Ciclo Formativo

Administracin de Sistemas
Informticos en Red

Mdulo
Seguridad y Alta Disp.

Principios
de
Seguridad

Grado Superior

Principios de Seguridad
Ciclo Formativo de Grado Superior Administracin de Sistemas Informticos en Red.
Mdulo: Seguridad y Alta Disponibilidad [SAD].

Autor:
Jos Manuel Martnez del Hoyo Caizares

I.E.S. Maestre de Calatrava. Ciudad Real.

http://www.iesmaestredecalatrava.es/
Departamento de Informtica. 2014-15

MDULO Seguridad y Alta Disponibilidad

Principios de Seguridad

UNIDAD 1.
PRINCIPIOS DE SEGURIDAD
Contenido:

1. INTRODUCCIN A LA SEGURIDAD INFORMTICA ...................... 3

2. CONCEPTOS BSICOS ...................................................................... 4
2.1. SEGURIDAD Y FIABILIDAD ......................................................................................................... 4
2.2. CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD ................................................................... 5
2.3. LA ALTA DISPONIBILIDAD .......................................................................................................... 6

3. ELEMENTOS VULNERABLES ............................................................ 7

4. AMENAZAS .......................................................................................... 8
4.1. PROVOCADAS POR PERSONAS ................................................................................................... 8
4.2. FSICAS Y LGICAS .................................................................................................................. 8
4.3. TCNICAS DE ATAQUE .............................................................................................................. 9

5. PROTECCIN. AUDITORAS DE SEGURIDAD .............................. 10

5.1. AUDITORAS DE SEGURIDAD DE S.I. ........................................................................................ 10
5.2. TIPOS DE AUDITORA ............................................................................................................. 11

CFGS Administracin de Sistemas Informticos en Red - I.E.S. Maestre de Calatrava

Pag. 1

Pag. 2

MDULO Seguridad y Alta Disponibilidad

Principios de Seguridad

1. Introduccin a la seguridad informtica

La seguridad informtica es un concepto que todos entendemos pero que nos cuesta definir
al ser en realidad una nocin bastante abstracta:
-

unas personas la entienden como que no roben o modifiquen informacin de la base

de datos de la empresa
otros que no se infecte un equipo con algn tipo de virus,
que una red Wifi sea de uso restringido y no la utilicen personas no autorizadas,
o algo ms complejo, que el remitente de un correo electrnico sea quien dice ser.
o algo mucho ms simple, que no entren en su porttil si se lo dejan olvidado en
clase.

Todas estas situaciones describen algunos riesgos a los que estamos sometidos todos los
ciudadanos de hoy da. Y eso es porque el acceso a los medios digitales se ha
popularizado, es decir, la informtica se ha instalado en todos los mbitos de la sociedad
y cada vez nos es ms necesaria para el desarrollo de nuestras actividades.
La mayora de usuarios de ordenadores, tabletas y smartphones, no tienen conciencia de
todos los riesgos y amenazas que existen y stas crecen sin parar.
Para hablar de seguridad informtica tenemos que enumerar y concretar los mbitos que
conciernen a un tcnico informtico para hacer que un sistema de informacin sea SEGURO.
Objetivos
En general, debemos conseguir los siguientes objetivos:
-

Detectar posibles problemas y amenazas, minimizando el riesgo.

Garantizar la proteccin de los datos, incluso en caso de incidente.
Garantizar un funcionamiento correcto en la utilizacin de recursos y aplicaciones.
Garantizar la disponibilidad del sistema.

Estar al da
El conjunto de amenazas, vulnerabilidades y medidas de seguridad van aumentando y
modificndose con el tiempo, por tanto es necesario estar al da en materia de seguridad
informtica. Esto se consigue gracias a la comunidad de usuarios y profesionales en esta
materia, que mantienen Blogs y webs especializadas.
Dos brillantes ejemplos son los siguientes:
-

Blog de INTECO (5 puesto en los Premios Bitcoras 2012, categora Seguridad Inf.)
http://www.inteco.es/

Blog de Chema Alonso (1 en los Premios Bitcoras 2012)

http://www.elladodelmal.com/

Video: Por qu los hackers tapan la webcam? | Chema Alonso (3 min)

http://www.youtube.com/watch?v=mLQr0jUSZd8

CFGS Administracin de Sistemas Informticos en Red - I.E.S. Maestre de Calatrava

Pag. 3

2. Conceptos bsicos
2.1. Seguridad y fiabilidad
El concepto de seguridad expresa certeza, es decir, riesgo cero.
Eugene H. Spafford cita:
El nico sistema que es totalmente seguro es aquel que se encuentra apagado y desconectado,
guardado en una caja fuerte de titanio que est enterrada en cemento rodeada de gas nervioso y de
un grupo de guardias fuertemente armados. An as, no apostara mi vida en ello.

En informtica, la seguridad absoluta no existe, el elemento de riesgo est siempre

presente, independientemente de las medidas que tomemos. Debemos hablar de niveles
de seguridad; por tanto, la seguridad informtica ser el conjunto de tcnicas
encaminadas a obtener altos niveles de seguridad en los S.I. (riesgos mnimos).
Podemos suavizar el trmino de seguridad y hablaremos de fiabilidad como la probabilidad
de que un sistema se comporte tal y como se espera de l. Deberemos conseguir sistemas
fiables (ms que sistemas seguros).
Un sistema seguro o fiable es aquel que puede garantizar:

C
I

Confidencialidad

Integridad

Disponibilidad
a estos tres aspectos,
se suelen incluir
tambin dos ms:

D
A

Autenticacin

No repudio

Autenticacin: Capacidad para poder comprobar o garantizar que alguien es quien dice
ser (por ejemplo, verificar que un documento pertenece por quien el documento dice).
No repudio: Relacionado con la autenticacin, permite probar la participacin de las partes
en una comunicacin. Existen dos posibilidades:
-

No repudio en origen significa que el emisor no puede negar el envo. La prueba la

crea el propio emisor y la recibe el destinatario.

No repudio en destino significa que el receptor no puede negar que recibi el

mensaje porque el emisor tiene pruebas de la recepcin. En este caso la prueba
irrefutable la crea el receptor y la recibe el emisor.

Al grupo de estas caractersticas y objetivos de la seguridad se les conoce como CIDAN.

Pag. 4

MDULO Seguridad y Alta Disponibilidad

Principios de Seguridad

2.2. Confidencialidad, Integridad y Disponibilidad

Confidencialidad
Cualidad de un mensaje, comunicacin o datos, de manera que solo sea comprensible por
la persona o sistema que est autorizado. Comprende por tanto la privacidad o
proteccin de dicho mensaje y datos que contiene.
Integridad
Cualidad de mensaje, comunicacin o datos, que hace que no sea posible su manipulacin,
es decir, que no pueda ser alterado.
Disponibilidad
Capacidad de un servicio, de unos datos o de un sistema, para que sea accesible y utilizable
por los usuarios (o procesos) autorizados cuando estos lo requieran. Supone que la
informacin pueda ser recuperada en el momento que se necesite, evitando su prdida o
bloqueo.
Amenazas y Medidas de proteccin
Objetivo

CONFIDENCIALIDAD

Amenaza
-

Introducir un
troyano que captura
datos.

Suplantacin para
obtener informacin
confidencial.

Uso de un sniffer
para interceptar
una comunicacin.

Acceso fsico a un
equipo.

Elevacin de
privilegios para
modificar datos y
servicios.
ROOTKITS (por
vulnerabilidades del
sistema)

INTEGRIDAD

Proteccin

- Antimalware
- Firewall
- Deteccin de intrusos (IDS)
- Encriptacin
- Uso de contraseas fuertes

- Verificacin peridica con

herramientas como
SFC, rootkit hunter, etc.

- Estudio de vulnerabilidades del

software usado en los servicios.

DISPONIBILIDAD

Sobrecarga de
peticiones.
EXPLOITS.

- Actualizaciones peridicas para

solucionar vulnerabilidades
encontradas. Consultar:
http://www.securityfocus.com/

- Verificar la disponibilidad de
servicios de red con
nmap/zenmap. Otras nessus,
MBSA (Microsoft).

CFGS Administracin de Sistemas Informticos en Red - I.E.S. Maestre de Calatrava

Pag. 5

Hay que tener en cuenta que, tanto las amenazas como los mecanismos para
contrarrestarlas, suelen afectar a estas tres caractersticas de forma conjunta.
Generalmente tienen que existir los tres aspectos descritos para que haya seguridad.
Dependiendo del entorno en que un sistema trabaje, a sus responsables les interesar dar
prioridad a un cierto aspecto de la seguridad. Por ejemplo:
-

En un sistema militar se antepondr la confidencialidad de los datos almacenados o

transmitidos sobre su disponibilidad.

En un servidor de archivos, se priorizar la disponibilidad frente a la

confidencialidad.

En un entorno bancario, la faceta que ms tiene que preocupar a los responsables

del sistema es la integridad de los datos, frente a su disponibilidad o su
confidencialidad: es menos grave que un usuario consiga leer el saldo de otro que el
hecho de que ese usuario pueda modificarlo.

2.3. La alta disponibilidad

La alta disponibilidad (High Availability) se refiere a la capacidad de que aplicaciones y
datos se encuentren operativos para los usuarios autorizados en todo momento y sin
interrupciones, debido principalmente a su carcter crtico. El objetivo de la misma es
mantener nuestros sistemas funcionando las 24 horas del da, 7 das a la semana, 365 das
al ao (24x7).
Hay dos tipos de interrupciones:
-

Las interrupciones previstas o planeadas, que se realizan cuando paralizamos el

sistema para realizar cambios o mejoras en nuestro hardware o software.

Las interrupciones no planeadas, que suceden por acontecimientos no previstos

(como un apagn, un error del hardware o del software, problemas de seguridad, un
desastre natural, aparicin de malware, etc.)

Las mtricas comnmente utilizadas para medir la disponibilidad y fiabilidad de un sistema

son:
-

El tiempo medio entre fallos o MTTF (Mean Time To Failure) que mide el tiempo
medio transcurrido hasta que alguna parte del sistema falla.

El tiempo medio de recuperacin o MTTR (Mean Time To Recover) mide el tiempo

medio tomado en restablecerse la situacin normal una vez que se ha producido
el fallo.

El tiempo en el que un sistema est fuera de servicio se mide a menudo como el

cociente MTTR/MTTF. Lgicamente, nuestro principal objetivo es aumentar el MTTF
y reducir el MTTR de forma que minimicemos el tiempo de no disponibilidad del
servicio.

El mayor nivel de exigencia de alta disponibilidad acepta 5 minutos de inactividad al ao,

con lo que se obtiene una disponibilidad de 5 nueves: 99,999%.
Como ejemplos de sistemas y servicios de alta disponibilidad podemos mencionar sistemas
sanitarios, control areo, de comercio electrnico, bancarios, transporte martimo, militares,
etc., donde una interrupcin puede suponer graves consecuencias personales y econmicas.

Pag. 6

MDULO Seguridad y Alta Disponibilidad

Principios de Seguridad

3. Elementos vulnerables
La seguridad es un problema integral: los problemas de seguridad informtica no pueden
ser tratados aisladamente ya que la seguridad de todo el sistema es igual a la de su punto
ms dbil. Por ejemplo, al asegurar nuestra casa no sirve de nada ponerle una puerta
blindada si dejamos las ventanas sin proteccin.
Es evidente que por mucha tecnologa de seguridad que se implante en una organizacin, si
no existe una clara disposicin por parte de los directivos y una cultura a nivel de usuarios,
no se conseguirn los objetivos perseguidos.
Por tanto, la seguridad en una organizacin no se puede limitar solo y exclusivamente a la
tecnologa sino que precisa tambin de un nivel organizativo, que posibilite unas normas
y pautas comunes por parte de los usuarios de sistemas dentro de la organizacin.
TECNOLOGA

Hardware
Software: S.O. + Aplicaciones
Comunicaciones

ORGANIZACIN

Barreras fsicas (vigilancia, alarmas, etc.)

Normas organizativas (procedimientos y polticas)
Normas legales (obligaciones)

SEGURIDAD

Como administradores de seguridad, los elementos que debemos intentar proteger

son tres:
-

Hardware
Software
Datos

Habitualmente los Datos constituyen el principal elemento de los tres a proteger, ya que es
el ms amenazado y seguramente el ms difcil de recuperar.
El Hardware es posible reemplazarlo y el Software se puede restaurar desde su medio
original con el que se instal. Sin embargo, en caso de prdida de una base de datos o de
un proyecto de un usuario, no tenemos un medio original desde el que restaurar, hemos
de pasar obligatoriamente por un sistema de copias de seguridad.
Todos estos mbitos de seguridad dan lugar a distintas medidas que se pueden clasificar de
la siguiente manera:
-

Seguridad pasiva: Copias de seguridad (sistema y datos) UNIDAD 2

Seguridad fsica: Blindaje, vigilancia, alarmas, sensores, etc.
Seguridad lgica: Control de acceso a los sistemas, usuarios y privilegios UNIDAD 3
Seguridad antimalware UNIDAD 4
Alta disponibilidad: RAID, virtualizacin UNIDAD 5
Cifrado de informacin UNIDAD 6
Seguridad de redes corporativas UNIDAD 7
Seguridad perimetral (redes): proxy y cortafuegos UNIDAD 8
Normativa legal: de obligado cumplimiento para una organizacin. empresa. En
Espaa viene determinada por la LOPD y LSSICE UNIDAD 9

CFGS Administracin de Sistemas Informticos en Red - I.E.S. Maestre de Calatrava

Pag. 7

4. Amenazas
4.1. Provocadas por personas
La mayora de ataques a nuestro sistema provienen de personas que, intencionadamente o
no, pueden causarnos enormes prdidas. Generalmente se tratar de piratas informticos,
ciberdelincuentes, hackers o crackers, que intentan conseguir el mximo nivel de privilegio
posible aprovechando algunas vulnerabilidades del software.
Dentro de una organizacin: el propio personal puede producir un ataque intencionado
porque nadie mejor que ellos conocen los sistemas y sus debilidades, o un accidente
causados por un error o por desconocimiento de las normas bsicas de seguridad.
Por otro lado ex empleados o personas descontentas con la organizacin pueden
aprovechar debilidades que conocen o incluso realizar chantajes.
Se dividen en dos grandes grupos:
-

los atacantes pasivos que fisgonean el sistema pero no lo modifican o destruyen.

los activos que daan el objetivo atacado o lo modifican en su favor.

Se denomina Hacker a la persona experta en aspectos tcnicos relacionados con la

seguridad informtica que les apasiona el conocimiento: descubrir o aprender nuevas cosas
y entender el funcionamiento de stas. Sus acciones son de carcter constructivo,
informativo o solo intrusivo. Sus acciones no son impulsadas por la obtencin de un
beneficio.
Por el contrario, se denomina Cracker a aquella persona cuyas acciones son de tipo
destructivo u obtienen un beneficio con la intrusin.

4.2. Fsicas y lgicas

En general, se distingue entre dos grandes categoras de amenazas:
Amenazas fsicas:
-

Robos, sabotajes, destruccin de sistemas.

Cortes, subidas y bajadas bruscas del suministro elctrico.
Condiciones atmosfricas adversas: Humedad excesiva o temperaturas extremas.
Catstrofes naturales: terremotos, inundaciones, incendios, etc.
Interferencias electromagnticas que afecten al normal comportamiento de circuitos
y comunicaciones

Amenazas lgicas:
Una amenaza lgica es software o cdigo que de una forma u otra pueden afectar o daar
a nuestro sistema. Puede ser creado de forma intencionada: el software malicioso, tambin
conocido como malware; o puede ser creado simplemente por error (error o bug en el
software). Cuando el error en el software entraa un riesgo de seguridad, se denomina
agujero de seguridad.
Algunas de estas amenazas son:
-

Rogueware o falsos programas de seguridad: Tambin denominados Rogue,

FakeAVs, Badware, Scareware, son falsos antivirus o antiespas.

Pag. 8

MDULO Seguridad y Alta Disponibilidad

Principios de Seguridad

Puertas traseras o backdoors: Los programadores insertan atajos de acceso o

administracin, en ocasiones con poco nivel de seguridad.

Virus: Secuencia de cdigo que se inserta en un fichero ejecutable (denominado

husped), de forma que cuando el archivo se ejecuta, el virus tambin lo hace.

Gusano o Worm: Programa capaz de ejecutarse y propagarse por s mismo a travs

de redes, normalmente mediante correo electrnico basura o spam.

Troyanos: Aplicaciones con instrucciones escondidas de forma que ste parezca

realizar las tareas que un usuario espera de l, pero que realmente ejecute
funciones ocultas (generalmente en detrimento de la seguridad) sin el conocimiento
del usuario.

Programas conejo o bacterias: Programas que no hacen nada til, simplemente se

dedican a reproducirse hasta que el nmero de copias acaba con los recursos del
sistema (memoria, procesador, disco...), produciendo una denegacin de servicio.

4.3. Tcnicas de ataque

Del mismo modo que hemos analizados las amenazas de los sistemas informticos desde
un punto de vista de quin o qu la genera, los tipos de amenazas pueden clasificarse en
funcin de la tcnica que se emplean para realizar el ataque.
Las tcnicas ms usuales son las siguientes:
Tcnica
Ingeniera
social

Descripcin
Obtener informacin confidencial como credenciales (usuariocontrasea), a travs de la manipulacin y la confianza de usuarios
legtimos. El uso de dichas credenciales o informacin confidencial
servir para la obtencin de beneficios econmicos mediante robo de
cuentas bancarias, reventa de informacin o chantaje.

Scam

Es un correo electrnico que apela a la bondad o ingenuidad de la

persona que lo recibe con el fin de consumar alguna clase de estafa
econmica, con frecuencia basndose en la avaricia del receptor. Si no
hay prdida monetaria, se denominar hoax (bulo).

Spam

Correo o mensaje basura, no solicitados, no deseados o de remitente no

conocido, habitualmente de tipo publicitario, enviados en grandes
cantidades que perjudican de alguna manera al receptor.

Sniffing

Rastrear monitorizando el trfico de una red para hacerse con

informacin confidencial.

Spoofing

Suplantacin de identidad o falsificacin. Dependiendo de lo que se

suplanta, ser IP, MAC, tabla ARP, web o mail Spoofing.

Pharming

Redirigir un nombre de dominio (domain name) a otra mquina distinta

falsificada y fraudulenta.

Phishing

Estafa basada en la suplantacin de identidad y la ingeniera social para

adquirir acceso a cuentas bancarias o comercio electrnico ilcito.

CFGS Administracin de Sistemas Informticos en Red - I.E.S. Maestre de Calatrava

Pag. 9

Botnets
En terminologa de redes, un bot es un ordenador que tiene instalado un troyano que
permite controlarlo a distancia.
Una botnet es una red de bots que permite a un solo usuario maligno, controlar un
conjunto grande de mquinas, normalmente con el fin de extorsionar o enviar correo
no deseado.
Cuando una botnet ataca un servicio web se produce una denegacin de servicio o
DoS (Denial of Service). Esta variante donde un ataque se da de forma distribuida se
denomina DDoS (Distributed Denial of Service).

5. Proteccin. Auditoras de seguridad

Cmo podemos protegernos de las amenazas a un sistema informtico, ya sean amenazas
fsicas o lgicas?
Para proteger nuestro sistema hemos de realizar un anlisis de
-

amenazas potenciales que puede sufrir junto con las prdidas que podra generar,
y la probabilidad de ocurrencia de las mismas.

Este anlisis convencionalmente se realizar mediante auditoras de seguridad.

5.1. Auditoras de seguridad de S.I.

Una auditora es un examen minucioso de los elementos susceptibles de ser atacados
con el fin de experimentar las soluciones antes de sufrir un ataque.
Una auditora se realiza con base a un patrn o conjunto de directrices o buenas prcticas
sugeridas. Existen estndares orientados a servir como base para auditoras de informtica.
Uno de ellos es COBIT (Objetivos de Control de las Tecnologas de la Informacin), que
ofrece manuales y recursos para realizar auditoras.
Dentro de las normas ISO, existe la serie 27000 que recoge una serie de estndares para
la gestin de la seguridad y sus auditoras.
-

la ISO 27001 especifica los requisitos necesarios para establecer, implantar,

mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin
(SGSI).

la ISO 27002 se conforma como un cdigo internacional de buenas prcticas de

seguridad de la informacin.

Web: El portal de ISO 27001 en espaol

http://www.iso27000.es/
Artculo: Anlisis detallado de la nueva ISO 27001:2013
http://sgsi-iso27001.blogspot.com.es/2013/10/analisis-detallado-de-la-nueva-iso.html

Pag. 10

MDULO Seguridad y Alta Disponibilidad

Principios de Seguridad

Los servicios de auditora constan de las siguientes fases:

-

Enumeracin de sistemas operativos, servicios, aplicaciones, topologas y protocolos

de red.
Deteccin, comprobacin y evaluacin de vulnerabilidades.
Medidas especficas de correccin.
Recomendaciones sobre implantacin de medidas preventivas.

Realizar auditoras con cierta frecuencia asegura la integridad de los controles de

seguridad aplicados a los sistemas de informacin. Acciones como el constante cambio en
las configuraciones, la instalacin de parches, actualizacin del software y la adquisicin de
nuevo hardware, hacen necesario que los sistemas estn continuamente verificados
mediante auditora.

5.2. Tipos de Auditora

En general, las auditoras de seguridad se clasifican en distintos tipos como:
-

Auditora interna: se examinan los equipos de una organizacin.

Auditora perimetral: se examinan los router y puntos de acceso de la red.
Test de intrusin: se comprueba si desde el exterior es posible acceder al interior.

En general, se obtiene ms informacin empezando por la ltima y concluyendo

por la primera.
Aparte de estas auditoras, se realizan otras como las siguientes:
-

Auditora forense: una vez que nos han robado datos, o se ha detectado una
intrusin en un servidor o realizado cualquier otro dao, se intenta examinar los
programas y sistemas para ver por qu ocurri eso. Si los daos han provocado la
inoperabilidad del sistema, se denomina anlisis post mrtem.

Auditora de cdigo: se inspecciona el cdigo fuente de un programa para buscar

errores o agujeros.

Video: Conferencia Informtica forense y seguridad por Javier Pages (21-03-2013)

Escuela Superior de Informtica de Ciudad Real
http://www.youtube.com/watch?v=UhumXfZedM0

Juego de Seguridad
Fernando Aparicio, IE Business School
http://openmultimedia.ie.edu/OpenProducts/securityxperts/securityxperts/SecurityXp
erts.htm

CFGS Administracin de Sistemas Informticos en Red - I.E.S. Maestre de Calatrava

Pag. 11