MEGA

Manual
De

Seguridad

INFORMATICA
 MEGA
Colegio de Estudios Científicos y Tecnológicos del Estado de Oaxaca
Plantel 02 Cuicatlán

Módulo V: Administra redes LAN de acuerdo a los requerimientos de la organización.

Submódulo I: Administra una red LAN de acuerdo a los recursos disponibles y

requerimientos de la organización

Equipo:
Docente: Ing. Luis Gilberto Hernández Bautista
Jorge Maxbrayan Semestre: 2018 -1
Especialidad: Técnico en Soporte y Mantenimiento
de Equipo de Cómputo.
María del Rosario Grupo: 602

Enrique Ramírez

Nancy Daniela

Emanuel Osorio
CONTENIDO
1 Capítulo I: introducción: .............................................................................................................. 3
2 Capítulo II: Obje vos ................................................................................................................... 4
2.1 Obje vo general .................................................................................................................. 4
2.2 Obje vos específicos ........................................................................................................... 4
3 Capítulo III: Finalidad de la seguridad informá ca en nuestra empresa .................................... 5
4 Capítulo IV: Principios de Seguridad ........................................................................................... 5
5 Capítulo V: Consejos Básicos de Seguridad ................................................................................. 6
6 Capítulo VI: Amenazas................................................................................................................. 6
7 Capítulo VII: Tipos de amenazas ................................................................................................. 7
7.1 Amenazas por el origen ....................................................................................................... 7
7.2 Amenazas por el efecto ....................................................................................................... 8
7.3 Amenazas por el medio u lizado ........................................................................................ 8
8 Capítulo VIII: Técnicas para asegurar el sistema ......................................................................... 9
9 Capítulo IX: Respaldo de información ....................................................................................... 11
10 Capítulo X: Sistemas de protección ....................................................................................... 12
10.1 Protección contra virus ..................................................................................................... 12
10.2 Control del so ware instalado .......................................................................................... 12
10.3 Control de la red................................................................................................................ 12
11 Capítulo XI: Protección sica de acceso a las redes .............................................................. 12
11.1 Redes cableadas ................................................................................................................ 13
11.2 Redes inalámbricas ............................................................................................................ 13
11.3 Sani zación ....................................................................................................................... 13
12 Capítulo XII: Seguridad a Nivel Usuario ................................................................................. 13
12.1 So ware malicioso ............................................................................................................ 13
12.2 An virus ............................................................................................................................ 14
12.3 Herramientas An virus ..................................................................................................... 15
12.4 So ware Espía ................................................................................................................... 15
12.5 Precauciones recomendables ........................................................................................... 16
12.6 Phishing ............................................................................................................................. 17
12.7 Respuesta social ................................................................................................................ 18

1
 12.8 Respuestas técnicas .......................................................................................................... 18
12.9 Contraseñas Seguras ......................................................................................................... 19
13 Capítulo XIII: Cómo Protegerse del Ataque de los Hackers ................................................... 21
14 Capítulo XIV: Snort (análisis de red) ...................................................................................... 22
14.1 Proceso de configuración de snort .................................................................................... 23
14.1.1 Proceso de adicción de reglas y comprobación del estado de Snort ........................ 23
14.1.2 Proceso de adicción de reglas y comprobación del estado de Snort ........................ 25
15 Capítulo XV: Seguridad a nivel de estación de trabajo: AIVIRA free an virus: ..................... 37
15.1 Preparación de la instalación: ........................................................................................... 37
15.2 Instalación de so ware descargado de la enda Avira .................................................... 37
15.3 Eliminar so ware incompa ble ........................................................................................ 38
16 Capítulo XVI: Instalación de Avira Free An virus .................................................................. 38
16.1 Elección de una carpeta de des no .................................................................................. 39
16.2 Elección de los componentes de la instalación ................................................................. 39
16.3 Configuración del nivel de detección heurís ca (AHeAD) ................................................ 41
16.4 Selección de categorías de riesgos avanzadas .................................................................. 41
16.5 Iniciar un análisis tras la instalación .................................................................................. 42
17 Capítulo XVII: Creación de usuarios y grupos de trabajos (asignación de permisos) ........... 43
18 Capítulo XVIII: Wireshark ...................................................................................................... 58
18.1 Descargar Wireshark ......................................................................................................... 58
18.2 Cómo usar Wireshark para capturar paquetes ................................................................. 59
18.3 Codificación de color en Wireshark .................................................................................. 61
18.4 Capturas de ejemplo ......................................................................................................... 62
18.5 Cómo usar Wireshark para filtrar paquetes ...................................................................... 62
18.6 Cómo usar Wireshark para analizar paquetes .................................................................. 65
19 Capítulo XIX: Cómo ac var, desac var y crear nuevas reglas en el firewall de Windows 1066
19.1 Compar r .......................................................................................................................... 66
19.2 Cómo ver el estado del firewall de Windows 10 y ac var o desac var esta caracterís ca
66
19.3 Cómo crear reglas para abrir y cerrar puertos en el firewall de Windows 10 .................. 68
20 Capítulo XX: Conclusión......................................................................................................... 73

2
1 CAPÍTULO I: INTRODUCCIóN :
La seguridad informática es el área de la informática que se enfoca en la protección
de la infraestructura computacional y todo lo relacionado con esta y, especialmente,
la información contenida o circulante. Para ello existen una serie de estándares,
protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los
posibles riesgos a la infraestructura o a la información. La seguridad informática
comprende software (bases de datos, metadatos, archivos), hardware y todo lo que
la organización valore y signifique un riesgo si esta información confidencial llega a
manos de otras personas, convirtiéndose, por ejemplo, en información privilegiada.
Una definición general de seguridad debe también poner atención a la necesidad
de salvaguardar la ventaja organizacional, incluyendo información y equipos físicos,
tales como los mismos computadores. Nadie a cargo de seguridad debe determinar
quién y cuándo se puede tomar acciones apropiadas sobre un ítem en específico.
La seguridad informática es la disciplina que se ocupa de diseñar las normas,
procedimientos, métodos y técnicas destinados a conseguir un sistema de
información seguro y confiable.
Puesto simple, la seguridad en un ambiente de red es la habilidad de identificar y
eliminar vulnerabilidades. Una definición general de seguridad debe también poner
atención a la necesidad de salvaguardar la ventaja organizacional, incluyendo
información y equipos físicos, tales como los mismos computadores. Nadie a cargo
de seguridad debe determinar quién y cuándo se puede tomar acciones apropiadas
sobre un ítem en específico. Cuando se trata de la seguridad de una compañía, lo
que es apropiado varía de organización a organización. Independientemente,
cualquier compañía con una red debe de tener una política de seguridad que se
dirija a conveniencia y coordinación.

3
2 CAPÍTULO II: OBJETIVOS

2.1 OBJETIVO GENERAL

· Proteger la información almacenada, mediante normas y protocolos de
seguridad en la empresa.

2.2 OBJETIVOS ESPECÍFICOS

1) Cuidar la información que se maneje dentro y fuera de la empresa
2) Restringir el acceso a la información, mediante los roles de cada una de las
personas.
3) Realizar copias de seguridad de datos cada determinado tiempo.
4) Configurar el firewall y antivirus de cada computadora para evitar la pérdida
de datos.
5) Mantener la red protegida, mediante un protocolo de seguridad para evitar
hackeos y robo de datos.

4
3 CAPÍTULO III: FINALIDAD DE LA SEGURIDAD INFORMÁTICA EN NUESTRA
EMPRESA
Es necesario establecer normas que minimicen los riesgos a la información. Estas
normas deben de incluir horarios de funcionamiento, restricciones a ciertos lugares,
autorizaciones, denegaciones, perfiles de usuario, planes de emergencia,
protocolos y todo lo necesario que permita un buen nivel de seguridad informática.
La seguridad informática está concebida para proteger los activos informáticos,
entre los que se encuentran los siguientes:
Ø La infraestructura computacional: Es una parte fundamental para el
almacenamiento y gestión de la información, así como para el funcionamiento
mismo de la organización. La función de la seguridad informática en esta
área es velar que los equipos funcionen adecuadamente y anticiparse en
caso de fallas, robos, incendios, boicot, desastres naturales, fallas en el
suministro eléctrico y cualquier otro factor que atente contra la infraestructura
informática.
Ø Los usuarios: Son las personas que utilizan la estructura tecnológica, zona
de para comunicaciones y que gestionan la información. Debe protegerse el
sistema en general que el uso por parte de ellos no pueda poner en
entredicho la seguridad de la información y tampoco que la información que
manejan o almacenan sea vulnerable.
Ø La información: Ésta es el principal activo. Utiliza y reside en la
infraestructura computacional y es utilizada por los usuarios.

4 CAPÍTULO IV: PRINCIPIOS DE SEGURIDAD

Para que un sistema se pueda definir como seguro debe tener estas cuatro
características:
v Integridad: La información sólo puede ser modificada por quien está
autorizado y de manera controlada.
v Confidencialidad: La información sólo debe ser legible para los
autorizados.
v Disponibilidad: Debe estar disponible cuando se necesita.
v Irrefutabilidad (No repudio): El uso y/o modificación de la información
por parte de un usuario debe ser irrefutable, es decir, que el usuario no
puede negar dicha acción.

5
5 CAPÍTULO V: CONSEJOS BÁSICOS DE SEGURIDAD
Es recomendable seguir una serie de consejos, prácticas y costumbres para
maximizar la seguridad informática en la empresa, algunos de ellos son los
siguientes:
Ø Mantener actualizado el equipo (Sistema Operativo y aplicaciones).
Ø Hacer copias de seguridad con frecuencia.
Ø Instalar software legal (se obtiene garantía y soporte).
Ø Usar contraseñas fuertes (evitar nombres, fechas, datos conocidos o
deducibles, etc.).
Ø Utilizar herramientas de seguridad para proteger o reparar el equipo.
Ø No descargar o ejecutar ficheros desde sitios sospechosos o procedentes
de correos sospechosos o no solicitados.
Ø Analizar con un antivirus todo lo que se descargue.
Ø No facilitar la cuenta de correo a desconocidos o publicarla en sitios
desconocidos.
Ø No responder a mensajes falsos.
Ø Observar que la dirección comienza por httpS cuando se esté comprando
o consultando banca por internet.
Ø Tener en cuenta que el banco nunca pedirá información confidencial por
correo electrónico, ni por teléfono.

6 CAPÍTULO VI: AMENAZAS

No sólo las amenazas que surgen de la programación y el funcionamiento de un
dispositivo de almacenamiento, transmisión o proceso deben ser consideradas,
también hay otras circunstancias que deben ser tomadas en cuenta e incluso «no
informáticas». Muchas son a menudo imprevisibles o inevitables, de modo que las
únicas protecciones posibles son las redundancias y la descentralización, por
ejemplo mediante determinadas estructuras de redes en el caso de las
comunicaciones o servidores en clúster para la disponibilidad.
Las amenazas pueden ser causadas por:
· Usuarios: causa del mayor problema ligado a la seguridad de un sistema
informático. En algunos casos sus acciones causan problemas de
seguridad, si bien en la mayoría de los casos es porque tienen permisos
sobre dimensionados, no se les han restringido acciones innecesarias,
etc.

6
 · Programas maliciosos: programas destinados a perjudicar o a hacer un
uso ilícito de los recursos del sistema. Es instalado (por inatención o
maldad) en el ordenador, abriendo una puerta a intrusos o bien
modificando los datos. Estos programas pueden ser un virus informático,
un gusano informático, un troyano, una bomba lógica, un programa espía
o spyware, en general conocidos como malware.
· Errores de programación: La mayoría de los errores de programación
que se pueden considerar como una amenaza informática es por su
condición de poder ser usados como exploits por los crackers, aunque se
dan casos donde el mal desarrollo es, en sí mismo, una amenaza. La
actualización de parches de los sistemas operativos y aplicaciones
permite evitar este tipo de amenazas.
· Intrusos: personas que consiguen acceder a los datos o programas a los
cuales no están autorizados (crackers, defacers, hackers, script kiddie o
script boy, viruxers, etc.).
· Un siniestro (robo, incendio, inundación): una mala manipulación o
una mala intención derivan a la pérdida del material o de los archivos.
· Personal técnico interno: técnicos de sistemas, administradores de
bases de datos, técnicos de desarrollo, etc. Los motivos que se
encuentran entre los habituales son: disputas internas, problemas
laborales, despidos, fines lucrativos, espionaje, etc.
· Fallos electrónicos o lógicos de los sistemas informáticos en
general.
· Catástrofes naturales: rayos, terremotos, inundaciones, rayos
cósmicos, etc.

7 CAPÍTULO VII: TIPOS DE AMENAZAS

Existen infinidad de modos de clasificar un ataque y cada ataque puede recibir más
de una clasificación.

7.1 AMENAZAS POR EL ORIGEN

El hecho de conectar una red a un entorno externo nos da la posibilidad de que
algún atacante pueda entrar en ella, y con esto, se puede hacer robo de información
o alterar el funcionamiento de la red. Sin embargo el hecho de que la red no esté
conectada a un entorno externo, como Internet, no nos garantiza la seguridad de la
misma. Basado en el origen del ataque podemos decir que existen dos tipos de
amenazas:
Amenazas internas: Generalmente estas amenazas pueden ser más serias que
las externas por varias razones como son:

7
 · Si es por usuarios o personal técnico, conocen la red y saben cómo es su
funcionamiento, ubicación de la información, datos de interés, etc. Además
tienen algún nivel de acceso a la red por las mismas necesidades de su
trabajo, lo que les permite unos mínimos de movimientos.
· Los sistemas de prevención de intrusos o IPS, y firewalls son mecanismos
no efectivos en amenazas internas por, habitualmente, no estar orientados al
tráfico interno. Que el ataque sea interno no tiene que ser exclusivamente
por personas ajenas a la red, podría ser por vulnerabilidades que permiten
acceder a la red directamente: rosetas accesibles, redes inalámbricas
desprotegidas, equipos sin vigilancia, etc.
Amenazas externas: Son aquellas amenazas que se originan fuera de la red. Al no
tener información certera de la red, un atacante tiene que realizar ciertos pasos para
poder conocer qué es lo que hay en ella y buscar la manera de atacarla. La ventaja
que se tiene en este caso es que el administrador de la red puede prevenir una
buena parte de los ataques externos.

7.2 AMENAZAS POR EL EFECTO

El tipo de amenazas por el efecto que causan a quien recibe los ataques podría
clasificarse en:
· Robo de información.
· Destrucción de información.
· Anulación del funcionamiento de los sistemas o efectos que tiendan a ello.
· Suplantación de la identidad, publicidad de datos personales o
confidenciales, cambio de información, venta de datos personales, etc.
· Robo de dinero, estafas,...

7.3 AMENAZAS POR EL MEDIO UTILIZADO

Se pueden clasificar por el modus operandi del atacante, si bien el efecto puede ser
distinto para un mismo tipo de ataque:
· Virus informático: malware que tiene por objeto alterar el normal
funcionamiento de la computadora, sin el permiso o el conocimiento del
usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros
infectados con el código de este. Los virus pueden destruir, de manera
intencionada, los datos almacenados en un computadora, aunque también
existen otros más inofensivos, que solo se caracterizan por ser molestos.
· Phishing.
· Ingeniería social.
· Denegación de servicio.
· Spoofing: de DNS, de IP, de DHCP, etc.

8
8 CAPÍTULO VIII: TÉCNICAS PARA ASEGURAR EL SISTEMA
El activo más importante que se posee es la información y, por lo tanto, deben existir
técnicas que la aseguren, más allá de la seguridad física que se establezca sobre
los equipos en los cuales se almacena. Estas técnicas las brinda la seguridad lógica
que consiste en la aplicación de barreras y procedimientos que resguardan el
acceso a los datos y solo permiten acceder a ellos a las personas autorizadas para
hacerlo.
Cada tipo de ataque y cada sistema requiere de un medio de protección o más (en
la mayoría de los casos es una combinación de varios de ellos)
A continuación se enumeran una serie de medidas que se consideran básicas para
asegurar un sistema tipo, si bien para necesidades específicas se requieren
medidas extraordinarias y de mayor profundidad:
• Utilizar técnicas de desarrollo que cumplan con los criterios de seguridad al
uso para todo el software que se implante en los sistemas, partiendo de estándares
y de personal suficientemente formado y concienciado con la seguridad.
• Implantar medidas de seguridad físicas: sistemas anti incendios, vigilancia de
los centros de proceso de datos, sistemas de protección contra inundaciones,
protecciones eléctricas contra apagones y sobretensiones, sistemas de control de
accesos, etc.
• Codificar la información: criptología, criptografía y criptociencia. Esto se debe
realizar en todos aquellos trayectos por los que circule la información que se quiere
proteger, no solo en aquellos más vulnerables. Por ejemplo, si los datos de una
base muy confidencial se han protegido con dos niveles de firewall, se ha cifrado
todo el trayecto entre los clientes y los servidores y entre los propios servidores, se
utilizan certificados y sin embargo se dejan sin cifrar las impresiones enviadas a la
impresora de red, tendríamos un punto de vulnerabilidad.
• Contraseñas difíciles de averiguar que, por ejemplo, no puedan ser
deducidas a partir de los datos personales del individuo o por comparación con un
diccionario, y que se cambien con la suficiente periodicidad. Las contraseñas,
además, deben tener la suficiente complejidad como para que un atacante no pueda
deducirla por medio de programas informáticos. El uso de certificados digitales
mejora la seguridad frente al simple uso de contraseñas.
• Vigilancia de red. Las redes transportan toda la información, por lo que
además de ser el medio habitual de acceso de los atacantes, también son un buen
lugar para obtener la información sin tener que acceder a las fuentes de la misma.
Por la red no solo circula la información de ficheros informáticos como tal, también
se transportan por ella: correo electrónico, conversaciones telefónicas (VoIP),
mensajería instantánea, navegación Internet, lecturas y escrituras a bases de datos,

9
etc. Por todo ello, proteger la red es una de las principales tareas para evitar robo
de información. Existen medidas que abarcan desde la seguridad física de los
puntos de entrada hasta el control de equipos conectados, por ejemplo 802.1x. En
el caso de redes inalámbricas la posibilidad de vulnerar la seguridad es mayor y
deben adoptarse medidas adicionales.
• Redes perimetrales de seguridad, o DMZ, permiten generar reglas de acceso
fuertes entre los usuarios y servidores no públicos y los equipos publicados. De esta
forma, las reglas más débiles solo permiten el acceso a ciertos equipos y nunca a
los datos, que quedarán tras dos niveles de seguridad.
• Tecnologías repelentes o protectoras: cortafuegos, sistema de detección de
intrusos - antispyware, antivirus, llaves para protección de software, etc.
• Mantener los sistemas de información con las actualizaciones que más
impacten en la seguridad.
• Copias de seguridad e, incluso, sistemas de respaldo remoto que permiten
mantener la información en dos ubicaciones de forma asíncrona.
• Controlar el acceso a la información por medio de permisos centralizados y
mantenidos (tipo Active Directory, LDAP, listas de control de acceso, etc.). Los
medios para conseguirlo son:
• Restringir el acceso (de personas de la organización y de las que no lo son)
a los programas y archivos.
• Asegurar que los operadores puedan trabajar pero que no puedan modificar
los programas ni los archivos que no correspondan (sin una supervisión minuciosa).
• Asegurar que se utilicen los datos, archivos y programas correctos en/y/por
el procedimiento elegido.
• Asegurar que la información transmitida sea la misma que reciba el
destinatario al cual se ha enviado y que no le llegue a otro y que existan sistemas y
pasos de emergencia alternativos de transmisión entre diferentes puntos.
• Organizar a cada uno de los empleados por jerarquía informática, con claves
distintas y permisos bien establecidos, en todos y cada uno de los sistemas o
aplicaciones empleadas.
• Actualizar constantemente las contraseñas de accesos a los sistemas de
cómputo, como se ha indicado más arriba, e incluso utilizando programa que ayuden
a los usuarios a la gestión de la gran cantidad de contraseñas que tienen gestionar
en los entornos actuales, conocidos habitualmente como gestores de identidad.
• Redundancia y descentralización.

10
9 CAPÍTULO IX: RESPALDO DE INFORMACIóN
La información constituye el activo más importante de las empresas, pudiendo verse
afectada por muchos factores tales como robos, incendios, fallas de disco, virus u
otros. Desde el punto de vista de la empresa, uno de los problemas más importantes
que debe resolver es la protección permanente de su información crítica.
La medida más eficiente para la protección de los datos es determinar una buena
política de copias de seguridad o backups. Este debe incluir copias de seguridad
completa (los datos son almacenados en su totalidad la primera vez) y copias de
seguridad incrementales (solo se copian los ficheros creados o modificados desde
el último backup). Es vital para las empresas elaborar un plan de backup en función
del volumen de información generada y la cantidad de equipos críticos.
Un buen sistema de respaldo debe contar con ciertas características
indispensables:
• Continuo
El respaldo de datos debe ser completamente automático y continuo. Debe
funcionar de forma transparente, sin intervenir en las tareas que se encuentra
realizando el usuario.
• Seguro
Muchos softwares de respaldo incluyen cifrado de datos, lo cual debe ser hecho
localmente en el equipo antes del envío de la información.
• Remoto
Los datos deben quedar alojados en dependencias alejadas de la empresa.
• Mantenimiento de versiones anteriores de los datos
Se debe contar con un sistema que permita la recuperación de, por ejemplo,
versiones diarias, semanales y mensuales de los datos.
Hoy en día los sistemas de respaldo de información online, servicio de backup
remoto, están ganando terreno en las empresas y organismos gubernamentales. La
mayoría de los sistemas modernos de respaldo de información online cuentan con
las máximas medidas de seguridad y disponibilidad de datos. Estos sistemas
permiten a las empresas crecer en volumen de información derivando la necesidad
del crecimiento de la copia de respaldo a proveedor del servicio.

11
10 CAPÍTULO X: SISTEMAS DE PROTECCIó N

10.1 PROTECCIóN CONTRA VIR US

Los virus son uno de los medios más tradicionales de ataque a los sistemas y a la
información que sostienen. Para poder evitar su contagio se deben vigilar los
equipos y los medios de acceso a ellos, principalmente la red.

10.2 CONTROL DEL SOFTWARE INSTALADO

Tener instalado en la máquina únicamente el software necesario reduce riesgos.
Así mismo tener controlado el software asegura la calidad de la procedencia del
mismo (el software obtenido de forma ilegal o sin garantías aumenta los riesgos).
En todo caso un inventario de software proporciona un método correcto de asegurar
la reinstalación en caso de desastre. El software con métodos de instalación rápidos
facilita también la reinstalación en caso de contingencia.

10.3 CONTROL DE LA RED

Los puntos de entrada en la red son generalmente el correo, las páginas web y la
entrada de ficheros desde discos, o de ordenadores ajenos, como portátiles.
Mantener al máximo el número de recursos de red solo en modo lectura, impide que
ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los
permisos de los usuarios al mínimo.
Se pueden centralizar los datos de forma que detectores de virus en modo batch
puedan trabajar durante el tiempo inactivo de las máquinas.
Controlar y monitorizar el acceso a Internet puede detectar, en fases de
recuperación, cómo se ha introducido el virus.

11 CAPÍTULO XI: PROTECCIóN FÍSICA DE ACCESO A LAS REDES

Independientemente de las medidas que se adopten para proteger los equipos de
una red de área local y el software que reside en ellos, se deben tomar medidas que
impidan que usuarios no autorizados puedan acceder. Las medidas habitua les
dependen del medio físico a proteger.
A continuación se enumeran algunos de los métodos, sin entrar al tema de la
protección de la red frente a ataques o intentos de intrusión desde redes externas,
tales como Internet.

12
11.1 REDES CABLEADAS
Las rosetas de conexión de los edificios deben estar protegidas y vigiladas. Una
medida básica es evitar tener puntos de red conectados a los switches. Aun así
siempre puede ser sustituido un equipo por otro no autorizado con lo que hacen falta
medidas adicionales: norma de acceso 802.1x, listas de control de acceso por MAC
addresses, servidores de DHCP por asignación reservada, etc.

11.2 REDES INALÁMBRICAS

En este caso el control físico se hace más difícil, si bien se pueden tomar medidas
de contención de la emisión electromagnética para circunscribirla a aquellos lugares
que consideremos apropiados y seguros. Además se consideran medidas de
calidad el uso del cifrado (WPA, WPA v.2, uso de certificados digitales, etc.),
contraseñas compartidas y, también en este caso, los filtros de direcciones MAC,
son varias de las medidas habituales que cuando se aplican conjuntamente
aumentan la seguridad de forma considerable frente al uso de un único método.

11.3 SANITIZACIóN
Proceso lógico y/o físico mediante el cual se elimina información considerada
sensible o confidencial de un medio ya sea físico o magnético, ya sea con el objeto
de desclasificarlo, reutilizar el medio o destruir el medio en el cual se encuentra.

12 CAPÍTULO XII: SEGURIDAD A NIVEL USUARIO

12.1 SOFTWARE MALICIOSO

Con el nombre software malicioso agrupamos todos los tipos de programas que han
sido desarrollados para entrar en ordenadores sin permiso de su propietario, y
producir efectos no deseados. Estos efectos se producen algunas veces sin que
nos demos cuenta en el acto. Esta expresión es un término general muy utilizado
por profesionales de la computación para definir una variedad de software o
programas de códigos hostiles e intrusivos. Muchos usuarios de computadores no
están aún familiarizados con este término y otros incluso nunca lo han utilizado. Sin
embargo la expresión "virus informático" es más utilizada en el lenguaje cotidiano y
a menudo en los medios de comunicación para describir todos los tipos de malware.
Existen muchísimos tipos de software malicioso, aunque algunos de los más
comunes son los virus informáticos, los gusanos, los troyanos, los programas de
spyware/adware o incluso ciertos bots. Dos tipos comunes de software malicioso es
los virus y los gusanos informáticos, este tipo de programas tienen en común la
capacidad para auto replicarse, es decir, pueden contaminar con copias de sí
mismos y en algunas ocasiones mutando, la diferencia entre un gusano y un virus

13
informático radica en la forma de propagación, un gusano opera a través de una
red, mientras que un virus lo hace a través de ficheros a los que se añade.
A continuación detallamos, paso a paso, varias tareas habituales para la eliminación
de un virus en el ordenador, como la edición del registro y la terminación de
procesos.
1. Prueba a restaurar el sistema a un punto de restauración anterior a la
aparición de los problemas, para ello sigue los pasos que se indican en el
siguiente enlace: Restauración del Sistema.
2. Si de esta manera no has solucionado el problema, prueba a deshabilitar la
opción de restauración del sistema, como se indica en el siguiente enlace:
Deshabilitar la Opción de Restauración del Sistema.
3. Prueba a realizar un análisis en línea con alguna de las herramientas
antivirus que se indican a continuación: Herramientas Antivirus.
4. También puedes realizar un análisis en línea con alguna de las herramientas
antiespías que se indican en el siguiente enlace: Herramientas Antiespías
5. Si detectas algún archivo que el antivirus no puede eliminar, deberás hacerlo
manualmente. Para ello puedes seguir alguna de las opciones que se indican
en el siguiente enlace: Eliminar librerias .DLL y .EXE.
6. Por último, realiza una limpieza del registro de Windows. Para ello sigue las
instrucciones del siguiente enlace: Limpiar el Registro de Windows.

12.2 ANTIVIRUS
Los antivirus son programas cuya función es detectar y eliminar Virus informáticos
y otros programas maliciosos.
Básicamente, un antivirus compara el código de cada archivo con una base de datos
de los códigos (también conocidos como firmas o vacunas) de los virus conocidos,
por lo que es importante actualizarla periódicamente a fin de evitar que un virus
nuevo no sea detectado.
Actualmente a los antivirus se les ha agregado funciones avanzadas, como la
búsqueda de comportamientos típicos de virus (técnica conocida como Heurística)
o la verificación contra virus en redes de computadoras.
Normalmente un antivirus tiene un componente que se carga en memoria y
permanece en ella para verificar todos los archivos abiertos, creados, modificados
y ejecutados en tiempo real. Es muy común que tengan componentes que revisen
los adjuntos de los correos electrónicos salientes y entrantes, así como los scripts y
programas que pueden ejecutarse en un navegador web (ActiveX, Java,
JavaScript).
Los virus, gusanos, spyware,... son programas informáticos que se ejecutan
normalmente sin el consentimiento del legítimo propietario y que tienen la

14
características de ejecutar recursos, consumir memoria e incluso eliminar o
destrozar la información.
Una característica adicional es la capacidad que tienen de propagarse. Otras
características son el robo de información, la pérdida de esta, la capacidad de
suplantación, que hacen que reviertan en pérdidas económicas y de imagen.
Dado que una característica de los virus es el consumo de recursos, los virus
ocasionan problemas tales como pérdida de productividad, baja en el rendimiento
del equipo, cortes en los sistemas de información o daños a nivel de datos.
Otra de las características es la posibilidad que tienen de ir replicándose en otras
partes del sistema de información. Las redes en la actualidad ayudan a dicha
propagación.
Los daños que los virus dan a los sistemas informáticos son:
· Pérdida de información (evaluable según el caso)
· Horas de contención (Técnicos de SI, Horas de paradas productivas, tiempos
de contención o reinstalación, cuantificables según el caso+horas de
asesoría externa)
· Pérdida de imagen (Valor no cuantificable)
Hay que tener en cuenta que cada virus es una situación nueva, por lo que es difícil
cuantificar a priori lo que puede costar una intervención. Tenemos que encontrar
métodos de realizar planificación en caso de que se produzcan estas contingencias.

12.3 HERRAMIENTAS ANTIVIRUS

Existen dos formas diferentes de utilizar un antivirus condicionado por dónde esté
instalado - en el escritorio de forma local o en un servidor externo para acceder en
línea - y en función de las ventajas e inconvenientes, utilizaremos una u otra tal.
Los antivirus de escritorio se suelen utilizar en modo residente para proteger al
ordenador en todo momento de cualquier posible infección, ya sea al navegar por
Internet, recibir algún correo infectado o introducir en el equipo algún dispositivo
extraíble que esté infectado. No necesitan que el ordenador esté conectado a
Internet para poder funcionar, pero sí que es necesario actualizarlos frecuentemente
para que sean capaces de detectar las últimas amenazas de virus. Recomendamos
tener sólo un antivirus de escritorio en el ordenador, ya que tener varios antivirus
puede ocasionar problemas de incompatibilidad entre ellos.

12.4 SOFTWARE ESPÍA

Los programas espías o spywares son aplicaciones que recopilan información sobre
una persona u organización sin su conocimiento. La función más común que tienen
estos programas es la de recopilar información sobre el usuario y distribuirlo a

15
empresas publicitarias u otras organizaciones interesadas, pero también se han
empleado en círculos legales para recopilar información contra sospechosos de
delitos, como en el caso de la piratería de software. Además pueden servir para
enviar a los usuarios a sitios de internet que tienen la imagen corporativa de otros,
con el objetivo de obtener información importante. Dado que el spyware usa
normalmente la conexión de una computadora a Internet para transmitir
información, consume ancho de banda, con lo cual, puede verse afectada la
velocidad de transferencia de datos entre dicha computadora y otra(s) conectada(s)
a Internet.
Pueden tener acceso por ejemplo a: el correo electrónico y el password; dirección
IP y DNS; teléfono, país; páginas que se visitan, qué tiempos se está en ellas y con
qué frecuencia se regresa; qué software está instalado en el equipo y cuál se
descarga; qué compras se hacen por internet; tarjeta de crédito y cuentas de banco.
Principales síntomas de infección son:
· Cambio de la página de inicio, la de error y búsqueda del navegador.
· Aparición de ventanas "pop-ups", incluso sin estar conectados y sin tener el
navegador abierto, la mayoría de temas pornográficos y comerciales (por
ejemplo, la salida al mercado de un nuevo producto).
· Barras de búsquedas de sitios como la de Alexa, Hotbar, MyWebSearch,
FunWeb, etc... que no se pueden eliminar.
· Creación de carpetas tanto en el directorio raíz, como en "Archivos de
programas", "Documents and Settings" y "WINDOWS".
· Modificación de valores de registro.
· La navegación por la red se hace cada día más lenta, y con más problemas.
· Es notable que tarda más en iniciar el computador debido a la carga de
cantidad de software spyware que se inicia una vez alterado el registro a los
fines de que el spyware se active al iniciarse la computadora.
· Al hacer click en un vínculo y el usuario retorna de nuevo a la misma página
que el software espía hace aparecer.
· Botones que aparecen en la barra de herramientas del navegador y no se
pueden quitar.
· Aparición de un mensaje de infección no propio del sistema, así como un
enlace web para descargar un supuesto antispyware.
· Al acceder a determinados sitios sobre el escritorio se oculta o bloquea tanto
el panel de control como los iconos de programas.
· Denegación de servicios de correo y mensajería instantánea.

12.5 PRECAUCIONES RECOMENDABLES

Cuando recibamos un mensaje de correo electrónico que hable de algo que
desconocemos (aunque nos lo haya mandado alguien que conocemos) conviene
consultar su veracidad (por ejemplo a partir de buscadores de la web, tratando de
16
consultar en el sitio web de la supuesta fuente de la información o en webs serias,
fiables y especializadas en el tipo de información en cuestión). Sólo si estamos
seguros de que lo que dice el mensaje es cierto e importante de ser conocido por
nuestros contactos lo reenviaremos, teniendo cuidado de poner las direcciones de
correo electrónico de los destinatarios en la casilla CCO (puede ser necesario poner
sólo nuestra dirección de email en la casilla Para) y borrando del cuerpo del mensaje
encabezados previos con direcciones de email (para facilitar la lectura es preferible
copiar la parte del cuerpo del mensaje sin los encabezados previos y pegarla en un
mensaje nuevo -o en el que aparece tras pinchar en reenviar tras borrar todo el
texto, repetido a partir de previos envíos-). Así evitaremos la propagación del spam
así como la de mensajes con virus (u otro tipo de malware), phishing o hoax.
Conviene que hagamos saber esto a nuestros contactos en cuanto nos reenvían
mensajes con contenido falso, sin utilizar la casilla CCO o sin borrar encabezados
previos con direcciones de correo electrónico.
Cuando el mensaje recibido lleve uno o varios ficheros adjuntos tendremos cuidado,
especialmente si el mensaje nos lo manda alguien que no conocemos. Hay peligro
de que los archivos contengan virus (u otro tipo de malware). Sólo los abriremos si
estamos seguros de su procedencia e inocuidad. Si, tras esto, comprobamos que
los ficheros son inofensivos e interesantes para nuestros contactos podremos
reenviarlo siguiendo las precauciones del párrafo anterior (en este caso, para que
lleguen los ficheros adjuntos es más rápido pinchar en reenviar que crear un
mensaje nuevo y volverlos a adjuntar -aunque tendremos cuidado de borrar todo el
texto que repite previos reenvíos; quizá pegando después el cuerpo principal del
mensaje recibido si tiene información de interés o relacionada con los archivos
adjuntos-).
Cuando en un mensaje sospechoso se nos ofrezca darnos de baja de futura
recepción de mensajes o de un boletín no haremos caso, es decir, no
responderemos el mensaje, ni escribiremos a ninguna dirección supuestamente
creada para tal fin (del tipo bajas@xxxxxxx.es o unsubscribe@xxxxxxx.com), ni
pincharemos sobre un enlace para ello. Si hiciéramos algo de lo citado
confirmaríamos a los spammers (remitentes de correo basura) que nuestra cuenta
de correo electrónico existe y está activa y, en adelante, recibiríamos más spam. Si
nuestro proveedor de correo lo ofrece podemos pinchar en "Es spam" o "Correo no
deseado" o "Marcar como spam". Así ayudaremos a combatir el correo basura.

12.6 PHISHING
Es un término informático que denomina un tipo de delito encuadrado dentro del
ámbito de las estafas, y que se comete mediante el uso de un tipo de ingeniería
social caracterizado por intentar adquirir información confidencial de forma
fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas
de crédito u otra información bancaria). El estafador, conocido como phisher, se
hace pasar por una persona o empresa de confianza en una aparente comunicación

17
oficial electrónica, por lo común un correo electrónico, o algún sistema de
mensajería instantánea o incluso utilizando también llamadas telefónicas.
Dado el creciente número de denuncias de incidentes relacionados con el phishing
se requieren métodos adicionales de protección. Se han realizado intentos con leyes
que castigan la práctica, campañas para prevenir a los usuarios y con la aplicación
de medidas técnicas a los programas.

12.7 RESPUESTA SOCIAL

Una estrategia para combatir el phishing adoptada por algunas empresas es la de
entrenar a los empleados de modo que puedan reconocer posibles ataques
phishing. Una nueva táctica de phishing donde se envían correos electrónicos de
tipo phishing a una compañía determinada, conocido como spear phishing, ha
motivado al entrenamiento de usuarios en varias localidades, incluyendo la
Academia Militar de West Point en los Estados Unidos. En un experimento realizado
en junio del 2004 con spear phishing, el 80% de los 500 cadetes de West Point a
los que se les envió un e-mail falso fueron engañados y procedieron a dar
información personal.
Un usuario al que se le contacta mediante un mensaje electrónico y se le hace
mención sobre la necesidad de "verificar" una cuenta electrónica puede o bien
contactar con la compañía que supuestamente le envía el mensaje, o puede escribir
la dirección web de un sitio web seguro en la barra de direcciones de su navegador
para evitar usar el enlace que aparece en el mensaje sospechoso de phishing.
Muchas compañías, incluyendo eBay y PayPal, siempre se dirigen a sus clientes
por su nombre de usuario en los correos electrónicos, de manera que si un correo
electrónico se dirige al usuario de una manera genérica como ("Querido miembro
de eBay") es probable que se trate de un intento de phishing.

12.8 RESPUESTAS TÉCNICAS

Hay varios softwares anti-phishing disponibles. La mayoría de estos programas
trabajan identificando contenidos phishing en sitios web y correos electrónicos;
algunos software anti-phishing pueden por ejemplo, integrarse con los navegadores
web y clientes de correo electrónico como una barra de herramientas que muestra
el dominio real del sitio visitado. Los filtros de spam también ayudan a proteger a
los usuarios de los phishers, ya que reducen el número de correos electrónicos
relacionados con el phishing recibidos por el usuario.
Muchas organizaciones han introducido la característica denominada preguntas
secretas, en la que se pregunta información que sólo debe ser conocida por el
usuario y la organización. Las páginas de Internet también han añadido
herramientas de verificación que permite a los usuarios ver imágenes secretas que
los usuarios seleccionan por adelantado; sí estas imágenes no aparecen, entonces
el sitio no es legítimo. Estas y otras formas de autentificación mutua continúan

18
siendo susceptibles de ataques, como el sufrido por el banco escandinavo Nordea
a finales de 2005.
Muchas compañías ofrecen a bancos y otras entidades que sufren de ataques de
phishing, servicios de monitoreo continuos, analizando y utilizando medios legales
para cerrar páginas con contenido phishing.
El Anti-Phishing Working Group, industria y asociación que aplica la ley contra las
prácticas de phishing, ha sugerido que las técnicas convencionales de phishing
podrían ser obsoletas en un futuro a medida que la gente se oriente sobre los
métodos de ingeniería social utilizadas por los phishers. Ellos suponen que en un
futuro cercano, el pharming y otros usos de malware se van a convertir en
herramientas más comunes para el robo de información.

12.9 CONTRASEÑAS SEGURAS

En el control del acceso para todo, se realiza una relación entre seguridad y
conveniencia. Es decir, si algún recurso está protegido por una contraseña,
entonces la seguridad se incrementa con la consecuente pérdida de conveniencia
para los usuarios. La cantidad de seguridad es inherente dada una política para
contraseñas en particular que es afectada por diversos factores que se mencionarán
a continuación. Sin embargo, no existe un método que sea el mejor para definir un
balance apropiado entre seguridad y conveniencia.
Algunos sistemas protegidos por contraseñas plantean pocos o ningún riesgo a los
usuarios si éstos se revelan, por ejemplo, una contraseña que permita el acceso a
la información de una Web site gratuita. Otros plantean un modesto riesgo
económico o de privacidad, por ejemplo, un password utilizado para acceder al e-
mail, o alguna contraseña para algún teléfono celular. Aun así, en otras situaciones
se pueden tener consecuencias severas si la contraseña es revelada, tales como
las usadas para limitar el acceso de expedientes sobre tratamientos del SIDA o el
control de estaciones de energía.
Estudios en la producción de sistemas informáticos han indicado por décadas
constantemente que cerca de 40% de todas las contraseñas elegidas por usuarios
se conjeturan fácilmente.
Muchos de los usuarios no cambian la contraseña que viene predeterminada en
muchos de los sistemas de seguridad. Listas de estas contraseñas están
disponibles en el Internet.
ü Una contraseña puede ser determinada si un usuario elige como contraseña
una pieza de información personal que sea fácil de descubrir (por ejemplo:
número de ID de estudiante, el nombre del novio/a, el día de cumpleaños,
número telefónico, etc.). Los datos personales sobre individuos están ahora
disponibles en diferentes fuentes, muchas de ellas están en línea, y pueden

19
 ser obtenidas frecuentemente por alguien que use técnicas de ingeniería
social, como actuar como un trabajador social que realiza encuestas.
ü Una contraseña es vulnerable si puede ser encontrada en una lista. Los
diccionarios (frecuentemente de forma electrónica) están disponibles en
muchos lenguajes, y existen listas de contraseñas comunes.
ü En pruebas sobre sistemas en vivo, los ataques de diccionarios son
rutinariamente acertados, por lo que el software implementado en este tipo
de ataques ya se encuentra disponible para muchos sistemas. Una
contraseña muy corta, quizás elegida por conveniencia, es más vulnerable si
un hacker puede obtener la versión criptográfica de la contraseña. Las
computadoras son en la actualidad lo suficientemente rápidas para intentar
todas las contraseñas en orden alfabético que tengan menos de 7 caracteres.
Una contraseña débil sería una que fuese muy corta o que fuese la predeterminada,
o una que pudiera se adivinada rápidamente al buscar una serie de palabras que
es posible encontrar en diccionarios, nombres propios, palabras basadas en
variaciones del nombre del usuario. Una contraseña fuerte debe ser suficientemente
larga, al azar, o producible solo por el usuario que la eligió, así, el 'adivinar' requerirá
un largo tiempo. La cantidad de tiempo juzgada para ser 'demasiado larga' variará
de acuerdo al atacante, sus recursos, la facilidad con la que la contraseña se pueda
descubrir, y la importancia de esta para el atacante. Por lo tanto, una contraseña de
un estudiante quizás no valga la pena para invertir más de algunos segundos en la
computadora, mientras que la contraseña para acceder al control de una
transferencia de dinero del sistema de un banco puede valer varias semanas de
trabajo en una computadora.
'Fuerte' y 'débil' tienen significado solamente con respecto a tentativas de descubrir
la contraseña de un usuario, ya sea por una persona que conoce al usuario, o una
computadora que tratara de usar millones de combinaciones. En este contexto, los
términos pueden tener una precisión considerable. Pero nótese que una contraseña
'fuerte' en este sentido puede ser robada, truqueada o extraída del usuario, ya sea
mediante la extracción del historial de un teclado, grabada mediante aparatos de
comunicación, o copiada de notas dejadas por olvido.
Ejemplos de contraseñas débiles incluyen las siguientes: administrador, 1234,
"nombre del usuario", xx/xx/xx - fechas importantes, ya que la mayoría de estas se
encuentran en o bases de datos o diccionarios (dictionary search attack). Ejemplos
de contraseñas fuertes serían las siguientes: tastywheeT34, partei@34!, y
#23kLLflux. Estas contraseñas son largas y usan combinaciones de letras
mayúsculas y minúsculas, de números y de símbolos. No son fácilmente
encontrados en listas de contraseñas y son suficientemente largas para provocar
que una búsqueda burda sea impractica en la mayoría de las circunstancias. Nótese
que algunos sistemas no permiten símbolos como #, @ y ! en contraseñas y son
más difíciles de encontrar en algunos teclados diseñados para ciertos países. En
estos casos, agregar uno o dos caracteres (letra o número) puede ofrecer una
20
seguridad equivalente. También nótese que, al haberse publicado estos ejemplos
de contraseñas, estos ya no son buenas opciones: ejemplos de discusiones
públicas sobre contraseñas obviamente son buenos candidatos para incluirse en las
listas de diccionarios para atacar sistemas.
El método más efectivo para generar contraseñas es seleccionar suficientes
caracteres al azar, aunque este tipo de contraseñas son las más difíciles de
recordar. Algunos usuarios desarrollan frases o palabras compuestas que tienen
letras al azar como iniciales de varias palabras. Otra manera de elaborar
contraseñas al azar que sean más memorables es usar palabras al azar o sílabas
en lugar de letras al azar.
Memorias personales son recomendables en ocasiones, es decir, cosas que sean
memorables a una persona en particular, pero no para otras, por ejemplo: la
contraseña yt21cvpppv, es difícil de recordar, pero se deriva de la frase "Yo tenía
21 cuando visite París por primera vez", posiblemente fácil de recordar. Sin
embargo, si la primera visita a Paris fue un hecho muy trascendente para un usuario
en particular, puede ser posible que la contraseña se adivine del conocimiento del
usuario, y por lo tanto esta no sería una opción sensata para utilizarse como
contraseña. Según Bruce Schneier la contraseña más utilizada es password1.

13 CAPÍTULO XIII: CóMO PROTEGERSE DEL ATAQUE DE LOS HACKERS

Después de haber leído las anteriores secciones, parece una auténtica locura tener
ordenadores conectados a Internet. Nada más lejos de la realidad. Así como hay
muchas formas de poder entrar fraudulentamente en un ordenador, también hay
muchas formas de protegerse razonablemente contra estos ataques. Vamos a dar
una serie de consejos prácticos que, si no nos protegen totalmente, ponen las cosas
bastante difíciles a los hackers. No obstante, lo mejor es conocer bien nuestro propio
sistema para poder adaptar estas medidas a nuestro caso concreto.
· Solo la Información Necesaria. No almacene información sensible en su
ordenador si esta no necesita ser consultada desde el exterior. ¿Por qué
colocar un premio extra para los Hackers?
· Instalación de Demonios. Cuando instale cualquier software que incluya
algún demonio, asegúrese de que se trata de la versión más reciente y
actualizada, que debería ser la más segura. Desconfié de las versiones beta,
a no ser que sepa muy bien lo que hace. Configure sus servidores de la forma
más conservadora posible. No habilite usuarios genéricos sin antes
asegurarse de que no poseen excesivos privilegios. Si tiene alguna duda
sobre alguna funcionalidad del servidor en cuestión, deshabilítela. Consulte
periódicamente las páginas de los fabricantes de software y aquellas
especializadas en alertar sobre fallos de seguridad, ellas le informaran de los
agujeros más recientes y de cómo eliminarlos. Muchos hackers también las

21
 consultan, pero con otros propósitos. Ejecute periódicamente alguna utilidad
que recorra los puertos de su sistema para saber en cuales hay demonios.
Esto le permitirá detectar programas del tipo Back Orífice.
· Vigile su Software Criptográfico. Emplee siempre que pueda SSL o TLS
en sus comunicaciones, y asegúrese de que todos los programas de cifrado
que usa funcionan con claves de al menos 128 bits.
· Contra los Ataques por Diccionario. Muchos sistemas operativos impiden
que un administrador abra una consola remota, por lo que aunque alguien
averigüe su contraseña, no podrá emplearla a no ser que disponga de acceso
físico a la computadora. Si su ordenador está conectado a Internet, use esta
característica, a no ser que necesite poder abrir consolas remotas como
administrador. Asegúrese de que el fichero de contraseñas está protegido
frente a accesos externos. Afortunadamente, casi todos los sistemas
operativos modernos incorporan esta característica por defecto. Cambie
periódicamente las contraseñas, y sobre todo, use buenas contraseñas.
Existen utilidades para realizar ataques de diccionario (por ejemplo, la
famosa John The Zipper) que nos permitirán saber si nuestras claves son
satisfactorias.
· Los Archivos de Registro. Serán nuestra mejor defensa contra los hackers.
Hay que consultarlos frecuentemente para detectar entradas sospechosas, y
nunca bajar la guardia. Tampoco viene mal efectuar copias de seguridad en
medios externos al ordenador, como pueden ser diskettes o cintas
magnéticas. De esta forma el vaquero no podrá borrar totalmente sus huellas.

DESARROLLO
14 CAPÍTULO XIV: SNORT (ANÁLISIS DE RED)
Las herramientas de análisis de red son de gran utilidad a la hora de querer
vigilar los procesos que ocurren entre la red de análisis, estas herramientas son
capaces de vigilar las entradas y salidas de los procesos de red, un claro
ejemplo de herramientas como estas es Snort.
Snort es un sniffer de paquetes y un detector de intrusos basado en red (se
monitoriza todo un dominio de colisión). Es un software muy flexible que ofrece
capacidades de almacenamiento de sus bitácoras tanto en archivos de texto
como en bases de datos abiertas como lo es MySQL. Implementa un motor de
detección de ataques y barrido de puertos que permite registrar, alertar y

22
responder ante cualquier anomalía previamente definida. Así mismo existen
herramientas de terceros para mostrar informes en tiempo real (ACID) o para
convertirlo en un Sistema Detector y Preventor de Intrusos (IDS).
Este IDS implementa un lenguaje de creación de reglas flexibles, potentes y
sencillas. Durante su instalación ya nos provee de cientos de filtros o reglas
para backdoor, DDoS, finger, FTP, ataques web, CGI, Nmap...
Puede funcionar como sniffer (podemos ver en consola y en tiempo real qué
ocurre en nuestra red, todo nuestro tráfico), registro de paquetes (permite
guardar en un archivo los logs para su posterior análisis, un análisis offline) o
como un IDS normal (en este caso NIDS). Cuando un paquete coincide con
algún patrón establecido en las reglas de configuración, se logea. Así se sabe
cuándo, de dónde y cómo se produjo el ataque.
Aún cuando tcpdump es considerada una herramienta de auditoría muy útil, no
se considera un verdadero IDS puesto que no analiza ni señala paquetes por
anomalías. tcpdump imprime toda la información de paquetes a la salida en
pantalla o a un archivo de registro sin ningún tipo de análisis. Un verdadero IDS
analiza los paquetes, marca las transmisiones que sean potencialmente
maliciosas y las almacena en un registro formateado, así, Snort utiliza la
biblioteca estándar libcap y tcpdump como registro de paquetes en el fondo.
Snort está disponible bajo licencia GPL, gratuito y funciona bajo plataformas
Windows y UNIX/Linux. Dispone de una gran cantidad de filtros o patrones ya
predefinidos, así como actualizaciones constantes ante casos de ataques,
barridos o vulnerabilidades que vayan siendo detectadas a través de los
distintos boletines de seguridad.
La característica más apreciada de Snort, además de su funcionalidad, es su
subsistema flexible de firmas de ataques. Snort tiene una base de datos de
ataques que se está actualizando constantemente y a la cual se puede añadir
o actualizar a través de la Internet. Los usuarios pueden crear 'firmas' basadas
en las características de los nuevos ataques de red y enviarlas a la lista de
correo de firmas de Snort, para que así todos los usuarios de Snort se puedan
beneficiar. Esta ética de comunidad y compartir ha convertido a Snort en uno
de los IDSes basados en red más populares, actualizados y robustos.

14.1 PROCESO DE CONFIGURACIóN DE SNORT

14.1.1 Proceso de adicción de reglas y comprobación del estado de Snort
Lo primero que hicimos, fue agregar un conjunto de reglas en la siguiente
dirección C: \Snort\rules, las reglas se pueden descargar desde la página oficial
de Snort. (Imagen 1.1)

23
 (Imagen 1.1)

Lo siguiente a realizar fue dirigirnos a la carpeta etc dentro de Snort y abrir

Snort.conf con el editor de textos Notepad++ que podemos descargar
directamente de su página oficial. (Imagen 1.2)

(Imagen 1.2)
Para comprobar que Snort está correctamente instalado, procedimos a ingresar
el siguiente comando en la consola de Windows. (Imagen 1.3)

24
 (Imagen 1.3)
Al hacer esto, CMD nos mostrara cada uno de nuestros dispositivos de red con
los que cuenta nuestro equipo además de un conjunto con los detalles de los
mismos. (Imagen 1.4)

(Imagen 1.4)

14.1.2 Proceso de adicción de reglas y comprobación del estado de Snort

Como primer punto a realizar, colocamos la network que tenemos en este
momento en la línea de comando número 45. (Imagen 1.5)

25
 (Imagen 1.5)

Posteriormente, en la línea número 48 se escribió !$HOME_NET, tal como se muestra a

continuación. (Imagen1.6)

(Imagen 1.6)
En la línea número 104, quitamos el comentario y remplazamos el texto actual
por var RULE_PATH c:\snort\rules. (Imagen 1.7)

26
 (Imagen 1.7)
A la línea número 105 se le agrego un comentario ya que esta parte no es
utilizada y podría causar conflictos si se deja de esta manera. (Imagen 1.8)

(Imagen 1.8)
En la línea 106 agregaremos c:\snort justo antes de \preproc_rules. (Imagen 1.9)

27
 (Imagen 1.9)
En las líneas 106 y 107 solo cambiamos el siguiente apartado por
c:\snort\rules, todo esto para la White y black list. (Imagen 2.1)

Borramos el comentario que se encuentra en la línea número 186, y agregamos

en este apartado lo siguiente: c:\snort\log. (Imagen 2.2) (Imagen 2.1)

28
 (Imagen 2.2)
Cambiamos las librerías con la que cuenta actualmente la línea número 247 por
C:\Snort\lib\snort_dynamicpreprocessor. (Imagen 2.3)

(Imagen 2.3)

Posteriormente en la línea 250 cambiamos otra vez la librería por la dirección

de la ubicación del archivo sf_engine.dll. (Imagen 2.4)

29
 (Imagen 2.4)
Agregamos un comentario a la línea 253 para que no sea utilizado, ya que
solamente se usa en sistemas operativos Linux. (Imagen 2.5)

(Imagen 2.5)

30
Posteriormente, agregamos un comentario a cada uno de los
prepocesamientos para que no sean utilizados, ya que estos solo son utilizados
por Linux. (Imagen 2.6)

(Imagen 2.6)

Dejamos la White y Black list de este apartado tal y como se muestra en la

imagen siguiente, para esto tendremos que crear los archivos
correspondientes. (Imagen 2.7)

(Imagen 2.7)

31
Abrimos otra pestaña y en la primer línea escribimos un comentario que diga
White list, en la segunda línea agregamos otro comentario que diga una ip por
línea. Guardamos este proceso dentro de la carpeta rules de Snort bajo el
nombre de white.list. (Imagen 2.8)

(Imagen 2.8)
Posteriormente hicimos lo mismo para black.list. (Imagen 2.9)

(Imagen 2.9)

32
Una vez hecho esto, remplazamos todas las diagonales de la línea número 548
a la línea número 661 por diagonales invertidas ya que no pertenecen a Linux
sino a Windows. (Imagen 3.1)

(Imagen 3.1)

En el apartado de preprocesos de reglas siguientes, procedimos a borrar cada

uno de los comentarios hechos y guardamos todos los cambios. (Imagen 3.2)

(Imagen 3.2)

33
Abrimos la consola de comandos de Windows, para dirigirnos dentro de la
ubicación de Snort y ejecutamos el comando siguiente: snort –W. (Imagen 3.3)

(Imagen 3.3)
Una vez que ejecutemos Snort ejecutaremos el siguiente comando: snort –i 4 –
c c:\snort\etc\snort.conf –T; el numero 4 hace referencia a el dispositivo de red
que elegimos. (Imagen 3.4)

(Imagen 3.4)

34
Por ultimo solo tendremos que esperar que el análisis termine y sea
satisfactorio, de ahí ponemos el comando snort –v que es para Mostrar en
pantalla la dirección IP y las cabeceras TCP/UDP/ICMP. Pone snort en modo
sniffer (Imagen 3.5)

(Imagen 3.5)

Ejecutaremos el comando snort –d para mostrar información detallada sobre el

tráfico, incluye todas las cabeceras de la capa de red (TCP, UPD e ICMP).
(Imagen 3.6)

(Imagen 3.6)

35
Ponemos el comando snort –e que es para mostrar información detallada
sobre el tráfico, información detallada sobre el tráfico. (Imagen 3.7)

(Imagen 3.7)
Se escribe el comando snort –q (Imagen 3.8)

(Imagen 3.8)

36
15 CAPÍTULO XV: SEGURIDAD A NIVEL DE ESTACIóN DE TRABAJO : AIVIRA
FREE ANTIVIRUS:

15.1 PREPARACIóN DE LA INS TALACIóN :

ü Antes de la instalación, compruebe si su equipo cumple los requisitos del
sistema.
ü Cierre todas las aplicaciones en ejecución.
ü Asegúrese de que no existen otras soluciones de protección antivirus. Las
funciones automáticas de protección de las distintas soluciones de seguridad
podrían interferir entre ellas (para obtener información sobre las opciones
automáticas, consulte Eliminar software incompatible).
ü Si es necesario, desinstale las barras de herramientas de búsqueda
instaladas anteriormente antes de instalar Avira SearchFree Toolbar. De lo
contrario, no podrá instalar Avira SearchFree Toolbar.
ü Establezca una conexión a Internet.
· La conexión es necesaria para llevar a cabo los siguientes pasos de la
instalación:
Ø Descarga de los archivos de programa actuales y del motor de análisis, así
como de los archivos de firmas de virus actuales del día mediante el
programa de instalación (en instalaciones basadas en Internet)
Ø Activación del programa
Ø Registro como usuario
Ø Si fuera necesario, ejecución de una actualización tras finalizar la instalación
· Debe utilizar el código de activación o el archivo de licencia de Avira Free
Antivirus cuando desee activar el programa.
· Para la activación o registro del producto, Avira Free Antivirus utiliza el
protocolo HTTP y el puerto 80 (comunicaciones web), así como el protocolo
de cifrado SSL y el puerto 443 para comunicarse con los servidores de Avira.
Si usa un cortafuegos, asegúrese de que este no bloquee las conexiones
necesarias y los datos entrantes o salientes.

15.2 INSTALACIóN DE SOFTWA RE DESCARGADO DE LA TIENDA AVIRA

Vaya a www.avira.com/download.
Seleccione el producto y haga clic en Descargar.
Guarde el archivo descargado en el sistema.
Haga clic en el archivo de instalación Avira Free Antivirus_es.exe.
Si aparece la ventana del Control de cuentas de usuario, haga clic en Sí.
El programa comprueba si existe software incompatible (puede obtener más

37
información aquí: Eliminar software incompatible).
Se extrae el archivo de instalación. Se inicia la rutina de instalación.
Continúe con Selección del tipo de instalación.

15.3 ELIMINAR SOFTWARE INCOMPATIBLE

Avira Free Antivirus examinará su equipo para comprobar si existe software
incompatible.
Si se detecta software que puede ser incompatible, Avira Free Antivirus generará la
correspondiente lista de estos programas. Se recomienda desinstalar el software
que ponga en riesgo su equipo.
· Seleccione de la lista aquellos programas que desee desinstalar
automáticamente de su equipo y haga clic en Siguiente.
· En el caso de algunos productos, la desinstalación se ha de confirmar
manualmente.
· Seleccione los programas y haga clic en Siguiente.
· La desinstalación de uno o varios programas puede precisar un reinicio del
equipo. Tras el reinicio, comenzará el proceso de desinstalación.

16 CAPÍTULO XVI: INSTALACIóN DE AVIRA FREE ANTIVIRUS

Confirme que acepta el Acuerdo de licencia del usuario final. Para leer el texto
detallado del Acuerdo de licencia del usuario final, haga clic en el vínculo.

38
16.1 ELECCIóN DE UNA CARPE TA DE DESTINO
La instalación personalizada le permite elegir la carpeta en la que instalar Avira Free
Antivirus. Haga clic en Examinar y vaya hasta la ubicación en la que desee instalar
Avira Free Antivirus.
Seleccione la carpeta en la que desea instalar Avira Free Antivirus en la ventana
seleccionar directorio de destino.
Haga clic en Siguiente.

16.2 ELECCIóN DE LOS COMPO NENTES DE LA INSTALACIóN

En caso de realizar una instalación personalizada o cambios en la instalación, puede
seleccionar los siguientes componentes para añadirlos a la instalación o bien para
quitarlos de ella.

39
Seleccione o anule la selección de los componentes en la lista del cuadro de diálogo
de instalación.
· Avira Free Antivirus Este contiene todos los componentes necesarios para
la instalación correcta de Avira Free Antivirus.
· Real-Time Protection Avira Real-Time Protection se ejecuta en segundo
plano. Supervisa y repara, si fuera posible, los archivos en operaciones como
abrir, escribir y copiar en tiempo real (en acceso). En tiempo real significa
que, si un usuario realiza una operación con un archivo (p. ej., cargar,
ejecutar, copiar el archivo), Avira Free Antivirus analiza automáticamente el
archivo. Al cambiar el nombre de un archivo, no obstante, no se activa el
análisis por parte de Avira Real-Time Protection.
· Firewall de Windows (a partir de Windows 7) Este componente administra
el Firewall de Windows desde Avira Free Antivirus.
· Rookits Protection Avira Rookits Protection comprueba si existe software
instalado en su equipo que no se pueda detectar con los métodos
convencionales de protección contra software malicioso una vez que ha
entrado en el sistema del equipo.
· ProActiv El componente ProActiv supervisa las acciones de las aplicaciones
y alerta a los usuarios del comportamiento sospechoso de las aplicaciones.
Mediante este reconocimiento basado en el comportamiento podrá
protegerse ante software malicioso desconocido. El componente ProActiv
está integrado en Avira Real-Time Protection.
· Web Protection (para los usuarios de Avira Free Antivirus solo en
combinación con Avira SearchFree Toolbar) Mient ras se navega por Internet,
el explorador web solicita datos a un servidor web. Los datos transferidos por
el servidor web (archivos HTML, archivos de secuencia de comandos y de
imagen, archivos Flash, secuencias de audio y de vídeo, etc.) pasan por regla
general a la memoria caché del navegador directamente para su ejecución
en el navegador web, de modo que el análisis en tiempo real que ofrece Avira
Real-Time Protection no es posible. Esta es una vía de acceso de virus y
programas no deseados a su sistema informático. Web Protection es lo que
se denomina un proxy HTTP, que supervisa los puertos utilizados para la
transferencia de datos (80, 8080, 3128) y analiza los datos transferidos para
detectar la existencia de virus y programas no deseados. Según la
configuración, el programa trata los archivos infectados automáticamente o
pregunta al usuario antes de realizar una determinada acción.
· Extensión de shell La Extensión de shell genera una entrada Analizar
ficheros seleccionados con Avira en el menú contextual del Explorador de
Windows (botón derecho del ratón). Esta entrada permite analizar
directamente determinados archivos o directorios.

40
16.3 CONFIGURACIóN DEL NIV EL DE DETECCIóN HEUR ÍSTICA (AHEAD)
Avira Free Antivirus contiene una eficaz herramienta con la tecnología de Avira
AHeAD (Detección y análisis heurísticos avanzados). Esta tecnología utiliza
técnicas de reconocimiento de patrones, por lo que es capaz de detectar software
malicioso desconocido (nuevo) cuando ha analizado otro software malicioso
anteriormente.

Seleccione un nivel de detección en el cuadro de diálogo Configurar AHeAD y haga

clic en Siguiente.
El nivel de detección seleccionado se aplica a la configuración de la tecnología
AHeAD de System Scanner (análisis directo) y Real-Time Protection (análisis en
tiempo real).

16.4 SELECCIóN DE CATEGORÍ AS DE RIESGOS AVANZADAS

Los virus y el software malicioso no son las únicas amenazas que suponen un
peligro para el sistema del equipo. Hemos definido una lista completa de riesgos y
los hemos organizado en categorías de riesgos avanzadas para nuestros usuarios.

41
Varias categorías de riesgos están seleccionadas de manera predeterminada.
Si es necesario, active más categorías de riesgos en el cuadro de diálogo
Seleccionar categorías de riesgos avanzadas.
Si cambia, de idea puede volver a seleccionar los valores recomendados haciendo
clic en el botón Valores predeterminados.
Para continuar con la instalación, haga clic en Siguiente.

16.5 INICIAR UN ANÁLISIS TRAS LA INSTALACIóN

Para comprobar el estado de seguridad actual del equipo, se puede realizar un
análisis rápido del sistema una vez finalizada la configuración y antes de reiniciar el
equipo. System Scanner analiza los programas en ejecución y los archivos de
sistema más importantes en busca de virus y software malicioso.

Si desea realizar un análisis rápido del sistema, deje la opción Análisis rápido del
sistema activado.
Haga clic en Siguiente.
Para terminar la configuración, haga clic en Finalizar.
Si no ha desactivado la opción Análisis rápido del sistema, se abre la ventana
Luke Filewalker. System Scanner realiza un análisis rápido del sistema.

42
17 CAPÍTULO XVII: CREACIóN DE USUARIOS Y GRUPOS DE TRABAJOS
(ASIGNACIóN DE PERMIS OS)

Imagen 1

Para iniciar la práctica abrimos la consola de comandos, dando clic en inicio y

seleccionamos símbolo del sistema (Ver imagen 1)

Imagen 2

Iniciamos sesión en la consola como administrador (Ver imagen 2)

43
 Imagen 3

Se crea un usuario desde la consola de comandos escribiendo net user frijolin (que
es el nombre de usuario) Que_1230987654 (que es la contraseña) /add y le damos
enter (Ver imagen 3)

Imagen 4

Nos avisara que la acción se ha completado exitosamente (Ver imagen 4)

44
 Imagen 5

Ejecutamos el comando net user y podemos observamos los usuarios que hay en
la computadora (Ver imagen 5)

Imagen 6

Se creara un grupo desde la consola llamado Trabajo602, para esto se pondrá como
administrador net localgroup Trabajo602 /add (Ver imagen 6)

45
 Imagen 7

Podemos observar que el comando se ha completado exitosamente (Ver imagen 7)

Imagen 8

Para verificar el grupo creado se pondrá net localgroup y le daremos enter (Ver
imagen 8)

46
 Imagen 9

Ejecutamos ahora el comando Net localgroup, que nos mostrará los grupos que
tenemos dentro del servidor, y a los que podemos acceder, podemos ver que
nuestro grupo creado anteriormente se encuentra en la lista, Trabajo 602, es el
grupo que hicimos nosotros. Ver imagen 9.

Imagen 10

Para añadir un usuario escribiremos el comando net localgroup seguido de esto

especificamos en que grupo queremos el usuario Trabajo 602, poniendo después de esto el
nombre de nuestro usuario, que es Frijolin, al final agregamos /add para añadir, quedando
de esta forma: net localgroup Trabajo 602 frijolin /add. Ver imagen 10

47
 Imagen 11

Al iniciar la consola de comandos de Windows esta nos ubica en la ruta

C:\Users\Administrador, que es la ruta desde donde la ejecutamos, lo que haremos es
salir de esa carpeta, para ello aplicaremos el comando cd.. Como nos aparece al ejecutarlo
por primera vez se nos muestra que la ruta ya no es la misma ahora es C:\Users, por lo
tanto lo aplicaremos nuevamente para salir directamente a la unidad principal del disco duro
que es C:\. Ver imagen 11.

Imagen 12

Ahora si bien crearemos una carpeta dentro de esa unidad, para eso ejecutaremos
el comando md seguido del nombre de nuestra carpeta, esto creará la nueva
carpeta dentro de la unidad especificada. Ver imagen 12

48
 Imagen 13

Ahora crearemos carpetas dentro de la carpeta antes creada, para ubicarnos dentro de la
carpeta ejecutaremos el comando cd, seguido de el nombre de esta carpeta, quedando así:
cd 602. Ver imagen 13.

Imagen 14

Una ves ejecutado este comando, crearemos una serie de carpetas dentro, con el
comando md, le asignaremos el nombre imágenes a la carpeta, por lo que el
comando quedará de la siguiente forma md imágenes. Ver imagen 14
49
 Imagen 15

Crearemos una nueva carpeta dentro, con el comando md, le asignaremos el nombre
musica a la carpeta, por lo que el comando quedará de la siguiente forma md musica. Ver
imagen 15.

Imagen 16

Crearemos otra nueva carpeta dentro, con el comando md, el nombre será
documentos, por lo que el comando quedará de la siguiente forma md
documentos. Ver imagen 16.
50
 Imagen 17

Ya que hayamos creado las carpetas ingresaremos a la carpeta de imágenes que

está dentro del grupo 602 (ver imagen 17).

Imagen 18

A continuación se crearan archivos .mp3, .jpg, .wmv, .docx en el escritorio (ver

imagen 18).

51
 Imagen 19

Para mover los archivos que se crearon con anterioridad en el escritorio ocuparemos el
comando move, escribiendo move, dando espacio, escribiendo la ruta donde se encuentra
el archivo que queremos mover, espacio nuevamente y la ruta a donde lo moveremos (se
tiene que poner tal y como esta para que no haya errores al momento de realizarlo), en este
caso se moverá el archivp de música, se escribirá move
C:\Users\Administrador\Desktop\Hola.mp3 C:\602\musica (ver imagen 19).

Imagen 20

En este caso la ruta que se utilizara para mover el archivo de imagen es move
C:\Users\Administrador\Desktop\Hola.jpg C:\602\imagenes (ver imagen 20)

52
 Imagen 21

Para mover el archivo de video se ocupara la ruta move

C:\Users\Administrador\Desktop\Hola.wmv C:\602\video (ver imagen 21).

Imagen 22

Y por ultimo para mover el archivo de texto se ocupara la ruta move

C:\Users\Administrador\Desktop\Hola.docx C:\602\documentos (ver imagen 22).

53
 Imagen 23

Después ingresaremos al administrador de directivas dando clic derecho y

escogiendo la opción editar, luego daremos clic en asignación de derechos de
usuario>permitir el inicio de sesión local, se agregara el usuario que se creo
anteriormente Trabajo 602: Frijolin y seleccionar la opción aceptar (ver imagen 23)

Imagen 24

Para que se guarden todos los cambios que se hicieron se ejecutara el comando
GRUPDATE/FORCE y clic en aceptar (ver imagen 24).

54
 Imagen 25

Ya que se le halla dado permiso a los usurios, los seleccionamos los usuario que
se compartieron archivos. Ver en imagen 25.

Imagen 26

Abrimos la barra de inicio y ejecutamos la consola de comandos. Ver en imagen 26

55
 Imagen 27

Imagen 25
Después escribimos el comando para poder compartir un archivo de Word al a la
carpeta de 602 perteneciente al usuario frijolito. Ver en imagen 27

Imagen 28

28
En la imagen se muestra que el archivo que se compartió, si se ejecutó
correctamente y si se pudo abrir. Ver imagen 28

56
 Imagen 29

Después se ejecutaron los comandos para compartir, un archivo de imagen, el

archivo mp3 y el archivo de video. Ver en imagen 29

Imagen 30

Ya que se compartió la imagen al usuario, comprobamos que si el usuario si tenga

permiso para abrir el archivo. Ver en imagen 30.

57
 Imagen 31

Se muestra que el archivo que se compartió a esta carpeta, si lo reconoció, y si fue

correcto el procedimiento de compartimiento. Ver en imagen 31

18 CAPÍTULO XVIII: WIRESHARK

Wireshark, es una herramienta de análisis paquetes de red, que captura los
paquetes en tiempo real y los visualiza en formato legible. Wireshark incluye filtros,
codificación de colores y otras características que te permiten profundizar en el
tráfico de red e inspeccionar paquetes individualmente.

18.1 DESCARGAR WIRESHARK

Puede descargar Wireshark para Windows o Mac OS X desde su sitio web oficial.
Escoge según el sistema operativo que uses

58
Sólo una advertencia rápida: Muchas organizaciones no permiten Analyzer
Wireshark y herramientas similares en sus redes. No utilice esta herramienta en el
trabajo a menos que tengas permiso.

18.2 CóMO USAR WIRESHARK PARA CAPTURAR PAQUETES

Después de descargar e instalar Wireshark, puedes iniciarlo y hacer clic en el
nombre de una interfaz, en Lista de interfaces, para comenzar a capturar paquetes
en esa interfaz. Por ejemplo, si deseas capturar el tráfico en la red inalámbrica, haz
doble clic en la interfaz Conexión de red inalámbrica.

Tan pronto como hagas clic en el nombre de la interfaz, verás que los paquetes
empiezan a aparecer en tiempo real. Wireshark captura cada paquete enviado hacia
o desde tu sistema. Si estás haciendo capturas en una interfaz inalámbrica y tienes
el modo promiscuo activado en sus opciones de captura (el cual está habilitado por
defecto), también verá los paquetes de los otros paquetes de la red.

59
Haz clic en el botón detener captura (Botón Rojo cuadrado #2) cerca de la esquina
superior izquierda de la ventana cuando desees detener la captura de tráfico.

Dejamos una pequeña guía de los controles de Wireshark, enumerando desde

abajo hacia arriba del 1 al 15.

60
18.3 CODIFICACIóN DE COLOR EN WIRESHARK
Probablemente verá paquetes resaltados en verde, azul y negro. Wireshark utiliza
colores para ayudarle a identificar los tipos de tráfico de un vistazo. De forma
predeterminada, el verde es el tráfico TCP, el azul es el tráf ico DNS, el azul claro es
el tráfico UDP y el negro identifica los paquetes TCP con problemas; por ejemplo,
podrían haber sido entregados dañados.

Para ver exactamente lo que significan los códigos de color, haga clic en View>
Coloring rules. Ta mbién puede personalizar y modificar las reglas de coloración de
aquí, si lo desea (solo debe hacer doble clic sobre alguno de ellos y escoge el color
que quiera).

61
18.4 CAPTURAS DE EJEMPLO
Luego de que haya presionado el botón “Detener captura” usted puede guardar
esa captura para examinarla posteriormente, presionando Ctrl+Shift+S, o
simplemente vaya a File>Save as, y coloca un nombre de su preferencia, como por
ejemplo “PrimeraCaptura”. Luego presiona Guardar.

Abrir un archivo de captura es fácil; Simplemente, después de que tengas guardado

cualquier paquete, cierre wireshark y vuélvalo a abrir, aparecerá de inmediato el
paquete que capturo anteriormente, haz doble clic en el archivo y este se abrirá en
la pantalla principal de Wireshark automáticamente, sino también puedes desde el
menú de Wireshark File -> Open. También puedes guardar tus propias capturas
en Wireshark y abrirlas más tarde.

18.5 CóMO USAR WIRESHARK PARA FILTRAR PAQUETES

Si está intentando inspeccionar algo específico, como el tráfico que envía un
programa al llamar a casa, ayuda cerrar todas las demás aplicaciones que utilizan
la red para reducir el tráfico. Sin embargo, es probable que tenga una gran cantidad
de paquetes para filtrar. Ahí es donde entran los filtros de Wireshark.
La forma más básica de aplicar un filtro es escribiéndola en el cuadro de filtro en la
parte superior de la ventana y haciendo clic en Aplicar (o presionando Enter). Por
ejemplo, escriba “dns” y verá sólo paquetes DNS. Cuando comience a escribir,
Wireshark te ayudará a completar tu filtro automáticamente, luego también puedes
darle clic en la flecha azul de la imagen de abajo para enfocarte en lo que buscas.

62
También puede hacer clic en el menú Analizar y seleccionar Mostrar filtros para
crear un nuevo filtro.

Otra cosa interesante que puedes hacer es hacer clic con el botón derecho del ratón
en un paquete y seleccionar Follow -> TCP Stream (seguir la secuencia TCP).

Verá la conversación completa entre el cliente y el servidor.

63
Cierra la ventana y verás que se ha aplicado automáticamente un filtro – Wireshark
te muestra los paquetes que componen la conversación.

64
18.6 CóMO USAR WIRESHARK PARA ANALIZAR PAQUETES
Haz clic en un paquete para seleccionarlo y puedes bajar para ver sus detalles.

También puedes crear filtros desde aquí: haz clic con el botón derecho en uno de
los detalles y usa el submenú Aplicar como filtro para crear un filtro basado en él.

Este tutorial de Wireshark sólo toca una parte superficial de lo que puede hacer con
esta poderosa herramienta. Los profesionales lo usan para depurar las
implementaciones del protocolo de red, examinar problemas de seguridad e
inspeccionar cómo funcionan los protocolos en redes privadas.

65
19 CAPÍTULO XIX: CóMO ACTIVAR , DESACTIVAR Y CREAR NUEVAS REGLAS
EN EL FIREWALL DE WINDOWS 10

19.1 COMPARTIR
Sin las medidas de seguridad necesarias, un sistema operativo es vulnerable a
diferentes ataques a través de Internet. Una de las aplicaciones de seguridad más
utilizadas diseñadas especialmente para protegernos de los ataques de red por
parte de piratas informáticos son los cortafuegos, también conocidos como
Firewalls.
Un Firewall es una aplicación encargada de controlar todas y cada una de las
conexiones, tanto entrantes como salientes, que tienen lugar en el sistema operativo
de manera que sea capaz de elegir cuales permitir o cuales bloquear en función a
una serie de filtros automáticos o reglas establecidas por los propios usuarios.
La mayoría de las soluciones antivirus y de seguridad del mercado vienen con un
módulo cortafuegos que nos permite proteger las conexiones del tráfico no deseado,
sin embargo, Windows también instala por defecto junto al sistema operativos un
simple cortafuegos que, aunque no es demasiado eficaz y es bastante complicado
de utilizar y configurar, nos puede ayudar a protegernos de los ataques más
sencillos de red.
A continuación, vamos a ver cómo se utiliza este cortafuegos, cómo podemos
activarlo para proteger nuestro sistema, desactivarlo en caso de tener problemas
con él y cómo crear reglas personalizadas para permitir la conexión de
determinadas aplicaciones a través de puertos específicos.

19.2 CóMO VER EL ESTADO DE L FIREWALL DE WINDOWS 10 Y ACTIVAR O DESACTIVAR ESTA

CARACTERÍSTICA
Lo primero que debemos hacer es buscar en Cortana, el nuevo buscador de
Windows 10, “Firewall” para ver todos los apartados de configuración relacionados
con esta herramienta de seguridad.

66
Pulsamos sobre “Comprobar estado del firewall” y veremos una ventana similar
a la siguiente, donde podremos ver tanto si el cortafuego está siendo controlado por
otra aplicación (por ejemplo, una suite antivirus instalada) o si está tanto activado
como desactivado para las redes públicas (las que salen a
Internet) y para las privadas (redes locales).

En caso de querer cambiar esta configuración, simplemente debemos seleccionar,

en el menú de opciones del lateral izquierdo, “Activar o desactivar firewall de
Windows“. Se nos abrirá una nueva ventana como la siguiente.

Desde aquí podemos activarlo o desactivarlo para las redes públicas y privadas, así
como elegir si queremos aplicar un bloqueo global, de todas las conexiones (por
ejemplo, en caso de emergencia o para desconectarnos temporalmente de Internet)
y si queremos ver notificaciones cada vez que se bloquee una conexión.
A nivel muy básico, estas son las principales opciones que nos ofrece Windows con
su cortafuegos de fábrica, sin embargo, también es posible configurar los filtros de

67
manera que si, por ejemplo, queremos que una aplicación concreta pueda salir a
Internet por un solo puerto, podamos abrir dicho puerto permaneciendo cerrados los
demás.

19.3 CóMO CREAR REGLAS PAR A ABRIR Y CERRAR PUERTOS EN EL FIREWALL DE WINDOWS 10
Para la creación de las reglas, en el mismo menú de la parte izquierda anterior
debemos seleccionar “Configuración avanzada“. Veremos una ventana similar a la
siguiente.

Podemos ver en la parte izquierda, tenemos dos tipos de reglas diferentes:

Reglas de entrada: Controlan el tráfico que se permite o bloquea desde fuentes
externas, es decir, las conexiones que se generan en Internet y que llegan a nuestro
ordenador.
Reglas de salida: Controla las conexiones que se generan en nuestro ordenador y
que tienen como objetivo salir a Internet.
Seleccionamos en este panel del tipo de regla que queremos crear y, en la parte
derecha, pulsamos sobre “Nueva regla”.

68
Nos aparecerá un sencillo asistente como el siguiente.

Lo primero que debemos hacer es seleccionar el tipo de regla que vamos a crear,
ya sea, por ejemplo, para un programa específico (útil para abrir los puertos en el
eMule o uTorrent), una regla para permitir el tráfico a través de un puerto concreto,
una regla predefinida o personalizada.
La regla personalizada es la más completa y cubre tanto los apartados de una regla
de programa como los de una regla de puerto, por lo que vamos a ver esta que, en
resumen, nos permitirá habilitar la conexión de una aplicación específica a través
de un puerto concreto.

69
Lo primero que nos preguntará será qué programa o servicio va a verse afectado
por dicha regla. Podemos elegir uno concreto o marcar la opción de “Todos los
programas” para que dicha regla se aplique a todo. En el siguiente paso tendremos
que configurar el protocolo y los puertos.

Aquí elegiremos a través de qué protocolo se hará la conexión (los más comunes
con TCP y UDP) y especificar los puertos locales y remotos que queremos permitir
(o bloquear). Continuamos con el asistente y a continuación podremos elegir las
direcciones IP locales y remotas para las que se hará efectiva dicha regla.

70
A continuación, tendremos que elegir si queremos permitir la conexión, permitirla
siempre que sea a través de protocolos seguros o bloquear toda la conexión de la
regla.

En el siguiente paso debemos configurar cuándo queremos que se aplique la regla,

dentro de un dominio, en una red pública o en una red privada.

71
Por último, el asistente nos preguntará por el nombre y la descripción de dicha regla
de manera que podamos identificarla en caso de tener que realizar alguna
modificación en ella.

Tras finalizar el asistente, la regla se activará y empezará a funcionar en nuestro

sistema operativo. A partir de ahora, todo el tráfico tendrá que cumplir las
condiciones específicas para dicha regla si quiere poder transmitirse sin problemas,
de no ser así, se bloqueará la conexión como medida de seguridad para evitar
posibles problemas mayores.

72
20 CAPÍTULO XX: CONCLUSIóN

Gracias a todos los protocolos de seguridad con los que contamos hoy en día, en
muchas empresas, negocios, etc., se puede tener una mayor seguridad de datos
con los que cuentan, todas las empresas, así como un buen servicio a los clientes,
con responsabilidad, amabilidad, y con toda la seguridad posible, con la finalidad de
proteger bien todos los datos que se manejan, de cada usuario/cliente.
Y sobre todo la importancia que tienen los programas que hoy en día, nos da la
ventaja de tener seguridad.
Para la mayoría de los expertos el concepto de seguridad en la informática es
utópico porque no existe un sistema 100% seguro.
Hay que advertir que la seguridad por ocultación no es un método seguro, por
ejemplo, podría pensarse que esconder una copia de la llave de la casa bajo el
felpudo de la entrada sería una buena medida contra la posibilidad de quedar uno
atrapado fuera de la casa, por culpa de un olvido o pérdida de la llave de uso
habitual. Entonces estaríamos fiándonos de la seguridad por ocultación. La
vulnerabilidad sería que alguien pudiera entrar en la casa abriendo la puerta con la
copia de la llave. Sin embargo, los dueños de la casa creen que la localización de
la llave no es conocida públicamente, y que es improbable que un ladrón la
encontrara. En este ejemplo, dado que los ladrones suelen conocer los escondites
frecuentes, habría que advertir al dueño de la casa contra esta medida, lo mismo
puede pasar con un sistema informático.
Un sistema que se apoya en la seguridad por ocultación puede tener
vulnerabilidades teóricas o prácticas, pero sus propietarios o diseñadores creen que
esos puntos débiles no se conocen, y que es probable que los atacantes no los
descubran.

73
MEGA