s !e acti#i!a!) para +ue pue!an *acilitar in* rmaci-n e in!ica! res s &re aspect s c m l s si,uientes? Sesi nes inicia!as p r l s usuari s en l s ser#i! res Pr ces s e2ecuta! s en ca!a e+uip in* rm$tic C ne@i nes e@ternas Acces " utili'aci-n !e l e recurs s !el sistema Intent s !e #i laci-n !e la p l/tica !e se,uri!a! Detecci-n !e ata+ues sistem$tic s " !e intent s !e intrusi-n El pr pi sistema perati# !e l s e+uip s " ser#i! res p !r/a ser c n*i,ura! para re,istrar !istint s e#ent s !e se,uri!a! +ue *aciliten la !etecci-n !e intrusi nes " !e intent s !e #i laci-n !e acces a l s recurs s? intent s !e acces repetiti# s a recurs s pr te,i! s) utili'aci-n !el sistema *uera !e % rari ) etc. !ROTECCI1N DE DATOS . DOCU ENTOS SENSI"LES La pr tecci-n !e !at s !e&e c ntemplar en primer lu,ar la clasi*icaci-n !e l s ! cument s " l s !at s !e la r,ani'aci-n aten!ien! a s ni#el !e c n*i!enciali!a!. Una p si&le clasi*icaci-n !e l s ! cument s " l s !at s +ue se p !r/a a! ptar en una empresa seria la +ue se presenta a c ntinuaci-n? Informacin sin clasificar o desclasificada.- p !r/a ser c n ci!a p r pers nas a2enas a la empresa Informacin de uso interno.- c n ci!a " utili'a!a s l p r emplea! s !e la r,ani'aci-n Informacin confidencial.- s l pue!e ser c n ci!a " utili'a!a p r un !etermina! ,rup !e emplea! s Informacin Secreta o $eservada.- s l pue!e ser c n ci!a " utili'a!a p r un ,rup mu" re!uci! !e emplea! s SEGURIDAD EN LAS CONE8IONES RE OTAS Las c ne@i nes rem tas !e&er/an estar inclui!as las me!i!as necesarias para ,aranti'ar la se,uri!a! en las c ne@i nes c n las !ele,aci nes " tras !epen!encias !e la r,ani'aci-n) as/ c m la se,uri!a! en l s e+uip s clientes
A2
rem t s +ue !eseen acce!er a l s ser#ici s in* rm$tic s centrales !e la r,ani'aci-n. DETECCI1N . RES!UESTA ANTE INCIDENTES DE SEGURIDAD La r,ani'aci-n !e&er/a !e*inir un pr ce!imient !e n ti*icaci-n " ,esti-n !e inci!encias) !a tal m ! +ue se pue!an reali'ar una serie !e acti#i!a!es pre#iamente espec/*icas para c ntr lar " limitar el impact !el inci!ente. A!em$s se p !r/an esta&lecer +ue %erramientas se #an a utili'ar para *acilitar la !etecci-n " r$pi!a respuesta ante inci!entes) c m p !r/a ser el cas !e l s Sistemas !e Detecci-n !e Intrusi nes 6IDS9. OTROS AS!ECTOS A CONSIDERAR Se,uri!a! en el !esarr ll ) Implantaci-n " mantenimient !e aplicaci nes in* rm$ticas Se,uri!a! en las peraci nes !e a!ministraci-n Creaci-n " mane2 " almacenamient !e ! cument s relaci na! s c n la se,uri!a! !el sistema in* rm$tic Cumpliment !e la le,islaci-n #i,ente Actuali'aci-n " re#isi-n !e las me!i!as !e se,uri!a! AUDITORIA DE LA GESTI1N DE LA SEGURIDAD C nstitu"e un element *un!amental "a +ue cumple c n el &2eti# !e p !er #eri*icar !e * rma peri-!ica la c rrecta c n*i,uraci-n !e l s e+uip s " el ni#el !e implementaci-n !e las P l/ticas " Pr ce!imient s !e se,uri!a! !e*ini! s p r la r,ani'aci-n. P !em s c nsi!erar las si,uientes etapas en una au!it ria? Plani*icaci-n !e la au!it ria Reali'aci-n !e la tareas plani*ica!as ! cumentan! ca!a una Hali!aci-n !e l s resulta! s Ela& raci-n !e un in* rme c n l s resulta! s !e la au!it ria Presentaci-n " apr &aci-n !e la au!it ria p r parte !e l s !ue1 s " resp nsa&les !el sistema.
LA IMPORTANCIA DEL FACTOR DUMANO EN LA
SEGURIDAD
AA
EL FACTOR HU ANO EN LA SEGURIDAD INFOR 4TICA Las pers na representan el esla&-n mas !0&il !entr !e la se,uri!a! in* rm$tica? a !i*erencia !e l s r!ena! res) las pers nas pue!en n se,uir la instrucci nes e@actamente tal " c m *uer n !icta!as. Es *un!amental p r l tant c ntemplar el papel !e las pers nas " su relaci-n c n l s sistemas " re!es in* rm$ticas !e la r,ani'aci-n. A!em$s) la !isp ni&ili!a! en Internet !e t ! tip !e %erramientas " pr ,ramas) as/ c m !e la ! cumentaci-n necesaria para su instalaci-n " c n*i,uraci-n %a #eni! a c mplicar la situaci-n para l s Resp nsa&les !e in* rm$tica !e las r,ani'aci nes) "a +ue a% ra la 7tentaci-n8se encuentra a un simple clic !e !istancia. En !e*initi#a un principi &$sic a tener cuenta !es!e el punt !e #ista !e la se,uri!a! in* rm$tica es +ue t !as las s luci nes tecn l-,icas implanta!as p r la r,ani'aci-n pue!en resultar in(tiles ante el !esc n cimient ) *alta !e in* rmaci-n) !esinter0s $nim !e causar !a1 !e al,(n emplea! !esleal. FUNCIONES . RES!ONSA"ILIDADES DE LOS E !LEADOS . DIRECTI-OS Las *unci nes " &li,aci nes !e ca!a una !e las !istintas pers nas +ue tienen acces a l s !at s " a l s ser#ici s !el sistema !e in* rmaci-n !e una r,ani'aci-n !e&er/an estar claramente !e*ini!as en t ! m ment . Ca!a r,ani'aci-n !e&er/a a! ptar la me!i!as necesaria para +ue estas pers nas c n 'can las n rmas se se,uri!a! +ue a*ecten al !esarr ll !e sus *unci nes respect a la utili'aci-n !e l s ser#ici s " %erramientas in* rm$ticas " su acatamient a las mismas) as/ c m la c nsecuencias en +ue pu!iera incurrir ca!a usuari en cas !e incumplimient . Estas me!i!as a*ectan a l s !istint s c lecti# s +ue pue!an tener acces a l s ser#ici s !el sistema " re! in* rm$tica !e la r,ani'aci-n? A!ministra! res !el sistema " !e la re! in* rm$tica Desarr lla! res !e aplicaci nes T0cnic s resp nsa&les !el mantenimient !e l s e+uip s " !e la re! in* rm$tica Usuari s *inales !el sistema Direct res Pers nal e@tern L s acuer! s !e c n*i!enciali!a!) la selecci-n ri,ur sa !el pers nal " la inclusi-n !e la se,uri!a! !entr !e las resp nsa&ili!a!es c ntractuales s n &uenas practicas a c nsi!erar) prestan! especial atenci-n al pers nal critic ) es !ecir a a+uellas pers nas +ue !e&an reali'ar las tareas !e ma" r imp rtancia para la r,ani'aci-n +ue pue!an tener acces a la in* rmaci-n " recurs s mas sensi&les. En este senti! ) l s emplea! s c n acces a !at s sensi&les !e&er/an *irmar en sus c ntrat s cl$usulas !e c n*i!enciali!a! " !e
A3
cumplimient !e !etermina!as n rmas &$sicas !e se,uri!a! in* rm$tica " en materia !e pr tecci-n !e !at s !e car$cter pers nal. Ca!a usuari !el sistema !e&er/a c n cer " aceptar estas n rmas) %aci0n! se resp nsa&le !e l s !a1 s " per2uici s +ue pu!iera causar !e&i! a su *alta !e cumplimient !ili,ente) asimism es necesari !ar a c n cer c n t !a clari!a! " transparencia cuales serian las me!i!as !isciplinarias a! pta!as p r la r,ani'aci-n en cas !e incumplimient . P r supuest ) t !as estas n rmas !e&er/an ser e@plica!as !e * rma !etalla!a a las pers nas +ue se inc rp ran a la r,ani'aci-n " +ue pue!an tener acces a sus recurs s in* rm$tic s. El pers nal a*ecta! p r esta n rmati#a se p !r/a clasi*icar en ! s ,ran!es cate, r/as? A!ministra! res !el sistema) analistas) pr ,rama! res " t0cnic s in* rm$tic s) +ue se encar,an !e a!ministrar mantener el ent rn !el sistema " !e las aplicaci nes !e ,esti-n) as/ c m el !esarr ll !e nue#as %erramientas " aplicaci nes. Usuari s &$sic s !e sistema " !e las aplicaci nes !e ,esti-n +ue pue!an tener acces a l s *ic%er s c n !at s " a l s ser#ici s *reci! s p r la re! in* rm$tica !e la r,ani'aci-n. T ! s l s usuari s !el sistema ten!r$n +ue aplicar ciertas n rmas pr$cticas !e se,uri!a! relati#as al mane2 !e l s e+uip s " aplicaci nes a las +ue pue!en tener acces ? Ca!a e+uip asi,na! a un puest !e tra&a2 estar$ &a2 resp nsa&ili!a! !e un !e l s usuari s aut ri'a! s en el sistema !e la r,ani'aci-n. Antes !e a&an! nar el e+uip !el puest !e tra&a2 "a sea temp ralmente &ien al *inali'ar su turn !e tra&a2 !e&er$ cancelar t !as las secci nes acti#as. Utili'ar sal#apantallas pr te,i! c n c ntrase1a Impe!ir +ue tr s usuari s pue!an utili'ar su i!enti!a! N intr !ucir CD-ROM !is+uetes u tr s s p rtes !e l e e+uip s sin la c mpr &aci-n pre#ia !e +ue n c ntiene ries, s !e nin,una clase. N se cam&iara la c n*i,uraci-n !el e+uip ni se intentara s luci nar p si&les pr &lemas !e *unci namient . S l se utili'aran las %erramientas c rp rati#as) +ue!an! pr %i&i!a la instalaci-n !e cual+uier s *t>are !e l s r!ena! res !e la empresa.
INGENIER2A SOCIAL Se %a a! pta! el t0rmin !e In,enier/a S cial 6S cial En,ieerin,9 para re*erirse al c n2unt !e t0cnicas " truc s emplea!as p r l s intrus s " %acBers
A4
para e@traer in* rmaci-n sensi&le !e l s usuari s !e un sistema In* rm$tic . A+u/ menci nam s al,unas !e esas t0cnicas? Intrus s +ue se %acen pasa p r emplea! s !e tr s !epartament s !e la empresa C rre s electr-nic s +ue suplantan la i!enti!a! !e tra pers na Usuari s +ue utili'an * r s " c%ats en Internet para c nse,uir tener acces a !etermina! s *ic%er s sensi&les !el sistema. 7S% ul!er sur*in,8? espi na2e !e l s usuari s para &tener su n m&re !e usuari " c ntrase1a) me!iante la &ser#aci-n !irecta 6t0cnica !e mirar p r encima !el % m&r 9. 7Dumpster !i#in,8 6&asurer 9? re#isi-n !e l s papeles " ! cument s +ue se tiran a la &asura " n s n !estrui! s !e * rma se,ura. Puesta en marc%a !e Je&site malici s s +ue tratan !e en,a1ar a sus usuari s. EL CONTROL . SU!ER-ISI1N DE LOS E !LEADOS (l uso de los servidores de Internet en el trabajo La implantaci-n !e la c ne@i-n a Internet en las r,ani'aci nes esta plantean! nue# s pr &lemas +ue a*ectan a las acti#i!a!es c ti!ianas !e l s emplea! s en sus puest s !e tra&a2 ) entre l s +ue ca&ria !estacar? La limitaci-n !e l s ser#ici s !e Internet " !el c rre electr-nic en la empresa para us s e@clusi#amente pr *esi nales. La p si&ili!a! !e +ue el empresari !irecti# pue!a a&rir el c rre electr-nic !e un emplea! . El acces al r!ena! r !e un tra&a2a! r " a sus arc%i# s " carpetas in* rm$ticas. La p testa! para c ntr lar el us +ue l s emplea! s %acen !e l s ser#ici s " la c ne@i-n a Internet. 3erramientas para el control y vigilancia del acceso a los servicios de Internet Las empresas pue!en implantar !istintas %erramientas +ue *aciliten el c ntr l !e acces s " la m nit ri'aci-n !el us !e l s ser#i! res !e Internet. Entre las principales *unci nali!a!es c ntempla!as p r estas %erramientas p !r/am s !estacar las si,uientes? Gl +ue !e !irecci nes Je& a las +ue se !esee impe!ir el acces Asi,naci-n !e permis s !e acces a l s ser#ici s !e Internet en *unci-n !e l s !i*erentes per*iles !e usuari s " !el m ment en +ue se pr !uce la c ne@i-n. Restricci-n !e l s ser#ici s +ue se pue!en utili'ar en ca!a m ment " p r usuari . Utili'aci-n !e !istintas tecn l ,/as !e *iltra! !e c nteni! s? o L cali'aci-n " *iltra! !e pa,inas +ue inclu"an !etermina!as pala&ras cla#es A5
o An$lisis sem$ntica) Arti*icial
me!iante
%erramientas
!e
Inteli,encia
HULNERAGILIDADES
DE
LOS
SISTEMAS
INFORMATICOS
A6
INCIDENTES DE SEGURIDAD EN LAS REDES Dasta *inales !e 15;; mu" p ca ,ente se t ma&a en seri el tema !e la se,uri!a! en re!es !e r!ena! res. Sin em&ar, ) el << n #iem&re !e 15;; R &ert M rris pr ta, ni'- el primer ,ran inci!ente !e la se,uri!a! in* rm$tica? un !e l s pr ,ramas se c n#irtien el *am s 7J rm8 7,usan 8 !e Internet. Miles !e r!ena! res c necta! s a la re! se #ier n inutili'a! s !urante !/as " las per!i!as se estimar n en mill nes !e !-lares. Des!e ese m ment el tema !e la se,uri!a! en las re!es !e r!ena! res %a si! un *act r a tener mu" en cuenta p r cual+uier resp nsa&le a!ministra! r !e sistemas in* rm$tic s. CAUSAS DE LAS INFOR 4TICOS -ULNERA"ILIDADES DE LOS SISTE AS
!ebilidad en el diseo de los protocolos utilizados en las redes L s pr t c l s utili'a! s para *recer !etermina! s ser#ici s !e re!es c m Internet %an si! !ise1a! s sin pre#er c m reacci nar *rente a situaci nes an-malas ante un mal c mp rtamient !e una !e las partes inter#inentes en la c municaci-n. Otr err r !e !ise1 seria intercam&iar la in* rmaci-n sensi&le en te@t clar ) sin encriptar) c m en l s ser#ici s &$sic s !e c ne@i-n rem ta a tr s e+uip s 6telnet9) trans*erencia !e *ic%er s 6FTP9) !e c rre electr-nic en su #ersi-n mas &$sica 6SMTP9. (rrores de programacin En &astantes casi nes l s parc%es " actuali'aci nes !e se,uri!a! suministra!as p r l a *a&ricantes n arre,lan l s pr &lemas) inclus pue!es incluir nue#as #ulnera&ili!a!es. C n#iene !estacar) en este senti! ) +ue suele %a&er ma" res !i*iculta!es c n l s parc%es para ser#i! res en l s +ue se %a"an instala! #ersi nes !i*erentes al in,les "a +ue l s parc%es tar!an mas tiemp es necesari e#aluar la rapi!e' !e respuesta !e ca!a *a&ricante !e s *t>are a las #ulnera&ili!a!es !etecta!as en sus aplicaci nes. Se le !en mina 7D/as !e Ries, 8 al tiemp transcurri! !es!e su pu&licaci-n %asta +ue se presenta la c rresp n!iente actuali'aci-n parc%e !e se,uri!a!. Otra causa *recuente !e #ulnera&ili!a! se !e&e a un c mp rtamient inc rrect *rente a entra!as n #ali!a!) +ue pue!en pr # car situaci nes ina!ecua!as c m el !es& r!amient !e una ' na !e mem ria utili'a!a p r el pr ,rama. &onfiguracin inadecuada de los sistemas informticos La c n*i,uraci-n ina!ecua!a permite e@pl rar !etermina!as #ulnera&ili!a!es) "a +ue las pci nes +ue traen p r !e*ect muc% s !isp siti# s " pr ,ramas suelen ser p c se,uras. Es imp rtante m !i*icar
A&
las c ntrase1as pre!etermina!as p r el *a&ricante) "a +ue estas suelen mantener en un p rcenta2e mu" alt !e !isp siti# s c necta! s a las re!es) se,uramente p r !esinter0s p r *alta !e una a!ecua!a * rmaci-n !e l s a!ministra! res " t0cnic s +ue l s instalan. Menci narem s al,unas causas *recuentes !e #ulnera&ili!a!es relaci na!as c n a ina!ecua!a c n*i,uraci-n !e l s e+uip s? E2ecuci-n !e mas ser#ici s !e l s necesari s en l s e+uip s Mantenimient ina!ecua! !e l s sistemas Al,unas aplicaci nes presentan pr &lemas !e usa&ili!a! !e cara a usuari p c e@perimenta! . M !ems c n un c n*i,uraci-n inse,ura R tures +ue utili'an pr t c l s !e enrutamient p c se,ur s #ol"ticas se seguridad deficientes o ine4istentes Muc%as r,ani'aci nes +ue n %an !e*ini! e implementa! !e * rmas e*ica' unas a!ecua!as P l/ticas " Pr ce!imient s !e se,uri!a!) !e acuer! c n sus necesi!a!es !e se,uri!a! !e la in* rmaci-n. A+u/ al,unas situaci nes +ue pr # can #ulnera&ili!a!es en l s sistemas in* rm$tic s? P l/ticas !e c ntrase1as p c r &usta De*iciente c ntr l !e l s intent s !e acces al sistema Escas ri, r en el acces a l s recurs s al sistema. Escas c ntr l !e las c pias ,enera!as en papel c n in* rmaci-n sensi&le Falta !e c ntr l !e l s tratamient s reali'a! s p r tercer s De*iciente ine@istente limitaci-n !el acces */sic a l s e+uip s m$s sensi&les.
!esconocimiento y falta de sensibilizacin de los usuarios y de los responsables de informtica T !as las s luci nes tecn l-,icas implanta!as p r la r,ani'aci-n pue!en resultar in(tiles ente el !esc n ciment ) *alta !e in* rmaci-n) !esinter0s $nim !e causar !a1 !e al,(n emplea! !esleal. La ma" r/a !e l s pr &lemas !e se,uri!a! suelen tener su ri,en en le *act r %uman . N suele e@istir un inter0s p r el %ec% !e +ue l usuari s sean c nsientes !e la imp rtancia !e ,aranti'ar la se,uri!a! !e la in* rmaci-n " !e l s restantes recurs s !el sistema in* rm$tic ) as/ c m !e l s p si&les ries, s " !e las c nsecuencias +ue ten!r/an para la r,ani'aci-n. Al,unas tras causas Disp ni&ili!a! !e %erramientas +ue *acilitan l s ata+ues Limitaci-n ,u&ernamental al tama1 !e las cla#es cript ,r$*icas " al utili'aci-n !e este tip !e tecn l ,/as E@istencia !e 7Puertas Traseras8 en l s sistemas in* rm$tic s A'
Descui! !e l s *a&ricantes TI!OS DE -ULNERA"ILIDADES De %ec% ) aplicaci nes tan p pulares c m l s na#e,a! res !e Internet prestan un alarmante n(mer !e #ulnera&ili!a!es " *all s !e se,uri!a!. $u'nera+i'idade% ,ue afe! an a e,ui-o% R tures " ca&le-MODEM? Las #ulnera&ili!a!es !etecta!as en est s !isp siti# s permiten acce!er a l s e+uip s " re!es c necta!as p r l s r tures " m-!ems) *acilitan la e2ecuci-n !e ata+ues !e Dene,aci-n !e Ser#ici 6D s9 +ue ten,an c m c nsecuencia el &l +ue t tal parcial !e las re!es !e r!ena! res c necta!as a tra#0s !e est s !isp siti# s. C$maras Je& " ser#i! res !e #i!e ? L s *all s !etecta! s en este tip !e !isp siti# s permitir/an el c ntr l rem t !e la c$mara p r parte !e un usuari malici s 6+ue p !r/a) !e este m ! ) capturar las im$,enes " cam&iar la c n*i,uraci-n !e la c$mara en cuesti-n9 la e2ecuci-n !e un ata+ue !e Dene,aci-n !e Ser#ici 6D s9 c ntra el !isp siti# #ulnera&le. $u'nera+i'idade% en o ro% e,ui-o% !one! ado% im-re%ora%/ e%!nere%/ fa0e%/ fo o!o-iadora%. Las #ulnera&ili!a!es es este tip c nsecuencias la sustracci-n !e in* Ser#ici para l s usuari s !e l s c n*i,uraci-n para pr # car un *unci a una red.
!e !isp siti# s p !r/an tener c m rmaci-n reser#a!a) la Dene,aci-n !el !isp siti# s a*ecta! s) el cam&i !e namient inc rrect ) etc0tera.
Cuan! se c nectan las impres ras a una re!) especialmente si 0sta tiene sali!a " entra!a !es!e el e@teri r) pue!en c nstituir una #/a !e acces para intrus s) "a +ue !isp nen !e una !irecci-n IP " e2ecutan !i#ers s pr t c l s est$n!ar. Tel0* n s m-#iles El *en-men c n ci! c m 7snar*in,8 7&luesnar*in,8) +ue c nsiste en el acces " c ntr l rem t !e tel0* n s m-#iles " a,en!as electr-nicas) se est$ c n#irtien! en un pr &lema ca!a #e' m$s seri . A,en!as electr-nicas
A(
Las a,en!as electr-nicas 6Pers nal Di,ital Assistants9) al i,ual +ue l s tel0* n s m-#iles) tam&i0n pue!en resultar #ulnera&les a c ne@i nes n aut ri'a!as reali'a!as me!iante el puert !e in*rarr 2 s a tra#0s !e la tecn l ,/a Gluet t%. $u'nera+i'idade% inform i!o% ,ue afe! an a -rograma% 1 a-'i!a!ione%
Sistemas perati# s) ser#i! res " &ases !e !at s Durante est s (ltim s a1 s se %an !escu&iert multitu! !e *all s " #ulnera&ili!a!es en t ! s l s sistemas perati# s !el merca! ? las !istintas #ersi nes !e Jin! >s !e Micr s *t) las *amilias !e Linu@) MacOS) etc0tera. Asimism ) se %an !escu&iert numer sas #ulnera&ili!a!es en ,est res !e &ases !e !at s c m Oracle SLL Ser#er ") !e %ec% ) una !e ellas *acilit la r$pi!a pr pa,aci-n !el #irus SLL Slammer en el a1 <==E. Na#e,a! res Des!e su presentaci-n en el a1 155:) se %an !etecta! multitu! !e pr &lemas " *all s !e se,uri!a! +ue %an a*ecta! a l s na#e,a! res m$s p pulares? Internet E@pl rer !e Micr s *t) Netscape) Opera Fire* @) " +ue p !r/an acarrear ,ra#es c nsecuencias para sus usura s? e2ecuci-n !e c-!i, ar&itrari ) sustracci-n !e !etermina! s *ic%er s !el r!ena! r) m strar URLs *allas en la &arra !e !irecci nes) etc0tera. RES!ONSA"ILIDADES DE LOS DESARROLLADORES DE SOFT9ARE En l s (ltim s a1 s se %an !esata! las cr/ticas c ntra l s *a&ricantes !e s *t>are " !e e+uip s in* rm$tic s) a ra/' !e las c ntinuas #ulnera&ili!a!es !escu&iertas en sus pr !uct s " las c nsecuencias ca!a #e' pr # can a sus usuari s. <==E se presenta&a una !eman!a c lecti#a en el Esta! s !e Cali* rnia c ntra Micr s *t) &asa!a en la reclamaci-n !e +ue su s *t>are ! minante en el merca! era #ulnera&le a #irus capaces !e pr # car 7*all s masi# s " en casca!a8en las re!es !e r!ena! res. La !eman!a +ue las alertas !e se,uri!a! !e Micr s *t resulta&an !emasia! c mple2as para +ue pu!ieran ser enten!i!as p r el p(&lic en ,eneral ") en cam&i ) ser#/an para !ar in* rmaci-n a l s intrus s s &re c m apr #ec%ar l s *all s !e sus pr ,ramas " sistemas perati# s. HERRA IENTAS !ARA LA E-ALUACI1N DE LAS -ULNERA"ILIDADES
33
Anlisis y evaluacin de vulnerabilidades Permite c n cer la situaci-n real !e un sistema " me2 rar su se,uri!a!) #eri*ican! +ue l s mecanism s !e se,uri!a! *unci nan c rrectamente. En la re#isi-n !e e+uip s se !e&e anali'ar " e#aluar l s si,uientes aspect s? Parc%es !el SO) Se,uri!a! !el sistema !e *ic%er s) Cuentas !e Usuari ) Ser#ici s " aplicaci nes instala!as) Pr t c l s " ser#ici s !e Re!) c ntr l !e acces a l s recurs s) re,istr " au!it ria !e e#ent s) entre tr s.
(jecucin de /est de #enetracin en el Sistema Representa una #ali sa %erramienta met ! l ,/a +ue permite a#eri,uar el ni#el !e resie, +ue %a" en nuestr sistemaA reali'an! Un rec n cimient !el sistema) Escane ) Penetraci-n) Generaci-n !e In* rmes c n el an$lisis !e l s resulta! s " las c nclusi nes s &re la se,uri!a! !el SI) " la limpie'a !el sistema.
AMENANAS A LA SEGURIDAD INFORMATICA
CLASIFICACI1N DE LOS INTRUSOS EN LAS REDES 3ac5ers0: S n Intrus s +ue se !e!ican a estas tareas c m pasatiemp c m ret t0cnic entran en l s sistemas in* rm$tic s para !em strar " p ner a prue&a su inteli,encia " c n cimient s !e l s entresi2 s !e Internet per n preten!e causar !a1 s en est s sistemas. 32
&rac5ers7: s n in!i#i!u s c n inter0s en atacar un sistema in* rm$tic para &tener &ene*ici s !e * rma ile,al simplemente) para pr # car al,(n !a1 a la r,ani'aci-n pr pietaria !el sistema) m ti#a! s p r interese ec n-mic s) p l/tic s) etc. Sniffers02 s n in!i#i!u s +ue se !e!ican a rastrear " tratar !e rec mp ner " !esci*rar l s mensa2es +ue circulan p r re!es !e r!ena! res c m Internet. #hrea5ers02s n intrus s especiali'a! s en sa& tear las re!es tele*-nicas para p !er reali'ar llama!as ,ratuitas. L s p%reaBers !esarr llar n las *am sas 7ca2as a'ules8) +ue p !/an emitir !istint s t n s en las *recuencias utili'a!as p r las pera! ras para se1ali'aci-n interna !e sus re!es) cuan! 0stas t !a#/a eran anal-,icas. Spammers02s n l s resp nsa&les !el en#i- masi# !e miles !e mensa2es !e c rre electr-nic n s licita! a tra#0s !e re!es c m Internet) pr # can! el c laps !e l ser#i! res " la s &recar,a !e l s &u' nes !e c rre !e l s usuari s. #iratas Informticos7: S n in!i#i!u s especiali'a! s en el pirate !e pr ,ramas " c nteni! s !i,itales) in*rin,ien! la le,islaci-n s &re la pr pie!a! intelectual. OTI-ACIONES DE LOS ATACANTES El FGI %a acu1a! el acr-nim MICE para resumir las !istintas m ti#aci nes !e l s atacantes e intrus s en las re!es !e r!ena! res? M ne") I!e l ,") C mpr mis " E, 6Diner ) I!e l ,/a) C mpr mis " Aut rreali'aci-n pers nal9 &onsideraciones econmicas lle#ar a ca& peraci nes *rau!ulentasA r & !e in* rmaci-n c n*i!encial +ue p steri rmente es #en!i!a a tercer s. !iversin al,un s usuari s !e Internet reali'an est s * rma !e pasar el rat . ata+ues c m una
Ideolog"a ata+ues reali'a! s c ntra !etermina!as r,ani'aci nes) empresas " Je&sites ,u&ernamentales. Autorrealizacin 16squeda de reconocimiento social y de un cierto estatus dentro de una comunidad de usuarios
3A
FASES DE UN ATA0UE INFOR 4TICO L s ata+ues c ntra re!es !e r!ena! res " sistemas in* rm$tic s suelen c nstar !e las etapas *ases +ue se presentan a c ntinuaci-n? Descu&rimient " e@pl raci-n !el sistema in* rm$tic G(s+ue!a !e #ulnera&ili!a!es en el sistema E@pl taci-n !e las #ulnera&ili!a!es !etecta!as C rrupci-n c mpr mis !el sistema Eliminaci-n !e las prue&as +ue pue!an re#elar el ata+ue " el c mpr mis !el sistema
TI!OS DE ATA0UES AL SISTE A A! i2idade% de re!ono!imien o de %i% ema02 Persi,uen &tener in* rmaci-n pre#ia s &re las r,ani'aci nes " sus re!es " sistemas in* rm$tic s) reali'an! para ell un escane !e puert s para !eterminar +ue ser#ici s se encuentran acti# s &ien rec n cimient !e #ersi nes !e sistemas perati# s " aplicaci nes) p r citar ! s !e las t0cnicas mas c n ci!as) De e!!i&n de 2u'nera+i'idade% en 'o% %i% ema% ,2 Este tip !e ata+ues tratan !e !etectar " ! cumentar las p si&les #ulnera&ili!a!es !e un sistema in* rm$tic ) para a c ntinuaci-n !esarr llar al,una %erramienta +ue permita e@pl tarlas *$cilmente. Ro+o de informa!i&n median e 'a in er!e- a!i&n de men%a3e% 02 Ata+ues +ue tratan !e interceptar l s mensa2es !e c rre !e l s ! cument s se en#/an a tra#0s !e re!es !e r!ena! res c m Internet. Modifi!a!ione% de' !on enido 1 %e!uen!ia de 'o% men%a3e% ra%mi ido%02 En est s ata+ues l s intrus s tratan !e reen#iar mensa2es " ! cument s) +ue "a %a&/an si! pre#iamente transmiti! s en el sistema in* rm$tic ) tras %a&erl s m !i*ica! !e * rma malici sa. An'i%i% de' rfi!o02 Est s persi,uen &ser#ar l s !at s " el tip !e tr$*ic transmiti! a tra#0s !e re!es in* rm$ticas) utili'an! para ell %erramientas c m l s 7sni**ers8. As/) se c n ce c m 7eave(&ro''ing8 a la interpretaci-n !el tra*ic +ue circula p r una re! !e * rma pasi#a) sin m !i*icar su c nteni! . Modifi!a!ione% de' rfi!o de 'a% a+'a% de enru amien o 02 L s ata+ues !e m !i*icaci-n !el tra*ic " !e las ta&las !e enrutamient persi,uen !es#iar l s pa+uetes !e !at s !e su ruta ri,inal a tra#0s !e Internet) para c nse,uir) p r e2empl ) +ue atra#iesen tras re!es e+uip s interme!i s 33
antes !e lle,ar a su !estin le,itim ) para *acilitar !e este m ! acti#i!a!es !e interpretaci-n !e !at s. Cone0i&n no au ori4ada a e,ui-o% 1 %er2idore%
las
E@isten #arias p si&ili!a!es para esta&lecer una c ne@i-n n aut ri'a!a a r s e+uip s " ser#i! res) entre las +ue p !r/am s !estacar las si,uientes? Hi laci-n !e sistemas !e c ntr l !e acces . E@pl taci-n !e 7Puertas traseras8 Utili'aci-n !e 7r tBits8) pr ,ramas similares a l s tr "an s 7Jar!ialin,8? c ne@i-n aun sistema in* rm$tic !e * rma rem ta a tra#0s !e un m-!em.
Introduccin en el sistema de )7al8are, -cdigo malicioso. Hirus in* rm$tic s) tr "an s " ,usan s Enten!em s p r c-!i, malici s !a1in 67mal>are89 cual+uier pr ,rama) ! cument mensa2e suscepti&le !e causar !a1 s en las re!es " sistemas in* rm$tic s. As/) !entr !e esta !e*inici-n estar/an inclui! s l s #irus) tr "an s) ,usan s) & m&as l-,icas) etc0tera. Ataques contra los sistemas criptogrficos02 L s ata+ues c ntra la se,uri!a! !e l s sistemas cript ,r$*ic s persi,uen !escu&rir las cla#es utili'a!as para encriptar un s !etermina! s mensa2es ! cument s almacena! s en un sistema) &ien &tener !etermina!a in* rmaci-n s &re el al, ritm cript ,r$*ic utili'a! . P !em s !istin,uir #ari s tip s !e ata+ues c ntra l s sistemas cript ,r$*ic s? *raudes, engaos y e4torsiones02 L s *rau!es " esta*as *inancier s a tra#0s !e Internet se %an %ec% mu" *recuentes en est s (ltim s a1 s. Se utili'a el t0rmin !e 7p%is%in,8 para re*erirse al tip !e ata+ues +ue tratan !e &tener l s n(mer s !e cuenta " las cla#es !e acces a ser#ici s &ancari s. !enegacin del Servicio -Ataque !os 9 !enial of Service.02 Lue persi,uen c lapsar !etermina! s e+uip s re!es in* rm$tic s) para impe!ir +ue pue!an *recer sus ser#ici s a sus clientes " usuari s. CREACI1N DE ORGANIS OS ES!ECIALI/ADOS Para c m&atir !e * rma m$s e*ica' las !istintas amena'as +ue a*ectan a la se,uri!a! !e l s sistemas in* rm$tic s) en est s (ltim s a1 s se %an crea! #ari s r,anism s especiali'a! s cu"a misi-n es alertar a l s , &iern s) empresas " ciu!a!an s en ,eneral para p !er c ntener " minimi'ar l s !a1 s casi na! s p r l s ata+ues in* rm$tic s.
34
CERT5CC7: E+uip !e Respuesta a Emer,encias In* rm$ticas) es el m$s c n ci! centr !e respuesta) crea! en 15;; p r la a,encia DARPA !e EU para ,esti nar l s inci!entes !e se,uri!a! relaci na! s c n Internet. CSRC7: Centr !e recurs s !e se,uri!a! In* rm$tica es un centr !epen!iente !el NIST CIAC7: Centr !e respuesta a inci!entes " !e recurs s !e se,uri!a! in* rm$tica !epen!iente !el Departament !e Ener,/a !e EU FedCIRC7: Centr !e respuesta a inci!entes In* rm$tic s es un !epen!iente !el Departament !e Se,uri!a! Interi r !e EU.
HIRUS INFORMATICOS F OTROS CODIGOS DAPIPOS
CARACTER2STICAS GENERALES DE LOS -IRUS INFOR 4TICOS +n &digo 7alicioso -)7al8are,. es cual+uier tip !e pr ,rama !esarr lla! para causar !a1 s intr !ucirse !e * rma n aut ri'a!a en al,(n sistema in* rm$tic . L s m$s c n ci! s s n l s #irus in* rm$tic s) si &ien c n el !esarr ll !e las re!es !e r!ena! res " !e l s ser#ici s !e Internet %an pareci! en est s (ltim s a1 s nue# s tip s !e c-!i, s malici s s? ca&all s !e Tr "a 6tr "an s9) ,usan s) etc0tera. El c mp rtamient &i l-,ic s. !e l s #irus in* rm$tic s es similar al !e l s #irus
35
Un -iru( In;orm<tico es un pr ,rama in* rm$tic !esarr lla! en un !etermina! len,ua2e 6ensam&la! r) C " CQQ) Hisual Gasic) Ra#a) len,ua2es !e macr s !e aplicaci nes *im$ticas c m J r! E@cel) HGScript) Ra#aScriptC9) capa' !e8in*ectar8 un sistema in* rm$tic me!iante !istint s mecanism s !e pr pa,aci-n 67aut -replicaci-n89. Un #irus in* rm$tic trata !e repr !ucirse r$pi!amente para e@ten!er su alcance) alcan'a! en la actuali!a! una pr pa,aci-n e@p nencial ,racias al !esarr ll !e Internet " !e las re!es !e r!ena! res. En cuant a las t0cnicas !e 7aut pr tecci-n8 utili'a!as p r l s #irus in* rm$tic s para s &re#i#ir) p !r/am s citar las si,uientes. /:cnicas de ocultamiento o )stealth8? +ue c nsiste &$sicamente en *recer in* rmaci-n *alsea!a !el sistema +ue %a si! in*ecta! para n !espertar s spec%as. Auto encriptacin del cdigo para que no pueda ser analizado #olimorfismo el #irus se c !i*ica ci*ra !e manera !i*erente en ca!a in*ecci-n. 7antenimiento de un determinado )periodo de incubacin, !esactivacin de antivirus y otros programas de proteccin instalados )Armouring,; t:cnica utilizada para impedir que se pueda leer el cdigo del virus
L s #irus in* rm$tic s pue!en utili'ar multitu! !e * rmas !e pr pa,aci-n para in*ectar a sus #ictimas. !e disco a disco !e programa a programa !e documento a documento A trav:s del coreo electrnico o de paginas 3/7< (n redes de ordenadores, a trav:s de recursos compartidos por los equipos A trav:s de herramientas de mensajeria instantnea o de aplicaciones de comparticion de ficheros )peer2to2peer,0 TI!OS DE -IRUS . OTROS !ROGRA AS DA=INOS $iru% de "oo -Sector de Arranque.02 su &2eti# principal es el sect r !e arran+ue !e un !is+uete !el !isc !ur ) ,uar!an! una c pia !el c nteni! ri,inal en tr sect r !el !isc in*ecta! ) a partir !e la in*ecci-n) el #irus se e2ecuta antes +ue el pr pi SO) +ue!an! resi!ente en la mem ria !el e+uip .
36
$iru% de fi!6ero% e3e!u a+'e%02 L s *ic%er s e2ecuta&les pue!en in*ectar pr ,ramas !e MS-DOS) !e Jin! >s 6JinE<9 !e tr s ent rn s in* rm$tic s. El #irus se a! sa a un *ic%er e2ecuta&le " !es#/a el *lu2 !e e2ecuci-n a su pr pi ) para a c ntinuaci-n ret rnar el c-!i, !el pr ,rama ri,inal 6c n ci! c m 7% st89 " e2ecutar las tareas espera!as p r el usuari . $iru% de MS7DOS02 El &2eti# principal !e este tip *ic%er s e2ecuta&les !el ent rn MS-DOS. !e #irus s n l s
Entre l s principales s/nt mas !e una in*ecci-n pr # ca!a p r este tip !e #irus p !r/am s citar el increment !el tama1 !e l *ic%er s in*ecta! s. $iru% de 8in9: -virus de =indo8s.0 2 Se pr ,raman en len,ua2es c m Hisual Gasic CQQ e in*ectan a *ic%er s " c mp nentes !el ent rn Jin! >s? *ic%er s e2ecuta&les) c ntr la! res !e !isp siti# s Sal#apantallas0 $iru% de' 'engua3e #a2a02 Est s #irus a l s apples Ra#a 6*ic%er s !e e@tensi-n 7class89) es !ecir) a l s pr ,ramas !esarr lla! s en el len,ua2e Ra#a +ue se pue!en !escar,ar !es!e Internet para *recer al,una nue#a *unci nali!a! al na#e,a! r Je& a al,una tra aplicaci-n instala!a en el sistema. $iru% de ma!ro%02 Se pr ,raman en len,ua2es !e macr s !e aplicaci nes e in*ectan a ! cument s !el pr cesa! r !e te@t J r!) % 2as !e c$lcul E@cel *ic%er s !e P >er P int. Cuan! se a&re un ! cument in*ecta! en el pr cesa! r J r!) se c piara el c-!i, !el #irus en la platilla 7N rmal.! t8. Tro1ano%7: S n pr ,ramas aparentemente in *ensi# s c n una !etermina!a *unci-n utili!a! per +ue c ntienen c-!i, cult para e2ecutar acci nes n espera!as p r le usuari . Roo ;i %02 p !r/an ser c nsi!era! s c m un tip particular !e tr "an s utili'a! s p r l s atacantes !e un sistema in* rm$tic para cultar puertas traseras +ue *aciliten el acces " c ntr l !el sistema in*ecta! c n l s m$@im s pri#ile,i s p si&les 67r t89. Gu%ano% -=or5s.02 S n pr ,ramas !a1in s +ue pue!en pr pa,ar p r si mism s " c n ,ran rapi!e' a tra#0s !e las re!es !e r!ena! res "a! eria%7: S n pr ,ramas !a1in s !ise1a! s para c nsumir la mem ria !el sistema in*ecta! me!iante la reali'aci-n !e m(ltiples c pias sucesi#as !e si mism s.
3&
"om+a% L&gi!a%7: S n pr ,ramas !a1in s +ue %an si! !esarr lla! s intr !uci! s p r empela! s !esleales en una r,ani'aci-n) " +ue se acti#an en !etermina!as circunstancias. <=oa0e%, -1ulos.02 s n &ul s +ue se !istri&u"en a tra#0s !e Internet) recurrien! a mensa2es !e c rre electr-nic +ue in* rman s &re la aparici-n !e un nue# #irus e@trema!amente peli,r s ) cuan! en reali!a! se trata !e una in* rmaci-n t talmente *alsa. #o;e%7: s n pr ,ramas !e mal ,ust ) !escar,a! s !e Internet) +ue tienen c m principal &2eti# %acer pensar al usuari +ue %an si! in*ecta! s p r un #irus. C n#iene !estacar) asimism ) la !isp ni&ili!a! !e #arias %erramientas) c m 7#irus Creati n La&8) +ue *acilitan la c nstrucci-n !e #irus 7a la carta8) !e * rma mu" sencilla) me!iante un ent rn ,ra*ic +ue permite +ue %asta un usuari sin c n cimient in* rm$tic pue!a pr ,ramar su pr pi #irus. DA=OS OCASIONADOS !OR LOS -IRUS INFOR 4TICOS Po%i+'e% %*n oma% de una infe!!i&n -or !&digo ma'i!io%o Desaparici-n c rrupci-n !e Fic%er s. Ralenti'aci-n inusual !e l s pr ,ramas " !el sistema. Inesta&ili!a! !el sistema) ca/!as *recuentes. Aparici-n !e pr ces s " ser#ici s !esc n ci! s " +ue se encuentran acti# s en el sistema. Cam&i s en las plantillas !el pr cesa! r !e te@t ) % 2a !e c$lcul ) etc. Apertura inusual !e puert s. Increment repentin !el en#i- !e mensa2es a tr s usuari s. Increment !el tr$*ic en la re!.
Da>o% dire! o%. e3e!u!i&n de 'a% -ro-ia% ru ina% de' 2iru% L s !a1 s !irect s s n el resulta! !e la e2ecuci-n !e las pr pias rutinas !el #irus c-!i, malici s . Est s !a1 s pue!en #ariar !es!e las &r mas ,ra*icas aparentemente in *ensi#a) %asta l s !a1 s se#er s +ue a*ectan el ren!imient !el sistema " la se,uri!a! !e sus !at s " *ic%er s. <os principales daos directos antivirus y de seguridad Des%a&ilitaci n !e pr ,ramas anti#irus " !e se,uri!a! Destrucci-n m !i*icaci-n !e *ic%er s !e l s !isc s !ur s l cales F rmate !e !isc s !ur s Re#elaci-n !e in* rmaci-n sensi&le a tra#0s !el c rre electr-nic G rra! !e la in* rmaci-n !e la mem ria CMOS !el e+uip
3'
Da>o% indire! o% L s !a1 s in!irect s se pr !ucen c m c nsecuencia !e la entra!a !el #irus pr ,rama malici s en el sistema) in!epen!ientemente !el c-!i, !a1in +ue #a"a a e2ecutar) " entre ell s p !r/am s !estacar l s si,uientes? Ralenti'aci-n !e l s e+uip s in*ecta! s Per!i!a !e tiemp !e l s usuarai s !el sistema) m ti#a!a p r las tareas !e !esin*ecci-n !e l s e+uip s. L s %acBers " cracBers p !r/an utili'ar las puertas traseras a&iertas p r al,un s #irus. P si&ili!a! !e utili'ar el e+uip in*ecta! para lle#ar a ca& ata+ues c ntra tr s r!ena! res c necta! s a Internet
LA !OL3 ICA DE LOS >!ROGRA AS ES!2A? 5>S!.9ARE?6 S n c ntr les Acti#eS) applets Ra#a pr ,ramas en Ra#aScript HGScript +ue se instalan en el e+uip !el usuari se e2ecutan !es!e una pa,ina Je& c n la intenci-n !e re,istrar l s !istint s Je&sites +ue un usuari #isita en sus c ne@i nes a Internet) para remitir p steri rmente esta in* rmaci-n a la empresa in!i#i!u +ue l s %a&/a crea!
ULTI AS TENDENCIAS EN EL
UNDO DE LOS -IRUS !e m(ltiples t0cnicas !e
Las (ltimas ten!encias recurren al emple pr pa,aci-n en un (nic pr ,rama !a1in ?
Fic%er a!2unt en el c rre electr-nic E@pl taci-n !e las #ulnera&ili!a!es c n ci!as !e ser#i! res " e+uip s c necta! s a Internet. Recurs s c mparti! s sin c ntrase1as en re!es Jin! >s Pa,inas Je& c n c-!i, !a1in inclui! en el len,ua2e DTML
En este senti! se c m&inan las caracter/sticas !e #irus " ,usan s en una misma aplicaci-n) !esarr llan! ata+ues c m&ina! s. Se %an !esarr lla! s #irus +ue pue!en &urlar a l s pr ,ramas anti#irus "a +ue se pr pa,an a tra#0s !e *ic%er s c mprimi! s pr te,i! s c n c ntrase1a. Tam&i0n se %an !esarr lla! c-!i, s mali,n s multiplata* rma capaces !e a*ectar ent rn s Jin! >s " Linu@3Uni@.
3(
En la actuali!a! p li*eran l s #irus capaces !e a*ectar a tr s ser#ici s " aplicaci nes !e Internet c m l s #irus +ue se apr #ec%an !el intercam&i !e *ic%er s a tra#0s !e aplicaci nes P<P) #irus +ue se pr pa,an a tra#0s !e mensa2eria instant$nea. Al,un s #irus pue!en c n#ertir l s e+uip s in*ecta! s en ser#i! res !e !etermina! s c nteni! s en 7remailers8 an-nim s +ue *acilitan la !istri&uci-n !el c rre &asura 67spam89. CO O CO "ATIR LA A ENA/A DE LOS -IRUS . OTROS C1DIGOS DA=INOS A+u/ se presenta una lista !e rec men!aci nes para c m&atir !e * rma e*ica' la amena'a !e l #irus " tr s pr ,ramas !a1in s? Utili'aci-n !e pr ,ramas !e Anti#irus permanentemente actuali'a! C n*i,uraci-n !e c rta*ue, s C n*i,uraci-n r &usta !e ca!a e+uip in* rm$tic C mpr &aci-n !e *ic%er s " !e mensa2es !e c rre electr-nic antes !e a&rirl s Gl +ue !e l s mensa2es !e c rre +ue inclu"an *ic%er s e2ecuta&les c n !etermina!as e@tensi nes s spec% sas 6.t@t.#&s %tm.e@e9 C mpr &aci-n !e !is+uetes " tr s !isp siti# s !e almacenamient +ue entren " sal,an !e ca!a e+uip in* rm$tic An$lisis !e l s c nteni! s en l s *ic%er s c mprimi! s Re#isi-n !e c pias !e se,uri!a!. L s usuari s !e&er/an ser instrui! s para !esc n*iar !e l s mensa2es !e c rre inespera! s +ue pr #en,an !e una *uente p c %a&itual E#itar la !escar,a !e pr ,ramas !e pa,inas Je& p c *ia&les Mantenerse alerta ante acci nes s spec% sas !e p si&les #irus En una re! in* rm$tica c n#iene actuar c n rapi!e' para i!enti*icar " aislar l s e+uip s in*ecta! s. Limitaci-n !e la instalaci-n !e pr ,ramas en l s e+uip s !el ent rn c rp rati# F rmaci-n " sensi&ili'aci-n !e l s usuari s +uienes !e&er/a aplicar me!i!as !e se,uri!a! a!ecua!as en sus pr pi s e+uip s Mantenimient en 7cuarentena8 !e t ! s l s *ic%er s s spec% s s Utili'aci-n !e certi*ica! s !i,itales en l s pr ,ramas " c nteni! s acti# s.
UTILI/ACI1N DE UN !ROGRA A ANTI-IRUS Una !e las principales me!i!as para c m&atir la amena'a +ue representan l s #irus " tr s pr ,ramas !a1in s pasa p r la utili'aci-n !e un pr ,rama anti#irus c n#enientemente actuali'a! . El pr ,rama anti#irus !e&er$ estar instala! en t ! s l s e+uip s " estaci nes !e tra&a2 !entr !e la re! !e la 43
r,ani'aci-n) para p !er pre#enir !e este m ! c nta,i .
las #/as tra!ici nales !e
La e*icacia !e est s pr ,ramas !epen!er$ en &uena me!i!a !e una actuali'aci-n permanente c n l s *ic%er s !e *irmas !e nue# s #irus as/ c m !el s p rte pr p rci na! p r la empresa !esarr lla! ra !el pr ,rama instala! . Un pr ,rama anti#irus se !istin,uen ! s &l +ues m-!ul s principales?
7odulo de &ontrol02 encar,a! !e las si,uientes *unci nesA Se,uimient !e la acti#i!a! en el SI) Pr tecci-n pre#enti#a) Detecci-n !e c-!i, s mali,n s) C n*i,uraci-n !el *unci namient !el pr ,rama anti#irus 7odulo de $espuesta0- resp nsa&le !e las si,uientes tareasA ,eneraci-n !e alarmas " re,istr !e inci!encias) Gl +ue !e ser#ici s " pr ,ramas s spec% s s) Desin*ecci-n !e pr ,ramas " ! cument s in*ecta! s.
CIGERTERRORISMO F ESPIONARE EN LAS REDES
DEORDENADORES
LAS A ENA/AS INFOR 4TICAS DEL CI"ERTERRORIS O . DE LAS GUERRAS
Las s cie!a!es a#an'a!as tienen una !epen!encia ca!a ma" r !e l s sistemas in* rm$tic s para el c ntr l !e muc% s pr ces s " acti#i!a!es c ti!ianas? c ntr l !el *lui! el0ctric ) !e la re! !e a&astecimient !e a,uas) !e las centrales !e c nmutaci-n tele*-nicas) !el tra*ic a0re ) !e las re!es !e se1ali'aci-n sema*-rica) !e l s sistemas *inancier s) etc0tera. (ntre las posibles consecuencias de una guerra informtica, podr"amos citar las siguientes C rte !el suministr el0ctric " p si&le !esc ntr l !e centrales nucleares centrales %i!r el0ctricas " t0rmicas. 42
C laps t tal !e las re!es tele*-nicas " l s sistemas !e c municaci-n. Ca s *inancier Inter#enci-n !el c ntr la !el tra*ic a0re " *err #iari . Destrucci-n !e ,ran!es &ases !e !at s estatales. Sa& ta2es en la capital " tras ciu!a!es imp rtantes Lan'amient !e & m&as electr ma,n0ticas
CONSECUENCIAS DE LOS FALLOS . ATA0UES EN LAS E !RESAS La ma" r/a !e las empresas " r,ani'aci nes !e nuestr ent rn tam&i0n p !r/an ser #ulnera&les a ata+ues in* rm$tic s lle#a! s a ca& c ntra sus pr pi s recurs s e intereses) en una especie !e 7,uerra in* rm$tica8 a pe+ue1a escala. L s a#ances !e las re!es " ser#ici s !e telec municaci-n %an *acilita! !esarr ll !el teletra&a2 en al,un s sect res " tip s !e r,ani'aci nes. el
P r tra parte) l s *all s en l s sistemas in* rm$tic s pue!en tener imp rtantes c nsecuencias ec n-micas para las empresas. As/) p r e2empl ) un *all In* rm$tic pr # c en septiem&re !e <==: #arias !ecenas !e cancelaci nes e innumera&les retras s en #uel s !e Lu*t%ansa en t ! el mun! ) a*ectan! a miles !e pasa2er s.
EL ES!IONA#E EN LAS REDES DE ORDENADORES E' -o'?mi!o !6i- <C'i--er@ 1 e' -a-e' de 'a NSA A principi s !e l s a1 s n #enta sur,/a la p l0mica en Esta! s Uni! s p r la intenci-n !el , &iern !e ese pa/s !e in#ertir en t ! tip !e c municaci nes a tra#0s !e re!es tele*-nicas " !e r!ena! res. A su #e') la NSA 6A,encia !e Se,uri!a! Naci nal9 !ise1 el p l0mic c%ip 7Clipper8 para la encriptaci-n !e c municaci nes !e # ') +ue cumpl/a c n estas especi*icaci nes. La NSA 6Nati nal Securit" A,enc") A,encia Naci nal !e Se,uri!a! !e Esta! s Uni! s9 .Fue crea!a en 15K< p r el presi!ente Darr" Truman) c m una a,encia en el Departament !e De*ensa. Es un !e l s principales centr s !e in#esti,aci-n !e cript ,ra*/a " cript an$lisis !el mun! . E!6e'on Es una re! !e espi na2e el0ctric crea!a en l s a1 s) cincuenta p r la A,encia Naci nal !e Se,uri!a! n rteamericana. Es un sistema militar !e espi na2e !e t ! tip !e c municaci nes electr ma,n0ticas) c n capaci!a! 4A
para interceptar llama!as !e tel0* n ) transmisi nes transmisi-n !e !at s " !e llama!as #/a sat0lite etc0tera. ENFOPOL (Enfor!emen Po'i!e)
p r
Internet)
El pr "ect En* p l naci- en Gruselas en 155K) c m una serie !e re+uisit s t0cnic s para +ue l s pera! res !e telec municaci nes a!ecuasen sus sistemas para *acilitar la interpretaci-n !e las c municaci nes !e sus usuari s. Carni2ore Es un p l0mic pr ,rama !esarr lla! en el a1 <=== p r el FGI en Esta! s Uni! s para interceptar " leer mensa2es !e c rre electr-nic " tras c municaci nes entre presunt s criminales) esp/as " terr ristas) c ntan! para ell c n la c la& raci-n !e l s pera! res !e re!es !e telec municaci nes.
AUTENTICACION) AUTORINACION F REGISTRO DE
USUARIOS
ODELO DE SEGURIDAD AAA Se utili'a para p !er i!enti*icar a l s usuari s " c ntr lar su acces a l s !istint s recurs s !e un sistema in* rm$tic ) re,istran! a!em$s c m se utili'an !ic% s recurs s. I&enti;icaci@n , autenticaci@n &e lo( u(uario(7: La i!enti*icaci-n es el pr ces p r el +ue el usuari presenta una !etermina!a i!enti!a! para acce!er a un sistema mientras +ue la autenti*icaci-n permite #ali!ar la i!enti!a! !el usuari . Control &el acce(o7: a l s recurs s !el sistema in* rm$tic s? e+uip s) aplicaci nes) ser#ici s " !at s) en *unci-n !e las p l/ticas esta&leci!as p r la r,ani'aci-n.
43
Regi(tro &el u(o &e lo( recur(o(7: !el sistema p r parte !e l s usuari s " !e las aplicaci nes) utili'an! para ell l s 7l ,s8 6re,istr s !e acti#i!a!9 !el sistema. CONTROL DEL ACCESO (SEGURIDAD LAGICA) Me!iante el c ntr l !e acces a l s !istint s recurs s !el sistema es p si&le implementar las me!i!as !e*ini!as p r la r,ani'aci-n) tenien! en cuenta las restricci nes !e acces a las aplicaci nes) a l s !at s ,uar!a! s en el sistema in* rm$tic ) a l s ser#ici s *reci! s " a tr s recurs s !e tip l-,ic !el sistema. La implementaci-n !el c ntr l !e acces en un sistema in* rm$tic !epen!e *un!amentalmente !e la ,esti-n !e cuentas !e usuari s " !e la ,esti-n !e permis s " pri#ile,i s. Para ell ) el m !el !e se,uri!a! +ue se aplica en l s sistemas perati# s se &asa en la !e*inici-n " ,esti-n !e !etermina! s &2et s l-,ic s " su2et s a l s +ue se c nce!en !erec% s " pri#ile,i s para reali'ar !etermina!as peraci nes s &re l s &2et s. #odemos distinguir dos tipos de control de acceso Control &e acce(o o*ligatorio 6MAC) Man!at r" Access C ntr l9? l s permis s !e acces s n !e*ini! s p r el sistema. Control &e acce(o &i(crecional 6DAC) Discreci nar" Access C ntr l9? l s permis s !e acces l s c ntr la " c n*i,ura el pr pietari !e ca!a &2et . IDENTIFICACI1N DE USUARIOS P !em s !e*inir la i!enti!a! !e un in!i#i!u c m el c n2unt !e cuali!a!es (nicas e irrepeti&les +ue l permiten !istin,uir !e tr s. As/ p !em s esta&lecer la si,uiente clasi*icaci-n? I&enti;ica&ore( Intr%n(eco(7: impr nta ADN !e la pers na) * n! !el 2 ) iris) %uellas !actilares) *is n m/a !e las man s) ras, s *aciales) tim&re !e # ') cinem$tica !e la *irma manuscrita) l r c rp ralC I&enti;ica&ore( EAtr%n(eco(7: PINs) c ntrase1a *irma manuscrita) numer !e cuenta &ancaria) tar2eta inteli,ente) terminal !es!e el +ue se c necta el usuari . -ERIFICACI1N DE CONTRASE=AS
44
El mecanism +ue se %a #eni! utili'an! en la pr$ctica c n ma" r *recuencia para i!enti*icar a l s usuari s se &asa en l s n m&res !e usuari s " las c ntrase1as. De este m ! ) a ca!a usuari se le asi,na un i!enti*ica! r n m&re !e usuari ) +ue tiene as cia!a una !etermina!a c ntrase1a 6pass> r!9 +ue permite #eri*icar !ic%a i!enti!a! en el pr ces !e autenticaci-n. T !a c ntrase1a !e&er/a cumplir c n un s m/nim s re+uisit s para ,aranti'ar su se,uri!a!) l s cuales !e&er/an estar !e*ini! s en la p l/tica !e ,esti-n !e c ntrase1a !el sistema? Tama1 m/nim !e la c ntrase1a Ca!uci!a! !e la c ntrase1a Re,istr !el %ist rial !e c ntrase1as pre#iamente selecci na!as C ntr l !e la a!ecua!a c mp sici-n !e una c ntrase1a
De&em s tener en cuenta +ue su se,uri!a! !epen!e !e una elecci-n se,ura !e la c ntrase1a " !e su c rrecta c nser#aci-n p r parte !el usuari ) sien! el *act r %uman un !e l s principales punt s !0&iles !e la se,uri!a! in* rm$tica. P r este m ti# ) l s usuari s !e&er/an aplicar n rmas !e se,uri!a!? Al iniciar una sesi-n p r primera #e' en el sistema) se !e&er/a &li,ar al usuari a cam&iar la c ntrase1a. La c ntrase1a n !e&er/a ser an ta!a en un papel a,en!a La c ntrase1a s l !e&er/a ser c n ci!a p r el pr pi usuari Si la c ntrase1a %a teni! +ue ser re#ela!a a tercer s) el pr pietari !e&er/a cam&iar !ic%a c ntrase1a l antes p si&le.
#rotocolos de desafi>$espuesta -&hallenge>$esponse. En l s pr t c l s !e 7!esa*i-3respuesta8 -&hallenge>$esponse., el usuari +ue se i!enti*ican ante el sistema l %ace !em stran! +ue tiene una capaci!a! +ue c mparte en secret c n el autentica! r) c m p !r/a ser una c ntrase1a as cia!a a una cuenta !e usuari ) la cla#e secreta en un sistema !e cript ,ra*/a sim0tric ) etc. El pr ces !e i!enti*icaci-n n pr p rci na nin,una in*amaci-n s &re el secret c mparti! ) "a +ue simplemente el usuari !e&e !em strar ante el autentica! r +ue c n ce !ic% secret . P r este m ti# ) n es necesari +ue el usuari en#i0 a tra#0s !e una re! la c ntrase1a +ue permite #ali!ar su i!enti!a! e#itan! el pr &lema !e la interceptaci-n !e c ntrase1as en las re!es !e r!ena! res. AUTENTICACI1N "ASADA EN CERTIFICADOS DIGITALES
45
Se p !r/an emplear certi*ica! s !i,itales para #ali!ar la i!enti!a! !e l s usuari s " !e l s e+uip s +ue * rman parte !e una re!. Ca!a certi*ica! inclu"e in* rmaci-n s &re la i!enti!a! !e usuari " su cla#e pu&lica. IDENTIFICACI1N DE LOS USUARIOS RE OTOS La i!enti*icaci-n !e l s usuari s rem t s resulta muc% m$s c mple2a) !e&i! a +ue el pr ces !e autenticaci-n se tiene +ue reali'ar a tra#0s !e re!es inse,uras. Se %an pr puest #ari s pr t c l s !e autenticaci-n !e acces rem t emplea! s inicialmente en las c ne@i nes &asa!as en acces tele*-nic me!iante un MODEM) si &ien en la actuali!a! al,un s !e est s pr t c l s !e autenticaci-n se est$n utili'an! en tr tip !e c ne@i nes c m las esta&leci!as en las re!es l cales inal$m&ricas. <os principales protocolos de autenticacin !A! 5!a((Bor& Aut)entication !rotocol+ RFE CDDE67: es un pr t c l p c r &ust ) "a +ue se en#/a la c ntrase1a !el usuari sin encriptar a tra#0s !e la re!. CHA! 5C)allenge Han&()aFe Autenticaci@n !rotocol+ RFC CGGE67 : Es un pr t c l !e autenticaci-n !el tip !esa*i-3respuesta) &asa! en un secret c mparti! . EA! 5EAten(i*le Aut)entication !rotocol+ RFC HHIE67: pr t c l !e autenticaci-n !e capa superi r +ue permite utili'ar !i*erentes al, ritm s !e autenticaci-n *acilitan! a!em$s la autenticaci-n mutua. Este pr t c l especi*ica cuatr tip s !e mensa2es +ue pue!en cam&iar las i!enti!a!es +ue inter#ienen en el pr ces !e autenticaci-n? 7Re+uest8 6petici-n !el Tautentica! r8 al 7suplicante89) !e 7Resp nse8 6respuesta !el 7suplicante89) 7Success8 " 7Failure8. SER$IDORES DE AUTENTICACIAN La *unci-n !e ser#i! r !e autenticaci-n centrali'a!a en t !a la re! sistema !e autenticaci-n mutua entre l s !istint s usuari s " ser#i! res) me!iante la autenticaci-n usuari -ser#i! r " ser#i! r-usuari . Para la puesta en marc%a !e un ser#i! r !e autenticaci-n se p !r/a utili'ar un sistema &asa! en al, ritm s cript ,r$*ic s sim0tric s en cript ,ra*/a !e cla#e pu&lica. El ser#i! r !e autenticaci-n se encar,a !e ,uar!ar una &ase !e !at s centrali'a! !e l s usuari s) !e tal m ! +ue "a n es necesari ,uar!ar una c pia !e la &ase !e !at s !e usuari s en l s pr pi s ser#i! res.
46
(n este esquema basado en un servidor de autenticacin redefinen tres roles Su'licante 6Supplicant9 e+uip !el usuari +ue s licita acce!er al sistema Autentica&or 6Aut%enticat r9 ser#i! r al +ue se !esea acce!er el usuari Servi&or &e Autenticaci@n 6Aut%enticati n Ser#er9 INICIO DE SESI1N JNICO 5>SINGLE SIGN:ON?6 L s sistemas !e autenticaci-n para el inici !e sesi-n (nic 67Sin,le si,n n8? SSO9 permiten +ue l s usuari s s l ten,an +ue rec r!ar una (nica c ntrase1a +ue les permite autenticarse para acce!er a m(ltiples ser#i! res !entr !e una re!. GESTORES DE CONTRASEBAS L s usuari s !e l s sistemas in* rm$tic s " !e l s ser#i! res !e Internet !e&en a*r ntar el pr &lema casi na! p r la pr li*eraci-n !e c ntrase1as. L s ,est res !e c ntrase1as s n aplicaci nes especiali'a!as en almacenar las cre!enciales !e un usuari 6i!enti*ica! r !e usuari " c ntrase1a9 !entr !e una &ase !e !at s) c n el &2eti# !e simpli*icar el mane2 !e estas cre!enciales " !e me2 rar !e se,uri!a!. En estas aplicaci nes las cre!enciales !e un usuari se ,uar!an !e * rma encripta!a) para e#itar +ue pue!an ser c n ci!as p r intrus s.
4&
1=
SISTEMAS GIOMETRICOS
CARACTER2STICAS DE LO SISTE AS "IO 3TRICOS "iometr%a7: es una !isciplina cient/*ica +ue permite i!enti*icar a las pers nas &as$n! se en sus caracter/sticas *isi l-,icas !e c mp rtamient . En el *utur la &i metr/a permitir/a simpli*icar el us ) inclus ) lle,ar a prescin!ir !e las cla#es " c ntrase1as !e l s usuari s en l s sistemas in* rm$tic s) incrementan! la c m !i!a!) la *acili!a! !e us " la se,uri!a! !e l s pr pi s usuari s. <a identificacin en un sistema biom:trico consta de cuatro fases Ca'tura &e lo &ato( *iomtrico(7: un sens r permite leer " re,istrar una muestra !e la caracter/stica */sica a anali'ar) "a sea me!iante una ima,en) un s ni! u tra me!ici-n !e tip !i,ital anal-,ic . EAtracci@n &e la( caracter%(tica( &i(criminante(7: se pr cesan l s !at s captura! s para p !er &tener sus element s c nstituti# s *un!amentales.
4'
Localizaci@n , o*tenci@n &e 'atrone( autntico(7: se,(n la presunta i!enti!a! !el su2et en cuesti-n) se e@traen !e un &ase !e !at s las caracter/sticas autenticas c rresp n!ientes a esa i!enti!a!. Com'araci@n &e la( im'ronta( , &eci(i@n (o*re la i&enti&a& &el u(uario7: En esta (ltima *ase ser$ tener en cuenta l s p si&les cam&i s en las c n!ici nes +ue r !ean la captura !e l s !at s &i m0tric s) a *in !e me2 rar la respuesta !el sistema &i m0tric . <os sistemas biom:tricos son sistemas basados en el reconocimiento de patrones, distinguiendo en su funcionamiento dos procedimientos bsicos !roce&imiento &e in(cri'ci@n 67enr llment89K la muestra &i m0trica se a!+uiere me!iante un sens r " es pr cesa!a para &tener un patr-n (nic para ca!a in!i#i!u . !roce&imiento &e em'areLamiento 67matc%in,89? c mparaci-n !el patr-n &teni! cuan! el usuari se +uiere i!enti*icar c n el almacena! en la &ase !e !at s. (valuar la fiabilidad de un sistema biom:trico Ta(a &e ;al(o( rec)azo( 6FRR) *alse re2ect rate9? p rcenta2e !e usuari s +ue s n rec%a'a! s !e * rma inc rrecta p r el sistema. Ta(a &e ;al(o( 'o(itivo( 6FAR) *alse acceptance rate9? p rcenta2e !e usuari s +ue s n acepta! s !e * rma inc rrecta p r el sistema. Ta(a &e error &e cruce 6CER) cr ss #er err r rate9? p rcenta2e en el +ue la tasa FRR i,uala a la tasa FAR !el sistema. Cuan! men r sea este p rcenta2e) ma" r ser$ la *ia&ili!a! !el sistema. TI!OS DE SISTE AS "IO 3TRICOS Se %an pr puest !i#ers s tip s !e sistemas &i m0tric s) !epen!ien! !e las caracter/sticas */sicas !e c mp rtamient emplea!as para !eterminar la i!enti!a! !e la pers na. Reconocimiento &e voz L s sistemas &asa! s en el rec n cimient e # ' s n &astante c n ci! s p r el p(&lic en ,eneral) !e&i! s &re t ! a +ue en est s (ltim s a1 s se %an c merciali'a! !istintas aplicaci nes " %erramientas in* rm$ticas +ue *acilitan la c n#ersi-n !e # ' !e te@t el rec n cimient !e !etermina! s c man! s # cales) utili'a! s en este ultim cas !e numer s s m !el s !e tel0* n s m-#iles.
4(
La &i metr/a &asa!a en el rec n cimient !e # ' utili'a la t0cnica !e an$lisis espectral !e las n!as s n ras +ue emite un in!i#i!u ) es !ecir) !e su !esc mp sici-n en las !istintas c mp nentes !e *recuencia) "a +ue estas !epen!en !e las caracter/sticas !el aparat * na! r? pulm nes) tra+uea) larin,e " cuer!as # cales. Reconocimiento &e ;irma( manu(crita( Est s sistemas &i m0tric s n se limitan a la #eri*icaci-n est$tica !e la *irma reali'a!a p r la pers na) sin +ue se tienen en cuenta !i#ersas caracter/sticas !in$micas) tras un peri ! !e entrenamient inicia. Para ell ) se re,istran !istint s aspect s !e la peraci-n !e *irma! . Tiemp emplea! p r la pers na Numer !e #eces +ue se separa el & l/,ra* !el papel An,ul c n +ue se reali'a ca!a tra' Presi-n e2erci!a en l s cam&i s !e senti! ) etc.
Huella( &actilare( La %uella !actilar !e una pers na %a si! un patr-n &astante &uen para !eterminar su i!enti!a! !e * rma ine+u/# ca. Ca!a %uella !actilar esta c mpuesta p r una serie !e se,ment s cur# s) arc s " rem lin s 6element s c n ci! s c m Tminucias89 La i!enti*icaci-n me!iante %uellas !actilares tiene una lar,a %ist ria. De %ec% ) !es!e *inales !el si,l SS %asta nuestr s !/as se #ienen reali'an! c n 0@it clasi*icaci nes sistem$ticas !e %uellas !actilares en ent rn s p liciales " * renses) p r l +ue %a si! una !e las primeras t0cnicas pr puestas c m sistemas !e i!enti*icaci-n &i m0trica. !atrone( *a(a&o( en la geometr%a &e la( mano( Est s sistemas &i m0tric s recurren al an$lisis !e la ,e metr/a !e la man c m t0cnica para !eterminar la i!enti!a! !e las pers nas. Para ell ) el usuari !e&e situar su man s &re un !isp siti# lect r c n unas ,u/as +ue marcan la p sici-n c rrecta para la lectura. A c ntinuaci-n unas c$maras se encar,an !e t mar una ima,en superi r " tra lateral !e la man en cuesti-n) !e las +ue se e@traen !at s tri!imensi nales caracter/stic s +ue !escri&en la e@tremi!a! " permiten i!enti*icar a la pers na. !atrone( ;aciale(
53
El rec n cimient !e patr nes *aciales es el m0t ! innat utili'a! p r las pers nas para rec n cer a sus seme2antes !entr !e su especia. La t0cnica &i m0trica +ue e@pl ta esta caracter/stica recurre a la creaci-n !e una ima,en *acial a partir !e atri&ut s *aciales c m la l cali'aci-n " el tama1 !e l s 2 s) ce2as) la&i s nari'. Se trata !e un m0t ! mu" p c intrusi# " +ue n re+uiere !e la c peraci-n !el in!i#i!u ) "a +ue &asta utili'ar una c$mara para capturar las im$,enes necesarias. N &stante) l s ras, s *aciales pue!en e@perimentar ciert s cam&i s a l lar, !el tiemp pue!en ser !isimula! s me!iante !is*races " t0cnicas !e ma+uilla2e) circunstancias +ue !i*icultan el rec n cimient *acial. An<li(i( &el ;on&o &el oLo En est s sistemas &i m0tric s el usuari a i!enti*icar !e&e situar el 2 pr-@im a un sens r +ue se encar,a !e rec rrer el * n! la retina me!iante una emisi-n !e ra!iaci-n in*rarr 2a !e &a2a intensi!a!) reali'an! un rec rri! en * rma !e ramas +ue c nstitu"en la estructura capilar !e la retina) in* rmaci-n +ue pue!e ser p steri rmente c mpara!a c n la +ue se encuentra almacena!a en una &ase !e !at s !e in!i#i!u s pre#iamente re,istra! s en el sistema. An<li(i( &el iri( El iris %uman es una estructura c mple2a " (nica !el in!i#i!u ) +ue permanece inaltera&le !urante t !a su #i!a. Se %a p !i! c mpr &ar +ue n e@isten ! s iris i,uales) "a +ue ni si+uiera c inci!e su patr-n entre ,emel s uni#itelin s. La i!enti*icaci-n &asa!a en el rec n cimient !el iris es m$s m !erna +ue la !el an$lisis !el * n! !e 2 . El pr ce!imient se,ui! en esta t0cnica parte !e la captura una ima,en !el iris en un ent rn c rrectamente ilumina! . Esta ima,en se s mete p steri rmente a !e* rmaci nes pupilares " se e@traen un s !etermina! s patr nes) +ue a su #e' s n trans* rma! s me!iante una serie !e peraci nes matem$ticas %asta &tener !at s su*icientes para la i!enti*icaci-n !el in!i#i!u . Esta muestra reci&e el n m&re !e 7iris c !e8 " cupa un s <KM Bil &"tes. L s (i(tema( *iomtrico( multimo&ale( intentan paliar l s pr &lemas !e *als rec%a' 6n a!mitir a un usuari #ali! 9 " *alsa aceptaci-n 6!ar pas a un usuari n aut ri'a! 9 me!iante la c m&inaci-n !e #arias !e las t0cnicas pr puestas) inclu"en! a!em$s la p si&ili!a! !e emplear el n m&re !e usuari " una c ntrase1a !e #ali!aci-n. De este m ! ) se %a&la !e 7Sistemas !e Autenticaci-n !e ! s #/as8 ) inclus !e 7Sistemas !e Autenticaci-n !e tres #/as8.
52
I !LANTACI1N DE LOS SISTE AS "IO 3TRICOS L s sistemas &i m0tric s presentan t !a#/a muc%as limitaci nes +ue !i*icultan su utili'aci-n !e * rma masi#a. As/) en primer lu,ar c n#iene !estacar el ele#a! c ste !e al,un s !e l s !isp siti# s &i m0tric s !e&i! a +ue se trata en muc% s cas s !e tecn l ,/as n #e! sas " en las +ue e@iste p ca *erta !e pr !uct s en el merca! . P r tra parte) las !iscapaci!a!es !e*ect s */sic s !e las pers nas representan un &st$cul mu" !i*/cil !e superar para al,unas !e estas tecn l ,/as. Asimism ) tr pr &lema a c nsi!erar es el ,ra! !e permanencia en el tiemp !e las caracter/sticas &i m0tricas !e las pers nas) "a +ue l s ras, s *aciales la ,e metr/a !e las man s) p r e2empl ) cam&ian c n el transcurs !el tiemp ) " tras caracter/sticas */sicas antr p m0tricas p !r/an ser altera!as p r al,(n tip !e en*erme!a! !e,enerati#a. Otra cuesti-n rele#ante es el ni#el !e intrusi#i!a! !el sistema &i m0tric a la % ra !e capturar las caracter/sticas &i m0tricas) "a +ue ciert s sistemas re+uieren !e la c la& raci-n acti#a !el in!i#i!u " pue!en ser c nsi!era! s c m !emasia! intrusit s) c m en el cas !e l +ue se &asa en el rec n cimient !el iris !el * n! !e la retina !el 2 . A pesar !e t ! est s inc n#enientes " !el escas ,ra! !e ma!ure' !e al,unas !e estas tecn l ,/as) est$n sien! implanta!as !e * rma masi#a en pa/ses c m Esta! s Uni! s) s &re t ! a ra/' !e l s atenta! s !el 11 !e septiem&re !e <==1 c ntra las t rres ,emelas !e Nue#a F rB. I !LANTACI1N DE ICROCHI!S EN LAS !ERSONAS
Esta nue#a t0cnica c nsiste en la implantaci-n !e un micr c%ip en el cuerp !e la pers na) el cual almacena una !etermina!a in* rmaci-n 6en principi ) se trata !e un c-!i, !e l s 1M D/,it s9 +ue *acilitan su p steri r i!enti*icaci-n " se,uimient . Este micr c%ip se pue!e c n anestesia l cal !e&a2 !e la piel !el in!i#i!u . Entre sus p si&les aplicaci nes) p !r/am s citar las si,uientes? I!enti*icaci-n !e pers nas c n *ines m0!ic s L cali'aci-n !e pers nas) c nstru"en! un instrument para e#itar secuestr s !e pers nas rele#antes. C ntr l " #i,ilancia !e !elincuentes " terr ristas.
!e se,uri!a!
5A
11
FUNDAMENTOS DE CRIPTOGRAFIA
CRI!TOGRAF2A+ CRI!TOAN4LISIS . CRISTOLOG2A La Cri'togra;%a es la ciencia +ue se encar,a !e estu!iar las !istintas t0cnicas emplea!as para trans* rmar 67encriptar8 7ci*rar89 la in* rmaci-n " %acerla irrec n ci&le a t ! s a+uell s usuari s n aut ri'a! s !e un sistemas in* rm$tic ) !e m ! +ue s l l s le,/tim s pr pietari s pue!an recuperar 67!esencriptar8 7!esci*rar89 la in* rmaci-n ri,inal. El termin 7Cript ,ra*/a8 pr #iene !el ,rie, 7Uript s8 6 cult 9 " 7Gra* s8 6escritura9) p r l +ue si,ni*ica etim l-,icamente el 7arte !e escri&ir !e un m ! secret eni,m$tic 8 El Cri'toan<li(i( es la ciencia +ue se cupa !e estu!iar %erramientas " t0cnicas +ue permitan l s c-!i, s " sistemas !e pr tecci-n !e*ini! s p r la cript ,ra*/a. La cript ,ra*/a " el cript an$lisis est$n mu" relaci na!as c n #arias !isciplinas cient/*icas c m la te r/a !e la in* rmaci-n) la te r/a ,eneral !e n(mer s las le"es " te remas !e la matem$tica !iscreta. La ciencia !e in#entar sistemas !e encriptaci-n !e la in* rmaci-n 6cript ,ra*/a9 " !e !es&aratarl s 6cript an$lisis9 se la c n ce c lecti#amente c n el termin !e Cript l ,ia. FUNCIONA IENTO DE UN SISTE A CRI!TOGR4FICO
53
Un sistema cript ,r$*ic m !ern se &asa en un !etermina! al, ritm !e encriptaci-n +ue reali'a unas trans* rmaci nes s &re el te@t ri,inal) c n ci! c m te@t clar ) para &tener un te@t m !i*ica! ) c n ci! c m te@t ci*ra! cript ,rama. Me!iante el pr ce!imient !esencriptaci n. in#ers ) utili'an! un !etermina! al, ritm !e
Al,un s al, ritm s cript ,r$*ic s se %an +ueri! mantener en secret " al ca& !e un ciert tiemp se %an pu&lica! l s !etalles t0cnic s !e su *unci namient ) ,racias a la utili'aci-n !e t0cnicas !e 7in,enier/a in#ersa8 al acces a in* rmaci-n c n*i!encial !e las pr pias empresas resp nsa&les !el !ise1 " c merciali'aci-n !e l s pr !uct s &asa! s en est s al, ritm s. En !e*initi#a) la r &uste' !el sistema cript ,r$*ic se &asa en la cla#e utili'a!a. Esta c n!ici-n "a *ue plantea!a p r primera #e' p r el in#esti,a! r UercB% **s en el si,l SIS? en un sistema cript ,r$*ic se !e&er/a asumir +ue tar!e tempran un atacante p !r$ c n cer l s !etalles !el al, ritm " !isp ner !e te@t s en clar " sus c rresp n!ientes te@t s ci*ra! s. La cla#e act(a c m m !i*ica! r !el al, ritm ) !e tal m ! +ue un mism al, ritm cript ,r$*ic p !r$ ser utili'a! p r multitu! !e usuari s " !e r,ani'aci nes. A!em$s) un cam&i !e cla#e permite m !i*icar el m0t ! !e encriptaci-n) sin tener +ue m !i*icar el pr ,rama in* rm$tic +ue l implementa. De este m ! ) n es necesari in#entar) pr &ar e instalar nue# s m0t ! s !e encriptaci-n a ca!a pas . En la actuali!a! la ma" r parte !e l s al, ritm s cript ,r$*ic s s n p(&lic s " se &asan en una serie !e peraci nes elementales s &re l s !at s +ue c nstitu"en el te@t ri,inal? transp sici nes. L s s/m& l s !el te@t ri,inal se c !i*ican me!iante &its ") s &re est s &its se reali'an #arias secuencias !e transp sici nes " sustituci nes) !e acuer! c n l s pas s !e*ini! s p r el al, ritm en cuesti-n. En las t0cnicas !e sustituci-n m n al*a&Vtica ca!a un !e l s caracteres s/m& l s se representan c n tr car$cter en una relaci-n un a un . N &stante tam&i0n se pue!en utili'ar t0cnicas !e sustituci-n p lial*a&0tica) en las cuales !i#ers s caracteres !el te@t ci*ra! representan al mism car$cter s/m& l !e te@t ri,inal. CRI!TOAN4LISIS El cript an$lisis se cupa !el estu!i !e las !istintas t0cnicas " m0t ! s +ue permiten 7r mper8 l s al, ritm s !e encriptaci-n. En la practica) el cript an$lisis se suele lle#ar a ca& estu!ian! !istint s pares 7mensa2es !e
54
te@t ri,inal-mensa2e encripta! misma cla#e.
6cript ,rama98 ,enera! s utili'an!
la
Tip s !e ata+ues c ntra un sistema cript ,r$*ic Ata$ue( *a(a&o( (olo en el teAto ci;ra&o7: el cript analista !isp ne !e #ari s te@t s ci*ra! s " su &2eti# ser$ recuperar l s te@t s en clar ") si *uera p si&le) la cla#e utili'a!a en el sistema cript ,r$*ic . Ata$ue( *a(a&o( en teAto claro conoci&o7: el crip analista !isp ne !e #ari s te@t s ci*ra! s " !e l s te@t s en clar !e parti!a) " su &2eti# ser$ tratar !e !eterminar la cla#e utili'a!a para p !er !esencriptar nue# s te@t s ci*ra! s. Ata$ue( *a(a&o( en teAto claro (elecciona&o7: el cript analista n s l !isp ne !e #ari s te@t s ci*ra! s " !e l s te@t s en clar !e parti!a) sin +ue a!em$s %a p !i! selecci nar l s te@t s en clar +ue #an a ser encripta! s. Ata$ue( a&a'tativo( *a(a&o( en teAto claro conoci&o7: en este cas ) a!em$s !e p !er selecci nar #ari s te@t s en clar " &tener sus c rresp n!ientes te@t s ci*ra! s) el cript analista pue!e m !i*icar su elecci-n !e l s mensa2es a encriptar tenien! en cuenta l s resulta! s ,enera! s p r encriptaci nes pre#ias. T0cnicas !e cript an$lisis Cri'toan<li(i( &i;erencial7: trata !e enc ntrar c rrelaci nes entre el te@t clar " el te@t ci*ra! &teni! a la sali!a !el sistema cript ,r$*ic ) partien! !el c n cimient !e la e@istencia !e ciertas !i*erencias entre #ari s te@t s clar s +ue se %an intr !uci! en el sistema. Cri'toan<li(i( Lineal7: trata !e enc ntrar c rrelaci nes entre la cla#e) el te@t clar " el te@t ci*ra! &teni! a la sali!a !el sistema cript ,r$*ic &asa! en un ci*ra! en &l +ue. Cri'toan<li(i( *a(a&o en clave( relaciona&a(7: trata !e enc ntrar c rrelaci nes entre l s cam&i s en la cla#e) el te@t clar " el te@t ci*ra! &teni! a la sali!a !el sistema cript ,r$*ic . Tcnica( &e an<li(i( e(ta&%(tico &e ;recuencia7: l s primer s m0t ! s para 7r mper8 l s ci*ra! s !e sustituci-n p lial*a&etica se &asa&an en el an$lisis esta!/stic !e *recuencias) partien! !el estu!i !e las ca!enas !e te@t repeti!as en el mensa2e encripta! para !eterminar la l n,itu! !e la cla#e " la c rresp n!encia entre las caracteres encripta! s " sin encriptar.
55
Inter'retaci@n &e clave(7: ata+ues !e interme!iaci-n me!iante el cual se pue!en interceptar !irectamente las cla#es sin !espertar s spec%as !e l s usuari s !el sistema cript ,r$*ic " sin +ue sea necesari estu!iar l s te@t s ci*ra! s. CLASIFICACI1N DE LOS SISTE AS CRI!TOGR4FICOS En primer lu,ar) p !em s !istin,uir entre l s sistemas cript ,r$*ic s sim0tric s " l s asim0tric s) aten!ien! a la naturale'a !e la cla#e utili'a!a. En l s primer s se emplea la misma cla#e en el pr ces !e encriptaci-n " en el !e !esencriptaci n) mientras +ue l s se,un! s se caracteri'an p r utili'ar ! s cla#es !istintas per relaci na!as entre si) una para la encriptaci-n !e l s !at s " tra para la !esencriptaci n. <os sistemas criptogrficos sim:tricos pueden tener dos formas de funcionamiento Ci;ra&o en *lo$ue o 'oligr<;ico 5>*locF ci')er?67: el mism al, ritm !e encriptaci-n se aplica a un &l +ue !e in* rmaci-n repeti!as #eces) usan! la misma cla#e. Ci;ra&o en ;luLo+ *it a *it o *,te a *,te 5>(tream ci')er?67: el al, ritm !e encriptaci-n se aplica a un element !e in* rmaci-n 6car$cter) &it9 me!iante un *lu2 +ue c nstitu"e la cla#e " +ue en te r/a es aleat ria " !e un tama1 superi r al !el mensa2e. Sistemas cript ,r$*ic s sim0tric s En l s (i(tema( cri'togr<;ico( (imtrico( se emplea la misma cla#e para reali'ar tant la encriptaci-n c m la !esencriptaci n !el te@t ri,inal) tal " c m representa en las si,uientes. Est s al, ritm s se caracteri'an p r ser mu" r$pi! s " e*icientes !es!e el punt !e #ista c mputaci nal) "a +ue se &asan en peraci nes matem$ticas sencillas reali'a!as s &re l s s/m& l s !el mensa2e ri,inal. Sin em&ar, ) presentan un imp rtante pr &lema? c m intercam&iar la cla#e utili'a!a para la encriptaci-n3!esencriptaci n a tra#0s !e un se,ur . Se trata !e una cuesti-n !e especial rele#ancia) "a +ue t !a la se,uri!a! !el sistema !epen!e !e la c n*ia&ili!a! !e la cla#e. P r este m ti# ) a este tip !e sistemas cript ,r$*ic s tam&i0n se les !a el n m&re !e sistemas cript ,r$*ic s !e cla#e pri#a!a. Sistemas cript ,r$*ic s asim0tric s
56
L s (i(tema( cri'togr<;ico( a(imtrico( sur,en a principi s !e l s a1 s setenta para !ar respuesta al pr &lema !e intercam&i !e la cla#e !e l s sistemas sim0tric s. Se &asan en pr &lemas num0ric s mu" c mple2 s. En est s sistemas se utili'an ! s cla#es !istintas? una para reali'ar la encriptaci-n " tra para el pr ces !e !esencriptaci nA p r este m ti# ) reci&en el n m&re !e asim0tric s. En 154M Jilliam Di**ie " Martin Dellman pr pusier n un inn #a! r sistema !e encriptaci-n en el +ue se emplea&an cla#es !e encriptaci-n.
DE 0UE DE!ENDE CRI!TOGRAFICOS
LA
SEGURIDAD
DE
LOS
SISTE AS
R &uste' !el es+uema !e encriptaci-n !ise1a! Para ca!a sistema cript ,r$*ic pr puest resulta c n#eniente reali'ar un estu!i esta!/stic !el al, ritm para p !er anali'ar en +ue me!i!a cumple c n las pr pie!a!es !e 7c n*usi-n8)8!i*usi-n8 " 7c mpletitu!8. La caracter/stica !e 7c mpletitu!8 !el al, ritm se cumple si ca!a &it !e te@t ci*ra! !epen!e !e t ! s " ca!a un !e l s &its !e la cla#e. En tr cas ) se p !r/an reali'ar ata+ues c ntra !etermina!as partes !e la cla#e) en una estrate,ia !e 7!i#i!e " #encer$s8. P r su parte) las pr pie!a!es !e 7c n*usi-n8 " !e 7!i*usi-n8 tratar !e estu!iar las peraci nes !e sustituci-n " !e transp sici-n. Rec r!em s +ue la 7c n*usi-n8 permite cultar la relaci-n entre l te@t clar " el te@t ci*ra! ) !i*icultan! al an$lisis !e patr nes mientras +ue la 7!i*usi-n8 preten!e !isminuir las re!un!ancias !el te@t clar al e@ten!erlas p r t ! el te@t ci*ra! . A!ecua!a ,esti-n !e las cla#es Resulta !e #ital imp rtancia para la se,uri!a! !e un sistema cript ,r$*ic es ,aranti'ar una a!ecua!a ,esti-n !e las cla#es. De %ec% ) n !e&em s l#i!ar +ue pue!e resultar muc% mas ec n-mic pa,ar un mill-n !e !-lares a una pers na c n acces a !etermina!as cla#es !e sistemas cript ,r$*ic s en una em&a2a!a) p r p ner un e2empl c n ci! a tra#0s !e al,un s cas s *am s s !e espi na2e entre Esta! s Uni! s " la URSS) +ue p ner en marc%a un e+uip !e cient/*ic s " a!+uirir la in*raestructura t0cnica " c mputaci nal necesaria para lle#ar a ca& acti#i!a!es !e cript an$lisis. Sin em&ar, ) la limitaci-n ,u&ernamental !el tama1 !e las cla#es representa un seri &st$cul para me2 rar la se,uri!a! !e l s sistemas cript ,r$*ic s) , &iern s
5&
restrin,en a#an'a!as.
pr %/&en
la
utili'aci-n
!e %erramientas
cript ,r$*icas
La tecn l ,/a cript ,r$*ica) inclu"en! n s l l s pr !uct s +ue la implementan) sin la pr pia !escripci-n !el *unci namient !e l s al, ritm s " pr t c l s cript ,r$*ic s) se encuentra s meti!a a la re,ulaci-n !e la n rma ITAR 6Internaci nal Tra**ic in Arms Re,ulati ns9. I !LE ENTACI1N !R4CTICA DE LOS ALGORIT OS 3ard8are especializado vs soft8are A la % ra !e implementar l s al, ritm s cript ,r$*ic s en un sistema in* rm$tic ) " !e&i! a la c mple2i!a! !e las peraci nes +ue se tienen +ue reali'ar c n l s !at s) el %ar!>are especiali'a! resulta muc% mas r$pi! +ue la implementaci-n me!iante s *t>are utili'an! un pr cesa! r !e pr p-sit ,eneral. Este %ar!>are especiali'a! alternati#as? pue!e c nsistir en al,una !e las si,uientes
/arjeta criptogrfica que se aade a la placa de un ordenador, +ue se p !r/a c n*i,urar para +ue reali'ase la encriptaci-n aut m$tica !e t ! s l s *ic%er s ,uar!a! s en el !isc !ur en un !is+uete. )&aja de encriptacin, capa' !e reali'ar la encriptaci-n en t ! s l s mensa2es " *ic%er s en#ia! s !es!e la re! !e la r,ani'aci-n %acia sistemas u&ica! s en tras re!es. /arjeta )chip,, +ue c nsiste en una tar2eta !e pl$stic c n un * rmat similar al !e una tar2eta !e cr0!it +ue inc rp ra un c%ip especiali'a! las peraci nes cript ,r$*icas. C n#iene !estacar +ue la implantaci-n %ar!>are !e un al, ritm suele resultar3!esencriptaci n me!iante s *t>are) las cla#es pue!en resultar #ulnera&les al enc ntrarse en la mem ria en el !isc !ur !el e+uip in* rm$tic +ue esta reali'an! el pr ces . P r este m ti# ) al,un s r,anism s c m la NSA s l aut ri'an la encriptaci-n me!iante %ar!>are. N &stante) "a se %an pr puest ata+ues c ntra tar2etas cript ,r$*icas &asa! s en el an$lisis !e la canti!a! !e ener,/a el0ctrica c nsumi!a p r le c%ip al reali'ar la !istintas peraci nes c n l s !at s. GESTI1N DE CLA-ES
5'
<a problemtica de la gestin de claves La ,esti-n !e cla#es c nstitu"e un !e l s pr &lemas !e mas !i*/cil s luci-n en la cript ,ra*/a) sien! necesari res l#er cuesti nes c m la transmisi-n !e las cla#es a tra#0s !e un canal se,ur " c nser#aci-n se,ura !e las cla#esA la !e*inici-n !e un pr ce!imient !e re# caci-n !e cla#es +ue %a"an si! c mpr meti!asA etc. Si aten!em s a las especi*icaci nes !e la n rma ISO 1144=) el cicl !e #i!a !e una cla#e c nsta !e cinc esta! s? ,eneraci-n) acti#aci-n) !esacti#aci-n) reacti#aci-n " !estrucci-n. En l s sistemas cript ,r$*ic s se pue!en !istin,uir ! s tip s !e cla#es? &laves de corta duracin -claves de sesin. se emplean para la encriptaci-n !e un (nic mensa2e para la encriptaci-n !e la in* rmaci-n intercam&ia!a en una sesi-n esta&leci!a entre ! s e+uip s usuari s. &laves de larga duracin -claves de usuario o claves primarias. se emplean para el ser#ici !e autenticaci-n " para ase,urar la c n*i!enciali!a! !e l s !at s) "a sea me!iante la encriptaci-n !e !at s transmiti! s &ien para la pr tecci-n !e !at s almacena! s en un s p rte in* rm$tic .
Tam&i0n es p si&le !e*inir una 2erar+u/a !e cla#es) !istin,uien! entre las cla#es maestras " las cla#es su& r!ina!as !e aplicaci-n. Las cla#es su& r!ina!as se emplean para encriptar !etermina! s *ic%er s ! cument s !entr !el sistema in* rm$tic ) mientras +ue las cla#es maestras se utili'an para pr te,er el acces a las cla#es su& r!ina!as. La r,ani'aci-n !e&er/a !e*inir " ,aranti'ar la c rrecta implantaci-n !e una serie !e pr ce!imient s relaci na! s c n la ,esti-n !e las cla#es) especi*ican! +uienes s n en ca!a cas l s resp nsa&les " cust !i s !e las cla#es) las cual es la 2erar+u/a !e cla#es " en +ue situaci nes " tip s !e !at s ! cument s se ten!r/an +ue utili'ar ca!a cla#e. ?eneracin y cambio de las claves Para la creaci-n !e las cla#es se pue!e recurrir a ,enera! res pseu! aleat ri s) +ue p !r/an utili'ar #ect res !e iniciali'aci-n &asa! s en la i!enti*icaci-n !el e+uip ) el esta! !e sus re,istr s intern s) la *lec%a " % ra !e su rel 2 intern ) etc.
5(
N &stante) c n#iene tener en cuenta +ue se p !r/an lle#ar a ca& ata+ue c ntra est s ,enera! res para tratar !e pre!ecir la secuencia pseu! aleat ria &teni!a. /ransmisin de las claves a los distintos usuarios El est$n!ar ANSI S5.14 i!enti*ica ! s tip s !e cla#esA las cla#es !e 7encriptaci-n !e cla#es8 " las cla#es para la encriptaci-n !e !at s) esta&lecien! !e este m ! una 2erar+u/a !e cla#es en el sistema cript ,r$*ic . Las cla#es !e 7encriptaci-n !e cla#es8 se emplean para la trasmisi-n se,ura !e las cla#es !e*ini!as para la encriptaci-n !e !at s. Las cla#es !e 7encriptaci-n !e cal#es8 se !istri&u"en manualmente me!iante al,(n pr ce!imient . Tam&i0n se %an pr puest tr s sistemas para la ,esti-n !istri&ui!a !e las cla#es) &asa! s en 7anill s !e c n*ian'a8) utili'a! s en aplicaci nes intr !ucci-n !e nue# s usuari s en el sistema. Activacin y utilizacin de las claves Una #e' %a"an si! acti#a!as !entr !el sistema) las cla#es p !r$n ser utili'a!as para l s !istint s pr p-sit s +ue se %a"an !e*ini! . Encriptaci-n !e ! cument s " *ic%er s Autenticaci-n !e usuari s Encriptaci-n !e las c municaci nes Generaci-n !e *irma electr-nica) etc.
Almacenamiento de las claves La r,ani'aci-n p !r/a esta&lecer un !etermina! pr ce!imient para +ue l s usuari s pu!iesen almacenar en un !isc !ur !e * rma se,ura las cla#es !i*/ciles !e mem ri'ar) encriptan! las me!iante tr al, ritm " una !etermina!a cla#e !e acces . Asismism p !r/am s c nsi!erar la p si&ili!a! !e utili'ar tar2etas c n un c%ip ROM ! n!e se ,ra&e la cla#e. Es rec men!a&le !isp ner !e una c pia !e se,uri!a! centrali'a!a !e t !as las cla#es !e l s emplea! s !e una r,ani'aci-n para p !er recuperarlas cuan! *uera necesari . !estruccin de las claves La primera me!i!a relaci na!a c n la #ali!e' " la !estrucci-n !e las cla#es seria la !e imp ner un !etermina! inter#al !e tiemp para su ca!uci!a!. En este senti! ) c n#iene !estacar +ue cuant ma" r sea el peri ! !e utili'aci-n !e una cla#e) ma" r es la p si&ili!a! !e +ue esta pue!a ser 63
c mpr meti!a) situaci-n +ue se pr !ucir/a) p r e2empl ) cuan! un usuari tu#iese un !escui! " per!iese su cla#e la an tase en un siti p c se,ur . Del mism m ! ) cuant mas se utilice una cla#e) ma" r ser$ el inter0s !e tras r,ani'aci nes " pers nas en p !er r mper el sistema me!iante !istintas t0cnicas !e cript an$lisis) !e&i! a +ue en ese cas ma" r ser$ la rec mpensa a su es*uer' . Algoritmo de intercambio de claves El al, ritm IUE !e*ine un mecanism !e !istri&uci-n !e cla#es) +ue emplea t0cnicas !e cript ,ra*/a asim0trica c m el al, ritm !e Di**ie-Dellman para el en#i- se,ur !e la cla#e !e sesi-n entre ! s usuari s e+uip s. IUE es utili'a! en el pr t c l IPSec para el intercam&i se,ur !e cla#es !e sesi-n entre l s usuari s .IUE se &asa) a su #e') en l s al, ritm s ISAUMP " OAULEF.
62
1<
ESTEGANOGRAFIA
MARCAS
DE
AGUA
67JATERMARUS89
ESTEGANOGRAFIA <os or"genes de la (steganografia La pala&ra 7Este,an ,ra*ia8 pr #iene !el ,rie, 7ste,an s8 6 cult 9 " 7,rap% s8 6escritura9 p r l +ue p !r/am s !e*inir c m la ciencia !e la 7escritura encu&ierta u culta8 La Este,an ,ra*ia estu!ia t !as las p si&les t0cnicas utili'a!as para insertar in* rmaci-n sensi&le !entr !e tr *ic%er ) !en mina! 7*ic%er c ntene! r8 6+ue p !r/a ser un ,ra*ic ) un ! cument un pr ,rama e2ecuta&le9) para tratar !e c nse,uir +ue pue!a pasar ina!#erti!a a tercer s) " s l pue!a ser recupera!a p r parte !e un usuari le,itim emplean! para ell un !etermina! al, ritm !e e@tracci-n !e la in* rmaci-n. *uncionamiento de las t:cnicas esteganograficas modernas Las t0cnicas este,an ,ra*icas m !ernas utili'an aplicaci nes in* rm$ticas para cultar la in* rmaci-n. Se %an pr puest #arias alternati#as para *ic%er in* rm$tic . cultar la in* rmaci-n en un
Alternativa @ Sustitucin de algunos bits del fichero contenedor por los de la informacin que se desea ocultar Me!iante esta alternati#a n se m !i*ica el tama1 !el *ic%er ri,inal. Si se utili'a un *ic%er !e s ni! c m *ic%er c ntene! r) se pue!en utili'ar l s &its +ue n s n au!i&les p r el /! %uman par ser reempla'a! s p r l s &its !e in* rmaci-n. De %ec% ) cuant ma" r sea la cali!a! !el *ic%er ) ma" r n(mer !e &its !el *ic%er ri,inal p !r/an ser sustitui! s p r &its !e in* rmaci-n. P r este m ti# ) se suelen utili'ar *ic%er s !e s ni! s !e 1M &its !e res luci-n *ic%er s !e im$,enes !e <: &its c m *ic%er s c ntene! res.
6A
Alternativa A Insercin de bits de informacin adicionales al final del fichero o documento contenedor En este cas se a1a!en l s &its !e in* rmaci-n a partir !e la marca !e *in !e *ic%er 6EOF)-En! * *ile-9. Sin em&ar, ) esta pci-n presenta el inc n#eniente !e +ue si m !i*ica el tama1 !el *ic%er ) p r l +ue p !r/a !espertar ma" res s spec%as ante tercer s. Alternativa B &reacin de un fichero contenedor )ad2hoc, partiendo de la informacin que se desea ocultar
P !em s utili'ar #ari s *act res para anali'ar el c mp rtamient !e las t0cnicas este,an ,ra*icas) as/ c m para p !er esta&lecer una c mparaci-n entre las !istintas t0cnicas pr puestas. L s *act res m$s imp rtantes serian l s si,uientes? 1. Canti!a! !e in* rmaci-n +ue permite cultar en un *ic%er <. Di*iculta! para !etectar la presencia !e in* rmaci-n culta E. R &uste' !e la in* rmaci-n culta *rente a cam&i s en el *ic%er c ntene! r. :. Facili!a! para recuperar la in* rmaci-n. C n#iene !estacar +ue el &2eti# principal !el atacante !e una t0cnica este,an ,ra*ica ser$ !eterminar si e@iste n in* rmaci-n culta en un *ic%er . Tam&i0n p !em s se1alar al,un s inc n#enientes +ue presentan las t0cnicas este,an ,ra*icas. En primer lu,ar) si el *ic%er c ntene! r es manipula! se pue!e per!er la in* rmaci-n +ue se %a culta! en el *ic%er . As/) p r e2empl ) un simple cam&i !e * rmat !e c mpresi-n !e una ima,en) c n#irtien! una ima,en RPEG al * rmat TIFF GMP) para # l#er a c !i*icarla !espu0s c m RPEG) pr # ca la per!i!a !e la in* rmaci-n +ue se %a&/a culta! . #rogramas informticos para la esteganografia Se presenta al,unas !e las %erramientas m$s c n ci!as +ue utili'an !istintas t0cnicas este,an ,ra*icas para cultar la in* rmaci-n. >S:Tool(?K aplicaci-n *ree>are para el ent rn Jin! >s mas c n ci! +ue permite cultar in* rmaci-n en *ic%er s !e au!i 6JAH9 " !e im$,enes 6GIF " GMP9) recurrien! a l s tres &its men s si,ni*icati# s !e l s &"tes !el *ic%er c ntene! r. >Hi&e an& SeeF?K %erramienta +ue permite cultar in* rmaci-n en *ic%er s !e im$,enes GIF recurrien! al &it men s si,ni*icati# !e ca!a &"te !el *ic%er c ntene! r) aplican! a!em$s una t0cnica !e !ispersi-n para
63
repartir la in* rmaci-n a pseu! aleat ria.
cultar p r t !
el *ic%er
!e una * rma
>#(teg?K aplicaci-n +ue permite cultar in* rmaci-n en *ic%er !e im$,enes RPEG) recurrien! a l s c e*icientes !e c mpresi-n !e la trans* rma!a !el C sen Discret 6al, ritm !e c mpresi-n emplea! en las im$,enes RPEG9. TECNOLOGCA DE MARCAS DE AGUA (8ATERMARDS) Una 7marca &e agua &igital8 es un c-!i, !e i!enti*icaci-n +ue se intr !uce !irectamente en el c nteni! !e un arc%i# multime!ia c n el &2eti# !e incluir !etermina!a in* rmaci-n ,eneralmente relaci na!a c n l s !erec% s !e aut r !e pr pie!a! !el c nteni! !i,ital en cuesti-n. Un sistema !e marcas !e a,ua c nsta !e un al, ritm !e marca! " tr !e !etecci-n !e la marca +ue) ,eneralmente) re+uieren !el us !e una cla#e similar a la utili'a!a en l s sistemas cript ,r$*ic s. De este m ! ) s l la pers na u r,ani'aci-n en p sesi-n !e la cla#e a!ecua!a p !r$ tener acces a la marca !e a,ua +ue %a si! intr !uci!a en in!etermina! *ic%er c nteni! !i,ital. Aplicaciones de las marcas de agua digitales Identificacin de la fuente, el autor, el propietario, el distribuidor y>o el consumidor autorizado de un fichero con contenido digital 7arca de agua transaccional -)fingerprinting,. inclu"e l s !at s !el pr pietari " l s !at s !el c mpra! r !e un *ic%er ) *rut !e una transacci-n entre am&as partes. Autenticacin de fichero, indicando quien es el autor leg"timo de mismo esta aplicaci-n p !r/a resultar !e ,ran inter0s) p r e2empl ) para marcar im$,enes m0!icas c m las ra!i ,ra*/as para marcar las * t ,ra*/as en#ia!as p r un rep rter ,ra*ic a u peri-!ic . &lasificacin de contenido la marca !e a,ua p !r/a in!icar el tip c nteni! inclui! en un *ic%er ) para *acilitar su clasi*icaci-n aplicaci-n !e !etermina!as re,las " *iltr s !e c nteni! . !e la
&ontrol de copias y restriccin en el uso de un determinado contenido0 Las marcas !e a,ua !ise1a!as para el c ntr l !e c pias c ntienen la in* rmaci-n !etermina!a p r su pr pietari acerca !e las re,las !e us " c pia! !e l s c nteni! s en l s +ue se insertan.
64
#ropiedades de las marcas de agua digitales 1. Ro*u(tezK c nteni! Una marca !e *ic%er cuan! usuari . <. Capaci!a! !e resistir a cam&i s pr !uci! s en el *ic%er !i,ital. a,ua se c nsi!era r &usta si pue!e ser !etecta! en el este %a si! s meti! a una serie !e cam&i s p r el
Re(i(tencia a mani'ulacione(K esta pr pie!a! !etermina la resistencia !e la marca !e a,ua *rente a l s ata+ues acti# s 6a+uell s +ue tratan !e eliminar la marca) manipular su in* rmaci-n insertar una marca *alsa +ue p !r/a ser c nsi!era!a c m le,itima p r el sistema9 " *rente a l s ata+ues pasi# s 6a+uell s ata+ues en l s +ue simplemente se trate !e !etectar la presencia !e la marca en un c nteni! !i,ital9.
E. Im'erce'ti*ili&a&K la impercepti&ili!a! mi!e el ni#el ,ra! !e transparencia !e una marca !e a,ua para el sistema p rcentual %uman . :. In&etecta*ili&a&K una marca se c nsi!era in!etecta&le si su inserci-n en un arc%i# n pr !uce cam&i s si,ni*icati# s en las pr pie!a!es esta!/sticas !e este. Solucione( comerciale( 'ara la( marca( &e agua Di,imarc Alp%a-tec Me!iasec Herance Glue SpiBe IGM
65
1E
FIRMA ELECTRONICA
0UE ES LA FIR A ELECTR1NICA El c ncept !e *irma electr-nica !i,ital !e un mensa2e) *un!amental para p si&ilitar el !esarr ll !el c merci electr-nic " l s ser#ici s !i,itales !e * rma se,ura a tra#0s !e Internet. En primer lu,ar) se presenta la !e*inici-n !e *irma electr-nica pr puesta p r el r,anism internaci nal ISO 6! cumentaci-n ISO 4:5;-<9? La ;irma electr@nica s n l s !at s a1a!i! s a un c n2unt te !at s +ue permiten al recept r pr &ar el ri,en " la inte,ri!a! !e l s !at s) as/ c m pr te,erl s c ntra *alsi*icaci nes. La *irma electr-nica !e un mensa2e transacci-n permite ,aranti'ar la inte,ri!a!) la autenticaci-n " la n repu!iaci-n en un sistema in* rm$tic . La encriptaci-n asim0trica 6me!iante un al, ritm c m RSA9 se aplica s &re 7la %uella !i,ital8 !el mensa2e " n s &re el pr pi mensa2e) !e&i! al ele#a! c ste c mputaci nal +ue sup n!r/a la encriptaci-n !e t ! el mensa2e) "a +ue esta alternati#a resultar/a muc% mas lenta " c mple2a. CARACTER2STICAS DE LA FIR A ELECTR1NICA Se presentan las si,uientes caracter/sticas !e la *irma electr-nica Es pers nal) "a +ue s l el le,/tim pr pietari la pue!e ,enerar. La *irma electr-nica as cia al *irmante c n un !etermina! ! cument " prue&a su participaci-n en el act !e la *irma. P !em s c nsi!erar +ue es pr$cticamente in*alsi*ica&le. El intent !e un usuari ile,al !e *alsi*icar tal *irma resulta pecticamente imp si&le c n l s recurs s c mputaci nales. Es *$cil !e autenticar Es *$cil !e ,enerar Es n repu!ia&le A!em$s !e !epen!er !el aut r) ,aranti'a! !e este m ! la autentici!a!) tam&i0n !epen!e !el mensa2e +ue se *irma) ,aranti'an! as/ tam&i0n su inte,ri!a!) es !ecir) la #ali!e' !el c nteni! *irma! .
AUTORIDADES DE CERTIFICACI1N 66
L s sistemas cript ,r$*ic s !e cla#e pu&lica) tal " c m se %an !escrit en un plantean ! s imp rtantes pr &lemas para su implementaci-n practica. WC-m pue!e un usuari estar se,ur !e +ue la cla#e pu&lica en#ia!a p r un !etermina! su2et se c rresp n!e c n !ic% su2et X WCa!a usuari !e&e almacenar las cla#es p(&licas !e t ! s l s su2et s c n l s +ue se pue!a c municarX
El *irmante !e&e ,aranti'ar la se,uri!a! !e su cla#e pri#a!a) "a +ue en cas c ntrari al,uien p !r/a *irmar en su n m&re. El act !e *irma !e&e ser c nsciente? !a! +ue se %a asumi! !es!e siempre +ue la *irma manuscrita representa la mani*estaci-n */sica !el c nsentimient !e un in!i#i!u ) este mism principi se aplica a% ra a la *irma electr-nica. Para res l#er est s pr &lemas " pr p rci nar ma" res ,arant/as en l s sistemas +ue emplean *irman !i,itales) sur,en la s aut ri!a!es !e certi*icaci-n) +ue act(an c m terceras partes !e c n*ian'a 6T%ir! Trust" Part"9. El papel !e estas aut ri!a!es c nsiste en ,aranti'ar la i!enti!a! !e t ! s l s usuari s re,istra! s me!iante la emisi-n !e Certi*ica! s Di,itales. Las aut ri!a!es !e certi*icaci-n tam&i0n cuentan c n la c la& raci-n !e las a,encias !e re,istr l cales) +ue se encar,an !e c-m las aut ri!a!es !e #ali!aci-n) +ue pue!en c mpr &ar la #ali!e' !e un certi*ica! !i,ital ante la petici-n !e un interesa! . *unciones de una Autoridad de &ertificacin Generaci-n " actuali'aci-n !e las cla#es !e l s usuari s " emisi-n !e l s certi*ica! s !i,itales. Gesti-n !el !irect ri " !istri&uci-n !e las cla#es. Re# caci-n !e las cla#es " certi*ica! s !i,itales. Ren #aci-n !e certi*ica! s una #e' alcan'a!a su *ec%a !e e@piraci-n. Declaraci-n !e la P l/tica !e Certi*icaci-n.
Es p si&le !istin,uir ! s tip s !e s licitu!es !e emisi-n !e certi*ica! s !i,itales? Solicitud de firma de certificacin -&ertificate Signing $equest, &S$. el s licitante crea c n un s *t>are la pare2a !e cla#es pri#a!a-pu&lica ") 2unt a sus !at s i!enti*icati# s. Solicitud de certificado completo el s licitante s l entre,a sus !at s i!enti*icati# s " reci&ir$ el certi*ica! !i,ital " su cla#e pri#a!a as cia!a) !e m ! +ue en este cas la pare2a !e cla#es es ,enera!a !irectamente p r la aut ri!a! !e certi*icaci-n.
6&
En relaci-n c n la re# caci-n !e cla#es " certi*ica! s) c n#iene tener en cuenta +ue un certi*ica! re# ca! es a+uel +ue %a per!i! su #ali!e' antes !e su *ec%a !e e@piraci-n. Infraestructura de &lave #6blica Se c n ce c m In*raestructura !e cla#e pu&lica a la in*raestructura c nstitui!a p r las aut ri!a!es !e Certi*icaci-n) las aut ri!a!es !e re,istr " la tecn l ,/a !e certi*ica! s !i,itales. PUI pr p rci nar un mecanism para la ,eneraci-n " !istri&uci-n !e cla#es " ,esti-n !e certi*ica! s !i,itales) ,aranti'an! su inte,ri!a!) autentici!a! " #ali!e'. Un ! mini !e certi*icaci-n esta c nstitui! p r un c n2unt !e aut ri!a!es !e certi*icaci-n +ue se ri,en p r una misma p l/tica !e certi*icaci-n CPS 6Certi*icati n Practice Statements9. Autoridades de &ertificacin en (spaa y a nivel internacional Se encuentra al,unas !e las m$s imp rtantes aut ri!a!es !e certi*icaci-n en *unci namient en Espa1a? Fa&rica Naci nal !e la m ne!a " Tim&re 6FNMT9? emite l s certi*ica! s para la !eclaraci-n !e la renta n Yline) as/ c m para reali'ar tr s tramites c n las a!ministraci nes pu&licas a tra#0s !e internet 6%ttp?33>>>.*nmt.es39. Camer*irma? iniciati#a !el c nse2 superi r !e c$maras !e c merci para la emisi-n !e certi*ica! s en el $m&it empresarial 6%ttp?33>>>.camer*irma.c m39 Fun!aci-n para el estu!i !e la se,uri!a! en las telec municaci nes 6FESTE9? c nstitui!a p r el c nse2 ,eneral !e c rre! res !e c merci ) c nse2 ,eneral !e la a& ,ac/a) c le,i *icial !e n tari s) uni#ersi!a! !e Nara, 'a e interC mputer 6%ttp?33>>>.*este. r,39. Internet Pu&lis%in, Ser#ice Certi*icati n Aut% rit" 6IPSCA) %ttp?33>>>.ipsca.c m39 Aut ri!a! !e certi*icaci-n !e la a& ,ac/a 6%ttp?33>>>.aca& ,acia. r,39. A,encia n tarial !e certi*icaci-n 6%ttp?33>>>.ancert.c m39.
$edes a anillos de confianza En a+uellas situaci nes en las +ue n se !isp ne !e aut ri!a!es !e certi*icaci-n ni !e re,istr ) se pue!e c nstituir una re! !e usuari s &asa!a en la c n*ian'a entre t ! s l s +ue la inte,ran. 6'
El cas mas c n ci! es el !el sistema !e c rre PGP) +ue emplea 7anill s !e c n*ian'a8. En es s sistemas) para aceptar la i!enti*icaci-n !e un nue# usuari a tra#0s !e su cla#e pu&lica se c nsi!era su*iciente c n +ue esta #en,a *irma!a p r un !etermina! numer !e cla#es #ali!as 6cla#es pri#a!as9 !e tr s usuari s +ue * rman parte !e la re! " +ue se c nsi!eran !e c n*ian'a. CERTIFICADOS DIGITALES /ipos de certificados digitales Tal " c m %em s c menta! en ep/,ra*es anteri res) ca!a certi*ica! !i,ital c ntiene el n m&re !el usuari " su cla#e pu&lica) as/ c m su peri ! !e #ali!e' ") para ! tarl !e ma" r se,uri!a! esta *irma! c n la cla#e pri#a!a !e la aut ri!a! !e certi*icaci-n. Cer ifi!ado% de u%uario fina' S n l s certi*ica! s emiti! s para una pers na */sica) p r l +ue c ntiene sus !at s pers nales 6n m&re) apelli! s " NIF9. Pue!en estar s p rta! s p r una tar2eta cript ,r$*ica &ien ,ra&a! s en un *ic%er pr te,i! !entr !el r!ena! r !el usuari . Certi;ica&o( &e ;irma &e (o;tBare o &e un com'onente in;orm<tico Se emiten a *a# r !e una !etermina!a r,ani'aci-n " se utili'an para #eri*icar l s !istint s pr !uct s " %erramientas s *t>are +ue %an si! !esarr lla! s p r esta. C ntienen l s !at s in!enti*icati# s 6c m el n m&re " el CIF9 " se utili'an inte,ra! s c n %erramientas !e *irma !e s *t>are) c m MS Aut%entic !e) Netscape si,nin, t ls) R<SDU) etc. Cer ifi!ado% de %er2idor SSL S n certi*ica! s !i,itales emiti! s para ,aranti'ar la autentici!a! !e un !etermina! ser#i! r perteneciente a una r,ani'aci-n. En este senti! ) se inte,ran en ser#i! res Je& +ue s p rten el pr t c l SSL 6tam&i0n se p !r/an utili'ar c n el pr t c l SET9. Clases !e certi*ica! s !i,itales !e usuari *inal Tam&i0n es p si&le esta&lecer #arias clases !e certi*ica! s !i,itales) tenien! en cuenta el pr ces !e i!enti*icaci-n se,ui! " el tip !e in* rmaci-n +ue se inclu"e en ca!a certi*ica! .
6(
&lase @ antes !e su emisi-n se #eri*ican el n m&re " la !irecci-n !e c rre electr-nic !el usuari ) aun+ue est s p !r/an ser *alsea! s p r un usuari malici s ) "a +ue s l &asta c n en#iar a la aut ri!a! !e certi*icaci-n en c rre in!ican! el n m&re " la !irecci-n !e c rre electr-nic !el s licitante. &lase A en este cas una pers na c n aut ri!a! su*iciente se encar,a !e #eri*icar el DNI !el usuari u tr ! cument acre!itati# !e su i!enti!a! antes !e pr ce!er a la emisi-n !el c rresp n!iente certi*ica! !i,ital. &lase B para su emisi-n es necesari #eri*icar) a!em$s !e la i!enti!a! !el usuari ) la in* rmaci-n relati#a al ni#el !e cr0!it +ue se le pue!e c nce!er. &lase C el certi*ica! !i,ital tam&i0n inclu"e in* rmaci-n s &re la p sici-n !e la pers na !entr !e una r,ani'aci-n.
&ertificacin de atributos para el control de accesos Un certi*ica! !e atri&ut s 6Attri&ute Certi*icate9 es una estructura !e !at s) *irma!a p r una aut ri!a! !e certi*icaci-n) +ue alcan'a l s #al res !e un s !etermina! s atri&ut s c n al in* rmaci-n !e i!enti*icaci-n !e su pr pietari . A !i*erencia !e l s certi*ica! s !e cla#e pu&lica) en este cas el &2eti# +ue se persi,ue es el !e *recer un ser#ici !e aut ri'aci-n " n se esta autentican! !irectamente al p rta! r !el mism ) aun+ue si se c m&ina c n un ser#ici !e autenticaci-n permitir/a pr &ar +uien es el usuari " +ue tip !e peraci nes se le permiten reali'ar !entr !el sistema in* rm$tic . SER-ICIOS "ASADOS EN LA FIGURA DEL >TERCERO DE CONFIAN/A? El sella! temp ral !e mensa2es En l s ! cument s electr-nic s p !em s recurrir a la autenticaci-n !e la *ec%a " % ra me!iante una enti!a! +ue inter#iene a m ! !e 7n tari !i,ital8) *recien! el ser#ici c n ci! c m 7sella! temp ral8 6time stampin,9 !el mensa2e) !e*ini! en la n rma ISO3IEC 1;=1:. El sella! !e *ec%a " % ra resulta imprescin!i&le) p r e2empl ) en el cas !e un c ncurs p(&lic pri#a! !e *ertas) para ,aranti'ar +ue se present la *erta !entr !el pla' . Asimism ) c n cer el m ment precis !e la *irma !e un c ntrat !e se,ur pue!e resultar esencial para el c &r !e una in!emni'aci-n. C n el 7sella! temp ral8 !e ! cument s se ,aranti'a su autentici!a!) aun+ue p steri rmente la cla#e pri#a!a !el su2et +ue l s crea %a"a teni! +ue ser re# ca!a p r al,una causa. 'tros servicios de valor aadido
&3
Servicio de notificaciones telemticas permiten i!enti*icar !e * rma se,ura el emis r " el recept r !e una c municaci-n) a!em$s !e c n*irmar el en#i-) la entre,a " la recepci-n !e l s mensa2es. &ustodia segura de documentos electrnicos ? en este cas ) la aut ri!a! !e certi*icaci-n se encar,a !e ,uar!ar en sus e+uip s in* rm$tic s una c pia se,ura !e !etermina! s ! cument s electr-nic s) ,aranti'an! +ue n se #a a alterar su c nteni! . *irma de contrato electrnicos Sistemas de voto electrnico seguro ) +ue "a est$n aplican! en las 2untas !e acci nistas !e ,ran!es empresas) para *acilitar la participaci-n !e l s acci nistas !es!e cual+uier lu,ar en +ue pue!an enc ntrarse en el m ment !e la cele&raci-n !e la 2unta.
UTILI/ACI1N !RACTICA DE LA FIR A ELECTR1NICA Firma electr@nica , autenticaci@n &e &ocumento( Se recurre al ci*ra! sim0tric para encriptar l s mensa2es transmiti! s p r ser c mputaci nalmente m$s e*iciente +ue el ci*ra! asim0tric ) per se tiene +ue emplear el ci*ra! asim0tric para el intercam&i !e la cla#e !e encriptaci-n) as/ c m la *irma electr-nica para ,aranti'ar la inte,ri!a! " autentici!a! !el mensa2e. El !estinatari reci&e el mensa2e encripta! me!iante un al, ritm sim0tric ) la *irma electr-nica !e !ic% mensa2e ,enera!a p r el emis r) la cla#e !e encriptaci-n sim0trica +ue) a su #e') %a si! encripta!a c n la cla#e pu&lica !el !estinatari ) " un certi*ica! !i,ital c n la i!enti!a! " cla#e pu&lica !el emis r) *irma! !i,italmente c n la cla#e pri#a!a !e la Aut ri!a! !e Certi*icaci-n. P n,am s un p c !e r!en) !etalla! a c ntinuaci-n l s pas s +ue !e&e se,uir el !estinatari para recuperar el mensa2e ri,inal " ase,urarse !e la i!enti!a! !el emis r) as/ c m !e la inte,ri!a! " autentici!a! !el mensa2e. 1. Utili'a su cla#e pri#a!a para !esencriptar la cla#e !e encriptaci-n !el mensa2e. <. Utili'a la cla#e !e encriptaci-n !el mensa2e para recuperar el mensa2e ri,inal. E. Calcula la %uella !i,ital !el mensa2e !esencripta! :. C mprue&a la #ali!e' !el certi*ica! !i,ital !el remitente) utili'an! la cla#e pu&lica !e la aut ri!a! !e certi*icaci-n. K. E@trae la cla#e p(&lica !el remitente +ue se encuentra en su certi*ica! !i,ital. M. E@trae !e la *irma electr-nica !el mensa2e reci&i! la %uella !i,ital !el mensa2e ri,inal) utili'an! para ell la cla#e pu&lica !el remitente.
&2
4. C mprue&a si las ! s %uellas !i,itales &teni!as c inci!en) l ,aranti'ar/a la inte,ri!a! " la autenticaci-n !el mensa2e.
cual
E(t<n&are( en la Tecnolog%a &e Clave !M*licaK !NCS L s est$n!ares PUCS 6Pu&lic Ue" Cr"pt ,rap%" Stan!ar!s9 *uer n !esarr lla! s p r la empresa RSA en c la& raci-n c n Apple) Di,ital) L tus) Micr s *t) MIT) N rt%ern Telec m) N #ell " Sun) estan! accesi&les en la !irecci-n %ttp?33>>>.rsasecurit".c m3rsala&s3pBcs3. DOCUMENTACIAN NACIONAL DE IDENTIDAD ELECTRANICA Se !e*ine !ocumentacin nacional de identidad electrnica c m el ! cument naci nal !e i!enti!a! +ue acre!ita electr-nicamente la i!enti!a! pers nal !e su titular " permite la *irma electr-nica !e ! cument s.
1:
PROTOCOLOS CRIPTOGRAFICOS
RE0UISITOS DE SEGURIDAD EN LAS TRANSACCIONES ELECTR1NICAS En las transacci nes electr-nicas reali'a!as a tra#0s !e un me!i c m internet inter#ienen #arias pers nas enti!a!es) sin +ue ten,a lu,ar un c ntact */sic . El c mpra! r? pers na empresa +ue a!+uiere un pr !uct " reali'a el pa, c rresp n!iente. ser#ici
&A
El #en!e! r? pers na empresa +ue entre,a el pr !uct ser#ici . Enti!a! *inanciera !el c mpra! r Enti!a! *inanciera !el #en!e! r Pasarela !e pa, s me!i !e pa, electr-nic +ue permite reali'ar la trans*erencia !e !iner entre el c mpra! r " el #en!e! r. Empresa !e l ,/stica encar,a!a !el transp rte !el pr !uct ) si este es !e naturale'a tan,i&le.
<as transacciones electrnicas requieren cumplir con una serie de requisitos desde el punto de vista de la seguridad0 Con;i&enciali&a& &e la tran(acci@nK s l las partes inter#inientes pue!en tener acces al c nteni! !e la transacci-n. AnonimatoK la i!enti!a! !el c mpra! r n !e&er/a ser c n ci!a p r el #en!e! r ) cuan! men s) l s !at s relati# s al me!i !e pa, utili'a! p r el c mpra! r "a +ue al #en!e! r le &astar/a c n la c n*irmaci-n !e la trans*erencia !el !iner a su cuenta p r parte !e las enti!a!es *inancieras inter#inientes en la peraci-n. Autenticaci@n &e to&o( lo( 'artici'ante( Integri&a&K l s mensa2es " !at s intercam&ia! s n p !r/an ser m !i*ica! s p r l s inter#inientes ni p r tercer s. No re'u&iaci@n &e la tran(acci@n !rotecci@n ;rente a 'o(i*le( intento( &e re'lica FleAi*ili&a&K aceptaci-n !e p si&les sistemas !e pa, . Facili&a& &e u(o E;icienciaK relaci-n entre el c ste !e la transacci-n " el preci !el pr !uct ser#ici . Con;ianza en el (i(tema p r parte !e l s usuari s.
!ROTOCOLOS CRI!TOGR4FICOS L s 'rotocolo( cri'togr<;ico( s n al, ritm s !istri&ui! s +ue c nstan !e una secuencia !e pa, s etapas +ue tienen +ue ser reali'a! s p r ! s m$s enti!a!es para alcan'ar un s !etermina! s &2eti# s !e se,uri!a!. L s pr t c l s cript ,r$*ic s emplean) entre tr s) es+uemas !e encriptaci-n sim0tric s " asim0tric s) *irmas electr-nicas) *unci nes hash) ,enera! res !e n(mer s pseu! aleat ri s) etc0tera. <os protocolos SS< -Secure Soc5ets <ayer. y /<S El 'rotocolo SSL (Se!ure So!;e % La1er)
&3
*ue !esarr lla! p r la empresa Netscape en 155: para ,aranti'ar la se,uri!a! en el intercam&i !e !at s entre un na#e,a! r " un ser#i! r Je&) sien! en la actuali!a! el mas utili'a! para reali'ar transacci nes c merciales en Internet. SSL permite ,aranti'ar la c n*i!enciali!a!) la autenticaci-n " la inte,ri!a! !e l s mensa2es intercam&ia! s. P r su parte TLS 6Transp t La"er Securit"9 es una nue#a pr c m una e# luci-n !e SSL E.=) !esarr lla!a p r el IETF ! cument RFC <<:M9.Tant SSL c m TLS s n pr t c transp rte p r l +ue p !r/an ser utili'a! s para el ci*ra! aplicaci-n c m Telnet) FTP) SMTP) IMAP el pr pi DDTP puesta +ue nace 6e@plica!a en el l s !e ni#el !e !e pr t c l s !e
!rotocolo S:)tt' 5Secure H,'erteAt Tran('ort !rotocolo6 S-%ttp es un pr t c l +ue *ue !ise1a! para pr p rci nar se,uri!a! en las aplicaci nes &asa!as en el J r! Ji!e Je&. Este pr t c l act(a a ni#el !e aplicaci-n) encriptan! l s mensa2es intercam&ia! s entre el na#e,a! r " el ser#i! r Je&) *recien! l s ser#ici s !e c n*i!enciali!a!) autenticaci-n e inte,ri!a! !e l s mensa2es. Pro o!o'o SET (Se!ure E'e! roni! Tran%a! ion) Este pr t c l *ue !esarr lla! en 155M p r HISA " MasterCar!) c n el ap " !e imp rtantes empresas c m IGM) Micr s *t) Netscape) RSA " Herisi,n) para !ar s p rte a las transacci nes electr-nicas reali'a!as en Internet c n tar2eta !e cr0!it . El 15 !e !iciem&re !e 1554 Hisa " MasterCar! c nstru"er n la *irma SET Secure Electr nic Transacti n LLC) c n ci!a c m TSETC 8) para tratar !e impulsar la implementaci-n !e la especi*icaci-n SET. Com-ara!i&n en re SSL 1 SET En la si,uiente ta&la " a m ! !e c nclusi-n !e este capitul se reali'a Servicio( Con;i&enciali&a& SSL El #en!e! r tiene acces a l s !at s !e la tar2eta !el c mpra! r. L s !at s !e la c mpra pue!en ser altera! s p r le #en!e! r u tras pers nas. SET El #en!e! r n pue!e acce!er a l s !at s &ancari s " el &anc n tiene acces a l s !e la c mpra. L s !at s al estar *irma! s n pue!en ser altera! s.
Integri&a&
&4
Autenticaci@n No re'u&io Pro o!o'o SS=
El #en!e! r se autentica per el c mpra! r n . N ,aranti'a!
T ! s l s participantes est$n certi*ica! s ,aranti'a!
El pr t c l SSD permite esta&lece una c ne@i-n se,ura a ma+uinas rem tas) c n autenticaci-n mutua r &usta) encriptaci-n !e l s !at s transmiti! s " c%e+ue !e inte,ri!a! !e l s !at s. SSD *ue !esarr lla! en 155K p r el in* rm$tic Tatu Cl nen c n la intenci-n !e reempla'ar ser#ici s inse,ur s c m Internet) rl ,in) rcp) rs% FTP. Este pr t c l utili'a un pr ces se,ur !e autenticaci-n !el usuari permitien! e2ecutar c man! s " c piar *ic%er s !es!e " %acia ma+uinas rem tas !e * rma se,ura) a tra#0s !e una c municaci-n encripta!a.
1K
DERRAMIENTAS PARA LA SEGURIDAD EN LA
CONESIZN A INTERNET
EL !RO"LE A DE LA SEGURIDAD EN AL CONE8I1N A INTERNET Internet es una re! !e re!es !e r!ena! res +ue *ue !ise1a!a en l a a1 s setenta partien! !e un s recurs s &astante limita! s) s &re t ! si l s c mparam s c n l s +ue se encuentran !isp ni&les en la actuali!a! en cual+uier r,ani'aci-n. P r l tant ) el !ise1 inicial !e Internet se reali' c n la premisa !e utili'ar pr t c l s " ser#ici s mu" sencill s) p c e@i,entes en cuant a recurs s in* rm$tic s " a anc% !e &an!a c nsumi! . El &2eti# *un!amental !e &5
*acilitar el intercam&i !e in* rmaci-n entre l s pr *es res e in#esti,a! res? &$sicamente) en#i- !e c rre s electr-nic s en * rmat s !e te@t ) as/ c m !i*usi-n !e al,un s ! cument s !e te@t c n resulta! s !e estu!i s " tra&a2 s !e in#esti,aci-n. En c nsecuencia) tenien! en cuenta l s limita! s recurs s !isp ni&les " +ue se esta&a tra&a2an! en un ent rn 7c n*ia&le8) c n aplicaci nes " ser#ici s sencill s " +ue n mane2a&an !at s especialmente sensi&les) se prest a una atenci-n escasa u pr$cticamente nula a l s aspect s relaci na! s c n la se,uri!a!. En la actuali!a! !e&em s asumir +ue la inse,uri!a! es una parte intr/nseca !e Internet) c m una c nsecuencia !e las limitaci nes !e su !ise1 inicial. Una r,ani'aci-n pue!e tratar !e ,esti nar la se,uri!a! in* rm$tica en la c ne@i-n a Internet) per nunca p !r/a eliminar t talmente l s p si&les ries, s amena'as +ue traen !e apr #ec%ar las limitaci nes en al,un s !e l s pr t c l s " ser#ici s !e Internet P !em s se1alar !istintas cuesti nes a tener en cuneta a la % ra !e ,esti nar la se,uri!a! en la c ne@i-n !e una empresa a Internet? Garanti'ar la c n*i!enciali!a! e inte,ri!a! !e las c municaci nes) me!iante la utili'aci-n !e pr t c l s cript ,r$*ic s. Implantar un sistema !e autenticaci-n !e l s usuari s !e l s ser#ici s C ntr lar l s acces s a l s ser#ici s *reci! s p r la r,ani'aci-n tant usuari s C ntr lar " super#isar la utili'aci-n !e l s ser#ici s p(&lic s !e Internet Garanti'ar la !isp ni&ili!a! !e l s ser#ici s " !el *unci namient !e la re! !e la r,ani'aci-n C ntr lar l s acces s a l s e+uip s !e la pr pia r,ani'aci-n E#itar l s intent s !e intrusi-n +ue e@pl ten 7a,u2er s !e se,uri!a!8 en l s r!ena! res " !isp siti# s !e c ne@i-n a la re!.
En una empresa u r,ani'aci-n pue!e pr p rci nar una serie !e ser#ici s a l s usuari s !e Internet a tra#0s !e un #aris ser#i! res !e!ica! s) e+uip s in* rm$tic s !e altas prestaci nes +ue *recen e in* rmaci-n c m cat$l , electr-nic !e pr !uct s #entas !e pr !uct s Est s ser#ici s se !e&en *acilitar !e un * rma se,ura) c ntr lan! el acces a l s !at s " a l s recurs s !el ser#i! r ser#i! res c necta! s a Internet " ,aranti'an! en t ! m ment la !isp ni&ili!a! !e la c ne@i-n " !el ser#i! r e#itan! p si&les ata+ues !ene,aci-n !e ser#ici s. En este senti! ) se pue!en a! ptar ! s estrate,ias !e !e*ensa?
&6
De;en(a e$ui'o a e$ui'o.- ca!a e+uip !e la re! !e la empresa c necta! a Internet !e&e estar per*ectamente c n*i,ura! " ser$ au!ita! !e * rma sistem$tica) para m nit rear su utili'aci-n " re,istrar l s intent s !e acces n aut ri'a! De;en(a 'erimetral7: se crea una &arrera entre la re! interna !e la r,ani'aci-n " el mun! e@teri r) canali'an! t ! tra*ic p tencialmente % stil a tra#0s !e un (nic punt !e acces +ue se encuentra &ien pr te,i! " m nit ri'a! c n un !isp siti# !en mina! 7c rta*ue, s8 LA SEGURIDAD EN LA RED INTERNA DE LA ORGANI/ACI1N En l +ue se re*iere a la se,uri!a! en la re! interna !e la r,ani'aci-n) !e&em s tener presente la aplicaci-n !el principi &$sic !e De*ensa en pr *un!i!a!) +ue e@i,e esta&lecer #ari s ni#eles capas !e se,uri!a! para n !epen!er e@clusi#amente !e la se,uri!a! perimetral. Una me!i!a a c nsi!erar seria la se,mentaci-n !e la re! interna " la puesta en marc%a !e !istintas re!es l cales Hirtuales 6HLAN9 me!iante pr t c l s c m el IEEE ;=<.1+ es p si&le !e*inir re!es #irtuales a tra#0s !e m(ltiples s8itches) implementan! !e este m ! un aislamient entre las !istintas re!es l cales !e un r,ani'aci-n. Para me2 rar la se,uri!a! !e l s !isp siti# s !e la re! seria c n#eniente utili'ar entra!as ARP 6 Address $esolution #rotocol este se encar,a !e mantener la ta&las !e c n#ersi-n !e !irecci nes IP a !irecci nes */sicas9. Tam&i0n es rec men!a&le emplear c rta*ue, s en la re! interna para aislar el tra*ic entre !epartament s super#isar l s acces s a !etermina! s se,ment s !e la re! en l s +ue se u&i+uen l s recurs s mas imp rtantes para la r,ani'aci-n. Un aspect *un!amental para me2 rar la se,uri!a! en la re! es la c n*i,uraci-n r &usta. EL !A!EL DE LOS SER-IDORES >!RO8.? Un ser#i! r pr @" es un e+uip +ue act(a !e interme!iari entre l s e+uip s intern s " tras re!es e@ternas a la r,ani'aci-n) encar,$n! se !e reali'ar las petici nes a l s ser#i! res !e Internet en n m&re !e l s e+uip s intern s. Funci nes !e un ser#i! r pr @" De*inici-n !e l s permis s !e acces a l s ser#i! res !e Internet) c ntr la +ue e+uip s " +ue usuari s pue!en utili'arl s. P si&ili!a! !e c ntemplar *ran2as % rarias " *iltr !e acces s a c nteni! s. C mpr &aci-n !e un n(mer limita! !e !irecci nes pu&licas e@ternas entre #ari s e+uip s !e la re! interna !e la r,ani'aci-n.
&&
Gl +ue !el acces a !etermina!as !irecci nes IP " ! mini !e Internet. Au!it ria !e la utili'aci-n !e l s ser#ici s !e Internet " !el c nsum !e anc% !e &an!a. Mem ria cac%0 !e p$,inas mas #isita!as. Filtra! !e pa+uetes e instalaci-n !e *iltr s !e aplicaci-n " *iltr s !e !etecci-n !e intrusi nes. Instalaci-n !e un anti#irus perimetral.
EL !A!EL DE LOS CORTAFUEGOS 5>FIRE9ALLS?6 Un c rta*ue, s es un !isp siti# +ue reali'a un *iltra! !e pa+uetes !e !at s a partir !e unas re,las !e*ini!as p r el a!ministra! r !e la re!) tenien! en cuenta las !irecci nes IP *uente !estin " el ser#ici !e re! al +ue se c rresp n!e. Ser#ici s !e pr tecci-n si,uientes? *reci! s p r in c rta*ue, p !em s !estacar l s
Gl +ue !el tr$*ic n aut ri'a! p r la r,ani'aci-n? ser#ici s !e Internet +ue se !eseen restrin,ir) &l +ue !e !etermina!as !irecci nes !e e+uip s !e ciertas p$,inas Je&) etc. Ocultaci-n !e l e+uip s intern s !e la r,ani'aci-n) !e * rma +ue est s pue!an resultar in#isi&les ante p si&les ata+ues pr #enientes !el e@teri r. Asimism ) l s c rta*ue, s pue!en cultar in* rmaci-n s &re la t p l ,ia !e la re! interna) l s n m&res !e l e+uip s) l s !isp siti# s !e re! utili'a! s) etc. Re,istr !e t ! tra*ic entrante " saliente !e la re! c rp rati#a Re!irecci-n !el tra*ic entrante %acia !etermina!as ' nas restrin,i!as p especialmente #i,ila!as.
Al,un s tip s !e c rta*ue, s C rta*ue, s +ue act(an a ni#el !e pa+uetes !e !at s) C rta*ue, s +ue act(an a ni#el !e circuit ) C rta*ue, s +ue act(an c m pasarelas !e aplicaci-n
AN4LISIS DE LOS REGISTROS DE ACTI-IDAD 5>LOGS?6 L s 7l ,s8 !e l s e+uip s in* rm$tic s " !e l s !isp siti# s !e re! *acilitan el re,istr !e p si&les inci!entes " *unci namient s an-mal s) la e@i,encia !e *all s en la c n*i,uraci-n !e una aplicaci-n) la p si&le c n*i,uraci-n !e l s e+uip s) la utili'aci-n !e recurs s sensi&les p r parte !e l s usuari s !el sistemas) etc. A!em$s pr p rci nan esta!/sticas +ue permiten e#aluar el ren!imient !el sistema in* rm$tic
&'
L s 7l ,s8 !el sistema perati# se p !r$n c n*i,urar para restrin,ir l s pr ces s en e2ecuci-n !entr !el sistema l s inici s " cierres !e sesi-n p r parte !e l s usuari s) las llama!as al sistema) las aplicaci nes e2ecuta!as p r parte !e l s usuari s) l s acces s a *ic%er s " a tr s recurs s) l s p si&les pr &lemas !e se,uri!a! Para ,aranti'ar la a!ecua!a pr tecci-n !e l s 7l ,s8 ser$ necesari almacenarl s !e * rma se,ura en un ent rn !istint al !el sistema pr te,i! para e#ita +ue l s intrus s l s pue!a m !i*icar eliminar? Gra&aci-n !e l s re,istr s en !isc s JORM. En al,un s cas s se pue!e recurrir a una ,esti-n centrali'a!a !e l s 7l ,s8 me!iante un ser#i! r !e 7l ,s8 +ue se encar,ue !e ,uar!a! la c pia !e t ! s l s re,istr s en#ia! s p r l s !isp siti# s !e re! " l s ser#i! res. Un ser#i! r centrali'a! !e 7l ,s8 permite c nser#ar l e re,istr s !urante un ma" r peri ! !e tiemp ) l +ue pue!e *acilitar el an$lisis !etalla! !e est s re,istr s) inclu"en! el estu!i !e la situaci-n entre e#ent s inclui! s en l s 7l ,s8 !e !istint s e+uip s " !isp siti# s.
SISTE A DE DETECCI1N DE INTRUSOS Est s s n l s sistemas encar,a! s !e !etectar " reacci nar !e * rma aut mati'a!a ante l s inci!entes !e se,uri!a! +ue tienen lu,ar en las re!es " e+uip s in* rm$tic s. Para ell est e+uip s " !e !e intrusi-n) !etecci-n !e e in* rmes. s sistemas se encar,an !e m nit ri'ar el *unci namient !e l s las re!es en &usca !e in!ici s !e p si&les inci!entes intent s a#isan! a l s a!ministra! res !el sistema in* rm$tic ante la cual+uier acti#i!a! s spec% sa me!iante una serie !e alarmas
En la ar+uitectura !e un IDS p !em s !istin,uir l s si,uientes element s *unci nales &$sic s? Una *uente !e in* rmaci-n +ue pr p rci na e#ent s !el sistema re! in* rm$tica Una &ase !e !at s !e patr nes !e c mp rtamient c nsi!er$n! s c m n rmales) as/ c m !e l s per*iles !e !istint s tip !e ata+ue Un m t r !e an$lisis encar,a! !e !etectar e#i!encias !e intent s Un m !ul !e respuesta capa' !e lle#ar a ca& !etermina!as actuaci nes a partir !e las in!icaci nes !el m t r !e an$lisis
&(
P r tra parte un IDS pue!e utili'ar ! s m !el s !e !etecci-n? Detecci-n !e un mal us 67misuse89? tip s ile,ales !e tr$*ic ) secuencias utili'a!as para reali'ar ata+ues c ntra e+uip s 67e@pl its89) escane !e puert s) etc. Detecci-n !e us an-mal ? an$lisis esta!/stic !el tra*ic en al re!) m nit ri'aci-n !e pr ces s " !el c mp rtamient !e l s usuari s) c n el *in !e p !er !etectar a+uell s c mp rtamient s !e l s +ue es pue!e c nsi!erar an-mal s se,(n l s patr nes !e us res,istra! %asta el m ment . P r l tant ) !e !etectar cam&i s en el c mp rtamient n 2usti*ica! en l +ue se re*iere a *ic%er s acce!i! s) aplicaci nes utili'a!as en el tra&a2 ) canti!a! !e tra*ic cursa! en la re!) etc.
LOS >HONE.!OTS? . LAS >HONE.NETS? 5SE=UELOS6 D ne"p t.- es un ser#i! r c n*i,ura! " c necta! a una re! para +ue pue!a ser s n!ea! ) ataca! e inclus c mpr meti! p r intrus s. Se trata) p r l tant ) !e un e+uip sistema +ue act(a a m ! !e se1uel trampa para l s intrus s. D ne"net.- es una re! +ue %a si! c n*i,ura!a " c necta!a a tras re!es para +ue pue!a ser s n!ea!a) ataca!a e inclus c mpr meti!a p r intrus s. Est s pr p rci nan #ari s mecanism s para la m nit ri'aci-n) re,istr s " c ntr l !el as acci nes !e l s intrus s. De este m ! ) permiten anali'ar c m l s intrus s emplean sus t0cnicas " %erramientas para intentar entrar en un sistema en una re! in* rm$tica " c mpr meter su se,uri!a!. A!em$s estas acti#i!a!es !e m nit ri'aci-n " re,istr se reali'an tratan! !e pasar !e * rma ina!#erti!a para l s intrus s. En !e*initi#a p !em s c nsi!erar +ue l s sistemas &asa! s en se1uel s *recen l s si,uientes ser#ici s " *unci nes? C ne@i-n se,ura !e la re! c rp rati#a a Internet Captura !e !at s s &re l s intrus s? en el c rta*ue, ) en el NIDS " en l s pr pi s re,istr s 67l ,s89 !e l s % ne"p ts. C ntr l !e las acci nes !el intrus ) "a +ue este !e&e +ue!ar c n*ina! !entr !e la % ne"net) sin +ue pue!a atacar a tras re!es e+uip s.
OTRAS HERRA IENTAS . A!LICACIONES DE UTILIDAD Net(tatK c man! +ue muestra el esta! !e las c ne@i nes !e re! NGTStat? muestra el esta! !e las c ne@i nes actuales +ue utili'an NetGIOS s &re TCP3IP '3
I'Con;igK in* rma s &re la c n*i,uraci-n !e las tar2etas !e re! !el e+uip !ingK en#/a un 7pin,8 al e+uip especi*ica! para c mpr &ar si se encuentra acti# en la re! TracertK in* rma !e la ruta se,un!a para alcan'ar !etermina! e+uip c necta! a la re! RouteK muestra " manipula las ta&las !e enrutamient !el e+uip AR!K muestra " m !i*ica las ta&las !e c n#ersi-n !e !irecci nes IP a !irecci nes */sicas 6!irecci nes MAC9 Nsl Bup? inspecci na l s c nteni! s !e l s arc%i# s !e un ser#i! r DNS Fin,er? muestra in* rmaci-n s &re un !etermina! usuari !el sistema. J% is? relaci na n m&res !e ! mini c n !irecci nes IP Telnet? permite iniciar una sesi-n rem ta en tr ser#i! r emulan! un terminal #irtual. FTP? permite en#iar " !escar,ar *ic%er s !e tr ser#i! r a tra#es !el pr t c l FTP
1M
SEDURIDAD EN REDES JINDOJS
-ULNERA"ILIDADES DE LOS SISTE AS 9INDO9S L s sistemas in* rm$tic s &asa! s en el sistema Jin! >s !e Micr s *t c nstitu"en el &2eti# prim r!ial !e muc% s atacantes) "a +ue es la plata* rma in* rm$tica m$s p pular) c n cient s !e mill nes !e usuari s en t ! el mun! . A!em$s) el PC es una plata* rma !e pr p-sit ,eneral) +ue permite e2ecutar multitu! !e tareas) l +ue !i*iculta la c n*i,uraci-n se,ura !el sistema. Muc% s !e sus usuari s n p seen ,ran!es c n cimient s !e in* rm$tica) p r l +ue pue!en ser en,a1a! s *$cilmente me!iante t0cnicas !e 7In,enier/a S cial8. P r tra parte) Micr s *t se %a centra! m$s en la *acili!a! !e us " la c m !i!a!) +ue en la c n*i,uraci-n se,ura !e sus sistemas. De %ec% ) se %a p !i! c mpr &ar +ue un sistema Jin! >s reci0n instala! 6 )out2of2the2 bo4,. pue!e ser c mpr meti! en un s p c s minut s) si n se cam&ia su c n*i,uraci-n p r !e*ect " se aplican l s (ltim s parc%es pu&lica! s p r Micr s *t. P r ell ) n se rec mien!a c nectar a una re! un sistema Jin! >s reci0n instala! %asta +ue se %a"a re#isa! su c n*i,uraci-n.
'2
RECO ENDACIONES SE SEGURIDAD Estas s n las principales rec men!aci nes relati#as a la se,uri!a! !e l s sistemas Jin! >s? Utili'ar un c rta*ue, s pers nal para *iltrar las c ne@i nes a Internet !es!e el e+uip ) c m N neAlarm !e N neLa&s Tin" Fire>all !e Tin" S *t>are. Actuali'ar !e * rma peri-!ica el sistema) a tra#0s !el ser#ici Jin! >s Up!ate. Micr s *t clasi*ica las actuali'aci nes en *unci-n !e la imp rtancia !el pr &lema *all !e se,uri!a! !etecta! ? actuali'aci nes criticas) imp rtantes) m !era!as &a2as. Utili'ar un anti#irus permanentemente actuali'a! en el e+uip .
Rec men!aci nes ,enerales !e se,uri!a! 1. Partir !e una instalaci-n !e una #ersi-n 7limpia8 !el sistema perati# en el e+uip <. Reali'ar l s cam&i s necesari s en el sistema para c nse,uir una c n*i,uraci-n mas r &usta) eliminan! las cuentas " l s ser#ici s innecesari s " c m&ina! l s permis s " pri#ile,i s p r !e*ect . E. Aplicar la se,uri!a! en el sistema !e *ic%er s empelan! el sistemas NTFS en lu,ar !e FAT) "a +ue es muc% mas r &ust " se,ur . :. Desacti#ar t ! s l s ser#ici s " cerrar l s puert s +ue n sean necesari s en el e+uip . K. En el pr ces !e autenticaci-n !e usuari s en l s sistemas Jin! >s c n#iene utili'ar el pr t c l NTLM-#< el sistema !e autenticaci-n &asa! en un ser#i! r Uer&er s. M. Limpiar la c mpartici-n !e !isc s) carpetas e impres ras 4. Crear una estructura a!ecua!a !e cuentas " ,rup s !e usuari s. Limitar l s permis s " pri#ile,i s !e l s usuari s. ;. Cam&iar las c ntrase1as p r !e*ect " utili'ar c ntrase1as su*icientemente r &ustas 5. Acti#ar la encriptaci-n !e *ic%er s) me!iante la %a&ilitaci-n !e la pci-n EFS !e Jin! >s -(ncrypting *ile System.. 1=. Aplicar l s permis s a!ecua! s a carpetas " *ic%er s) me!iante las listas !e c ntr l !e acces 6ACLs9. 11. Pr te,er el acces al re,istr !e Jin! >s 1<. C n*i,urar el sistema para +ue se & rren !e * rma aut m$tica las carpetas temp rales " el *ic%er !e pa,inaci-n al cerrar una sesi-n. 1E. Aplicar l s (ltim s parc%es " actuali'aci nes !e se,uri!a! !el sistema Jin! >s pu&lica!as p r Micr s *t. 1:. Utili'ar las (ltimas #ersi nes !el sistema perati# . 1K. Aplicar l s (ltim s parc%es " actuali'aci nes !e se,uri!a! !e tras aplicaci nes instala!as en el e+uip . 1M. Tra&a2ar !e * rma se,ura c n el e+uip .
'A
14. M nit ri'ar el ren!imient !el e+uip . 1;. C n*i,urar l s re,istr s !e acti#i!a! !el sistema. 15. D cumentar t ! s l s cam&i s reali'a! s en el sistema. <=. Lle#ar a ca& test " an$lisis !e #ulnera&ili!a!es en el e+uip . <1. Reali'ar c pias !e se,uri!a! peri-!icas !el sistema. <<. Pr ce!er a las reinstalaci-n " rec n*i,uraci-n !el e+uip !e * rma peri-!ica. <E. tratar !e e#itar las peraci nes +ue representan un ma" r rie, para el sistema. <:. !esacti#ar c ntr lar la utili'aci-n !el ser#ici NetGi s s &re TCP3IP
14
SEGURIDAD EN REDES PRIHADAS HIRTUALES
EL !A!EL DE LAS REDES !RI-ADAS -IRTUALES D " en !/a muc% s emplea! s necesitan acce!er !e * rma rem ta a l s recurs s in* rm$tic s !e la r,ani'aci-n? teletra&a2a! res +ue reali'an &uena parte !el tra&a2 !es!e sus % ,ares) c merciales +ue acce!en a la in* rmaci-n c mercial actuali'a!a !es!e sus e+uip s p rt$tiles) !irecti# s +ue se encuentran !e #ia2e " necesitan se,uir c necta! s a la *icina central !e la empresa !es!e un % tel una *icina rem ta. Para t !as estas situaci nes resulta in#ia&le esta&lecer un enlace !e!ica! punt a punt . +na Red -ri2ada 2ir ua' es un sistema de telecomunicaciones consiste en una red de datos restringida a un grupo cerrado de usuarios, que se construye empleando en parte o totalmente los recursos de una red de acceso publico, es decir, es una e4tensin de la red privada de una organizacin usando una red de carcter publico Esta c nstitu"e una alternati#a ec n-mica " *le@i&le para la c ne@i-n !e teletra&a2! res) emplea! s m-#iles " *icinas " !ele,aci nes rem tas a la re! l cal central !e una empresa. Al utili'ar una HPN la empresa pue!en !esenten!erse !e la c mple2i!a! " c ste as cia! s a la c necti#i!a! tele*-nica " las l/neas !e!ica!as punt a punt . L s usuari s !e la r,ani'aci-n simplemente se c nectan al n ! ,e ,r$*icamente mas cercan !el pera! r !e telec municaci nes +ue *rece su re! pu&lica para c nstruir la HPN.
'3
S n ! s *act res +ue e@plican el !esarr ll pri#a!as #irtuales?
e@perimenta!
p r las re!es
Ec n-mic .- pues resulta m$s &arat usar me!i s !e c municaci-n p(&lic s c n recurs s c mparti! s p r muc% s usuari s) tr s +ue e@i,en una ma" r canti!a! !e recurs s !e!ica! s " p r l s +ue l s pera! res !e telec municaci nes c &ran preci s ma" res. Fle@i&ili!a!.- pues l s punt s rem t s pue!en lle,ar a c nectarse a la re! !el pera! r !e telec municaci nes me!iante acces s c nmuta! s a tra#0s !e la re! tele*-nica &$sica la Re! Di,ital !e Ser#ici s Inte,ra! s 6RDSI9
De este m ! se !istin,uen ! s tip s !e acces en una HPN Accesos dedicados me!iante l/neas !e!ica!as punt a punt ) enlaces Frame Rela") enlaces ATM. Accesos conmutados) a tra#0s !e la re! tele*-nica &$sica la RDSI) c nstitu"en! una re! pri#a!a #irtual !el tip HPDN 6Dirtual #rivate !ail2in %et8or59
!ROTOCOLOS !ARA REDES !RI-ADAS -IRTUALES Las tecn l ,/as !e se,uri!a! cla#es en las re!es pri#a!as #irtuales s n l s pr t c l s !e encapsulamient 7tunneling8 +ue permite ci*rar " encapsular l s pa+uetes !e !at s en#ia! s a tra#0s !e las re!es pu&licas. Gracias a est es p si&le tra&a2ar c n pr t c l s !istint s en la re! pu&lica !el pera! r " en la re! pri#a!a !e la r,ani'aci-n. ##/#, <A* y <A/# L s primer s pr t c l s !e 7tunneling, *uer n #oint to #onit /unneling #rotocol 6PPTP YPr t c l para t(neles en c ne@i-n punt a punt 9 !esarr ll p r Micr s *t " tr s *a&ricantes " <ayer A *or8arding 6L<F YReen#/ a Ni#el <- 9. El pr t c l PPTP encapsula pa+uetes PPP en !ata,ramas !el pr t c l IP. PPTP %a teni! una imp rtante !i*usi-n ,arc/as a su inc rp raci-n en l sistemas perati# s !e Micr s *t. Entre sus caracter/sticas mas !estaca!as se encuentra la !e implementar un c ntr l !e *lu2 +ue permite e#itar saturaci nes !e tra*ic tant en clientes c m en ser#i! res) me2 ran! el ren!imient al minimi'ar el numer !e pa+uetes !escarta! s ") p r tant ) las retransmisi nes.
'4
El pr t c l L<F utili'a pr t c l s !e ni#el < c m Frame Rela" ATM para la creaci-n !e t(neles) p r l +ue se c nsi!era una s luci-n m$s e@tensi&le +ue PPTP +ue ta&a2a e@clusi#amente s &re el pr t c l IP) en el ni#el E !e la ar+uitectura !e re!es. A !i*erencia !e PPTP este *rece autenticaci-n !e l s e@trem s " s p rtar #arias c municaci nes in!epen!ientes a tra#0s !e un (nic t(nel. Gracias a un acuer! alcan'a! p r t !as las c mpa1/as in# lucra!as) am& s pr t c l s se %an c n#er,i! en una nue# !en mina! <ayer A /unneling #rotocol 6L<TP Ypr t c l para t(nenles a Ni#el <- 9) +ue permite apr #ec%ar las me2 res caracter/sticas !e PPTP " !e L<F. De este m ! L<FP *rece m(ltiples t(neles simult$ne s en un s l cliente) l +ue ser$ !e ,ran imp rtancia en el *utur ) cuan! l s t(neles s p rten reser#a !e anc% !e &an!a " cali!a! !e ser#ici 6Lualit" * Ser#ice9 I#Sec Para me2 rar la se,uri!a! !el pr t c l IP " *acilitar la c nstrucci-n !e re!es pri#a!as s &re Internet) el Internet (ngineering /as5 *orce 6IETF9) %a !esarr lla! una nue#a #ersi-n !e IP !en mina!a I!Sec 6Internet Pr t c l Securit") RFC <:=19) plantea! c m un len,ua2e uni#ersal in!epen!iente !e l s pr t c l s pr puest s p r !istint s *a&ricantes. IPSec es una ampliaci-n !el pr t c l IP +ue pue!e *unci nar !e m ! transp rte en las re!es e@istentes) " +ue a!em$s permite esta&lecer c ne@i nes se,uras en re!es pri#a!as #irtuales) me!iante la creaci-n !e t(neles se,ur s " ,aranti'an! la autenticaci-n !e l e+uip s. IPSec se c nsi!era c m un pci-n en IP#:) per su utili'aci-n ser$ &li,at ria en la nue#a #ersi-n IP#M.
'5
1;
SEGURIDAD EN LAS REDES INALAMGRICAS
SEGURIDAD TRADICIONAL EN LAS REDES INAL4 "RICAS Las re!es inal$m&ricas 6JLAN9 suelen recurrir a #arias me!i!as !e se,uri!a! +ue p !r/am s c nsi!erar c m mu" elementales para e#itar su utili'aci-n p r parte !e usuari s n aut ri'a! s. Asi) p r e2empl ) se %a c nsi!era! +ue el us te l s i!enti*ica! res SSID -Service Set Identifiers. c nstitu"e un instrument &$sic !e se,uri!a!. Un SSID es un n m&re !e re! utili'a! p r t ! s l e e+uip s " l s Punt s !e Acces s +ue inte,ran una re! inal$m&rica. C n la implementaci-n !e esta me!i!a) ca!a !isp siti# cliente +ue !esee c nectarse a la re! inal$m&rica !e&e incluir el SSID a!ecua! en su c n*i,uraci-n !e re!) p r l +ue s l l s !isp siti# s +ue c n 'can esta especie !e 7cla#e c mparti!a8 p !r$n acce!er a l s ser#ici s !e la re! inal$m&rica. En l +ue se re*iere !e l s t0rmin s e+uip s cliente) se %an a! pta! ! s p si&les es+uemas en l s pr t c l s mas &$sic s !e las re!es inal$m&ricas? la Autenticaci-n p r Cla#e A&ierta -'pen System Authentcation.) en la +ue n e@iste realmente un pr ces !e autenticaci-n p r Cal#e C mparti!a -Shared Eey Authentication.) en la +ue t ! s l s terminales c n acces aut ri'a! a la re! inal$m&rica c mparten la misma cla#e !e acces . Asimism ) tam&i0n se %a recurri! a una autenticaci-n ptati#a !e terminales a partir !e las !irecci nes MAC -7edia Access &ontrol. +ue i!enti*ican a ca!a una !e las tar2etas !e re! !e est s !isp siti# s) implantan! para ell unas Listas !e C ntr l !e Acces 6ACL Y Access &ontrol <ists-9 en las +ue se inclu"en s l las !irecci nes +ue est$n aut ri'a!as para
'6
p !er tra&a2ar en la re!) !e tal m ! +ue l s Punt s !e Acces rec%a'aran a cual+uier !isp siti# cu"a !irecci-n n se encuentra en !ic%as listas. En cu$nt a la c n*i!enciali!a! !e l s !at s transmiti! s p r l s e+uip s c necta! s a la re!) %a" +ue tener en cuentas +ue en una re! inal$m&rica se transmite " se reci&e t !a la in* rmaci-n #/a ra!i ) p r l +ue cual+uier intrus p !r/a 7escuc%ar8 este tra*ic c n un e+uip !e ra!i *recuencia. P r este m ti# ) es rec men!a&le emplear al, ritm s !e encriptaci-n) c m l s pre#ist s en el est$n!ar JEP. El pr &lema !e la implantaci-n practica !e la re!es inal$m&ricas es +ue en !e estas re!es n se emplea la encriptaci-n p r !esc n cimient !escui! !e sus a!ministra! res. !OSI"LES ATA0UES CONTRA REDES INAL4 "RICAS &one4in no autorizada a la red inalmbrica Me!iante una c ne@i-n n aut ri'a!a un intrus p !r/a utili'ar en anc% !e &an!a !e la r,ani'aci-n para acce!er a Internet) pr # can! una !isminuci-n !el ren!imient en la re! para sus usuari s le,/tim s. Asimism ) se p !r/a emplear la c ne@i-n a tra#0s !e la re! inal$m&rica para lle#ar a ca& acti#i!a!es !elicti#as en Internet. Anlisis del trfico y sustraccin de informacin confidencial Para lle#ar a ca& este tip !e ata+ues) l s intrus s pue!en utili'ar )sniffers, para re!es inal$m&ricas) pr ,ramas especialmente !ise1a! s para interceptar el tr$*ic transmiti! #/a ra!i en este tip !e re!es. Estas %erramientas se encar,an !e anali'ar las se1ales transmiti!as p r l s Punt s !e Acces " l s e+uip s c n tar2etas inal$m&ricas) " pue!en *recer una c mpleta lista !e in* rmaci-n s &re ca!a e+uip !etecta! ? i!enti*ica! r SSID !e la re!) in!icaci-n !e si se esta utili'an! el pr t c l JEP) tip !e e+uip 6es un Punt !e Acces un terminal9) !irecci-n MAC !el e+uip ) canal !e *recuencia +ue esta utili'an! ) ni#el !e p tencia !e la se1al. Instalacin de #untos de Acceso no autorizados L s Punt s !e Acces " l s e+uip c n tar2etas inal$m&ricas +ue s n !esple,a! s p r al,un s usuari s !entr !e la pr pia re! !e la r,ani'aci-n sin c ntar c n la c rresp n!iente aut ri'aci-n) c n la intenci-n !e p !er tra&a2ar 7c n mas li&erta!8) c nstitu"en tr m ti# !e pre cupaci-n para l s a!ministra! res !e las re!es. De %ec% est s Punt s !e Acces s " e+uip s n aut ri'a! s suelen presentar pr &lemas !eri#a! s !e una c n*i,uraci-n inse,ura !e&i! al !esc n cimient !e sus usuari s. Interferencias electromagn:ticas -)jamming,.
'&
Las inter*erencias electr ma,n0ticas c ntra las re!es inal$m&ricas pue!en a*ectar seriamente a su ren!imient ) pr # can! ata+ues !e Dene,aci-n !e Ser#ici 6D S9. Para ell &asta&a c n utili'ar a,en!as electr-nicas 6PDAs9 c n una c ne@i-n Ji-Fi para p !er pertur&ar la se1al emiti!a p r l s Punt s !e Acces !e una re! inal$m&rica) !e * rma +ue el rest !e n ! s " tr s Punt s !e Acces !e la re! a*ecta!a situa! s !entr !el ran, !e alcance !e la se1al +ue!asen in%a&ilita! s !urante el transcurs !e la inter*erencia) "a +ue est s !etectar/an +ue t ! s l s canales !e ra!i *recuencia se enc ntra&an cupa! s. !escubriendo redes inalmbricas desde redes cableadas L s Punt s !e Acces !e una re! inal$m&rica s n !isp siti# s !e re! c m l s s8itches " l s routers, " suelen inc rp rar *unci nes !e c n*i,uraci-n rem ta #/a Je& " el pr t c l !e ,esti-n !e re! SNMP. P r este m ti# ) est s Punt s !e Acces p !r/an ser s n!ea! s !es!e una c ne@i-n a tra#0s !e la re! l cal ca&lea!a para anali'ar su c n*i,uraci-n " &tener in* rmaci-n +ue permita lan'ar p steri rmente un ata+ue c ntra la re! inal$m&rica. Ataques contra los terminales de usuarios de redes inalmbricas Est s se pue!en pr !ucir en re!es pu&licas) p r parte !e usuari s malici s s +ue traten !e acce!er en,a1ar a l s e+uip s !e tr s usuari s. En la actuali!a! muc% s r!ena! res p rt$tiles " a,en!as electr-nicas inc rp ran tar2etas inal$m&ricas c n*i,ura!as para tra&a2ar !e * rma aut m$tica en re!es inal$m&ricas sin +ue sea necesaria la inter#enci-n !el usuari . Un atacante p !r/a !escu&rir la e@istencia !e un !e est s e+uip s para tratar !e c mpr meter su se,uri!a! a tra#0s !e la c ne@i-n inal$m&rica) me!iante la instalaci-n !e un tr "an !e un )5eylogger, &ien e@pl tan! un a,u2er !e se,uri!a! !e sus sistema perati# . De este m ! el atacante p !r/a tener acces a l s recurs s e in* rmaci-n !e este e+uip ) c nect$n! se a!em$s en su n m&re a l s ser#ici s !e Internet. )=ar!riving, y )=ar&hal5ing, Me!iante la pr$ctica c n ci!a c m JarDri#in, un s in!i#i!u s e+uipa! s c n el material apr pia! tratan !e l cali'ar punt s !e acces a re!es inal$m&ricas 6n ! s9. A!em$s !e %erramientas !isp ni&les en Internet c m AirSn rt NetStum&ler) +ue *acilitan esta tarea. Las pr$cticas +ue reci&en el n m&re !e JarC%lBin, c nsisten en !i&u2ar una serie !e s/m& l s en las pare!es p aceras para in!icar la presencia !e un acces inal$m&ric ) especi*ican! el tip !e n ! " sus caracter/sticas. A!em$s) c m c mplement !e estas practicas l s atacantes pue!en l cali'ar en Internet numer sas &ases !e !at s " mapas !e re!es.
''
!ROTOCOLO 9E! Este -=ired (quivalent #rivacy. es el sistema !e encriptaci-n est$n!ar apr &a! en la n rma ;=<.11&. Preten!e *recer un ni#el !e se,uri!a! en una re! inal$m&rica e+ui#alente al !e una re! !e ca&le. JEP c ntempla ! s *ases en su *unci namient ? Autenticaci-n !el terminal. Encriptaci-n !e l s !at s me!iante una al, ritm s sim0tric !e M: 1<; &its.
" cla#es
Para lle#ar a ca& la autenticaci-n !e terminales) en el est$n!ar ;=<.11& se %an pre#ist ! s p si&les m !ali!a!es? Shared Eey Authentication 6SUA9? se emplea una cla#e c mparti!a -)shared 5ey,. para autenticar a l s terminales. El Punt !e Acces en#/a un te@t !e prue&a aleat ri 67!esa*i-89 al terminal) +ue !e&e encriptarl usan! la cla#e c mparti!a para !em strar +ue c n ce esta cla#e. De este m ! ) n es necesari en#iar la cla#e para autenticarse "a +ue s l &asta c n !em strar +ue se c n ce. 'pen System Authentiction 6OSA9? n se utili'a nin,una cla#e 6cla#e a&ierta9) p r l +ue cual+uier estaci-n se p !r/a c nectar a la re!) simplemente en#ian! el i!enti*ica! r SSID c rrect para esa re! inal$m&rica. De&em s !estacar +ue realmente es esta m !ali!a! n se pr !uce la autenticaci-n !el terminal. Para la encriptaci-n !e l s !at s +ue se trasmiten #/a ra!i ) JEP utili'a el al, ritm !e encriptaci-n sim0tric RC:) c n cla#es !e M: 1<; &its c mparti!as entre l s e+uip s c necta! s a la re!) Sin em&ar, ) estas cla#es n se suelen cam&iar c n *recuencia) "a +ue en JEP n se %a pre#ist un pr t c l !e intercam&i !e cla#es entre l s e+uip s) p r l +ue estas ten!/an +ue cam&iar !e * rma manual en ca!a e+uip " ca!a Punt !e Acces a la re!. EST4NDARES !RO!UESTOS !ARA REDES 9I:FI E#ORAR LA SEGURIDAD DE LAS
Para incrementar la se,uri!a! en estas re!es se %an pr puest ! s s luci nes? 1. Desarr llar un nue# pr t c l c mpati&le c n t ! el %ar!>are "a instala! en el merca! ) +ue permita res l#er l s pr &lemas !e se,uri!a! !el pr t c l JEP. <. Desarr llar en paralel un nue# pr t c l mas r &ust ) +ue utilice un nue# al, ritm cript ,r$*ic .
'(
En am&as s luci nes se separa el pr ces !e autenticaci-n !el pr ces !e encriptaci-n !e l s !at s) utili'an! para ell ! s al, rim s t talmente in!epen!ientes entre si.
#rotocolo =#A 9 =i2*i #rotrcted Access Se trata !e un sistema m$s r &ust +ue JEP) apr &a! en a&ril !e <==E p r la Alian'a Ji-Fi !entr !el est$n!ar ;=<.11i. JPA !estaca p r su c mpati&ili!a! c n el %ar!>are "a instala! en el merca! ) +ue utili'a&an el al, ritm sim0tric RC: !el pr t c l JEP c m &ase para la encriptaci-n !e las transmisi nes. Asimism JPA emplea un nue# pr t c l !e encriptaci-n c n ci! c m TUIP -)/emporal Eey Integrity #rotocol,., +ue permite re* r'ar la se,uri!a! !e las cla#es " pr te,er la re! c ntra l s ata+ues p r *alsi*icaci-n p r repetici-n. En JPA se utili'an cla#es !e encriptaci-n !e 1<; &its +ue se pue!es asi,nar !e * rma !in$mica p r usuari " p r sesi-n) p r l +ue este sistema es muc% m$s r &ust a ata+ues !e *uer'a &ruta) superan! a!em$s el pr &lema !e las cla#es est$ticas " !e tama1 re!uci! !el pr t c l JRP. (l nuevo estndar $S% -$obust Security %et8or5. El nue# est$n!ar RSN ;=<.11i se &asa en el al, ritm cript ,r$*ic -Advanced (ncryption Standard.) el sustitut !el cl$sic DES. AES
Para ell ) se recurre a un m ! !e peraci-n !e AES c n ci! CCMP -&ounter 7ode2&1& 7A& #rotocol.) +ue permite ,aranti'ar la c n*i!enciali!a! " la inte,ri!a! !e las tramas !e !at s transmiti!as ,racias a las si,uientes caracter/sticas? 7&ounter 7ode, se emplea un c nta! r para m !i*icar el te@t clar antes !e encriptarl ) c nsi,uien! !e este m ! +ue un mism &l +ue !e te@t clar ,enere en !istintas casi nes &l +ue !e te@t ci*ra! !istint s. C ntr l !e inte,ri!a! !e las tramas me!iante el m0t ! CGC -&ipher 1loc5 &hiang.) +ue permite ,enerar un c-!i, !e inte,ri!a! para ca!a trama.
A!em$s) el RSN c ntempla la ,eneraci-n !e cla#es !e sesi-n para pr te,er las tramas !e !at s transmiti! s) una #e' +ue se %a supera! c rrectamente el pr ces !e autenticaci-n. As/) !e esta * rma se !istin,uen las cal#es
(3
primarias !e las cla#es temp rales !e sesi-n) empela!as para encriptar las transmisi nes !e !at s en la re! inal$m&rica.
RECO ENDACIONES !ARA REFOR/AR LA SEGURIDAD 1. Separaci-n !e la re! inal$m&rica !e la re! l cal interna !e la r,ani'aci-n <. Detecci-n !e intent s !e intrusi-n en la re! E. C n*i,uraci-n mas se,ura !e la re! inal$m&rica :. Instalar %erramientas +ue permitan anali'ar #ulnera&ili!a!es en re!es inal$m&ricas K. Me!ias */sicas en el e!i*ici !e la r,ani'aci-n.
(2
15
JEG
LA NEHEGACION SEGURA EN EL JORLD JIDE
EL SER-ICIO 9ORLD 9IDE 9E" Este es el ser#ici +ue %a pr # ca! una autentica re# luci-n en el acces a la in* rmaci-n) &asa! e una inter*a' ,ra*ica " ami,a&le " mu" *$cil !e usar. Fue !esarr lla! p r el in#esti,a! r Tim Gerners-Lee en el CERN 6Centr !e In#esti,aci nes Nucleares A#an'a!as9 !e Gerna 6Sui'a9) a *ines !e l s a1 s c%entas " se &asa en ! s element s *un!amentales? D cument s +ue c ntienen in* rmaci-n en m(ltiples * rmat s H/ncul s entre !istintas partes element s !e est s ! cument
El J rl! Ji!e Je& es una ,i,antesca 7telara1a mun!ial8) c nstitui!a p r mill nes !e pa,inas entrela'a!as me!iante %iper#/ncul s. La na#e,aci-n e@pl raci-n en el JJJ c nsiste en saltar me!iante un %iper#/ncul !e una p$,ina a tra) emplean! para esta tarea el pr ,rama 7na#e,a! r8 7e@pl ra! r8. En la actuali!a! en na#e,a! r Internet E@pl rer !e Micr s *t es el mas c n ci! ) se,ui! !e tr s c m Netscape) Opera Fire* @. Ca!a p$,ina p see una !irecci-n URL -+niform $esource <ocutor. +ue la i!enti*ica presentan! el si,uiente * rmat ? Pr t c l 33 n m&re !el ser#i! r 3 !irect ri 3 petici-n E2empl ? %ttp?33>>>.simce.c m3in* ,est r.%tm !RO"LE AS DE SEGURIDAD EN EL 9ORLD 9IDE 9E"
Se trata !e un pr &lema n s l t0cnic ) sin tam&i0n !e * rmaci-n " !e sensi&ili'aci-n. Muc% s !e l s usuari s !e l s na#e,a! res tienen c n cimient s in* rm$tic s mu" escas s) p r l +ue n suelen c n*i,urar !e la * rma mas se,ura sus e+uip s. A!em$s) !e&i! a su p pulari!a!) l s ser#i! res Je& " l s na#e,a! res) en especial l !e ma" r !i*usi-n c m el Internet E@pl rer !e Micr s *t) se %an c n#erti! en el &2eti# !e muc% s !e l s ata+ues in* rm$tic s +ue se pr !ucen en la actuali!a!. Es necesari !estacar el c n*lict +ue se suele plantear entre la canti!a! !e ser#ici s *reci! s p r le na#e,a! r " el ni#el !e se,uri!a! !e e+uip (A
in* rm$tic . De %ec% ) las *unci nes a#an'a!as !el na#e,a! r *acilitan la inte,raci-n aut m$tica c n tras aplicaci nes instala!as en el e+uip ) la e2ecuci-n !e c-!i, acti# !e #ari s 7 plugins, para p !er #isuali'ar !etermina! s c nteni! s multime!ia. T !as estas *unci nes representan un ma" r ries, para la se,uri!a! !el e+uip . C m c nclusi-n se1alarem s al,un s !e l s principales ries, s para la se,uri!a! !el na#e,a! r) tenien! en cuenta el esta! actual !e la tecn l ,/a " el !esarr ll !e Internet? El ser#i! r Je& pue!es n ser se,ur ? pue!es *recer in* rmaci-n *alsa a l s usuari s) *acilitar la !escar,a !e s *t>are malici s C El na#e,a! r pue!e e2ecutar c-!i, !a1in !escar,a! !es!e Internet? applets Ra#a malici s ) 7plugins, c ntr les Acti#eS. Un atacante p !r/a interceptar la in* rmaci-n intercam&ia!a entre el na#e,a! r " el ser#i! r Je&) s &re t ! si n se utili'a una c ne@i-n pr te,i!a me!iante t0cnicas cript ,r$*icas. Otr s tip s !e ata+ues c ntra el ser#ici JJJ o Secuestr !e sesi nes 67%i2acBin,89 o Ata+ues !e repetici-n 67replan attacBs89 o Ata+ues !e interme!iari s 6!el tip 7man-in-t%e-mi!!le89. o Acces a in* rmaci-n sensi&le m !i*icaci-n !el c nteni! !el ser#i! r Je&
RECO ENDACIONES DE SEGURIDAD 1. C n*i,uraci-n a!ecua! !el e+uip in* rm$tic <. Re#isi-n " actuali'aci-n c n l s (ltim s parc%es !e se,uri!a! E. C n*i,uraci-n !el ni#el !e se,uri!a! en *unci-n !e la ' na !e tra&a2 !el usuari ? a. Fona )Internet?7: se aplica el ni#el !e se,uri!a! me!i ) en el +ue se permite la e2ecuci-n !e applets Ra#a scripts) asi c m la !escar,a !e *ic%er s !es!e Intenet. &. Fona )Internet local?7: reser#a!a para Je&sites !entr !e la re! l cal !e la r,ani'aci-n) +ue se sup ne mas se,ura +ue Internet. En este cas se aplica el ni#el !e se,uri!a! me!i -&a2 . c. Fona de )Sitios de confianza?7: reser#a!a para a+uell s Je&sites +ue n representen una amena'a para el e+uip . !. Fona de )Sitios restringidos ?7: pensa!a para a+uell s Je&sites +ue se c nsi!eran peli,r s s. Se aplica en este cas ni#el !e se,uri!a! alt . :. C ntr lar !e la utili'aci-n !e 7c Bies8 K. Tener cui!a! c n la !escar,a !e s *t>are !es!e Internet M. E#itar la #isita !e Je&sites s spec% s s !e !u! sa reputaci-n 4. N *iarse !e enlaces inclui! s en c rre s electr-nic s ;. C ntr lar el c nteni! acti# en las pa,inas Je& (3
5. C n*i,urar la *unci-n !e aut c mpletar 1=. C%ecar la c ne@i-n a ser#i! res Je& se,ur s me!iante pr t c l s cript ,r$*ic s. 11. Tener c ntr l !e certi*ica! s " aut ri!a!es !e certi*icaci-n 1<. Tener c ntr l !e l s c nteni! s +ue se pue!es #isuali'ar 1E. Utili'ar las pci nes a#an'a!as !e se,uri!a! en Internet E@pl rer
(4
<=
UTILINACION
SEGURA
DEL
CORREO
ELECTRONICO
CARACTER2STICAS DEL CORREO ELECTR1NICO El m$s c n ci! !e l s ser#ici !e Internet) es sin !u!a) el c rre electr-nic -e2mail.) +ue pr p rci na una c municaci-n r$pi!a) &arata " as/ncr na) c n n ta&les #enta2as *rente al tel0* n ) el *a@ " el c rre p stal. El c rre electr-nic naci- en 1 !e ctu&re !e 1541) cuan! el in#esti,a! r american Ra" T mlins n escri&i- el primer mensa2e en#ia! entre ! s r!ena! res c necta! s a la re! Arpanet? 7LJERTFUIOP8. P !em s c nsi!erar) pues) +ue la re# luci-n !el c rre electr-nic es la re# luci-n !e las c municaci nes !el si,l SSI) sien! si impact c mpara&le al !e l s (ltim s 1K= a1 s. C n el !esarr ll !e nue# s pr t c l s) l s pr ,ramas lect res !e c rre electr-nic actuales permiten utili'ar %iperte@t en l s mensa2es " a!2untar t ! tip !e *ic%er s +ue se transmiten encapsula! s !entr !el pr pi mensa2e. Da" tam&i0n %a" +ue tener en cuenta +ue se pue!en utili'ar t0cnicas cript ,r$*icas para ,aranti'ar la c n*i!enciali!a! !e ca!a mensa2e) su inte,ri!a! " la autentici!a! !el remitente. A!em$s al tratarse !e un sistema ,esti na! in* rmati#amente) se pue!en aut mati'ar ciertas tareas? la clasi*icaci-n !e l s mensa2es reci&i! s) la ,eneraci-n !e una respuesta aut m$tica a ciert s mensa2es la ,esti-n !e en#/ s a m(ltiples !estinatari s. Este ser#ici presenta una imp rtante #enta2a para sus usuari s) "a +ue est s pue!en acce!er a l s mensa2es ,uar!a! s en sus &u' nes pri#a! s !e c rre !es!e cual+uier punt !el planeta c n una simple c ne@i-n a Internet) utili'an! un na#e,a! r Je&) sin +ue sea necesari instalar ni c n*i,urar un pr ,rama lect r !e c rre electr-nic . !RO"LE AS DE SEGURIDAD 0UE AFECTAN AL COREO ELECTR1NICO
El c rre electr-nic tam&i0n se #e a*ecta! p r !istint s pr &lemas !e se,uri!a!) entre l s +ue p !r/am s !estacar l s si,uientes? Pr pa,aci-n !e c-!i, !a1in p r me!i !e ! s mecanism s !istint s? o A tra#0s !e *ic%er s e2ecuta&les +ue se a!2untan a un mensa2e !e c rre
(5
o Me!iante la inserci-n !e c-!i, !a1in !entr !el pr pi cuerp !el mensa2e) en mensa2es !e c rre en * rmat DTML. Interceptaci-n !e mensa2es en#ia! s a tra#0s !e Internet. Usurpaci-n !el remitente 67sp *in,89 para c nstruir mena2es *als s en n m&re !e un !etermina! in!i#i!u u r,ani'aci-n. Ata+ues !e repetici-n Spam c rre n s licita! ) ,eneralmente c n *ines pu&licitari s. Ata+ues !e 7mail & m&in,8 Interceptaci-n !e las c ntrase1as !e usuari s +ue acce!en a sus &u' nes !e c rre Re#elaci-n a tercer s !el c nteni! !e un mensa2e !e c rre electr-nic ) sin tener la necesaria aut ri'aci-n !el crea! r. E#ORAR LA SEGURIDAD DEL CORREO
RECO ENDACIONES !ARA ELECTR1NICO
(vitar la ejecucin del cdigo daino asociado al correo electrnico Una primera me!i!a !e se,uri!a! c nsiste en la !esacti#aci-n !e la #ista pre#ia !e mensa2es en el pr ,rama lect r !e c rre ) para impe!ir +ue se pue!an #isuali'ar !e * rma aut m$tica l s c rre s electr-nic s en * rmat DTML. N se rec mien! e2ecutar !irectamente *ic%er s a!2unt s ni a&rir mensa2es +ue pue!an resultar s spec% s s) !esc n*ian! en cual+uier cas !e la autentici!a! !el remitente +ue *i,ura en la ca&ecera !el mensa2e. La se,uri!a! en la utili'aci-n !el c rre se !e&er$ #er c mplementa!a c n la instalaci-n !e un pr ,rama anti#irus permanentemente actuali'a! ) c n*i,ura! para re#isar t ! s l s mensa2es !e c rre s entrantes " salientes !el e+uip . ?arantizar la confidencialidad, integridad y autenticidad del los mensajes y de los usuarios Una primera cuesti-n a c nsi!erar es la autenticaci-n se,ura en el acces a l s &u' nes !e c rre . De %ec% ) en la c n*i,uraci-n p r !e*ect !el pr t c l POPE se en#/an el n m&re " la c ntrase1a sin encriptar) p r l +ue estas p !r/an ser captura!as p r un sinffer. Se p !r/an utili'ar pr t c l s mas se,ur s c m APOP 6Authenticated #ost 'ffice #rotocol.) +ue encriptan la c ntrase1a !el usuari !urante la sesi-n POP. P r tra parte se %an pr puest !i#ersas alternati#as para me2 rar la autentici!a! !e l s mensa2es) entre las +ue p !r/am s !estacar las si,uientes? Sen!er ID Frame> rB (6
Sen!er P lic" Frame> rB Utili'aci-n !e la *irma electr-nica en l s c rre s electr-nic s.
&onfiguracin mas segura de la red de la organizacin para el servicio de correo electrnico0 Una me!i!a para re* r'ar la se,uri!a! !e la re! !e la r,ani'aci-n c nsiste en la instalaci-n !e anti#irus " *iltr s anti-spam en l s !isp siti# s !e se,uri!a! perimetral) +ue actuar/an c m una primera &arrera !e pr tecci-n eliminan! parte !e l s mensa2es !e c rre p tencialmente !a1in s antes !e +ue est s pue!an lle,ar a las estaci nes !e tra&a2 . Tam&i0n pue!e resultar c n#eniente la utili'aci-n !e un 7mail Pr @"8) ser#i! r !e!ica! +ue act(a !e interme!iari entre l s e+uip s !e l s usuari s " l s ser#i! res !e c rre . En este e+uip se pue!en instalar l s *iltr s " el pr ,rama anti#irus) c mpr &an! l s mensa2es !e c rre " mantenien! en cuarentena l s mensa2es p tencialmente peli,r s s) tam&i0n p !r/a encar,arse !e limitar el tama1 " el n(mer !e *ic%er s a!2unt s +ue pue!en en#iar reci&ir l s usuari s !es!e l s e+uip s intern s !e la r,ani'aci-n. Estas me!i!as se pue!en #er ap "a!as p r la instalaci-n " actuali'aci-n !e un pr ,rama anti#irus en l s e+uip s !e l s usuari s. En al,un s cas s mas cr/tic s tam&i0n p !r/a resultar c n#eniente emplear una estaci-n !e tra&a2 aisla!a para !escar,ar " a&rir l s mensa2es s spec% s s +ue n %a"an si! !irectamente elimina! s p r el anti#irus l s *iltr s anti-spam.
(&
<1
LA LUCDA CONTRA EL 7SPAM8
O0U3 ES EL S!A P L s mensa2es !e c rre electr-nic c n pu&lici!a! n s licita!a p r el !estinatari c nstitu"ente l +ue se %a !a! en llamar )correo basura,, )jun52mail, )spam0 Actualmente el c rre &asura se %a c n#erti! en una !e l s principales pr &lemas !e Internet) "a +ue resulta tremen!amente sencill " ec n-mic c nse,uir &ases !e !at s c n cient s !e miles !e !irecci nes !e c rre s electr-nic s) para a c ntinuaci-n reali'ar un en#i- masi# a miles !e !estinatari s a un c ste m/nim ) c m la m lestias +ue ell pr # ca " el ries, !e c laps !e l s ser#i! res !e c rre . L s pr pi s 7spammers8 utili'an sus &ases !e !at s para !ar a c n cer su ne, ci ) mu" !iscuti! en Internet " +ue !es!e %ace un s a1 s "a es perse,ui! en #ari s pa/ses !e nuestr ent rn c n el ap " !e un nue# marc le,al. El spam) +ue empie'a a ser c nsi!era! c m un !elit en si mism pue!e estar as cia! a tr tip !e acti#i!a!es il/citas) c m atentar c ntra el !erec% a la pri#aci!a! e intimi!a! !e las pers nas "a +ue en muc% s cas s las !irecci nes !e c rre electr-nic suelen ser captura!as p r r & ts sin el c nsentimient !e l s a*ecta! s. A!em$s l s 7spammers8 ac stum&ran a *alsi*icar las !irecci nes !e ret rn inclui!as en sus mensa2es) para elu!ir !e este m ! las +ue2as " !enuncias !e l s !estinatari s m lest s p r sus acti#i!a!es. !RO"LE AS OCASIONADOS !OR EL S!A
L s principales pr &lemas casi na! s p r el spam a l s usuari s " pr #ee! res !el ser#ici !e c rre electr-nic ? Da1 s a l s pr #ee! increment !el c nsum !e c rre A necesi!a! !e !e c rre ) etc. Da1 s a las empresas? c nsum !e recurs sA res !e acces a Internet " pera! res? !e anc% !e &an!aA saturaci-n !e ser#ici s instalar s *t>are anti-spam en sus ser#i! res p0r!i!a !e pr !ucti#i!a! !e l s emplea! sA c nsultas al ser#ici t0cnic " !e s p rte
('
in* rm$tic p r parte !e l s usuari s +ue se #en !es& r!a! s p r la a#alanc%a !e mensa2es en sus &u' nes !e c rre ) etc. Da1 s a l s usuari s particulares? per!i!a !e su tiemp en la !escar,a) lectura " eliminaci-n !e l s mensa2es n s licita! sA c nsum !e recurs s in* rm$tic sA p si&le acces a c nteni! s n !esea! s. ERS
!RACTICAS HA"ITUALES DE LOS S!A
L s 7spammers8 s n l s in!i#i!u s +ue se !e!ican a ,enerar l s mill nes !e mensa2es !e c rre n s licita! +ue saturan ca!a !/a las re!es " l s ser#i! res !e l s pera! res !e telec municaci nes " pr #ee! res !e acces a Internet. Para reali'ar esta acti#i!a! recurren a una serie !e pr$cticas +ue p !r/an ser c nsi!era!as c m !elicti#as en muc% s pa/ses !e nuestr ent rn ? o O&tenci-n *rau!ulenta !e !irecci nes !e c rre electr-nic . o Ata+ues a sistemas in* rm$tic s para &tener listas !e !irecci nes !e c rre s !e sus usuari s " clientes. o Practicas utili'a!as para c mpr &ar la #ali!e' !e una !irecci-n !e c rre . o Henta a tra#0s !e Internet !e las !irecci nes !e c rre s &teni!as. o Inc rp raci-n !e *als s remitentes en l s mensa2es en#ia! s) me!iante t0cnicas !e usurpaci-n !e i!enti!a! 67sp *in,89. o Utili'aci-n !e ser#i! res SMTP !e tercer s para reali'ar l s en#/ s masi# s o Utili'aci-n !e #irus " tr "an s +ue permiten reali'ar en#/ s spam !es!e l s e+uip s in*ecta! s. o Utili'aci-n !e r!ena! res 7' m&i8 6 r!ena! res +ue se %an instala! un tr "an +ue *acilita su c ntr l rem t 9. En sus mensa2es pu&licitari s) l s 7spammers8 inclu"en enlaces a ser#i! res Je&) ! n!e el interesa! p !r/a a!+uirir el pr !uct ser#ici anuncia! . NUE-AS FOR AS DE S!A El spam se %a e@ten!i! a l s en#/ s !e mensa2es SMS a tel0* n s m-#iles. El pr &lema empie'a a ser seri en Rap-n) el spam !e l s m-#iles aun n %a alcan'a! al # lumen !e l s c rre s electr-nic s n s licita! s en Internet) per el pr &lema esta crecien! en este pa/s) ! n!e l s usuari s en#/a una me!ia !e 1= mensa2es SMS al !/a. El 7spit8 es una nue#a * rma !e spam +ue a*ecta a l s usuari s !e la tele* n/a IP. C n la a"u!a !e l s ser#ici s !e H ' IP l s !istri&ui! res !e 7spit8 p !r$n %acer lle,ar su mensa2e a miles !e usuari s simult$neamente.
((
El 7spim8 es un nue# termin acu1a! para l s mensa2es !e pu&lici!a! n s licita!a p r me!i !e l s pr ,ramas !e mensa2er[a instant$nea. Tam&i0n se %a utili'a! el ser#ici Messen,er !el sistema perati# !e Jin! >s para a&rir #entanas emer,entes -)pop2up =indo8s,.) +ue se pue!en acti#ar !e * rma rem ta para lan'ar mensa2es al usuari !el e+uip . P r tra parte) a *inales !e ctu&re !e <==K se !a&a a c n cer una nue#a m !ali!a! !e mensa2es se spam? l s 7splog, )spam blogs,. C n esta nue#a t0cnica) l s spammers est$n crean! mill nes !e Je&l ,s en Internet para anunciar t ! tip !e pr !uct s " ser#ici s) !es!e *$rmac s 7mila,r s s8 a c nteni! s p rn ,r$*ic s. CO O CO "ATIR EL S!A $ecomendaciones a los usuarios de los servicios de Internet Una primera me!i!a a tener en cuenta es la !e intentar n %acer pu&lica la !irecci-n !e c rre electr-nic pers nal. Para ell ) n se !e&er/a incluir la !irecci-n !e c rre electr-nic en p$,inas Je& "a +ue e@isten !i*erentes tip s !e %erramientas in* rm$ticas capaces !e leer las p$,inas !e Je& para l cali'ar !irecci nes !e c rre electr-nic . P r tra parte) el usuari n !e&er/a resp n!er a la pci-n !e !arse !e &a2a !e la lista !e !estinatari s !el mensa2e) "a +ue l (nic +ue se c nsi,ue c n ell en la ma" r/a !e l s cas s es c n*irmar la #ali!e' !e la !irecci-n !e c rre electr-nic . La instalaci-n !e una !e la numer sas aplicaci nes anti-spam !isp ni&les en el merca! permitir$ re!ucir el numer !e mensa2es n s licita! s +ue lle,an al &u'-n !e c rre electr-nic . Estas %erramientas c m&inan la utili'aci-n !e *iltr s c n listas !e spammers c n la !etecci-n !e mensa2es +ue pue!an incluir c nteni! s s spec% s s. /ecnolog"a y herramientas para luchar contra el spam Utili'aci-n !e sistemas !e *iltra! L s sistemas !e *iltra! !el c rre electr-nic pue!en c m&inan #arias t0cnicas para tratar !e !eterminar si un !eterminar mensa2e !e c rre se p !r/a c nsi!erar c m spam? o An$lisis !e la estructura " la ca&ecera !e ca!a mensa2e !e c rre o Utili'aci-n !e Listas Ne,ras o Utili'aci-n !e Listas Glancas o Filtr s aut m$tic s en *unci-n !el c nteni! o Filtr s &a"esian s T0cnicas !e Desa*i- 3 respuesta 233
C n*i,uraci-n mas r &usta !e l s ser#i! res !e c rre Alternati#as para me2 rar la autenticaci-n !e l s mensa2es Utili'aci-n !e pr t c l s cript ,r$*ic s " !e la *irma electr-nica
RECO ENDACIONES DE LA UNI1N EURO!EA CONTRA EL S!A Se presentan las principales rec men!aci nes !e la Uni-n Eur pea !iri,i!a a t ! s sus Esta! s miem&r para me2 rar la e*iciencia en la luc%a c ntra en Spam? A! pci-n !el r0,imen 7 pt-in8 p r t ! s l s esta! s miem&r s antes !e E1 !e ctu&re !e <==E F mentar l s c-!i, s !e c n!ucta 0tica " &uenas pr$cticas !entr !e la pr pia in!ustria !e marBetin, !irect . Ma" r c ntr l !e tra*ic p r parte !e l s pr #ee! res !e acces a Internet Re* r'ar el papel !e las A,encias " Or,anism s P(&lic s en la luc%a c ntra el spam F mentar la c la& raci-n a ni#el internaci nal LEGISLACI1N CONTRA EL S!A En la Uni-n Eur pa p !em s citar c m re*erencia !es!e un punt !e #ista le,al a la !irecti#a <==<3K<3CE. En esta !irecti#a se pr %/&e !e * rma e@presa el spam) !istanci$n! se !e la *il s */a !el 7 pt- ut8 +ue se %a&/a plantea! en la re,ulaci-n anteri r !el a1 1554) asumien! as las petici nes !e l s c nsumi! res eur pe s) uni! s en la plata* rma anti-spam Eur CAUCE. En Espa1a la le" !e Ser#ici s !e la S cie!a! !e la In* rmaci-n 6LSSI) le" E:3<==<9 l pr %/&e e@presamente tras su entra!a en #i, r el 1< !e ctu&re !e <==<c ntemplan! sanci nes !e %asta 1K=)=== eur s para l s +ue en#/an mensa2es c merciales n s licita! s) sien! la A,encia Espa1 la !e Pr tecci-n !e Dat s el r,anism encar,a! !e su cumplimient . De acuer! c n la LSSI) se entien!e p r c municaci-n c mercial p r #/a electr-nica a 7t !a c municaci-n !iri,i!a a la pr m ci-n !irecta in!irecta) !e la ima,en !e l s &ienes ser#ici s !e una empresa) r,ani'aci-n pers na8. Este tip !e c municaci-n se re,ir$? P r la Le" E:3<==< 6LSSI9) m !i*ica!a en parte p r la nue#a le" ,eneral !e Telec municaci nes 6LGT) Le" E<3<==E) !e E !e n #iem&re9. P r su n rmati#a pr pia " la #i,ente en materia c mercial " !e pu&lici!a!
232
P r la Le" Or,$nica !e Pr tecci-n !e Dat s 6LOPD9 " su n rmati#a !e !esarr ll ) en especial) en l +ue se re*iere a la &tenci-n !e !at s pers nales) la in* rmaci-n a l s interesa! s " la creaci-n " mantenimient !e *ic%er s !e !at s pers nales. ACTUACIONES DESTACADAS CONTRA EL S!A En est s (ltim s a1 s "a se %an pr !uci! c ntra el spam? !i#ersas actuaci nes !estaca!as
En a&ril !el <==E Am0rica On Line) Fa% " Micr s *t) l s tres principales ser#i! res !e c rre en Internet) anuncia&an su intenci-n !e unir sus recurs s " e@periencia t0cnica para re!ucir el numer !e c rre s masi# s n s licita! s +ue inun!a&an a !iari l s sistemas " l s &u' nes !e c rre !e sus usuari s. AOL) Fa% " Micr s *t se c mpr met/an se este m ! a intr !ucir cam&i s t0cnic s en el en#i!e l s c rre s electr-nic s) c n l s +ue ser$ mas !i*/cil en#iar repeti!amente un !etermina! mensa2e a ,ran escala. Otra actuaci-n c ntempla!a *ue la creaci-n !e m(ltiples 7cuentas trampa8 !e c rre electr-nic ) +ue permitir/an i!enti*icar a l s spammers cuan! realicen sus en#/ s masi# s. Des!e ent nces) estas empresas %an empren!i! #arias acci nes le,ales c ntra 7spammers8 i!enti*ica! s Micr s *t) Fa% ) AOL " Eart%linB anuncia&an a principi s !e mar' !el <==: la presentaci-n c r!ina!a !e l s primer s ,ran!es pleit s !el sect r &a2 la nue#a Le" *e!eral anti-spam 6 &an Spam Act.) +ue entra&a en #i, r el 1 !e ener !el <==: De este m ! l s cuatr ma" res pr #ee! res !e ser#ici s !e Internet " c rre electr-nic !e Esta! s Uni! s anunciar n) la presentaci-n !e M pleit s c ntra cient s !e !eman!a! s) entre l s +ue *i,uran al,un s !e l s mas c n ci! s emis res !e c rre s electr-nic s c merciales n s licita&an) a l s +ue acusa&an !e %a&er en#ia! cient s !e mill nes !e mensa2es !e spam a usuari s !e sus cuatr re!es.
23A
<<
EL 7PDISDING8 F LAS ESTAFAS EN INTERNET
0UE ES EL !HISHING L s *rau!es " esta*as *inancieras a tra#0s !e Internet se %an %ec% mu" *recuentes en est s (ltim s a1 s) ,racias a la creciente p pulari'aci-n !e ser#ici s c m la &anca electr-nica el c merci &asa! en la Je&. De %ec% se %a acu1a! el termin )phishing, 6tam&i0n c n ci! c m )carding, )brand spoofing,. para re*erirse al tip !e ata+ue +ue tratan !e &tener l s n(mer s !e cuenta " las cla#e !e acces a !etermina! s ser#ici s !e Internet) " en espacial a l s ser#ici s !e &anca electr-nica) para reali'ar c n ell s peraci nes *rau!ulentas +ue per2u!i+ue a l s le,/tim s pr pietari s !e !ic%as cuentas. Para ell ) ,eneralmente se utili'an p$,inas Je& *alsas +ue imitan a las ri,inales !e l s ser#ici s &ancari s +ue preten!en suplantar. De %ec% ) la pr li*eraci-n !e l s cas s !e )phishing, en est s (ltim s a1 s * rman parte !e una nue#a ,eneraci-n !e ata+ues +ue en lu,ar !e !estruir l s !at s &l +uear el acces a l s e+uip s in* rm$tic s preten!en 2ust l c ntrari ? rec pilar !at s #ali s s s &e l s usuari s " t mar el c ntr l !e sus e+uip s para p !er lle#ar a ca& peraci nes *rau!ulentas " esta*as electr-nicas. El termin 7phishing, *ue acu1a! a me!ia! s !e l s a1 s 5= p r l s cracBers +ue intenta&as r &ar las cuentas !e l s clientes !el pr #ee! r !e acces a Internet Am0rica Online 6AOL9. En este cas ) el tima! r se presenta&a c m emplea! !e esta empresa " en#ia&a un mensa2e !e c rre a una p si&le #ictima s licitan! +ue re#elara su c ntrase1a para #eri*icas el esta! !e su cuenta c n*irmar la *acturaci-n. Una #e' +ue la #ictima entre,a&a las cla#es) el atacante p !r/a tener acces a la cuenta !e esta " utili'arla para sus pr p-sit s il/cit s. En l s intent s !e *rau!e a clientes !e enti!a!es *inancieras) el modus operandi c nsisten en el en#i- !e un c rre electr-nic *als ) +ue simula pr ce!er !el &anc en cuesti-n) s licitan! !at s pers nales !e la #ictima " sus cla#es !e acces a la enti!a!. En este tip !e mensa2es se trata !e re!iri,ir a la #ictima una p$,ina Je& c n la apariencia !el &anc per resulta ser *alsa para p !er capturar sus cla#es !e acces . Tam&i0n p !em s c nsi!erar !entr !e este tip !e ata+ue la !i*usi-n !e c rre s electr-nic s c n *ertas *alsas en,a1 sas) as/ c m la pu&licaci-n !e *alsas n ticias en * r s " ,rup s !e n ticias c n !istintas intenci nes) c m p !r/a ser tratar !e alterar el #al r !e la acci nes !e una empresa.
233
P r tra parte) el )pharming, es una #ariante !el p%is%in, en la +ue l s atacantes utili'an un #irus un tr "an +ue es capa' !e c nectara las #ictimas !es!e su r!ena! r a pa,inas *alsas en lu,ar !e a las le,/timas c rresp n!ientes a sus pr pias enti!a!es *inancieras) para sustraer sus !at s) en especial sus n(mer s !e cuenta " las cla#es !e acces " !e peraci-n. E#E !LOS DE CASOS DE !HISIHING EN LA "ANCA ELECTR1NICA En ma" !el <==E un intent !e esta*a c ntra clientes !e GGHA) +ue tenia a tra#0s !e un mensa2e !e c rre electr-nic supuestamente en#ia! en n m&re !e esta enti!a!) el mensa2e !e c rre *als para intentar &tener las cla#es !el usuari a tra#0s !e un ! mini *als . El << !e *e&rer !e <==: se !etecta&a un nue# en#i- in!iscrimina! !e mensa2es !e c rre electr-nic +ue se %ac/an pasar p r mensa2es !el Ganc P pular ! n!e s licita&an a l clientes +ue se !iri,ieran a una !etermina!a pa,ina Je& para me2 rar la se,uri!a! !e sus cuentas. En esta ccisi-n) cuan! el usuari %acia clic en el mensa2e !e c rre se a&r/an < #entanas en su e+uip ? la primera c n la p$,ina ri,inal !el Ganc P pular) la se,un!a era ! n!e se pr !uc/a la petici-n !e l s !at s !e la cuenta !el cliente. As/ l s usuari s p !r/an c mpr &ar la autentici!a! !e la primera) p r l +ue eran mas *$cilmente en,a1a! s p r la se,un!a p$,ina. Otr cas interesante tu# lu,ar en septiem&re !e <==: un intent !e esta*a c ntra clientes Ganest . Se reali' a tra#0s !e un c rre electr-nic ) en el cuerp !el mensa2e) en * rmat DTML) inc rp ra&a una ca&ecera ,ra*ic c n el l , tip " a!em$s element s ,r$*ic s !e la ima,en c rp rati#a !e Ganest ) en un intent !e %acer mas cre/&le el en,a1 . Dic% mensa2e !e c rre s licita&a a l s clientes +ue se c nectaran a una pa,ina Je& supuestamente !e Ganest para reacti#ar la cuenta c n un nue# sistema !e se,uri!a!) ! n!e a tra#0s !e un * rmulari *als se s licita&an sus !at s " cla#es. O!ERACIONES !OLIC2ACAS CONTRA EL FRAUDE EN INTERNET En n #iem&re !e <==E la p lic/a Fe!eral !e Grasil) tras una in#esti,aci-n le mas !e cuatr meses) !esarticula&a una &an!a !e piratas in* rm$tic s +ue %a&/an c nse,ui! reali'ar esta*as !urante el a1 <==E p r un #al r !e 1= mill nes !e !-lares utili'an! !at s !e acces a las cuentas &ancarias !e sus #ictimas. P r tra parte en ma" !e <==: la Guar!ia Ci#il !eten/a en Espa1a a seis pers nas +ue inte,ra&an una re! resp nsa&le !e c meter un *rau!e
234
superi r a K==)=== eur s a tra#0s !e la &anca electr-nica " +ue ten/a c ne@i nes c n tras pers nas !e Esta! s Uni! s) Rein Uni! ) Australia) Nue#a Nelan!a " Rusia. Tam&i0n la Guar!ia Ci#il !eten/a en ener !el <==K a #ari s ciu!a!an s ucranian s en al pr #incia !e Se#illa p r reali'ar !istintas peraci nes *rau!ulentas a tra#0s !e Internet. P r su parte) la p lic/a !e Est nia !eten/a a principi s !e a&ril !e <==K a un ciu!a!an !e <: a1 s !e ese pa/s acusa! !e %a&er r &a! mill nes !e eur s !e cient s !e cuentas !e &anca electr-nica en !i*erentes pa/ses eur pe s) entre ell s Espa1a) me!iante el us !e tr "an s +ue le permiten sustraer las cla#es !e acces !es!e l s e+uip s !e sus #ictimas. RECO ENDACIONES DE SEGURIDAD !ARA CO "ATIR EL >!HISHING? Presentam s una serie !e rec men!aci nes a tener en cuenta p r parte !e l s usuari s !e ser#ici s c m la &anca electr-nica para e#itar ser #ictima !e este tip !e en,a1 s? C mpr &aci-n !el Certi*ica! Di,ital !el ser#i! r Je& antes !e c n*iar en su c nteni! . Las !irecci nes !e las p$,inas Je& se,uras empie'an p r %ttps?33. El usuari !e&er/a cerrar e@presamente las c ne@i nes se,uras %acen!- clic en la c rresp n!iente pci-n %a&ilita!a p r la empresa en la p$,ina Je&. Nunca !e&er/a acce!er a un * rmulari !e autenticaci-n a tra#0s !e un enlace !es!e una tra p$,ina Je& !es!e el te@t !e un c rre electr-nic . Se !e&e !esc n*iar !e un mensa2e !e c rre reci&i! en n m&re !e la enti!a! *inanciera c n una s licitu! !e !at s pers nales. N se !e&e esta&lecer c ne@i nes a este tip !es!e lu,ares p(&lic s. C mpr &ar +ue la !irecci-n URL !e acces n inclu"e element s s spec% s s c m p !r/a ser la !irecci-n !e tra pa,ina Je&. N se !e&en instala nue# s pr ,ramas " c ntr les en el na#e,a! r sin antes c mpr &ar su autentici!a!. El usuari !e&e resp nsa&ili'arse !e ,uar!ar !e * rma se,ura sus !at s " cla#es !e acces . C n#iene tener %a&ilita!a la *unci-n !el na#e,a! r +ue permite a!#ertir !el cam&i entre el c nteni! se,ur 6SSL9 " en n se,ur . Las aplicaci nes Je& !e&er/a estar pr ,rama!as pare utili'ar pa,inas !e autenticaci-n in!epen!ientes Utili'ar las nue#as alternati#as pr puestas p r al,un s &anc s para e#itar tener +ue teclear las c ntrase1as.
235
<E
DELITOS INFORMATICOS
LA LUCHA CONTRA LOS DELITOS INFOR 4TICOS P !em s c nsi!erar +ue un !elito Informtico es cual+uier c mp rtamient anti2ur/!ic ) n 0tic n aut ri'a! ) relaci na! c n el pr ces aut m$tic !e !at s "3 transici nes !e !at s) 6!e*inici-n pr puesta p r un Grup !e E@pert !e la OCDE en 155E9. La luc%a c ntra l s !elit s in* rm$tic s) muc% s !e l s cuales apenas %an p !i! ser c rrectamente tipi*ica! s en la le,islaci-n) #i,ente en materia penal en l s !istint s pa/ses) se encuentran pla,a!a !e !i*iculta!es) !e&i! a cuesti nes c m las si,uientes? La *alta !e a!aptaci-n !e l s r,anism s le,islati# s a l s r$pi! s cam&i s " las nue#as citaci nes pr # ca!as p r la aparici-n !e las nue#as tecn l ,/as. La ina!ecua!a preparaci-n " la *alta !e me!i s su*icientes en l s Cuerp s " Fuer'as !e Se,uri!a! para luc%ar " pre#enir l s !elit s in* rm$tic s. La !i*iculta! para la &tenci-n !e prue&as *e%acientes " para la i!enti*icaci-n !e l s resp nsa&les. La !isp ni&ili!a! !e ,ran canti!a! !e %erramientas " aplicaci nes in* rm$ticas +ue *acilitan la c misi-n !e este tip !e !elit s. Muc%as !e las nue#as tecn l ,/as !elicti#as se reali'an !es!e miles !e Bil-metr s !e !istancia " tienen lu,ar en 7tierra !e na!ie8) en el nue# me!i sur,i! !el a#ance !e Internet) +ue n c n ce *r nteras ni &arreras ,e ,r$*icas. Determina! s c mp rtamient s c nsi!era! s c m !elicti# s en al,un s pa/ses pue!e +ue n ten,an esta misma c nsi!eraci-n en tr s. La necesi!a! !e * mentar la c peraci-n entre las aut ri!a!es 2u!iciales " p lic/acas !e l s !istint s pa/ses. Muc%as !e las nue#as acti#i!a!es relaci na!as c n Internet " l s ser#ici s in* rm$tic s +ue p !r/an ser c nsi!era!as c m !elicti#as en al,un s pa/ses) plantean un c n*lict c n t s !erec% s *un!amentales !e l s ciu!a!an s? !erec% a la li&erta! !e e@presi-n) !erec% a la li&erta! !e in* rmaci-n " el !erec% a la intimi!a! " al secret !e la c municaci nes. Tam&i0n !e&em s tener en cuenta al,unas re*le@i nes !e e@pert s en se,uri!a! en in* rm$tica c m Gruce S0ller) +uien a*irma +ue 7al *inal) la ,ente se !ar$ cuenta !e +ue n tiene nin,(n senti! escri&ir le"es
236
especi*icas para la tecn l ,/a. El *rau!e es el *rau!e) se realice me!iante cual+uier me!i . Las &uenas le"es s n escritas para ser in!epen!ientes !e la tecn l ,/a) en un mun! ! n!e la tecn l ,/a a#an'a muc% m$s !eprisa +ue la sesi nes !e C n,res ) es es l (nic +ue pue!e *unci nar % " en !/a8. CON-ENIO SO"RE CI"ERDELINCUENCIA DE LA UNI1N EURO!EA El c n#eni s &re ci&er!elicncuencia *ue apr &a!a p r en C nse2 !e Eur pa en 2uni !e <==1 " se !e*inen : tip s !e !elit s in* rm$tic s? !elitos relacionados con el contenido p rn ,ra*/a in*antil) amena'as) calumnias !i*usi-n !e c nteni! s racistas " @en-* & s. !elitos relacionados con las infracciones a los derechos de autor pr pie!a! intelectual e in!ustrial) repr !ucci-n !e pr ,ramas in* rm$tic s pr te,i! s) !istri&uci-n !e c pias ile,ales !e canci nes " #i!e s. !elitos relacionados con la informtica *alsi*icaci-n in* rm$tica +ue pr !u'ca la alteraci-n) & rra! supresi-n !e !at s in* rm$tic s +ue casi nen !at s n aut0ntic s. !elitos contra la confidencialidad, integridad y disponibilidad de datos y sistemas informticos acces il/cit a sistemas in* rm$tic s) interceptaci-n il/cita !e !at s in* rm$tic s inter*erencia en l s !at s +ue pr # +uen !a1 s) a&us !e !isp siti# s +ue *aciliten la c misi-n !e !elit s) etc. LEGISLACI1N CONTRA LOS DELITOS INFOR 4TICOS /ratamiento de los !elitos Informticos en el &digo #enal espaol El nue# C-!i, Penal espa1 l *ue apr &a! me!iante la Le" Or,$nica 1=3155K) !e <E !e n #iem&re !e 155K. En el "a se c ntemplan t !a una serie !e !elit s in* rm$tic s) muc% s !e l s cuales n %a&/an si! perse,ui! s %asta la entra!a en #i, r !e este nue# C-!i, Penal. L s principales !elit s relaci na! s c n la in* rm$tica) las re!es !e r!ena! res " l s ser#ici s !e c municaci nes s n l s +ue se presentan a c ntinuaci-n? Delit s c ntra la intimi!a! " el secret !e las c municaci nes Esta*as electr-nicas In*racci-n !e l s !erec% s !e pr pie!a! intelectual Delit !e !a1 s Utili'aci-n !e r!ena! res " !e e+uip s terminales !e telec municaci nes sin c nsentimient !e su titular Descu&rimient " re#elaci-n !e secret s c nteni! s en ! cument s s p rtes in* rm$tic s False!a! !e ! cument s electr-nic s Fa&ricaci-n tenencia !e (tiles para la c misi-n !e !elit s.
23&
Distri&uci-n entre men res !e e!a! !e material p rn ,r$*ic Distri&uci-n !e p rn ,ra*/a in*antil Pu&licaci-n !e calumnias in2urias
(stados +nidos En EU p !em s c nsi!erar +ue le primer pr ces 2u!icial p r la alteraci-n !e l s !at s !e un &anc tu# lu,ar en 15MM en Mineap lis. Durante la !0ca!a !e l s a1 s setenta se %icier n mas *recuentes l s ata+ues c ntra las incipientes re!es in* rm$ticas. P r l +ue el , &iern !e este pa/s *ue t man! c nciencia !e las necesi!a!es !e pr mul,ar nue#as le"es para c m&atir c n m$s e*iciencia este tip !e !elit s En 15;: se apr & la le" c n ci!a c m /he &omputer *raud and Abuse Act -&*AA. En 15;M se apr &- la (lectronic &ommunications #rivacy Act -(&#A. En <==1 la #atriot Act a partir !e la atenta! s !el 11 !e septiem&re
Alemania En este pa/s p !em s c nsi!erar el re*erente !e la le" !e ma" !e 1;;M c ntra !elit s in* rm$tic s " ec n-mic s) +ue tipi*ica c m !elit s las si,uientes pr$cticas? &hina El Tri&unal Suprem c%in p !r$ casti,ar c n penas !es!e 1=a1 s !e c$rcel %asta la pena !e muerte las acti#i!a!es !e espi na2e !es!e Internet) se,(n se anuncia&a el <E !e ener !el <==1 s &re t ! en a+uell s cas s +ue pu!ieran a*ectar a l s secret s !e alta se,uri!a!) l s secret s estatales la !i#ul,aci-n !e in* rmaci-n +ue pue!a !a1ar seriamente la se,uri!a! estatal " sus intereses. CREACI1N DE UNIDADES !OLICIALES ES!ECIALES Espi na2e !e !at s Esta*as " *rau!es p r me!i in* rm$tic s Utili'aci-n a&usi#a !e c%e+ues tar2etas !e cr0!it Falsi*icaci-n !e !at s c n #al r pr &at ri s Destrucci-n !e !at s Sa& ta2e in* rm$tic False!a! i!e l-,ica in* rm$tica
23'
Muc% s pa/ses %an !eci!i! p ner en marc%a uni!a!es especiales !e l s cuerp s " Fuer'as !e Se,uri!a! para p !er c m&atir !e * rma m$s e*ica' l s !elit s In* rm$tic s. En Espa1a p !em s !estacar el Grup !e Delit s Telem$tic s !e la Guar!ia Ci#il " la Gri,a!a !e In#esti,aci-n Tecn l-,ica !e la P lic/a Naci nal. Estas uni!a!es especiali'a!as %an lle#a! a ca& !istintas peraci nes para tratar !e i!enti*icar " !etener a t ! tip !e 7ci&er!elincuentes8? piratas in* rm$tic s +ue c nsi,uen penetrar a tras re!es) !istri&ui! res !e c nteni! s !i,itales +ue n respetan l s !erec% s !e aut r) crea! res !e #irus " tr c-!i, s mali,n s !istri&ui! res !e p rn ,ra*/a in*antil etc.
<:
LA PROTECCIZN DE DATOS PERSONALES
CO O GARANTI/AR LA !ROTECCI1N DE DATOS !ERSONALES . LA !RI-ACIDAD
23(
La pr tecci-n !e l s !at s pers nales " !e la pri#aci!a! es una cuesti-n +ue ,enera &astante p l0mica en la actuali!a!) !e&i! a +ue e@isten p sturas mani*iestamente enc ntra!as) a pesar !e +ue este !erec% *un!amental !e t ! ciu!a!an "a *ura rec n ci! en la Declaraci-n Uni#ersal !e l s Derec% Duman s !e 15:;. As/ p r una parte) un ,rup !e pa/ses li!era! s p r la Uni-n Eur pea s n parti!ari s !e una estricta re,ulaci-n estatal) c n *uertes sanci nes para a+uellas r,ani'aci nes +ue incumplan las n rmas esta&leci!as. Tam&i0n en muc% s pasases !e Latin am0rica se %a rec n ci! el !erec% *un!amental a la pr tecci-n !e l s !at s pers nales !e l s ciu!a!an s. P r tra parte tr s pa/ses c m Esta! s Uni! s sin muc% mas permisi# s c n la actuaci nes !e las empresas " a& ,an p r una aut rre,ulaci-n " la ela& raci-n !e c-!i, s 0tic s !e c n!ucta) sin la inter#enci-n p r parte !e l s Esta! s) %a&r/a +ue tener en cuenta) a!em$s la *uertes " ciert s ,rup s !e p !er para impe!ir la inter#enci-n estatal s &re esta cuesti-n. La pu&licaci-n !e la Le" Or,$nica 1K31555) !e 1E !e !iciem&re) s &re Pr tecci-n !e Dat s !e Car$cter Pers nal 6en a!elante LOPD9 !e*ine un marc le,al !e la pr tecci-n !e l s !at s !e car$cter pers nal en el esta! Espa1 l. La LOPD se aplica a r,ani'aci nes p(&licas " pri#a!as e inclus a pr *esi nistas +ue !isp n,an !e *uentes !e !at s !e car$cter pers nal re,istra! s en s p rte */sic ) +ue l s %a,a suscepti&les !e tratamient ) us e@pl taci-n p steri r. El marc n rmati# !e la LOPD esta&lece una serie !e principi s relati# s al tratamient " pr tecci-n !e l s !at s !e car$cter pers nal? Principi Fun!amental !e 7Da&eas Data8 Cali!a! !e l s !at s Se,uri!a! !e l s Dat s De&er !e secret In* rmaci-n en la rec pilaci-n !e l s !at s C nsentimient !el a*ecta! para el tratamient C municaci-n cesi-n !e !at s a tercer s Trans*erencia !e !at s pers nales a tercer s pa/ses Dat s especialmente pr te,i! s Dat s relati# s a la salu! !e las pers nas
La LODP rec n ce !etermina! s !erec% s !e l s ciu!a!an s en relaci-n c n la in* rmaci-n) a acces " el ni#el !e c ntr l s &re el tratamient !e sus !e car$cter pers nal?
223
Derec% Derec% Derec% Derec% Derec% Derec%
!e in* rmaci-n en la rec pilaci-n !e l s !at s !e c nsulta al re,istr ,eneral !e pr tecci-n !e !at s a acces a sus !at s !e car$cter pers nal !e recti*icaci-n " cancelaci-n !e p sici-n a una in!emni'aci-n
<K
PROTECCION DE LA PROPIEDAD INTELECTUAL F
LUCDA CONTRA LA PIRATERIA

LOS DERECHOS DE AUTOR
222
L s !erec% s !e aut r la creaci-n !e una &ra en un !etermina! s p rte */sic " l-,ic ) pr te,ien! esta a ni#el internaci nal) sin necesi!a! !e re,istr ) ,racias a l s !i#ers s c n#eni s internaci nales. Para &tener la pr tecci-n c ntempla!a p r la le") en Espa1a se pue!e inscri&ir la &ra en el re,istr !e la Pr pie!a! Intelectual. Otr s me!i s alternati# s p !r/an ser el !ep-sit n tarial la le"en!a !e rei#in!icaci-n !e l s !erec% s c n el s/m& l 7\8 6aplica la presunci-n !e titulari!a!9. La !uraci-n !e la pr tecci-n !e la &ra a&arca t !a la #i!a !el aut r " 4= a1 s !espu0s !e su *allecimient para el cas !e las pers nas */sicas. Para las pers nas 2ur/!icas la pr tecci-n se e@tien!e !urante 4= a1 s !es!e el 1 !e ener !el a1 si,uiente a la !i#ul,aci-n creaci-n !e la &ra. Entre l s element s pr te,i! s p r la le,islaci-n #i,ente p !em s citar? c nteni! s) im$,enes) m(sica #i!e s) !ise1 s ,r$*ic s) c-!i, s manuales " ! cumentaci-n !e pr ,ramas. En l +ue se re*iere al marc le,al aplica&le en Espa1a) p !em s menci nar las si,uientes re*erencias le,ales? Le" !e Pr pie!a! Intelectual) te@t re*un!i! apr &a! p r el Real Decret Le,islati# 13155M) !e 1< !e a&ril !e 155M. Directi#a 5M3M3CE !e 11 !e mar' !e 155M) s &re la pr tecci-n 2ur/!ica !e las &ases !e !at s. Le" K3155;) !e M !e mar' ) p r la +ue se inc rp ra al Decret espa1 l la Directi#a 5M3M3CE. Acuer! s internaci nales apr &a! s en el marc !e la Or,ani'aci-n Mun!ial !e la Pr pie!a! Intelectual 6OMPI9. El trata! !e pr tecci-n !e l s !erec% s !e aut s en Internet entr en #i, r en mar' !el <==<
!ROTECCI1N DE LOS !ROGRA AS INFOR 4TICOS La titulari!a! !e l s !erec% s !e un pr ,rama in* rm$tic c rresp n!e al aut r pers na 2ur/!ica +ue l %a"a crea! . Sin em&ar, ) el cas !e pr ,ramas crea! s p r tra&a2a! res asalaria! s en el e2ercici !e sus *unci nes +ue la %a"an si! enc men!a!as) la titulari!a! !e l s !erec% s !e e@pl taci-n c rresp n!iente en e@clusi#a al empresari ) sal# pact en c ntrari . En el cas !e l s pr ,ramas in* rm$tic s l s !erec% s !e e@pl taci-n inclu"en l s si,uientes aspect s? La repr !ucci-n t tal parcial !el pr ,rama
22A
La trans* rmaci-n !el pr ,rama. Se permite estas trans* rmaci nes p r parte !e un usuari cuan! sean para ase,urar su utili'aci-n c n* rma a su *inali!a!. La !istri&uci-n pu&lica !el pr ,rama.
P r tra parte) el c mpra! r p !r$ !is*rutar !el !erec% !e us !el pr ,rama. La cesi-n !el !erec% !e us tiene car$cter n e@clusi# e intrans*eri&le) sal# pact en c ntrari . Est +uiere !ecir +ue la pers na empresa +ue a!+uiere una licencia !e us !el pr ,rama p !r$ !is*rutar !el !erec% !e us !e este pr !uct ) er n p !r$ entre,ar c pias !el pr ,rama a tercer s sin el c nsentimient !el titular !e l s !erec% s. N &stante) si se permite reali'ar c pias !e se,uri!a! !el pr ,rama p r parte !el usuari le,itim . !ROTECCI1N DE LOS CONTENIDOS DIGITALES La pr tecci-n !e l s c nteni! s !i,itales plantea nue# s e imp rtantes pr &lemas a c nsi!erar? tratamient !e l s !erec% s !e repr !ucci-nA tratamient !e l s !erec% s !e pu&licaci-n) en particular a tra#0s !e InternetA implantaci-n !e sistemas anti-c piaA reali'aci-n !e c pias pri#a!as p r parte !e l s usuari sA pr0stam !e c nteni! s !i,itales a tercer s etc. Las s luci nes t0cnicas +ue se !esarr llen para pr te,er l s c nteni! s !i,itales !e&er$n incluir c mp nentes para *acilitar? La i!enti*icaci-n !e la &ras pr te,i!as p r !erec% s !e aut r " sus c n!ici nes !e us La ,esti-n !e &ases !e !at s c n in* rmaci-n !e las &ras pr te,i!as El re,istr !e transacci nes c n estas &ras) a e*ect s !e prue&a le,al L s pr ce!imient s !e pa, electr-nic a!ecua! s.
/ecnolog"as !$7 -!igital $ights 7anagement. Esta tecn l ,/a se %a pr puest c m una s luci-n inte,ral para la Gesti-n !e l s Derec% s Di,itales. Para ell ) se ap "a en !istintas t0cnicas c m ci*ra! !e l s *ic%er s c n c nteni! s !i,itales) la autenticaci-n !el usuari +ue intenta acce!er al *ic%er la inc rp raci-n !e licencias !e us " !e 7marcas !e a,ua8 68atermar5s9 !entr !e ca!a *ic%er . Soluciones comerciales Al,unas !e las s luci nes mas c n ci!as +uie se %an pr puest para *acilitar la ,esti n !e l s !erec% !e aut r !e l s c nteni! s !i,itales. Ri,%ts Mana,ement Ser#ice !e Micr s *t Aut%entica Recipr cal Pini n S *t>are Jin! >s Me!ia Mana,er !e Micr s *t 223
Fairpla" !e Apple Deli@ !e Real Net> rBs OTRAS CUESTIONES A CONSIDERAR !RO!IEDAD INTELECTUAL NeB( Cli''ing As/ se le llama a la practica c nsistente en al repr !ucci-n t tal parcial !e n ticias " art/cul s pu&licita! s p r peri-!ic s !i,itales " p rtales en Internet. LinFing Este es un enlace %iper#/ncul as cia! a un !etermina! te@t ) ima,en ic n !e una pa,ina Je&) +ue permite acce!e me!iante un clic a tra parte !e la misma pa,ina Je&) a tra pa,ina !entr !el Je&site. Al,un s 2uristas %an plantea! la p si&ili!a! !e c nsi!erar +ue al incluir enlaces a tr s Je&sites se p !r/a in*rin,ir el !erec% !e repr !ucci-n !el aut r pr pietari !el Je&site !e !estin ) si &ien esta i!ea es mu" !iscuti&le) "a +ue ir/a en c ntra !e la pr pia esencia !el ser#ici J rl! Ji!e Je&. Framing Es una estructura utili'a!a en la c nstrucci-n !e pa,inas Je& me!iante el len,ua2e DTML) +ue permite incluir una #arias pa,inas !entr !e tra Me!iante la t0cnica !e marc s se pue!e m strar c nteni! s !e pa,inas Je& !e tercer s) per !entr !e una especie !e marc u rla !ise1a!a p r el primer Je&site) !e tal m ! +ue al usuari se le p !r$n m strar mensa2es pu&licitari s !el primer Je&site) sin +ue apare'can l s !e la pa,ina !e !estin . Digital S)o'li;ting Es un *en-men pr picia! p r la aparici-n !e l s nue# s tel0* n s m-#iles +ue inc rp ran una c$mara !i,ita !e alta res luci-n) c nsiste en la captura !e im$,enes " art/cul s !irectamente !es!e la c$mara !i,ital !el tel0* n m-#il !el usuari . L s usuari s !e est s nue# s terminales l s emplean en li&rer/a " tien!as !e re#istas para capturar cual+uier tip !e ima,en "3 articul +ue les interese. Una as ciaci-n 6nip na9 !e e!it res !e re#istas s stienen +ue esta practica REALCIONADAS CON LA
224
c nstitu"e un autentic re,ula!a " *rena!a.
r &
!e in* rmaci-n ") p r l
tant ) !e&er/a ser
!lagio &e tra*aLo( , 'ro,ecto( 'or 'are &e e(tu&iante( Se,(n un estu!i reali'a! en <E *aculta!es !e EU " !a! a c n cer en septiem&re <==E) : !e ca!a 1= uni#ersi!a!es rec n c/an %a&er pla,ia! tra&a2 s en Internet en el (ltim a1 . De %ec% ) en l s (ltim s a1 s %an pr li*era! Je&site c m 7Rinc-n !el Ha, 8) 7C%eatD use8 7Sc% l SucBs8 en ! n!e l s alumn s pue!en enc ntrar t ! tip !e tra&a2 s " apuntes entre,a! s p r tr s estu!iantes para su intercam&i . Tam&i0n %an apareci! al,unas Je&site anti-pla,i ) c m Turnitin.c m) +ue inclu"e un r & t capa' !e c mparar el tra&a2 !e un alumn c n l s !isp ni&les en t ! s est s lu,ares !e intercam&i !e tra&a2 s para c mpr &ar la aut r/a real.
225

Guia 2ep

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Guia 2ep

Încărcat de

Drepturi de autor:

Formate disponibile

SEGURIDAD INFORMATICA EIAO - UANL

PRINCIPIOS DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA EIAO - UANL

SEGURIDAD INFORMATICA EIAO - UANL

SEGURIDAD INFORMATICA EIAO - UANL

Revisin y actualizacin de las medidas de seguridad implantadas (auditoria)

La seguridad como proceso

Facilitar la rpida deteccin de los incidentes de seguridad

!onseguir la rpida recuperacin de los da"os e#perimentados

Minimizar el impacto en el sistema de in ormacin

SEGURIDAD INFORMATICA EIAO - UANL

SEGURIDAD INFORMATICA EIAO - UANL

c n*lict c n l s "a menci na! s) c m acces a l s recurs s

la au!it ria !el

SEGURIDAD INFORMATICA EIAO - UANL

MODELO PARA LA GESTION DE LA SEGUIRIDAD DE LA INFORMACION Personas )ensi$ilizacin y Tecnologa

SEGURIDAD INFORMATICA EIAO - UANL

SEGURIDAD INFORMATICA EIAO - UANL

SEGURIDAD INFORMATICA EIAO - UANL

!6? 5ol-ticas 5lanes 5rocedimientos

SEGURIDAD INFORMATICA EIAO - UANL

SEGURIDAD INFORMATICA EIAO - UANL

SEGURIDAD INFORMATICA EIAO - UANL

ELEMENTOS DE LAS POLITICAS DE SEGURIDAD

SEGURIDAD FRENTE AL !ERSONAL

SEGURIDAD INFORMATICA EIAO - UANL

SEGURIDAD INFORMATICA EIAO - UANL

SEGURIDAD INFORMATICA EIAO - UANL

SEGURIDAD INFORMATICA EIAO - UANL

SEGURIDAD INFORMATICA EIAO - UANL

SEGURIDAD INFORMATICA EIAO - UANL

SEGURIDAD INFORMATICA EIAO - UANL

LA IMPORTANCIA DEL FACTOR DUMANO EN LA

SEGURIDAD INFORMATICA EIAO - UANL

SEGURIDAD INFORMATICA EIAO - UANL

SEGURIDAD INFORMATICA EIAO - UANL

SEGURIDAD INFORMATICA EIAO - UANL

o An$lisis sem$ntica) Arti*icial

SEGURIDAD INFORMATICA EIAO - UANL

SEGURIDAD INFORMATICA EIAO - UANL

SEGURIDAD INFORMATICA EIAO - UANL

SEGURIDAD INFORMATICA EIAO - UANL

SEGURIDAD INFORMATICA EIAO - UANL

AMENANAS A LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA EIAO - UANL

SEGURIDAD INFORMATICA EIAO - UANL

SEGURIDAD INFORMATICA EIAO - UANL

SEGURIDAD INFORMATICA EIAO - UANL

HIRUS INFORMATICOS F OTROS CODIGOS DAPIPOS

SEGURIDAD INFORMATICA EIAO - UANL

SEGURIDAD INFORMATICA EIAO - UANL

SEGURIDAD INFORMATICA EIAO - UANL

SEGURIDAD INFORMATICA EIAO - UANL

UNDO DE LOS -IRUS !e m(ltiples t0cnicas !e

Las (ltimas ten!encias recurren al emple pr pa,aci-n en un (nic pr ,rama !a1in ?

SEGURIDAD INFORMATICA EIAO - UANL

SEGURIDAD INFORMATICA EIAO - UANL

r,ani'aci-n) para p !er pre#enir !e este m ! c nta,i .

las #/as tra!ici nales !e

CIGERTERRORISMO F ESPIONARE EN LAS REDES

SEGURIDAD INFORMATICA EIAO - UANL

SEGURIDAD INFORMATICA EIAO - UANL

AUTENTICACION) AUTORINACION F REGISTRO DE