FORMATO No.

ANTEPROYECTO

TITULO
IMPLEMENTACIÓN DE UN HONEYPOT DE INVESTIGACIÓN (DE BAJA
INTERACCIÓN) EN UNA RED INDEPENDIENTE PARA LA REALIZACIÓN DE
PRÁCTICAS EN LA ASIGNATURA SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN DE LA CARRERA DE INGENIERIA DE SISTEMAS EN LA
UNIVERSIDAD POPULAR DEL CESAR SECCIONAL AGUACHICA.

1. PROBLEMA

1.1 FORMULACION DEL PROBLEMA:

Actualmente son más frecuentes los ataques informáticos a través de la red. Aunque
las técnicas de seguridad han mejorado considerablemente, existen innumerables
formas de ataque. Una de las técnicas más efectivas de defensa son los Honeypots,
que se presentan como una alternativa real a esta problemática.
Para entender a los atacantes informáticos o “Hackers”, hay que tener conocimiento
de los procedimientos y las herramientas utilizadas por ellos. Se debe saber atacar
para saber cómo defenderse, es por este motivo que en la asignatura Seguridad y
Privacidad de la Información, impartida en la carrera Ingeniería de Sistemas, se
realizan prácticas de ciber-ataques, pero actualmente estas no se efectúan en un
ambiente controlado. En vez de esto, es responsabilidad de cada estudiante decidir
de qué manera llevarla a cabo, pero esto en ocasiones puede significar incurrir en
problemas de tipo legal. Debido a esto, Universidad Popular del Cesar Seccional
Aguachica necesita garantizar que estas prácticas sean monitorizadas por el
docente.

La creación de una red independiente haciendo uso de un Honeypot de baja

interacción, para labores de investigación, es un requisito para el desarrollo de las
prácticas monitorizadas, la cual le permita a los estudiantes saber de qué forma se
puede atacar un sistema y así poder implementar medidas de protección.

1.2 JUSTIFICACION:

La seguridad informática en la actualidad es indispensable, pues al día de hoy Tanto

personas como empresas manejan grandes cantidades de información personal y
confidencial. Todos ellos tienen el derecho de proteger la información que
consideran valiosa. Defender los tres pilares fundamentales de la seguridad C.I.D
(Confidencialidad, Integridad y Disponibilidad) es la tarea más importante que se
debe realizar teniendo en cuenta que actualmente cada vez son más frecuentes los
ataques informáticos a través de la red.

Los Honeypots son en su forma más básica, falsos servidores de información

estratégicamente posicionados en una red, que se alimentan de información falsa
disfrazada de archivos clasificados. A su vez, estos servidores se configuran
inicialmente de una manera que es difícil, pero no imposible, entrar en ellos por un
atacante; exponerlos deliberadamente y hacerlos muy atractivos para un hacker en
busca de un objetivo.

Al implementar el Honeypot se tendrá un ambiente controlado y con él se puede

recoger información valiosa que más tarde puede ser analizada y así obtener datos
relevantes para otras investigaciones. Por medio de estas prácticas los estudiantes
podrán obtener el conocimiento necesario para saber de qué forma se puede
implementar medidas de seguridad para proteger la información.

1.3 OBJETIVOS:

OBJETIVO GENERAL

IMPLEMENTAR UN HONEYPOT DE INVESTIGACIÓN (DE BAJA INTERACCIÓN)

EN UNA RED INDEPENDIENTE PARA LA REALIZACIÓN DE PRÁCTICAS EN LA
ASIGNATURA SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN DE LA
CARRERA DE INGENIERIA DE SISTEMAS EN LA UNIVERSIDAD POPULAR DEL
CESAR SECCIONAL AGUACHICA.

OBJETIVOS ESPECÍFICOS:

 Identificar las fuentes de información necesaria para llevar a cabo la

conceptualización apropiada de un Honeypot.
 Explorar la ruta adecuada para la optimización de la red de Honeypot
 Analizar la arquitectura de un Honeypot para su correcta implementación.
 Analizar el funcionamiento de un Honeypot a partir de una prueba
experimental.
1.4 DELIMITACION:

1.4.1 Temporal.

La presente investigación se desarrollará en un periodo de 4 meses comprendidos

desde la fecha de aprobación del Comité de Proyecto de Grado.

1.4.2 Espacial.

La presente investigación se realizará en la Universidad Popular del Cesar

Seccional Aguachica.

1.4.3 Contextual.

La investigación de diseño del presente trabajo de graduación se hace con base a

la infraestructura de la Universidad Popular del Cesar Seccional Aguachica.

La Universidad Popular del Cesar Seccional Aguachica actualmente consta de una

cantidad de 1842 estudiantes, siendo 266 de la carrera de Ingeniería de Sistemas,
y de los cuales 15 se encuentran en la asignatura de Seguridad y Privacidad de la
Información, que es donde se implementará este proyecto.

Otras asignaturas que se verán beneficiadas con este proyecto son:

- Redes y Telecomunicaciones I
- Redes y Telecomunicaciones II
- Derecho Informático
- Servidores
- Profundización A2 Auditoria Sistemas
Debido a que cuentan con algunas similitudes con respecto a los temas que se
trabajarán en el proyecto.

2 MARCO REFERENCIAL.

2.1 MARCO HISTORICO:

2.1.1 Problemática de Ataques

En la actual era digital, como secuelas del uso ineludible de las tecnologías de
la información y las comunicaciones, se desconoce la totalidad de sus
consecuencias. Sin embargo, esto no ha sido un limitante en su evolución y
utilización en innumerables procesos llevados a cabo alrededor del mundo. Debido
al gran volumen de datos generados diariamente en la sociedad, se implementan
sistemas informáticos encargados de gestionar información y optimizar procesos.
En consecuencia, no es de extrañar que la gestión de seguridad de la información,
donde el propósito es proteger los activos de información de una organización, se
ha convertido en una cuestión estratégica importante para la mayoría de las
organizaciones. [1].
El avance vertiginoso de la tecnología; así mismo como el famoso Internet de
las Cosas (IoT), también ofrece oportunidades inmensas a los criminales
informáticos, ya que todo se encuentra cada vez más digitalizado y por consiguiente
hay más vulnerabilidad de acceso a la información siempre que se logre el propósito
de alcanzar un nuevo mecanismo que supere, mejore o refuerce a su versión
anterior. También se suma a esto que es imposible obtener un cien por ciento
(100%) de seguridad informática para la protección de la información confidencial,
siempre se logran altos índices de seguridad, pero por más alto que sea este
porcentaje nunca va a alcanzar esa totalidad de seguridad. se generan así “agujeros
de seguridad” el cual es un término general para referirse a lo que son los pequeños
puntos débiles por donde un atacante fijara su atención y por medio de este, puede
ejercer sus funciones criminales a un determinado sistema informático.
Es allí cuando es conveniente ponerse en los zapatos de este criminal y pensar
en cómo va actuar y qué posibles acciones tomará para penetrar el sistema
informático por medio de un agujero de seguridad; es necesario un monitoreo en el
atacante. De esta forma se podría analizar sus conductas y predecir algunas de sus
acciones, y qué mejor forma de vigilarlo que atraerlo directamente hacia su objetivo
para estudiar sus movimientos y así poder detenerlo y denunciarlo a las autoridades;
aprender de él y atrapar futuros invasores.
¿No sería mejor conocer al criminal trayéndolo directamente a su
carnada?
2.1.2 The Honeynet Project
The Honeynet Project es una organización internacional de investigación de
seguridad sin fines de lucro dedicada a investigar los últimos ataques y desarrollar
herramientas de seguridad de código abierto para mejorar la seguridad en Internet.
Con Capítulos de todo el mundo, sus voluntarios han contribuido a luchar contra el
malware (como Confickr), descubrir nuevos ataques y crear herramientas de
seguridad utilizadas por empresas y agencias gubernamentales de todo el mundo.
La organización sigue estando a la vanguardia de la investigación de seguridad,
trabajando para analizar los últimos ataques y educar al público sobre las amenazas
a los sistemas de información en todo el mundo.
Fundada en 1999, The Honeynet Project ha contribuido a luchar contra el
malware y los ataques maliciosos de la incursión y tiene el profesional principal de
la seguridad entre los miembros y los alumnos. Su misión es "aprender de las
herramientas, las tácticas y los motivos involucrados en ataques informáticos y de
red, además de compartir las lecciones aprendidas" con tres pilares principales:
Investigación, conciencia y suministro de herramientas.
Su visión se define como: “The Honeynet Project es un grupo diverso,
talentoso y comprometido de expertos internacionales en seguridad informática que
llevan a cabo una investigación y desarrollo abiertos y transversales en el panorama
de la amenaza en evolución. Coopera con personas y organizaciones de ideas
afines en ese empeño.” [2]
“The Honeynet Project” fue iniciada para encender una luz en esta oscuridad.
Este equipo de investigadores ha construido una red informática completa y
totalmente cableada con sensores. Luego pusieron la red en Internet, dándole un
nombre y un contenido adecuadamente atractivos, y registró lo que pasó. (La
dirección IP actual no se publica y cambia con regularidad.) Las acciones de los
hackers se registran a medida que suceden: cómo intentan entrar, cuándo tienen
éxito, y qué hacen luego de obtener el éxito. [3]

2.2 Marco Teórico

2.1 Honeypot
Un Honeypot es un tipo de mecanismo informático que sirve para detectar o
frustrar intentos no autorizados de acceso a sistemas informáticos, estos tipos de
accesos también son conocidos como ataques informáticos. Éste mecanismo
consiste en datos de información que se encuentran alojados en lugares específicos
tales como servidores o páginas web de forma normal como cualquier otro tipo de
dato que se encuentre allí, pero el Honeypot es secretamente aislado y monitoreado
para que capture información de posibles atacantes cuando estos intenten acceder
a al Honeypot y así enviar en detalle esta información al administrador de la red.
De allí la etimología de su nombre en inglés la cual se traduce al español como
“tarro de miel”, que en el contexto informático es un anzuelo que atrae atacantes y
permite adquirir información de gran valor de este para luego poder atraparlo,
bloquearlo y reportarlo a autoridades sin que este se dé cuenta que está siendo
vigilado, pues el robo de información es considerado un crimen.
Resulta curioso que la mayoría de herramientas que se utilizan en el mundo
de la seguridad informática funcionan bajo la premisa de mantener alejados a los
atacantes, mientras que el concepto de Honeypot, que a su vez es una de estas
herramientas, la contradice pues hace todo lo contrario, traer un atacante y
analizarlo desde cerca sin que este se percate.
 2.2.1.1 Clasificación de Honeypots
Debido a que los Honeypots pueden ser simples o complejos; se clasifican de
las siguientes maneras:
2.2.1.1.1 Clasificación A: Según su Interacción
I) Honeypots de Alta Interacción: Este tipo de Honeypots están diseñados
exclusivamente para que sean atacados y configurados para que cuando esto
suceda envíen alertas al más mínimo intento de acceso a ellos, generalmente son
máquinas reales (físicas) usadas por empresas en sus arquitecturas de redes
internas. Aunque puede verse como un arma de doble filo, la gran ventaja de este
tipo de Honeypots es que pueden prevenir cualquier tipo de ataques. En los
Honeypots de alta interacción todas las fallas están al descubierto así que, si no se
hace el correcto aislamiento y monitoreo de este, toda la información se podría ver
comprometida y el culpable de esto no solo sería el atacante sino además el
administrador.
II) Honeypots de Baja Interacción: Estos Honeypots suelen ser creados y
gestionados por organizaciones dedicadas a la investigación del fraude en Internet,
o cualquier tipo de organización que necesite investigar sobre las nuevas amenazas
en la red. Esto es contraparte de los Honeypots de Alta Interacción debido a su
complejidad y su recolección de información profunda y detallada. Generalmente se
tratan de sistemas que emulan servicios, protocolos etc… Pero siempre existe un
proceso en un segundo plano el cual se le denomina como un “meta-sistema”,
puesto que ese sistema o ese conjunto de sistemas son Honeypots emulan y
simulan a la vez la función de dicho protocolo o servicio, Por ejemplo, si un Honeypot
de Baja Interacción está como un protocolo de mensajería este recibe su
información del usuario, pero no la envía. Dejando como conclusión que esta clase
de Honeypots se dedica es a capturar herramientas automatizadas y no personas
en sí; cada vez se vuelve más complicado detectar nuevos ataques por lo que la
clave es detectar patrones de ataques. Debe estar altamente protegido para que no
se ponga en contra del administrador.

Alta interacción Baja interacción

Servicios reales, sistemas operativos o Emulan servicios, vulnerabilidades,
aplicaciones etc.
El riesgo que corren es mayor El riesgo que corren es menor.
 Capturan mucha información.
Capturan menos información, pero
Dependen de su sistema de
más valiosa
clasificación y análisis para avaluarlo.

Tabla 1: Comparación entre Honeypots de alta y baja interacción, Fuente:

Virtual Honeypots

III) Honeypots Puros: Son sistemas de producción completos. Las actividades

del atacante son monitoreadas usando un toque casual que ha sido instalado en el
enlace del Honeypot a la red. No es necesario instalar ningún otro software. Aunque
un Honeypot puro es útil, la furtividad de los mecanismos de la defensa puede ser
asegurada por un mecanismo más controlado.
IV) Honeymonkey: Aunque no es un Honeypot en sí, está basado en la
emulación de Servidores. En este entorno se añade el término Honeypot Cliente,
puesto que cambia de bando y no espera a ser atacado si no a atacar y estar
bastante activo en esta práctica, esto es un Honeymonkey. Tiene los mismos
objetivos que los Honeypots mencionados, solo que varía en su función, ya que la
exploración se hace activamente por medio del navegador, esto es que siempre
está visitando todo tipo de páginas y si encuentra una que detecta vulnerabilidades
de tal navegador hace que esta intente aprovechar esa oportunidad y así recolectar
información. Son demasiado activos por los que se le comparan como agentes que
siempre están vigilando y patrullando un sistema de red. Fue Microsoft quien los
bautizó. “Monkey” (mono, en inglés) hace alusión a los saltos y el dinamismo del
tipo de acción que realizan. Con este método, al igual que los Honeypots, se pueden
encontrar nuevos Exploits, gusanos, etc., siempre que se analice y procese
convenientemente toda la información recogida. [4]
V) Honeytoken: Es un término teórico para referirse a los Honeypots que no
son computadores, representados principalmente por bases de datos, nubes de
almacenamiento o información que está siendo accedida abusivamente, un
Honeytoken es un testigo pasivo de ataques; no los previene, pero si da ideas a los
administradores y un mejor dimensionamiento confidencial de la integridad de
datos.
2.2.1.1.2 Clasificación B: Según su Valor de Seguridad
I) Honeypots de Producción: Son aquellos que se encarga de capturar y
defender, proporcionan servicios que están presentes en una red autentica, estos
Honeypots cuentan con varias tareas, una de ellas es reducir el riesgo de ataques
en la red principal de la empresa, previenen el acceso a información confidencial
mediante el engaño a los atacantes y la prevención adecuada. Hacen que los
atacantes crean que están cumpliendo su objetivo de atacar un sistema y robar su
información cuando en realidad están es atacando un señuelo. Cuando esto sucede,
se utilizan métodos como la denegación y limitación de servicios o incluso la
prohibición temporal de estos, para no solo para evitar el acceso no autorizado si
no recopilar información de todos los detalles de las opciones y herramientas
utilizadas por el atacante.
II) Honeypots de Investigación: como su nombre lo indica son Honeypots
utilizados por las instituciones con énfasis investigativo y científico para proteger los
sistemas de nuevos ataques y amenazas. Su función y enfoque principal es analizar
la información obtenida, también puede generar un historial paso a paso de los
movimientos realizados por el criminal para así elaborar un perfil que concuerde con
su modus operandi.

2.2.1.1.3 Clasificación C: Según su Estado

I) Honeypots físicos: Aquellos que son implementados en una máquina real,
este a su vez tiene una interacción bastante alta y pueden ser comprometidos en
su totalidad. Su instalación es cara y más elaborada.

II) Honeypots virtuales: Son aquellos que se implementan por medio de la

asignación de direcciones IP debido a la amplia cantidad de espacio y disponibilidad
de estas direcciones en entornos virtuales.
Cabe resaltar que en una máquina física se pueden emular Honeypots
virtuales por medio de máquina virtuales, al realizar esto, el Honeypot virtual
adquiere casi en su totalidad las propiedades y ventajas concedidas por un
Honeypot físico real de alta interacción y de forma más económica-practica
utilizando menos hardware. Así como en una máquina virtual, estos Honeypots
emulados dependen de un software, pero también se les da conexión a la red y su
propio rango de direcciones IP.
Debido a que no hay razones legítimas para conectarse a un Honeypot,
cualquier interacción es probablemente maliciosa. Por lo tanto, los Honeypots
reducen dramáticamente el número de alertas y falsos positivos en comparación
con los productos de seguridad basados en eventos de red tradicionales, como los
sistemas de detección de intrusos. Esta alta relación señal-ruido es útil para los
administradores a menudo abrumados por falsas alarmas, ya que los conjuntos de
datos más pequeños son relativamente pequeños y fáciles de manejar y analizar.
Esto da como resultado una detección de ataque más corta y tiempos de respuesta
a incidentes. [5]

2.2.1.2 Arquitectura de un Honeypot

 Hay que tener en cuenta que los Honeypots se deben integrar con el resto del
sistema que se tiene implementado, por ejemplo: servidores web, servidores de
ficheros, DNS. De manera de asegurar que no interfiera con las otras medidas de
seguridad que puedan ya existir en la red como Firewalls, IDS. [6]
Los Honeypots pueden servir tanto para la detección de atacantes internos
como externos. Se debe tener siempre en cuenta la posibilidad de establecer
Honeypots internos para la detección de atacantes o sistemas comprometidos en la
red, por ejemplo, sistemas infectados con gusanos o virus. [6]
Un Honeypot puede ubicarse antes del firewall, después del firewall y en la
zona desmilitarizada. La primera localización (Figura 2) permitirá evitar el
incremento del riesgo inherente a la instalación del Honeypot. Como éste se
encuentra fuera de la zona protegida por el firewall, puede ser atacado sin ningún
tipo de peligro para el resto de la red. Esta configuración evitará las alarmas de otros
sistemas de seguridad de la red (IDS) al recibir ataques en el Honeypot. Sin
embargo, existe el peligro de generar mucho tráfico debido precisamente a la
facilidad que ofrece el Honeypot para ser atacado. [6]

Figura 2. Ubicación del Honeypot antes del firewall, Fuente: P. Mora,

Honeypots Seguridades Informáticas

Detrás del firewall (Figura 3) el Honeypot queda afectado por las reglas de
filtrado del firewall. Por un lado, se tiene que modificar las reglas para permitir algún
tipo de acceso al Honeypot por posibles atacantes externos, y por el otro lado, al
introducir un elemento potencialmente peligroso dentro de la red se puede permitir
a un atacante que gane acceso al Honeypot y a la red. La ubicación tras el firewall
permite la detección de atacantes internos, así como firewalls mal configurados,
máquinas infectadas por gusanos o virus e incluso atacantes externos. [6]
 Figura 3. Ubicación del Honeypot después del firewall, Fuente: P. Mora,
Honeypots Seguridades Informáticas

La última ubicación (Figura 4) permite por un lado juntar en el mismo

segmento a los servidores de producción con el Honeypot, y por el otro, controlar el
peligro que añade su uso, ya que tiene un firewall que lo aísla del resto de la red
local. Esta arquitectura permite tener la posibilidad de detectar ataques externos e
internos con una simple reconfiguración del sistema de firewall puesto que se
encuentra en la zona de acceso público. [6]

Figura 4. Ubicación del Honeypot en la zona desmilitarizada, Fuente: P. Mora,

Honeypots Seguridades Informáticas

2.3 MARCO LEGAL:

Dado que la utilización de Honeypot en un ambiente controlado, infiere en la

integridad de los elementos y/o activos hardware y software, se usó y mención de
las siguientes disposiciones legales, amparadas bajo la norma y ley de garantías y
protección a los datos, los cuales se mencionan a continuación:

LEY 1273 DE 2009: Por medio de la cual se modifica el Código Penal, se crea un
nuevo bien jurídico tutelado - denominado "de la protección de la información y de
los datos"- y se preservan integralmente los sistemas que utilicen las tecnologías
de la información y las comunicaciones, entre otras disposiciones.

Artículo 1°. Adicionase el Código Penal con un Título VII BIS denominado "De la
Protección de la información y de los datos", del siguiente tenor:

CAPITULO. I

De los atentados contra la confidencialidad, la integridad y la disponibilidad de los

datos y de los sistemas informáticos

Artículo 269A: Acceso abusivo a un sistema informático. El que, sin

autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema
informático protegido o no con una medida de seguridad, o se mantenga dentro del
mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo,
incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y
en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes.

Artículo 269B: Obstaculización ilegítima de sistema informático o red de

telecomunicación. El que, sin estar facultado para ello, impida u obstaculice el
funcionamiento o el acceso normal a un sistema informático, a los datos informáticos
allí contenidos, o a una red de telecomunicaciones, incurrirá en pena de prisión de
cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios
mínimos legales mensuales vigentes, siempre que la conducta no constituya delito
sancionado con una pena mayor.

Artículo 269C: Interceptación de datos informáticos. El que, sin orden judicial

previa intercepte datos informáticos en su origen, destino o en el interior de un
sistema informático, o las emisiones electromagnéticas provenientes de un sistema
informático que los transporte incurrirá en pena de prisión de treinta y seis (36) a
setenta y dos (72) meses.

Artículo 269D: Daño Informático. El que, sin estar facultado para ello, destruya,
dañe, borre, deteriore, altere o suprima datos informáticos, o un sistema de
tratamiento de información o sus partes o componentes lógicos, incurrirá en pena
de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a
1.000 salarios mínimos legales mensuales vigentes.
Artículo 269F: Violación de datos personales. El que, sin estar facultado para
ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca,
venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee
códigos personales, datos personales contenidos en ficheros, archivos, bases de
datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a
noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales
mensuales vigentes.

LEY ESTATUTARIA 1581 DE 2012 - (octubre 17): Por la cual se dictan

disposiciones generales para la protección de datos personales.

La Ley 1266 de 2008 define los siguientes tipos de datos de carácter personal:

a) Dato privado: “Es el dato que por su naturaleza íntima o reservada sólo es
relevante para el Titular”. 28

b) Dato semiprivado: “Es semiprivado el dato que no tiene naturaleza íntima,

reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a
su Titular sino a cierto sector o grupo de personas oa la sociedad en general, como
el dato financiero y crediticio de actividad comercial o de servicios a que se refiere
el Título IV” de la Ley 1266.

c) Dato público: “Es el dato calificado como tal según los mandatos de la Ley o de
la Constitución Política y todos aquellos que no sean semiprivados o privados”, de
conformidad con la Ley 1266 de 2008. “Son públicos, entre otros, los datos
contenidos en documentos públicos, sentencias judiciales debidamente
ejecutoriadas que no estén sometidos a reserva y los relativos al estado civil de las
personas”.

2.2 MARCO CONCEPTUAL:

Red de datos: Se denomina red de datos a aquellas infraestructuras o redes de

comunicación que se han diseñado específicamente a la transmisión de
información mediante el intercambio de datos. La red de datos, también conocida
como red de ordenadores o red informática, es un conjunto de equipos
conectados por medio de cables, señales, ondas o cualquier otro método de
transporte de datos, que comparten información, recursos y servicios.
Hardware: Término inglés que hace referencia a cualquier componente físico
tecnológico, que trabaja o interactúa de algún modo con la computadora. No sólo
incluye elementos internos como el disco duro, CD-ROM, disquetera, sino que
también hace referencia al cableado, circuitos, case, etc. E incluso hace
referencia a elementos externos como la impresora, el mouse, el teclado, el
monitor y demás periféricos.

Software: El software, en sentido estricto, es todo programa o aplicación

programada para realizar tareas específicas. El término "software" fue usado por
primera vez por John W. Tukey en 1957. En una definición más amplia, se
conoce como software al equipamiento lógico o soporte lógico de una
computadora digital; comprende el conjunto de los componentes lógicos
necesarios que hacen posible la realización de tareas específicas, en
contraposición a los componentes físicos del sistema, llamados hardware.

Sistema Operativo: Un Sistema Operativo (SO) es el software básico de una

computadora que provee una interfaz entre el resto de programas del ordenador,
los dispositivos hardware y el usuario. Las funciones básicas del Sistema
Operativo son administrar los recursos de la máquina, coordinar el hardware y
organizar archivos y directorios en dispositivos de almacenamiento.

Host: Se refiere a las computadoras conectadas a la red, que proveen o utilizan

los servicios que ofrece. Los usuarios deben utilizar hosts para tener acceso a
la red. En general, los hosts son computadoras mono o multiusuario que ofrecen
servicios de transferencia de archivos, conexión remota, servidores de base de
datos, etc.

Equipos de comunicación: Son los dispositivos de hardware, sean estos

internos o externos, que permiten la conexión y comunicación entre los
elementos que conforman una red.

Protocolo: Es un conjunto de reglas usadas por las computadoras y equipos de

comunicación, para establecer una conexión o comunicarse unas con otras a
través de una determinada red. Un protocolo es una convención o estándar que
controla o permite la conexión, comunicación, y transferencia de datos entre dos
puntos finales.

Daemon, Demonio: Programa o proceso que se ejecuta en segundo plano en

los sistemas UNIX/Linux, es decir, se ejecuta sin intervención del usuario,
mientras este ejecuta o trabaja con otras aplicaciones.
IDS: El término IDS (Sistema de detección de intrusiones) hace referencia a un
mecanismo que, sigilosamente, escucha el tráfico en la red para detectar
actividades anormales o sospechosas, y de este modo, reducir el riesgo de
intrusión.

Auditoria Informática: La auditoría informática es el proceso de recoger,

agrupar y evaluar evidencias para determinar si un sistema de información
salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a
cabo eficazmente los fines de la organización, utiliza eficientemente los recursos,
y cumple con las leyes y regulaciones establecidas. También permiten detectar
de forma sistemática el uso de los recursos y los flujos de información dentro de
una organización y determinar qué información es crítica para el cumplimiento
de su misión y objetivos, identificando necesidades, duplicidades, costes, valor
y barreras, que obstaculizan flujos de información eficientes.

Herramientas, Mecanismos o Esquema de seguridad de redes: Conjunto de

técnicas o instrumentos sean estos, de hardware, software, reglas o normas que
son usadas para proteger un grupo de computadoras que formen una red dentro
o fuera de una organización o empresa, y cuya comunicación se desea proteger
de elementos no deseados tales como intrusos y software maliciosos (malware).

Intruso o Atacante: Es una persona o individuo que intenta acceder a un

sistema informático sin autorización, con el fin de obtener información del
sistema o sabotear al mismo. En contraste con los hackers, los intrusos tienen a
menudo malas intenciones y suelen disponer de muchos medios para
introducirse en un sistema.

Riesgo: En el contexto de la seguridad informática, la palabra riesgo casi

siempre nos hace pensar en las amenazas que pueden atentar contra la
seguridad de nuestros recursos, nuestra información o nuestra empresa. En un
sentido más estricto se considera riesgo al conjunto de circunstancias que
pueden afectar el desempeño de todo sistema informático.

Vulnerabilidad: A nivel informático, es considerada un defecto de hardware o

software. Es el resultado de un fallo o deficiencia durante el proceso de creación
de programas o también una falta de atención a los detalles mientras se instala
algún tipo de hardware. Estos defectos si no se corrigen a tiempo harán que se
vea comprometidos los sistemas de una organización o empresa y como
resultado, estará propensa a recibir ataques y por sobre todo a perder
información valiosa.
Amenaza: En el ámbito de la seguridad informática se considera amenaza a un
quebrantamiento de las normas que van en contra de la seguridad informática,
es decir, burla los mecanismos de seguridad poniendo en riego sistemas enteros
provechándose de las vulnerabilidades de estos con fines perjudiciales. En
algunos países es considerada un delito e incluso es penado por la ley.

Puertos de Red: Un puerto de red o puerto TCP/IP hace referencia a una

interfaz de comunicación no física utilizada para que dos ordenadores
intercambien datos haciendo uso de un servicio particular. El servicio que se
utilice quedará representado por un número seguido del protocolo que se utilice
para la comunicación. A los puertos se les asigna una numeración de 2 bytes
(16 bits), por lo que existen 65535. Aunque se puede usar cualquiera de ellos
para cualquier protocolo, existen tres categorías: 1. Los puertos inferiores al
1024 son puertos reservados para el sistema operativo y usado por "protocolos
bien conocidos". 2. Los comprendidos entre 1024 (0400 en hexadecimal) y
49151 (BFFF en hexadecimal) son denominados "registrados" y pueden ser
usados por cualquier aplicación. 3. Los comprendidos entre los números 49152
(C000 en hexadecimal) y 65535 (FFFF en hexadecimal) son denominados
dinámicos o privados, porque son los usados por el sistema operativo cuando
una aplicación tiene que conectarse a un servidor y por tanto necesita un puerto
por donde salir.

TCP (Transmission Control Protocol): Protocolo de Control de Transmisión,

provee un flujo de bytes confiable de extremo a extremo sobre una Internet no
confiable. TCP puede adaptarse dinámicamente a las propiedades de Internet y
manejar fallas de muchas clases. Este protocolo garantiza que los datos serán
entregados en su destino sin errores y en el mismo orden en que se
transmitieron. También proporciona un mecanismo para distinguir distintas
aplicaciones dentro de una misma máquina.

IP (Internet Protocol): Protocolo de Internet, es uno de los protocolos de

Internet más importantes ya que permite el desarrollo y transporte de
datagramas de IP (paquetes de datos), aunque sin garantizar su "entrega". En
realidad, el protocolo IP procesa datagramas de IP de manera independiente al
definir su representación, ruta y envío.

ICMP (Internet Control Message Protocol): Protocolo de Control de Mensajes

de Internet, notifica errores del Protocolo de Internet (IP). Como tal, se usa para
enviar mensajes de error, indicando por ejemplo que un servicio determinado no
está disponible o que un router o host no puede ser localizado. ICMP difiere del
propósito de TCP y UDP ya que generalmente no se utiliza directamente por las
aplicaciones de usuario en la red. La única excepción es la herramienta ping y
traceroute, que envían mensajes de petición Echo ICMP (y recibe mensajes de
respuesta Echo) para determinar si un host está disponible, el tiempo que le
toma a los paquetes en ir y regresar a ese host y cantidad de hosts por los que
pasa.

UDP (User Datagram Protocol): Protocolo Datagrama de Usuario, proporciona

muy pocos servicios de recuperación de errores, ofreciendo en su lugar una
manera directa de enviar y recibir datagramas con datos del host a través una
red IP.

FTP (File Transfer Protocol): Protocolo de Transferencia de Archivos, es un

protocolo de red para la transferencia de archivos entre sistemas conectados a
una red, basado en la arquitectura cliente-servidor. Desde un equipo cliente se
puede conectar a un servidor para descargar archivos desde él o para enviarle
archivos, independientemente del sistema operativo utilizado en cada equipo.

SMTP (Simple Mail Transfer Protocol): Protocolo Simple de Transferencia de

Correo, protocolo de red basado en texto utilizado para el intercambio de
mensajes de correo electrónico entre computadoras u otros dispositivos.

SSH (Secure Shell): Intérprete de órdenes segura, es el nombre de un protocolo

y del programa que lo implementa, y sirve para acceder a máquinas remotas a
través de una red. Permite manejar por completo la computadora mediante un
intérprete de comandos. Se puede decir que es más seguro que Telnet.

Telnet (Telecommunication Network): Es el nombre de un protocolo de red y

del programa que lo implementa, que sirve para acceder mediante una red a otra
máquina para manejarla remotamente. A diferencia de SSH, Telnet es un
protocolo poco seguro, debido a que Telnet no encripta la información que envía
por la red.

NetBIOS (Network Basic Input/Output System): Es una especificación de

interfaz para acceso a servicios de red, es decir, una capa de software
desarrollado para enlazar un sistema operativo de red con hardware específico.
De forma sencilla, NetBIOS, permite a las aplicaciones 'hablar' con la red. Su
intención es conseguir aislar los programas de aplicación de cualquier tipo de
dependencia del hardware. También evita que los desarrolladores de software
tengan que desarrollar rutinas de recuperación ante errores o de enrutamiento o
direccionamiento de mensajes a bajo nivel.
DISEÑO METODOLOGICO PRELIMINAR:

CLASE DE INVESTIGACION

Investigación aplicada: Depende de los descubrimientos y avances de la

investigación básica, pero se caracteriza por su interés en la aplicación, utilización
puesta en práctica de los conocimientos. [9]

Investigación cuantitativa: pretende señalar, entre ciertas alternativas, usando

magnitudes numéricas que pueden ser tratadas mediante herramientas del campo
de la estadística. [2]

3 NOMBRES DE LAS PERSONAS QUE PARTICIPAN EN EL PROCESO.

Edwin Barrientos Avendaño

Nelson Mauricio Villamizar Pallares

Gustavo Alonso Trillos Acevedo

4 RECURSOS DISPONIBLES:

UNIDAD CANTIDAD VALOR VALOR

UNITARIO TOTAL
1 Computador 1.200.000.oo 1.200.000.oo
1 Memoria USB 16GB 20.000.oo 20.000.oo
4 Resma Papel Carta 8.000.oo 32.000.oo
1 Servicio de Internet 4MB 75.000.oo 900.000.oo
10 Carpetas 500.oo 5.000.oo
Transporte 10.000.oo 1.200.000.oo
400 Impresiones 300.oo 120.000.oo
300 Fotocopias 100.oo 30.000.oo
TOTAL 3.507.000.oo
5 CRONOGRAMA

Arregla el coronograma de acuerdo a ls objetivos nuevos

Bibliografía

[1] V. n. Von solms, «From information security to cyber security,» sciencedirect,

pp. 98-99, 2013.

[2] «The honeynet proyect,» 1999. [En línea]. Available: www.honeynet.org.

[3] B. Scheiner, «Crypto-Gram,» 15 Junio 2001. [En línea].

[4] «HONEYPOTS, MONITORIZANDO A LOS ATACANTES,» inteco, españa,

2012.

[5] J. R. David Watson, «El proyecto Honeynet: herramientas de recopilación de

datos, infraestructura, archivos y análisis,» IEEE, pp. 3-5, 2008.

[6] P. A. Mora, «Seguridad informatica Honeypots,» de Seguridad informatica

Honeypots, ecuador, cybsec-security-systems, 2009, pp. 7-9.

[7] Ministerio de las Telecomunicaciones, «MINTIC,» [En línea]. Available:

http://www.mintic.gov.co/portal/604/w3-article-3699.html.

[8] Consejo Superior de la Judicatura, Constitucion Politica de Colombia.

[9] D. R. H. Sampieri, metodologia de la investigacion.

[10] R. BAUMANN y C. PLATTNER, «White Paper: Honeypots».

[11] L. A. P. Gomez, «Análisis de Ia Tecnología Honeypot y su Aplicación en la

Detección y Corrección de Vulnerabilidades en la Red de Datos del Gobierno
Autónomo Descentralizado de la Provincia de Chimborazo».

[12] L. Spitzer, Honeypots, Tracking Hackers.