o,dades 8 .,. . .. ". " .. ,,,,0 \0 .

e competeoC Certificados de profesionalidad

Seguridad informtica Csar Seoane Ruano Ana Beln Saiz Herrero Emilio Fernndez lvarez Laura Fernndez Aranda

p.II.p' r. J.Lc 'Yr-

,

~ Formativo Gro~o Medio ~

Seguridad informtica La base de tu futuro

El proyecto editorial de McGraw-Hill poro lo formacin profesional ha sido desarrollado segn tres principios bsicos:

Una metodologa basada en la prctico y en la adecuacin de contenidos y procedimientos a la realidad profesional.

Unos materia les desarrollados para conseguir las destrezas, habilida-des y resultados de aprendizaje que necesitars pora conseguir tu ttulo y desenvolverle en el mercado laboral.

Uno presentacin de los conten idos doro y atractiva, con variedad de recursos grficos y multimedia que facilitarn tu aprendizaje.

El proyecto poro el mdulo profesional Seguridad informtico ha sido desorro-liado considerando los unidades de competencia del Catlogo Nocional de Cualificaciones Profesionales:

Unidades de compelencia profesional

Mantener y regular el subsistema fsico en sistemas informticos. (UC0957_2)

Ejecutar procedimientos de administracin y mantenimiento en el software base y de aplicacin del cliente. (UC0958_2)

Mantener la seguridad de los subsistemas fsicos y lgicos en sistemas

I informticas. (UC0959_2)

Confiamos en que esta obro seo una herramienta til y eficaz, y que contribuya a tu formacin como profesional.

l

Seguridad informtica Csar Seoane Ruano Ana Beln Saiz Herrero Emilio Fernndez lvarez Laura Fernndez Aranda

Revisor tcnico Alberto Snchez Alonso

MADRID - BARCELONA - BUENOS AIRES - CARACAS - GUATEMALA - LISBOA - MXICO NUEVA YORK - PANAM - SAN JUAN - BOGOT - SANTIAGO - SAO PAULO AUCI

Seguridad iurormtica . Ciclo Formativo Grado Medio

No est permitida la reproduccin total o parcial de este libro. ni su tratamiento informtico, ni la transmisin de ninguna forma o por cualquier medio, ya sea electrnico, mecnico, por fotocopia, por registro u otros mtodos, sin el permiso previo y por escrito de los titulares del Copyright. Si necesita fotocopiar o escanear algn fragmento de esta obra, dirjase a CEDRO (Centro Espaol de Derechos Reprogrficos. www.cedro.org)

Nota: Este libro se atiene al artculo 32 del derecho de cita de la Ley de Propiedad Intelectual de 1996 (RDLeg 111996 de 12 de Abril)

Derechos reservados 2010, respecto a la tercera edicin en espaol, por:

McGraw-Hill/Interamericana de Espaa, S.L. Edificio Valrealty, \." planta Basauri, 17 28023 Aravaca (Madrid)

ISBN: 978-84-481-7137-7 Depsito legal: M-1 9725-20 I O

Csar Seoane Ruano, Ana Beln Saiz Herrero, Emilio Fernndez lvarez, Laura Fernndez Aranda

Autores: Csar Seoane Ruano, Ana Beln Saiz Herrero, Emilio Fernndez lvarez, Laura Fernndez Aranda Autores del material complementario: Csar Seoane Ruano, Ana Beln Saiz Herrero, Emilio Fernndez lvarez, Laura Fernndez Aranda Equipo editorial: Ariadna Alls, Paloma Snchez, Mara Justicia, Waldo Prez Equipo de preimpresin: Meritxell Carceller, Daniel MontanyiI. Diseo de cubierta: neprotel.com Diseo interior: neprotel.com Fotograras: Age, Aisa, Corbis, Getly, SanDisk, Quick Image, Google Oregn Ilustraciones: Mamen Fuente Canalda Composicin: Ediciones Grficas Arial, S.L. Impresin: Edigrafos, S. A.

IMPRESO EN ESPAA - PRINTED IN SPAIN

Presentacin En la actualidad tanto las empresas coma los usuarios de a pie guardan gran cantidad de informacin en sus ordenadores. En el caso de los usuarios do-msticos almacenamos gran cantidad de recuerdos en nuestros equipos. Hoy en da es prcticamente impensable realizar una fotografa con cmara ana-lgica; todos, jvenes y personas mayores, nos hemos actualizado y usamos cmaras digitales para inmortalizar esos grandes momentos de nuestra vids que terminan almacenados en el disco dura.

Toda esa informacin debemos prategerla tanto de posibles prdidas como de los posibles intrusos. Imaginaos que un desalmado entra en nuestra equipo y d;fund" por Internet esas fotografas que no queremos compartir con nadie; o pensemos, por ejemplo, en la cantidad de famosos que intentan proteger la intimidad de sus hijos. Para poder seguir manteniendo la confidencialidad, la disponibilidad y la integridad de la informacin necesitamos tomar numerosas medidas de proteccin.

En el caso de las empresas, toda la informacin es almacenada en los equi-pos/ sus comunicaciones son realizadas mediante videoconferencias sin nece-sidad de desplazarnos numerosos kilmetras para hablar durante una sesin de trabajo. . La mayora de las actividades desarrolladas en las empresas se encuentran au-tomatizadas mediante diversas aplicaciones informticas, por lo que la cada de sus sistemas puede suponer grandes prdidas econmicas; la prdida de informacin, a su vez, puede hacer parar la actividad de numerosas empresas (imaginad para una inmobiliaria lo que supondra perder la informacin). Eso s, lo que en ambos casos sucede es que las empresas pierden fiabilidad frente al resto de las empresas. Adems, en el caso de las comunicaciones de-bemos asegurar tanto la integridad como la confidencialidad y el no repudio.

Gracias a todos estos avances tecnolgicos hemos sustituido la mquina de escribir y los archivadores por equipos informticos, o las largas esperas del correo por la inmediatez del correo electrnico y las videoconferencias. Todo este avance se ha desarrollado paralelamente al desarrallo de medidas de seguridad.

En este libro estudiaremos las distintas maneras de protegernos sobre posibles ataques ci esa confidencialidad que, por una razn u otra, tanto interesa pro-teger; sern siempre estudiadas desde un punto de vista prctico.

El libro se ha dividido en distintos bloques. En el primero de ellos, introductorio, intentamos justificar y motivar al lector al estudio de la seguridad informtica. El segundo bloque aborda conceptos y tcnicas relativos a la seguridad pasiva en los sistemas informticos, tratndose aspectos como las arquitecturas hard-ware y, por supuesto, las copias de seguridad, que resultan cruciales en cual-quier equipo o sistema que se precie. Los sistemas criptogrficos son utilizados constantemente en el da a da de casi cualquier persona, hasta el punto de

que en la actualidad el DNI incorpora un chip electrnica que permite realizar diversas gestiones seguras utilizando tcnicas como las que se abordorn en el tercer bloque tratado en el libro.

El cuarto bloque se dedica a la seguridad activa en el sistema, tratando dis-tintas tcnicas de seguridad software, relacionadas con trminos tan de moda como hacker o virus, de modo que podamos identificar los riesgos a los que se enfrenta cualquier equipo conectado a una red.

Por ltimo, no podamos dejar de hablar de cortafuegos y praxy, considerados como tcnicas de seguridad de alto nivel en redes, pero imprescindibles en cualquier sistema o red que quiera estar protegido, especialmente si se conecta a redes no seguras. Son varias las personas que nos han ayudado en este proyecto y que no que-remos dejar de mencionar. Agradecemos la colaboracin que nos han pres-tado Daniel Magaa, de la Universidad Antonio de Nebrija, facilitndonos documentacin y fotografas de la realizacin de las copias de seguridad; a Dominador Saiz, al que le hemos robado numerosas horas de su tiempo libre y a Gustavo Delgado, de Tiscar Instalaciones, por todas las horas que nos ha dedicado y sus explicaciones sobre los centros de procesamiento de datos.

Otro mencin importante es paro www.informationweek.com. su editor, John Foley, y su editor jefe, Rob Prestan, que nos han permitido utilizar sus imgenes del centro de dotas de Google en Oregn.

Dedicamos este libro o nuestros parejos y familias, que han sufrido los sinsabo-res de esto experiencia y nuestro mol humor.

Los autores

,

Indice

o Unidad l. ~ancep!~s bsicos de la seguridad mformallca ....................................... ..

4. Modos de recuperacin frente a prdidas 7 en el sistema operativo .. .. ............................. 63

l. Seguridad informtica por qu? ................. . 8 5. Creacin de imgenes del sistema .......... .. .... 69 2. Objetivos de la seguridad informtica ......... .. 10 6. Copia de seguridad del registro .......... .. ........ 72 3. Clasificacin de seguridad .......................... . 13 7. Polticas de copias de seguridad .......... .. ....... 73

3.1. Seguridad fsica y lgica ........ .. .. .. ....... . 3.2. Seguridad activa y pasiva .............. ..... .

4. Amenazas y fraudes en los sistemas de la informacin ...................................... .. 4.1. Actuaciones para mejoror lo seguridad ..

13 O Unidad 4. Sistemas de identificacin. 16 Criptografa ......... .. ............................. 79 17 1. Cmo aseguramos la privacidad 18 de la informacin? ....................................... 80

4.2. Vulnerabilidades ................................. . 4.3. Tipos de amenazas ............................ .. 4.4. Pautas de proteccin para nuestro

sistema ........................... . .................. .

20 2. Un poco de historia de la criptografa ............ 80 21 3. Criptografa simtrica y asimtrica ............ .. .. 84

3.1. Criptografa simtrica .. .................. . ...... 84 22 3.2. Criptografa asimtrica ..... .. .. .. .......... ... . 86

5. Leyes relacionadas con la seguridad 3.3. Criptografa hbrida ..................... .. ...... 90 de la informacin ...................................... .. 5.1. Normativa que protege los datos

personales ......................................... . 5.2. Normativa de los sistemas de informacin

23 4. Algoritmos ........................................... .. ..... 90

23 5. Funcin Resumen ................... .. ...... .... .......... 91 6. Firma digital ...... .. .. .... ...... ... .. .. .. .. .. .. .. .......... 92

y comercio electrnico ........................ . 26 7. Certificados digitales ........ ... .. .. .. .. .. ... ..... . .. .. . 94 8.

o Unidad 2. Seguridad pasiva. Hardware PKI .............. ........................................ ... .... 95

y almacenamiento ............................ .. 29 O Unidad 5. Seguridad activa en el sistema ............. 105 1. Ubicacin y proteccin fsica ...................... ..

1.1. Factores para elegir la ubicacin .......... . 1 .2. Control de acceso .............................. .. 1.3. Sistemas de climatizacin y proteccin

en el CPD .......................................... . 1 .4. Recuperacin en caso de desastre ...... .. .

2 . Sistemas de alimentacin ininterrumpida ...... .. 2.1. Definicin de SAl ...................... ...... .... . 2.2. Tipos de SAl ............................ .. .. .. .... . 2.3. Modo de funcionamiento .............. .. .. .. ..

30 1. Introduccin a la seguridad del sistema .. ........ 106 30 2. Seguridad en el acceso al ordenador ............ 106 32 2.1. Cmo evitamos que personas ajenas 33 . modifiquen la BIOS? ............................ 106 35 2.2. Cmo proteger el GRUB con

contrasea? .............................. .. ... .. ... 108 35 2.3. Cifrado de particiones .......................... 112 35 2.4. Cuotas de disco ................................... 117 36 Activacin y uso de cuotas de disco 36 en Windows ....................................... 117

3. Almacenamiento de la informacin .............. .. 37 Cuotas de usuario en UBUNTU ...... .... ... 1 19 4. Almocenomiento redundante y distribuido .... .. 38 3. Autenticacin de los usuarios .................... .. .. 123

4.1. RAID en Windows .............................. . 40 3.1. Polticas de contraseas ................... .. ... 123 4.2. RAID en Windows Vista .................. .... . 40 3.2 . Sistemas biomtricos ................... .. .. .. ... 125 4.3. RAID en Windows 2008 Server ...... . .... . 43 3.3. Listas de control de acceso .................... 126

5. Clusters de servidores .................... .... ....... .. . 44 4. Vulnerabilidades del sistema ......................... 129 5.1. Clasificacin de los clusters .................. . 44 4 . 1. Evitar vulnerabilidades en Windows ...... 129 5.2. Componentes de los clusters ...... .. ........ . 45 5. Monitorizacin del sistema .. .......... .. .......... .. . 131

6. Almacenamiento externo ............................ .. 46 5.1. Monitorizacin en Windows ............. .. .. 131 6.1. Network Attached Storage .............. .. .. .. 46 5.2. Monitorizacin en Linux ................ ... .. .. 131 6.2. Storage Area Network ............ . ...... .. .. .. 46 6. Software que vulnera la seguridad

del sistema ......................................... .. ...... 133 o Unidad 3. Seguridad Pasiva. Recuperacin

de datos ............................................ . 6.1. Clasificacin de los atacantes ............... 133

49 6.2. Tipos de ataques ................................. 134

l. Introduccin .................................. .. ...... .. .. .. 50 O Unidad 6. Seguridad activa en redes ................... 145 2. Tipos de copias de seguridad .................. .. .. . 51 1. Seguridad en la conexin a redes no fiables .. 146 3. Copias de seguridad de los datos ................ . 52 1.1. Spyware en tu ordenador ................ .... . 147

3.1. Copia de seguridad de datos en 2. Protocolos seguros ... .. ................... .. ....... ...... 149 Windows .......... ................................. . 54 2.1. Protocolo HTIPS .... .. ........ .. ........... .. ..... 149

3.2. Copia de seguridad de datos en Linux .. . 61 2.2. Protocolo SSH .................. .. ...... .. .. .. . .... 150 5

,

Indice

3. Seguridad en redes cableadas..... ......... .... .. .. 152 3.1. Red privada virtual (VPN) ......... .... ........ 152

Qu es una VPN? ... ......... .... ............. 152 Cmo funciona una VPN? . ..... ..... ........ 152 Instalacin y configuracin de una VPN . 152

3.2. Deteccin de intrusos ............. .............. 159 3.3. Arranque de servicios .. ................. .... . .. 159

Servicios en Windows Vista ....... .... ....... 159 Servicios en Ubuntu ............ ............. .... 161

4. Seguridad en redes inalmbricas ....... ........... 162 4.1. Tecnologas Wi-fi.. ................... ....... ..... 163 4.2. Conceptos de redes Wi-fi ..................... 164 4.3. Seguridad Wi-fi.................... .... .... ....... 165

5. Seguridad WEP .............. ..... ............ .... ....... 166 6. Seguridad WPA ................................... .... ... 170

6.1. Seguridad WPA personal........... ... ....... 170 6.2. Seguridad WPA empresarial................. 172

o Unidad 7. Seguridad de alto nivel en redes: cortafuegos ........................................ 179

l. Seguridad de alto nivel............................. .. . 180 2. Cortafuegos: qu son y para qu sirven ......... 181 3. Tipos de cortafuegos.................................... 184

3.1. Segn su ubicacin..... .... ...... .... .. .. ....... 1 84 Cortafuegos personales.......... . .. .. .. ..... . . 1 84 Cortafuegos de subredes ........... .... ....... 1 86

3.2. Segn su tecnologa.................. .. .. .. .. ... 186 4. Filtrado de paquetes........... ......................... 1 87

4.1. Parmetros utilizados para filtrar paquetes ............... .......................... ... 1 87

4.2. Reglas de filtrado.......... .... .... .... .... ....... 188 5. Uso de cortafuegos...................................... 192

5.1. Criterios para elegir un cortafuegos ....... 192 5.2. Instalacin y configuracin de un

cortafuegos comercial....................... ... 192 6. Arquitecturas de red con cortafuegos ...... .. ..... 197

6.1. Dual-Homed Has!................................. 197 6.2. Screened Host ..................................... 197 6.3. Screened subnet .......... .. ...................... 198

7. Monitorizacin y logs .................................. 199 7.1. Registra de actividad de los sistemas

operativos........................................... 199 7.2. Registras de actividad del cortafuegos.... 200

o Unidad 8. Seguridad de alto nivel en redes: proxy................................................. 203

l. Intraduccin ................................................ 204 2. Caractersticas del praxy....... .. .. .. ...... .. .. ... .... 205 3. Funcionamiento del praxy............................. 206 4. WinGate.............. ........... .... .. ..... ... .. .. ......... 208

4.1. Instalacin ................ ...... .............. .. .... 208 4 .2. Configuracin inicial............... .... .. .. ..... 209 4.3. Servicios de WinGate .......................... 211

Parada y orranque de los servicios........ 211 Configuracin de los servicios.......... ..... 212

4.4. Tipos de praxy .............................. .. .... 212 4.5. Creacin de usuarios........ .. .. .. ....... ...... 214

5. PureSight.............................................. .. .... 217 6. Control de lag en WinGate ........ .. .. .. ...... .. .... 218 7. Squid ........................................................ 219

7.1. Instalacin de Squid....... .. .. .. ... ............. 219 7.2. Configuracin inicial...................... .. .... 220

http_port....................................... ... ... 220 cache_dir ........ .. .. .. ...... .. ..................... 220 cache_mem......................................... 221 cache_mgr................................. ......... 221 accessJog, cacheJog y cache_store_ lag..................................................... 221 cache_effective_user y cache_effective_ group................................................. 221 ftp_user ........................ ...... ...... .. ........ 221 error _directory .............. ...... ................ 221

7 .3 . Control de acceso en Squid ........ .. ........ 222 acl............ ...... .......... .. ...... .. ...... .. ....... 222 acl src ...................... .. .. .. .. .. ... .. ........... 222 http_access .............. ...................... ..... 222 AcI ds!.................. .. .. .. .. .. .. .. .. .. ... .. .. .. ... 224 AcI dstdomain ....... .. ...... .. .. .. ........... .. ... 224 urLregex .............. .. ...... .. ...... .. ....... ..... 224 time .............................................. .. ... 225

7.4. Autenticacin ...... .... ............................ 226 7.5. Clasificacin de sitios en Squid ............. 229 7.6. Gestin del proxy con Webmin.

Control de lag.... ................................. 230 Instalar y configurar Webmin para Squid 230 Utilizacin de Webmin......................... 231 Anlisis del lag de Squid con Webmin... 231

o Anexo: ndice de trminos .................................. 235

ijj) n'il o d l d Conceptos bsicos

de la seguridad informtica

y estudiaremos:

los servicios de seguridod. las clasificaciones de seguridad. las amenazas y fraudes. legislacin: proteccin de datos

y servicios de la sociedad de la informacin y correo electrnico.

En esta unidad aprenderemos a:

Valorar la importancia de mantener la informacin segura.

Describir las diferencias entre seguridad fsica y lgica y entre seguridad activa y pasiva.

Valorar la importancia de establecer una poltica de contraseas.

Contrastar la incidencia del software malicioso y las tcnicas de ingeniera social en los fraudes informticos y robos de informacin.

Determinar la necesidad de controlar el acceso a la informacin personal almacenada.

Describir la legislacin sobre proteccin de datos de carcter personal y sobre los servicios de la sociedad de la informacin y comercio electrnico.

~1 Conceptos bsicos de la seguridad informtica

Gene Spafford, experto en segu-ridad informtica, afirma: El nico sistema verdaderamente seguro es aquel que se encuen-tra apagado, encerrado en una caja fuerte de titanio, enterra-do en un bloque de hormign, rodeado de gas nervioso y vigilado por guardias armados y muy bien pagados. Incluso entonces, yo no apostara mi vida por ello.

l. Seguridad informtica por qu? El espectacular auge de Internet y de [as servicias telemticos ha hecho que [os orde-nadores y [as redes se conviertan en un elemento cotidiano en nuestras casas y en un instrumenta imprescindible en [as tareas de [as empresas. Ya no tenemos necesidad de ir a[ banco para conocer [os movimientos realizados en nuestra cuenta bancaria, ni para realizar transferencias ... directamente podemos rea[i-zar dichas operaciones desde e[ ordenador de casa. Lo mismo ocurre con [as empresas; sea cual sea su tamao, disponen de equipos conectadas a Internet que [es ayudan en sus pracesas productivos.

Cualquier fallo en [os mismos puede suponer una gran prdida econmica ocasionada por e[ parn producido, bien por [a prdida de infarmacin o por e[ mal funcionamiento de [as equipos infarmticos, de modo que es muy importante asegurar un correcto fun-cionamiento de [os sistemas y redes informticas. Uno de [os principales problemas a [os que se enfrenta [a seguridad infarmtica es [a creencia de muchos usuarios de que a ellos nunca [es va a pasar [o que a otros. Es im-pensable que nas vayamos de casa y nos dejemos [a puerta abierta. Lo mismo ocurre con [a seguridad de [a infarmacin. Con unas buenas polticas de seguridad, tanto fsicas como lgicas, conseguiremos que nuestros sistemas sean menos vulnerables a [as distintas amenazas. S, menos vu[nera-bies: nadie puede asegurar que su sistema sea cien par cien segura, hasta [a seguridad de [a NASA y del Pentgono han sido violadas por hackers. Hay una lucha permanente entre [os tcnicos protectores del sistema y [os que buscan rendimientos econmicos f-ciles, o simplemente su minuto de gloria a[ superar e[ reto de asomarse a[ otro [oda de [a barrera de proteccin. Tenemos que intentar [agror un nivel de seguridad razonable y estar preparados para que, cuando se produzcan [os ataques, [os daos puedan ser evitados en unos porcenta-jes que se aproximen a[ ciento por cien o en caso contrario haber sido [o suficientemente precavidos para realizar [as copias de seguridad y de esta manera volver a poner en funcionamiento [os sistemas en e[ menor tiempo posible.

~]t .. .. . ~

Detienen en Mlaga a un hacker por introducirse en un ordenador del Pentgono MLAGA, 16 DE ENERO DE 2006 (EUROPA PRESS)

La Guardia Civil ha detenido a un hacker, en una operacin desarro-llada en Mlaga, como presunto autor de un acceso ilegal a travs de Internet a un ordenador del Departamento de Defensa de Estados Unidos.

tanto el correcto funcionamiento como la seguridad de un dique seco de mantenimiento de submarinos nucleares}}. A raz de la operacin realizada por la Guardia Civil, se detect la existencia de un grupo dedicado a vulnerar la seguridad de sistemas informticos conectados a travs de Internet, con el fin de utilizar la informacin para fines ilegtimos.

El ordenador al que accedi el hacker estaba ubicudo en la base naval de Painl Loma. en San Diego, California, segn indic la Benemrita a travs de un comunicado. La operacin, denominada Navy, se inici cuando efectivos de segu ~ fidad informtica de la Armada de Estados Unidos detectaron un acceso ilegal a dicho ordenador, por lo que comunicaron este hecho a su Servicio de Investigacin Criminal Naval (NCIS). Este servi~ cio detect que el ataque se haba procedido desde un ordenador de Espaa, motivo por el cual lo puso en conocimiento de la Unidad de Ciberterrorismo de la Guardia Civil. La denuncia, interpuesta a travs de la Emb~jada de Estados Unidos en Espaa, pona de manifiesto que el ataque comprometa gravemente

Una vez descubierto este grupo, las investigaciones se centraron en una persona residente en Mlaga, que result ser el autor del mencio~ nado ataque, segn la Guardia Civil. Dentro de la misma operacin, se identific y se tom declaracin a otras cuatro personas en distintas provincias de Espaa en calidad de testigos y por su presuma relacin con los hechos. Las acciones realizadas por este grupo causaron daos valorados en ms de 500000 dlares y habran comprometido la seguridad de ms de un centenar de sistemas informticos, informaron desde el Instituto Annado.

Conceptos bsicos de la seguridad informtica 1 - ---

Anlisis de contraseas

Caso prctico 1 9 Vamos a analizar el tiempo que tarda un PC cama las que podemos tener en casa en descubrir una contrasea.

Ripper son aplicaciones clsicas capaces de descubrir contraseas.

Existen en Internet multitud de programas dedicadas a descubrir las contraseas haciendo uso del mtodo de fuerza bruta, que consiste en ir probando todas y cada una de las posibles contraseas. Brutus o John the

Coma se puede ver en la Tabla 1.1 las contraseas en las que slo se utilizan caracteres en minsculas (la misma ocurrira si solamente se hace usa de las letras maysculas) san mucha ms vulnerables ante este tipo de pragramas.

~_'n~'_-""""',"_~~~_""'"_--.o......-_,...",,,,,,' r~ , "

~: M~sclas, l1Ji~5~1:!!5 y car~pe.slales 3 Menos de 1 segundo Un suspiro

4 Menos de 2 minutos

5 Alrededor de 2 horas

Un suspiro y medio

10 segundos

6 Alrededor de unos 9 das 5 minutos

7

S

9

Entre 2 y 3 aos

Alrededor de 2 siglos

Unos veinte mil aos

Alrededor de 2 horas

Menos de 3 das

Alrededor de 2 meses

Tabla 1. l . Tiempos que tardan en defectar las contraseas.

Caso p'rctica 2 9 Qu problemas pueden surgir cuando se introduce un virus que formatea equipos en una empresa que vende productos por lnlernel? Vamos a pensar en las peruicios ocasionados a una empresa que ha visto afecta-dos sus equipos informticos por un virus que se ha transmitido por la red. El virus estaba diseado para formatear los equipos a las 13.30 horas. las pginas web de lo empresa donde comercializaba sus productos dean de funcionar. Esto provoca una gran prdida econmica debido a la falta de ventas durante el tiempo en el que no estn disponibles. A ello se suma la prdida de confianza por parte de los clientes al conocer la vul-nerabilidad de sus sislemas infarmticos, y la prdida de confianza por porte de los proveedores por la mismo razn . Adems, si la empresa no ha realizado copias de seguridad de los datos de ven-tas, clientes, etc., perder mucha informacin valiosa como cortera de clientes, pagos a proveedores a facturas.

9 Hacker. Intruso que se infiltra en los equipos informticos como reto. En ningn coso buscan un beneficio econmico o daar la estructura del sistema . Cracker. Intrusos que buscan un beneficio econmico o daar las estructuras del sistema. En lo actualidad, los medios de comunicacin han popularizado la palabra hacker poro ambas acepciones.

Caso prctico 3 9 Qu problemas puede tener un interna uta que se conecta a Inlernet utilizando nuestro router Wifi, el cual no tiene ningn tipo de contrasea? Pensemos el caso extremo, un pederasta que utilizo nuestra conexin para descorgorse pornografa infantil.

la polica en una investigacin nos sealara como cul-pables de las descargas por ser nuestra IP la que dea el rastro.

~/ 1 Conceptos bsicos de lo seguridod informtica ------~---------~-----------

~ Actividades 1. Asocia los mecanismos

con los objetivos de la seguridad informtica.

2. Objetivos de la seguridad informtica Si estudiamos las mltiples definiciones que de seguridad informtica dan las distintas entidades, deduciremos los objetivos de la seguridad informtica. Segn la IS027002, "La seguridad de la informacin se puede caracterizar por la preservacin de:

Confidencialidad: asegura que el acceso a la informacin est adecuadamente autorizado.

Integridad: salvaguarda la precisin y completitud de la informacin y sus mtodos de proceso

Disponibilidad: Asegura que los usuarios autorizados pueden acceder a la infarma-cin cuando la necesitam).

Otra de las definiciones de lo seguridad informtica dada por INFOSEC Glossary 2000: "Seguridad Informtica son las medidas y controles que aseguran la confidencialidad, integridad y disponibilidad de los activos de los sistemas de informacin, incluyendo hardware, software, firmware y aquella informacin que procesan, almacenan y comu-nicam>.

De estas definiciones podemos deducir que los principales objetivos de la seguridad informtica son:

Confidencialidad: consiste en la capacidad de garantizar que la informacin, al-macenada en el sistema informtico o transmitida por la red, solamente va a estar disponible para aquellas personas autorizadas a acceder a dicha informacin, es decir, que si los contenidos cayesen en manos ajenas, estas no podran acceder a la informacin o a su interpretacin.

Este es uno de los principales problemas a los que se enfrentan muchas empresas; en los ltimos aos se ha incrementado el robo de los porttiles con la consecuente prdida de informacin confidencial, de clientes, lneas de negocio ...

En relacin a este objetivo, en el ltimo apartado de este tema, analizaremos la Ley de Proteccin de Datos de Carcter Personal.

Disponibilidad: la definiremos como la capacidad de garantizar que tanto el sistema como los datos van a estar disponibles al usuario en todo momento.

Pensemos, por ejemplo, en la importancia que tiene este objetivo para una empresa encargada de impartir ciclos formativos a distancia. Constantemente est recibiendo consultas, descargas a su sitio web, etc., por lo que siempre deber estar disponible para sus usuarios.

Integridad: diremos que es la capacidad de garantizar que los datos no han sido modificados desde su creacin sin autorizacin. La informacin que disponemos es vlida y consistente.

Este objetivo es muy importante cuando estamos realizando trmites bancarios por In-ternet. Se deber garantizar que ningn intruso pueda capturar y modificar los datos en trnsito.

No repudio: este objetivo garantiza la participacin de las partes en una comuni-cacin. En toda comunicacin, existe un emisor y un receptor, por lo que podemos distinguir dos tipos de no repudio:

No repudio en origen: garantiza que la persona que enva el mensaje no puede negar que es el emisor del mismo, ya que el receptor tendr pruebas del envo.

No repudio en destino: El receptor no puede negar que recibi el mensaje, por-que el emisor tiene pruebas de la recepcin del mismo.

1

e Conceptos bsicos de la segu ridad informtica 1

Este servicio es muy importante en los transacciones comerciales por Internet, ya que incrementa la confianza entre las partes en las comunicaciones.

Confidencialidad

Disponibilidad No repudio

Fig. 1.1. Esquema de los objetivos de la seguridad informtica.

Para conseguir los objetivos mostrados en la Figura 1.1 se utilizan los siguientes meca-nismos: o Autenticacin, que permite identificar al emisar de un mensaje, al creadar de un

documento o al equipo que se conecta a una red o a un servicio.

o Autorizacin, que controla el acceso de los usuarios a zonas restringidas, a distintos equipos y servicios despus de haber superado el proceso de autenticacin.

o Auditora, que verifica el correcto funcionamiento de las polticas o medidas de seguridad tomadas.

o Encriptacin, que ayuda a ocultar la informacin transmitida por la red o almacena-da en los equipos, para que cualquier persona ajena no autorizada, sin el algoritmo y clave de descifrado, pueda acceder a los datos que se quieren proteger.

o Realizacin de copias de seguridad e imgenes de respaldo, para que en caso de fallos nos permita la recuperacin de la informacin perdida o daada.

o Antivirus, como su nombre indica, consiste en un programa que permite estar prote-gido contra las amenazas de los virus.

o Cortafuegos o firewall, programa que audita y evita los intentos de conexin no deseados en ambos sentidos, desde los equipos hacia la red y viceversa.

o Servidores proxys, consiste en ordenadores con software especial, que hacen de in-termediario entre la red interna de una empresa y una red externa, como pueda ser Internet. Estos servidores, entre otras acciones, auditan y autorizan los accesos de los usuarios a distintos tipos de servicios como el de FTP (transferencia de ficheros), o el Web (acceso a pginas de Internet).

o Utilizacin firma electrnica o certificado digital, son mecanismos que garantizan la identidad de una persona o entidad evitando el no repudio en las comunicaciones o en la firma de documentos. Tambin se utilizan mucho hoy en da para establecer comunicaciones seguras entre el PC del usuario y los servidores de Internet como las pginas web de los bancos.

o Conjunto de leyes encaminadas a la proteccin de datos personales que obligan a las empresas a asegurar su confidencialidad.

I l \

ti, (/

Formas de autenticarse: Por algo que el usuario sabe:

password, PIN ... Por algo que el usuario posee:

tarjeta de claves, tarjeta ATM (tarjeta bancaria) ...

Por algo que el usuario es: ca ractersticas biomtricas, hue 110 dactilar, iris ...

2

Conceplos bsicos de lo seguridad infarmlico

Q Caso prctico 4 Certificado digital en Internet Explorer 7

Observemos el certificado dig ital que utilizo Gmoil a la hora de autenticar o los usuarios mediante el nombre y contraseo del mismo. Poro realizar esto actividad se ha utilizado la aplicacin Internet Explorer 7. En la Figuro 1.2, en la zona reservada para las direc-ciones. podemos observar que el protocolo utilizado es HTTPS en lugar de HTTP, que suele ser ms habitual. En este caso se est utilizando un protocolo de transferencia de hipertexto seguro.

(;!"ajj _.-U_"'_ ... _do_ ...... .. .. __ .......... _ ............ ~, ..... _ .... _ ... _ ........ ~ .. ..- ... ..... _"'_ .. _ ...... ,~ _ ...........

_.c,,-J<

ti ::,::.o:;= ........... ~ _ _ ........ ___ .. ~_~ ... ~ ... "" = Q :::~ ... " ... _ .. "' .... .. _, .. __ ' ..... '''' ....... ,_ .. __ ......

. , ....... c.-n" .... _ [ ';"'-- 1

L::==== .. ..,.._ ........ ~_ ... ____ ~ __

Fig . 1.2. Pantalla Google.

Ceftifitido '---"'-'

...... Do..,., Rl,ta de artifiu.cin

[ Rl Informacin del czrtificado Este Cbtiflc::do csbi destinado a los sig\JicJ1tcs Pnlpdslto:

A$eg\rlllll identidad de un ~ re!OOlo

Emitido par \\'\'II'I.googIe.am

Emitido por ihIIwte SGe CA

Vido dHelc 28/03/2009 ham 28/03/2.010

[03c=:idtlt'=~ a,~ rr.as nformacin&efCZI de, ct'fhfirado~

I -""

1

Fig. 1.4. Informacin general del certificado.

Si hacemos e1ic sobre el condado, que se muestro en lo parte derecho de lo URl, veremos lo Figuro 1.3, donde podemos verifica r que lo conexin estar cifrada usando un certificado digital de Google. Si hocemos e1ic sobre Ver Certificados de lo Figuro 1.4 nos muestro la informacin deta llada del mismo (Fig. 1.5).

~:==""------I :::::-.::.::: ..

" E:'.--;:"""'_ .. ,,--_ ..... _ ._ ... _-_ .. ~- ..... Q ::~;., .. _-~,_ ......... " .. _ --, ...... , .... -.-.... _.-

._ .. "-"lo,...,' .....

---l

Fig . 1.3. Pantalla Goagle con certificado.

Certificado .~

~"''''''' Rl,1iI de artiliald6n Mostrar: I

-1 1,' e ..... v'""" o 8t.nero de, ~erie 01""76003"'

Conceptos bsicos de la seguridad informtica 1 3. Clasificacin de seguridad Se pueden hacer diversas clasificaciones de la seguridad informtica en funcin de distintos criterios.

Cenlro de clculo. Lugar se encuentran ubicados los recursos informticos de una organizacin. Segn el activo a proteger, es decir, todos los recursos del sistema de informacin ne-

cesarios para el correcto funcionamiento de la actividad de la empresa, distinguiremos entre seguridad fsica y lgica; en dependencia del momento preciso de actuacin, entre seguridad pasiva y activa, segn se acte antes de producirse el percance, de tal manera que se eviten los daos en el sistema, o despus del percance, minimizando los efectos ocasionados por el mismo.

Sinnimos de centro de clcu-lo: Centro de procesamiento de datos (CPD), centro de datos y centro de cmputo.

3.1. Seguridad fsica y lgica En este apartado distinguiremos los distintos tipos de seguridad en funcin del recurso a proteger.

o Seguridad fsica Habitualmente nos centromos en protegernos de posibles hackers, virus ... y nos olvi-damos de un aspecto muy importante en la seguridad informtica, la seguridad fsica.

,,.. ... ...

"m1.' s .~n I~~': I La seguridad fsica es aquella que trata de proteger el hardware (los equipos infor-

mticos, el cableado ... ) de los posibles desastres naturales (terremotos, tifones ... ), de incendios, inundaciones, sobrecargas elctricas, de robos y un sinfn de amenazas ms.

, J

'.. . .. .... - .. ~" . .. .. ... p

Fig. 1.6. Terremotos registrados por el Instituto GeogrFico Nocional de Espaa de los primeros diez das del mes de julio de 2009.

A continuacin vamos a enumerar las principales amenazas y los mecanismos para salvaguardarnos de las mismas:

Incendios

Inundaciones

Robos

Seales electromagnticas

Apagones

Sobrecargos elctricas

Desastres naturales

El mobiliario de los centros de clculo debe ser ignfugo. Evitar la localizacin del centro de procesamiento de datos cerca de zonas donde se manejen o almacenen sustancias

inflamables o explosivos. Deben existir sistemas antiincendios, detectores de humo, rociadores de gas, extintores ... para sofocar el incendio en el

menor tiempo posible y as evitar que se propague ocasionado numerosas prdidas materiales.

Evitar la ubicacin de los centros de clculo en las plantas bajas de los edificios para protegerse de la entrada de aguas superficiales.

Impermeabilizar las paredes y techos del CPD. Sellar las puertas poro evitar la entrada de agua proveniente de las plantas superiores.

Proteger los centros de clculo mediante puertas con medidas biomtricas, cmaras de seguridad, vigilantes jurados ... ; con todas estas medidas pretendemos evitar la entrada de personal no autorizado.

Evitar la ubicacin de los centros de clculo prximos a lugares con gran radiacin de seales electromagnticas, pues pueden interferir en el correcto funcionamiento de los equipos informticos y del cableado de red.

En caso de no poder evitar la ubicacin en zonas con grandes emisiones de este tipo de seales deberemos proteger el centro Frente de dichas emisiones mediante el uso de filtros o de cableado especial, o si es posible, utilizar fibra ptica, que no es sensible a este tipo de interferencias.

Para evitar los apagones colocaremos Sistemas de Alimentacin Ininterrumpida, SAl, que' proporcionan corriente elc-trica durante un periodo de tiempo suficiente.

Adems de proporcionar alimentacin, los SAl proFesionales incorporan filtros para evitar picos de tensin, es decir, estabilizan lo seal elctrico.

Estando en continuo contacto con el Instituto Geogrfico Nocional y lo Agencio Estatal de Meteorologa, organismos que informan sobre los movimientos ssmicos y meteorolgicos en Espaa.

Tabla 1.2 . Amenazas y mecanismos de defensa en seguridad Fsica. 13

Conceptos bsicos de la seguridad informtica

o Seguridad lgica La seguridad lgica complementa a la seguridad fsica, protegiendo el software de las equipas informticas, es decir, las aplicaciones y las datas de usuaria, de rabas, de prdida de datas, entrada de virus informticos, modificaciones na autorizadas de los datas, ataques desde la red, etc.

fir ...... ~ d. IV;""" .. " r .... .. _ . .................. ,...M ......... ....... " .. .. ""''''' ... ''''.H ...... '"'''''' ...... ""'" .. , ... .......... . " ... ,, ......... ~.,.,,''' .

Conceptos bsicos de la seguridad informtica 1 Caso prctico 5 9

Verificacin de la integridad de 105 ficheros del sistema en Windows Vista En algunas ocasiones, los virus modifican o daan los ficheros del sistema. A con-tinuacin vamos a comprobar mediante el uso del comando sfc de Windows Vista la integridad de los mismos. Las acciones que debemos realizar son las siguientes: Hacemos dic en el botn Inicio. En el cuadro de bsqueda, escribimos Smbolo del sistema o cmd. Escribimos sfc/ verifyonly , y empiezo la comprobacin del sistema (Fig . 1.7). Este proceso suele tardar alrededor de unos quince minutos. El resultado se puede ver en lo Figuro 1.8.

Fig. 1.7. Comando sfc.

Fig. 1.8. Final eiecucin de sfc.

Con el parmetro / scannow el comando examina inmediatamente todos los archivos del sistema protegidos y reemplaza las versiones incorrectas que encuentre por versio-nes correctas de los mismos.

Para ejecutar muchos cornalnd,,. del sistema deberemos contar con privilegios de administrador.

En el caso de realizar el caso prctico en Windows XP la orden deberia ser:

sfc/SCANNOW

y, 1 Conceplos bsicos de la seguridad informtica

Fig. 1.9. Tarieta inteligente.

Fig. 1.10. SAl.

6

3.2. Seguridad activa y pasiva Como se coment al inicio del aportado 3, aqu el criterio de clasificacin es el mamen to en el que se ponen en marcho las medidos oportunas.

o Seguridad activa La seguridad activa la podemos definir como el conjunto de medidas que previenen e intentan evitar los doas en los sistemas informticos. A continuacin, vamos o enumerar los principales tcnicas de seguridad activa:

Uso de contraseas

listas de control de acceso

Encriptacin

Uso de software de seguridad informtica

Firmas y certiFicados digitales

Sistemas de Ficheros con tolerancia a fallos

Cuotas de disco

. , .".'~~ "GJ!ue previene? ' '. "', t: .. .

Previene el acceso a recursos por parle de personas no auto-rizadas.

Previene el acceso a los Ficheros por parle de personal no autorizado.

Evita que personas sin autorizacin puedan interpretar la informacin.

Previene de virus informticos y de entrados indeseadas 01 sistema informtico.

Permite comprobar la procedencia autenticidad e integridad de los mensajes. Previene fallos de integridad en caso de apagones de sincro-nizacin o comunicacin.

Previene que ciertos usuarios hagan un uso indebido de la capaddad de disco.

Tabla 1.4. Tcnicas de seguridad activa.

En las Figuras 1.9 y 1.10 podemos ver dos ejemplos de seguridad activa y pasiva. Las tarjetas inteligentes, ejemplo de seguridad activo, impiden el acceso a personas no autorizadas a los recursos, y los SAl Isistemas de alimentacin ininterrumpida) permiten mantener los equipos encendidos el tiempo necesario para guardar lo informacin una vez que se ha praducido el desastre lel apagn de luz).

o Seguridad pasiva La seguridad pasiva complemento O la seguridad activo y se encargo de minimizar los efectos que hoyo ocasionado algn percance. A continuacin enumeramos los tcnicos ms importantes de seguridad pasivo:

Conjunto de discos redundantes

SAl

Realizacin de copias de seguridad

Podemos restaurar informacin que no es vlida ni consis-tente.

Una vez que la corriente se pierde las bateros del SAl se ponen en funcionamiento proporcionando la corriente nece-saria para el correcto funcionamiento.

A partir de las copias realizadas, podemos informacin en caso de prdida de dolos.

Tabla 1.5. Tcnicas de seguridad pasivo.

Conceptos bsicos de la seguridad informtica 1 4. Amenazas y fraudes en los sistemas

de la informacin Durante los primeros meses de 2009, en Espaa hemos vivido una poca de crisis fi-nanciera, lo que ocasion numerosos despidos en las empresas. la situacin produjo un aumento en los casos de robos de informacin confidencial por parte de los empleados despedidos, y puso en evidencia la falta de seguridad informtica en dichas empresas.

'ff la seguridad de un sistema real nunca ser completa, pero el uso de buenas politicas de segu-ridad es imprescindible poro evitar y minimizar los daos.

El objetivo final de la seguridad es proteger lo que la empresa posee. Todo aquello que es propiedad de la empresa se denomina activo. Un activo es tanto el mobiliario de la oficina (sillas, mesas, estanteras), como los equipos informticos (servidores, ordenado-res de escritorio, impresoras), como los datos que se manejan (datos de clientes, factu-ras, personal) . Cualquier dao que se produzca sobre estos activos tendr un impacto en la empresa (Fig. 1.11).

Aclivos ' ) ,

! Dao

===~ G

18

Conceptos bsicos de la seguridad informtica

.. . .

Un problema que suele encono trarse o la hora de disear estos actuaciones es que los geren-tes de las empresas no ven la necesidad de invertir personal, esfuerzo y dinero en seguridad informtica .

q Coso prctico 7 Especificar los activos, doas, impacto y vulnerabilidad que sufre la agencia de viajes SiTour El director ha recibido un correo de un remitente desconocido con un fichero od junto que resulto ser un virus, y dado que no hoy un ontivirus funcionando en el porttil, este se infecto y el virus borro el contenido del disco duro de formo irrecu perable. En este coso los activos son el porttil y los datos; el dao es lo prdida de datos, el impacto es lo prdida de negocio de lo empresa , y lo vulnerabilidad se genero por lo falto de ontivirus. El impacto es de muy alto nivel porque, como recordars, no hoy otra copio de los datos de los clientes . Un riesgo es lo posibilidad de que se produzco un impacto negativo para lo em preso aprovechando alguno de sus vulnerabilidades (Fig . 1.10). Por ejemplo, en el coso anterior el riesgo es que, o travs de lo vulnerabilidad que supone no tener un antivirus se produzco lo prdida de clientes e incluso lo quiebro de lo empresa.

4.1. Actuaciones para mejorar la seguridad Los posos o seguir para mejorar lo seguridad son los siguientes: Identificar los activos, es decir, los elementos que lo empresa quiere proteger. Formocin de los trabajadores de los empresas en cuanto o materias de seguridad. Concienciac in de lo importancia de lo seguridad informtico para los trabajadores

de lo empresa. .

Evaluar los riesgos, considerando el impacto que pueden tener los daos que se produzcan sobre los activos y los vulnerabilidades del sistema.

Disear el plan de actuacin, que debe incluir: Los medidos que troten de minimizar el impacto de los daos ya producidos. Es lo que hemos estudiado referido o la seguridad pasivo. Las medidos que traten de prevenir los daos minimizando la existencia de vul nerabilidades. Se trata de la seguridad activa.

Revisar peridicamente las medidos de seguridad adoptados.

~ Actividades 4. Supn que en el ordenador porttil con cmara web integrado que tienes en tu

habitacin, no tiene cortafuegos activo, no hay instalado un antivirus y lo tienes siempre conectado o Internet. Un desconocido tomo el control de tu porttil y te dos cuento porque te encuentras lo cmara web encendido y t no lo has conectado. Analizo activos, vulnerabilidades y riesgos, y detallo cuales podran ser los daos producidos y el impacto de los mismos.

5. Imagina ahora que lo persono que ha tomado el control de tu ordenador no hoce nado en tu ordenador y t no te dos cuenta de esta situacin. Un da te dejas conectado tu DNI electrnico en el lector del ordenador. Analizo los posibles riesgos y el impacto de los mismos.

Conceptos bsicos de lo seguridad inFormtica 1 Caso prctico 8 9

Descubrir qu equipos estn conectados en la red de SiTour, qu servicios tienen instalados y descubrir qu programa y versin est detrs de un servidor Web

Para poder tomar medidas y proteger nuestra red, es bue-no conocer los pasos que un atacante seguira para inten-tar abordar nuestra equipo:

1. Analiza la red en busca de equipos y servicios Existen muchos analizadores de red, nosotros para este caso vamos a utilizar nmap y su interfaz grfico Zen map (http://nmap.org), un programa que se puede eie-cutar sobre Windows o GNU/Linux. Como se puede ver en la Figura 1.12 (resultado de un anlisis rpido, quick scan) nmap ha detectado dentro de la red de SiTour tres equipos, el equipo SERVER, el rauter y nuestro propio equipo. Para el equipo SERVER, que es el que est seleccionado en la figura, ha detec-tado varios servicios activos. Un atacante estudiara todos los servicios activos y las versiones de los pro-gramas que dan estos servicios para buscar una vulne-rabilidad en ellos. Nosotros en este caso prctico nos vamos a centrar en el servicio http.

Seil.n 1001s E,rofile .l:ielp

lb ,>"V ~ () f) o New Sean Command wzard Save Sean Open Sean Report a bug Help Quick Sean on 192.168.1.1/24 'A' 1

Target: (192.168.1.1/24 !vi Profile: I Quick Sean H 1 Sean I Command: Inmap.T Aggressive.v.n 192.168.1.1/24 I I Hosts 1I Serviees I Ports I Hosts ~map Output IHost Details Iscan Details I OS I Host

I Port I Protocol I State I SeNiee I Version ., 80 "p open http Ii' 192.168.1.2

Ii' ., m "p open msrpc

192.168.1.3 netbiosssn IU .. 139 "p open 192.168.1.203

., 44S "p open mierosoftds

., '54 "p open n,p

~~

Fig. 1.1 2. Equipos de Jo red.

2. Investiga los servicios que tiene activos el equipo que se quiere atacar Dentro del mismo programa, como se ve en la Figura 1.13, que muestra el resultado de aplicar un escaneo ms profundo, se nos muestra el programa y [a versin que est detrs de dicho servicio. En el caso del servi-dor Web, puerto 80, el programa servidar es Apache httpd 2.2.11.

l I 1:

3. Investiga vulnerabilidades que puedan tener los proto-colos activos Ahora que ya conocemos que programa est utilizando e[ equipo SERVER para ofrecer e[ servicio Web y la ver-sin del mismo, podemos buscar en Internet sus vulnera-bilidades conocidas. Una pgina en la que podemos encontrar esta infor-macin es http://securityfocus.com. Tambin puedes encontrar las vulnerabilidades en las pginas oficiales, es decir, en este caso en www.apache.org. Recuerda que un servidor Web tiene por abietiva servir aplicaciones de tipa Web, es decir, programas cons-truidos con las lenguaies HTML, iavaScript y PHP entre otros. Estos programas tambin pueden tener fallos que podra utilizar un posible atacante. Si utilizamos aplicaciones propias de la empresa, ten-dremos que descubrir y carregir nuestras propias vulne-rabi[idades si par el contraria utilizamos aplicaciones ms genricas como por eiemplo WordPress, Joomla o Maodle, tendremos que seguir las noticias oficiales de seguridad de esas aplicaciones para que en casa de que se produzca un fallo, solucionarlo en cuanto este sea conocida por la empresa. Estos pasos tambin se pueden simplificar a travs de algn programa de deteccin de vulnerabi[idades cama, par eiemp[a, nessus (www.nessus.org).

Se.an Iools .e,rofile .l:ielp 1: lb ,>"V o ~ rf:J Q @ New Sean Command Wizard Save Sean Open Sean Report a bug Help

Intense Sean on 192.168.1.1124 A ' Tll:rget: 1192.168.1.1/24 !vi Profile: Ilntense Sean !vi I Sean I Command: Inmap T Aggress ive.A.v 192.168.1.1{24 I ~I Serviees I I Ports I Hosts Nmap Output IHost Details Isean Deta;l

I Host rnteresting por ts on 192.168.1.203: B OS Hol libol!!o' 1710 fittered ports D 192.168.1.2 PORT STATE SERVICE VERSIOU Ii' 192.168.1.3 80/tcp open http Apache httpd 2.2.11 ((Win32) PHP/ 5.3. O) / : 192.168.1 .203 135/ t cp 0 rU!1I ms rpc Ili c roso ft willlJ ows RIlC

139/ t c p opcn nc tLli os - ss ll '1

~/1 Conceptos bsicos de la seguridad informtica

Mic:ro,;oft tiene su propia pgina sobre noticias de seguridad: http://www.microsoft.com/ spain/seguridad Poreiemplo, busca: "boletn MS09-027, donde encontrars infor mocin sobre una vulnerabilidad de Microsoft Office Word.

" El tcnico de seguridad, antes de instalar cualquier aplicacin, debe conocer sus vulnerabilidades. De esta manera podr determinar si es necesario la descarga de algn parche o bien desestimar su instalacin.

4.2. Vulnerabilidades Las vulnerabilidades de un sistema san una puerta abierta para posibles ataques, de ah que sea tan importante tenerlas en cuenta; en cualquier momento podran ser apra-vechadas.

Podemos diferenciar tres tipos de vulnerabilidades segn cmo afectan a nuestra sistema: Vulnerabilidades ya canacidas sobre aplicaciones o sistemas instalados. Son vul-

nerabilidades de las que ya tienen conocimiento las empresas que desarrallan el programa al que afecta y para las cuales ya existe una solucin, que se publica en forma de parche. Existen listas de correo relacionadas con las noticias oficiales de seguridad que in-forman de la deteccin de esas vulnerabilidades y las publicaciones de los parches a las que podemos suscribirnos.

Vulnerabilidades conocidas sobre aplicaciones no instaladas. Estas vulnerabilidades tambin son conocidas por las empresas desarrolladores de la aplicacin, pero puesto que nosotras no tenemos dicha aplicacin instalada no tendremos que actuar.

Vulnerabilidades an no conocidas. Estas vulnerabilidades an no han sido detec-tadas por la empresa que desarrolla el programa, por lo que si otra persona aiena a dicha empresa detectara alguna, podra utilizarla contra todos los equipos que tienen instalado este pragrama.

Lograr que los sistemas y redes operen con seguridad resulta primordial para cualquier empresa y organismo. Esto ha llevado a que empresas como Microsoft dispongan de departamentos dedicados exclusivamente a la seguridad, como es Microsoft Security Response Center (MSRC). Sus funciones son, entre otras, evaluar los informes que los clientes proporcionan sobre posibles vulnerabilidades en sus productos, y preparar y divulgar revisiones y boletines de seguridad que respondan a estos informes. Para ello clasifica las vulnerabilidades en funcin de su gravedad, lo que nos da una idea de los efectos que pueden tener en los sistemas. En la siguiente tabla puedes ver dicha clasificacin:

Crtica Vulnerabilidad que puede permitir la propagacin de un gusano de Infernet sin la accin del usuario.

Importante

Moderado

Baia

Vulnerabilidad que puede poner en peligro lo confidencialidad, integridad o disponibilidad de los datos de los usuarios, o bien, la integridad o disponibilidad de los recursos de procesamiento.

El impacto se puede reducir en gran medida a partir de factores como configuraciones predeterminadas, auditoras o la difi-cultad intrnseca en sacar partido a la vulnerabilidad.

Vulnerabilidad muy difcil de aprovechar o cuyo impacto es mnimo.

Tabla 1.6. Clasificacin de gravedad de los vulnerabilidades Iwww.microsoft.coml.

:0

~ Actividades 6. Que clasificacin de las que hemos estudiado en la

Tabla 1.6 han dado a la vulnerabilidad que se comenta en el Sabas que? de esta misma pgina?

Z Busca una de las ltimas vulnerabilidades publicadas por Microsoft que afecte a uno de sus sistemas operativos. Haz un informe con los siguientes puntos: la descripcin de la vulnerabilidad,

a qu software afecta, qu clasificacin le ha dado Microsoft, qu impacto podra tener, si en tu opinin afecta a

nuestros sistemas (los de clase), qu medidas tenemos que tomar para corregir esta

vulnerabilidad.

Conceplos bsicos de la seguridad inFormtica 1 4.3. Tipos de amenazas

Un sistema informtico se ve expuesto a un gran nmera de amenazas y ataques. En este apartado veremos una pequea introduccin a las clasificaciones ms importantes, y trataremos este tema con ms detalle en la Unidad 5: Seguridad activa en el sislema. Para identificar las amenazas a las que est expuesto un sistema informtico realizare-mos tres clasificaciones: la primera de los tipos de atacantes, la segunda de los tipos de ataques que puede sufrir y la tercera de cmo actan estos ataques. la Tabla 1.7 recoge, en la primera columna, los nombres con los que se han denomi-nado a las personas que llevan a cabo los ataques; en la segunda columna, vers una pequea definicin que los caracteriza.

Hackers

Crackers

Phreakers

Sniffers

lammers

Newbie

Ciberterrorista

Programadores de virus

Carders

Expertos informticos con una gran curiosidad por descubrir las vulnerabilidades de los sistemas pero sin motivacin econmica o daina.

Un hacker que, cuando rompe la seguridad de un sistema, lo hace con intencin maliciosa, bien para daarlo o para obtener un beneFicio econmico.

Crackers telefnicos, que sabotean las redes de telefona para conseguir llama-das gratuitas.

Expertos en redes que analizan el trfico para obtener informacin extrayndola de los paquetes que se transmiten por la red.

Chicos jvenes sin grandes conocimientos de informtica pero que se consideran a s mismos hackers y se vanaglorian de ello.

Hacker novato.

Expertos en informtica e intrusiones en la red que trabajan para pases y orga-nizaciones como espas y saboteadores informticos.

Expertos en programacin, redes y sistemas que crean programas dainos que producen efectos no deseados en los sistemas o aplicaciones,

Personas que se dedican al ataque de los sistemas de tarjetas, como los cajeros automticos.

Tabla 1.7. Tipos de atacantes.

En la Tabla 1.8 se recogen los principales ataques que puede sufrir un sistema si se apravechan sus vulnerabilidades.

Interrupcin

Intercepcin

Modificacin

Fabricacin

Un recurso del sistema o la red deja de estar disponible debido a un ataque.

Un intruso accede a la informacin de nuestro equipo o a la que enviamos por la red.

La informacin ha sido modificada sin autorizacin, por lo que ya no es vlida.

Se crea un producto Ipor ejemplo una pgina Web) difcil de distinguir del autn-tico y que puede utilizarse para hacerse, por ejemplo, con informacin confiden-cial del usuario.

Tabla 1.8. Tipos de alaques.

En 2005 Creative distribuy en Japn cerca de 3700 reproduc-tores de mp3 infectados con virus. la compaa Creative Labs anunci que en 3700 de sus reproductores de MP3 vendidos en Japn se ha distribuido acci-dentalmente un virus que afecta al sistema operativo Windows, segn inform el sitio britnico The Regisler. El virus que se col en los MP3 player corresponde al gusano Wullik-B (tambin cono-cido como Rays-A), actualmente detectado por la mayora de las software de seguridad y que segn F-Secure slo se activa si el usuario accede al archi-vo infectado y hace doble clic sobre l. Fuente: www.cadenaser.com

22

Conceptos bsicos de la seguridad informtica

Los tipos de amenazas pueden clasificarse tambin en funcin de cmo actan los ataques, siendo los principales los que se han incluido en la Tabla l.9 que aparece a continuacin:

Spaafing

Sniffing

Conexin no autorizada

Malware

Keylaggers

Denegacin de Servicio

Ingeniera social

Phishing

Suplanto lo identidad de un pe o algn doto del mismo Icama su direccin MAq

Monitorizo y analizo el trfico de la red para hacerse con informacin.

Se buscan agujeros de la seguridad de un equipo o un servidor, y cuando se des-cubren, se realiza una conexin no autorizada a los mismos.

Se introducen programas malintencionados (virus, troyanos o gusanos) en nuestro equipo, daando el sistema de mltiples formas.

Se utiliza una herramienta que permite conocer todo lo que el usuario escribe a travs del teclado, e incluso pueden realizar capturas de pantallas.

Interrumpe el servicio que se est ofreciendo en servidores o redes de ordenado-res . Tambin denominado DoS Idenial of Servicel.

Se obtiene informacin confidencial de una persona u organismo para utilizarla con fines maliciosos. Los ejemplos ms llamativos son el phishing y el spam.

Se engaa al usuario para obtener su informacin confidencial suplantando la identidad de un organismo o pgina web de Internet.

Tabla 1.9. Formas de actuar de los ataques.

4.4. Pautas de proteccin para nuestro sistema Cualquier equipo conectado en red esi expuesto a ser atacado. Como ya sabes, hay autnticos expertos informticos que se dedican a buscar vulnerabilidades en los siste-mas, dedicando mucho tiempo y esfuerzo a este fin. Para prateger tu sistema tendrs que ser ms listo que ellos y dedicar tambin mucho tiempo y esfuerzo a esta tarea. Algunas de las pautas que debes seguir son: o No instalar nada que no sea necesario en los servidores. o Actualizar todos los parches de seguridad. Muchos parches de seguridad corrigen

vulnerabilidades de los programas por lo que es necesario mantener siempre actua-lizado el sistema.

o Formar a los usuarios del sistema para que hagan uso de buenas prcticas. o Instalar un firewall. Esta herramienta permite controlar el trfico entre una red priva-

da y una pblica. o Mantener copias de seguridad segn las necesidades. o Gestionar y revisar los logs del sistema. Los logs reflejan toda la actividad desa-

rrollada en el sistema, por la que su revisin peridica puede detectar a tiempo un posible ataque.

o Sentido comn y experiencia previa del administrador.

~ Actividades 8. Analiza el artculo del primer apartado de la unidad e identifica el tipo de ata-

cante del que hablan y el tipo de ataque que realiza. 9. Analiza cuales de las pautas no cumple el sistema que tienes en tu casa.

Conceptos bsicos de la seguridad informtica 1 5. Leyes relacionadas con la seguridad

de la informacin En los siguientes apartados vamos a trotar las principales leyes relacionadas con la seguridad de la informacin: Ley de proteccin de datos de carcter personal y Ley de servicios de la informacin y el comercio electrnico.

5.1. Normativa que protege los datos personales Muy a menudo, en nuestro vida diaria, nuestros datos personales son solicitados para realizar diversos trmites en empresas o en organismos tanto pblicos como privados; por eemplo, cuando cambiamos de nmero de mvil o contratamos un nuevo proveedor de servicios de Internet. Desde ese instante, nuestro nombre, apellidos, direccin, etc., pasan a formar parte de una serie de ficheros. Su gestin est regulada por la Ley de Proteccin de Datos de Carcter Personal (LO 15/1999), ms conocida como LOPD, que se desarrolla en el RD 1720/2007, Y es supervisada por la Agencia Espaola de Proteccin de Datos. El obetivo de esta leyes garantizar y proteger los derechos fundamentales y, espe-cialmente, la intimidad de las personas fsicas en relacin con sus datos personales. Es decir, especifica para qu se pueden usar, cmo debe ser el procedimiento de recogida que se debe aplicar y los derechos que tienen las personas a las que se refieren, entre otros aspectos. Puede que nunca te hayas fado, pero es habitual encontrar carteles donde se hace referencia a esta ley, por eemplo en las estaciones de RENFE o cuando rellenas tu ma-trcula.

11 ' lI'I'u;>t:O ;lO r.:uu

24

Conceptos bsicos de la seguridad informtico

o Proteccin de datos La LOPD no solo la tenemos que conocer desde nuestra profesin como tcnicos en sis-temas microinformticos y redes, sino tambin como particulares, ya que nuestros datos estn almacenados en ficheros que debern cumplir esta legislacin.

q Caso prctico 9

'"

La agencia de viajes SiTour ha decidido hacer una ficha a cada cliente que solicite informacin sobre algn viaje, con el objetivo de enviarle sus nuevas ofertas y pro-mociones

Describe el proceso que t, como tcnico informtico de la agencia, tendrs que realizar para poder almacenar y gestionar dichos datos de acuerdo a la narmativa vigente. En primer lugar, segn la LOPD se debe solicitar a la Agencia de Proteccin de Datos la creacin de dicho fichero. En esta solicitud habr que especificar: Responsable del fichero: La agencia de viajes SiTour. Finalidad: El ob jetivo es comercial, es decir, el envo de ofertas y promociones. Tipo de datos de carcter personal que contiene: nombre y apellidos, DNI o NIE, telfono, direccin postal y correo electrnico. Medidas de seguridad: nivel bsico, segn se especifica en la LOPD. Los datos que se deseen almacenar en el fichero tendrn que ajustarse a los obje-tivos, es decir no se puede solicitar al cliente sus ingresos anuales. Estos datos solo podrn ser utilizados para el objetivo para el que se han recogido y tendrn que ser cancelados una vez que no sean necesarios para este objetivo. La Agencia de Proteccin de Datos se pronunciar sobre la solicitud en un plazo de un mes y si no se entender que el fichero se ha inscrito correctamente. En el momento de la recogida de datos de carcter personal, hay que informar al cliente de: La incorporacin de sus dotas a un fichero de datos de carcter personal. La finalidad de estos datos, que en este caso es el envo de ofertas y promociones. De su derecho de acceso, rectificacin y cancelacin, as como del procedimiento que el cliente debe seguir, ya dnde debe dirigirse para ejercitar dicho derecho. De la identidad y direccin del responsable del tratamiento de los datos, en este caso la agencia de viajes Sitour. Adems, tanto la persona responsable del fichero como quienes intervengan sobre l tienen deber de secreto sobre los datos que contiene. El documento informativo que se proporcionar a los clientes, y del que la empresa guardar una copia firmada por este, podra ser el siguiente:

En cumplimiento de la establecido en la ley orgnica 15/ 1999 de Proteccin de Datos de Carcter Personal y en el Real Decreto 1720/2007, que aprue-ba su reglamento de desarrollo, los clientes quedan informados y prestan su consentimiento a la incorporacin de sus datos a los ficheros existentes en SiTour y al tratamiento de los mismos. Los datos personales sern tratados exclusivamente con la finalidad de informar al cliente sobre nuevas ofertas y promociones. No se real izar ninguna cesin de estos datos. Segn lo dispuesto en la misma ley, los clientes tienen derecho a consultar, modificar o cancelar los datos proparcionados a SiTour, dirigindose al de-partamento de informtica de SiTour.

Conceptos bsicos de la seguridad informtica 1 o Medidas de seguridad Como ya sabes, siempre que se vaya a crear un fichero de datos de carcter personal, es necesario solicitar la aprobacin de la Agencia de Proteccin de Datos. Cuando se realiza esta solicitud es obligatorio especificar los datos que contendr el fichero y el nivel de seguridad que se aplicar al fichero. Los niveles de seguridad son tres: bsico, medio y alto. Los datos implicados en cada uno de ellos se muestran en la Tabla 1.1 o.

Todos los datos de carcter personal tienen que tener como mnimo este nivel.

Bsico

Referidos a inFracciones administrativas (o penales), a gestin tributaria, datos Fiscales y Financieros. Medio Dalas que proporcionan inFormacin sobre las caractersticas o personali-dad de las afectados.

Referidos a ideologa, afiliacin sindical, religin, creencias, origen racial, salud o vida sexual. Alto

Tabla 1.10. Correspondencia dotas - seguridad.

El nivel que debe aplicarse es el ms alto que corresponda a los datos incluidos en el fichero, es decir, si solo contiene los datos personales (nombre, apellidos y NIF) el nivel es bsico, pero si adems se incluye la afiliacin sindical, el nivel de seguridad del fichero ser alto. Cada nivel tiene unas caractersticas de seguridad propias, como se ve en la Tabla 1.1l.

Bsico

Medio

Alto

Debe existir un documento de seguridad donde figuren las Funciones y obligaciones de cada usuario del fichero. El responsable del fichero debe mantener una lista de usuarios y sus accesos actualizada. Las contraseas de los usuarios (en caso de ser este el mtodo de autenticacin) sern cam-biadas en un periodo no superior a un ao. Es obligatorio crear un registro de las incidencias relacionadas con este fichero. Cualquier documento que contenga datos de carcter personal que se deseche tendr que ser borrado o destruido. Habr que realizar copias de seguridad como mnimo una vez a la semana.

Al menos una vez cada dos aos una auditora verificar que los procedi-mientos de seguridad aplicados son los correctos. Deben establecerse mecanismos para evitar el acceso reiterado no autori-zado a los datos y sistemas de control de acceso a los lugares donde estn los equipos que almacenen los datos.

Los datos deben ser cifrados para que no se manipulen cuando se realice su transporte, por ejemplo, cuando se almacenen los datos en un porttil. Tambin debern ciFrarse para realizar cualquier transmisin por redes pblicas o inalmbricas. Las copias de seguridad deben almacenarse en un lugar Fsico diFerente a los datos. Debern registrarse los intentos de acceso a los datos de los dos ltimos aos como mnimo.

Tabla 1.11. Caractersticas de los niveles de seguridad.

Auditora. Proceso que consis-te en obtener y evaluar objeti-vamente los procesos de una empresa para comprobar que cumplen con las normas y crite-rios establecidos.

Las datos referentes a los niv~ de seguridad estn especifica-dos con ms detalle en la LOPD y en el decreto 1720/2007.

Actividades 9' 10. Dadas las siguientes situa-

ciones, identifica el tipo de infraccin que SiTour est cometiendo. Para ello consulta el artculo 43 de la LOPD: o SiTour realiza el envo

de ofertas y promo-ciones sin solicitar la creacin del fichero de datos de sus clientes.

o SiTour no est reali-zando copias de segu-ridad del fichero de datos.

o SiTour realiza la reco-gida de datos a sus clientes sin informar-les de la finalidad del fichera.

11. Las infracciones de la actividad anterior tienen asignada una sanclon econmica en el artculo 45 de la LOPD. Bscala e indica cul es en cada caso.

Conceptos bsicos de la seguridad informtica

S' b- ? a ... Ias que .... ~ Si se detecla que un conlenido o un enlace a un contenido no cumple la normaliva Ipor ejem plo, atenta conlra la dignidad de una persona o contra los derechos de aulor). la empresa que lo aloja tiene que colaborar para suprimir o inutilizar el con-lenido o el enlace.

5.2. Normativa de los sistemas de informacin y comercio electrnico

La regulacin de los sistemas de informacin es un temo muy extenso y complejo, tanto que existe un organismo, lo Comisin del Mercado de las Telecomunicaciones (CMT). que establece las normas y procedimientos de los mercados nocionales de comunicacio nes electrnicas y de servicios audiovisuales. Lo ley 34/2002 de servicios de lo informacin y el comercio electrnico regula el rgi. men jurdico de las servicias de lo sociedad de la informacin y lo contratacin por va electrnica en las empresas que proporcionan estos servicios establecidos en Espaa o en estados miembros de lo unin Europea. Algunos de los aspectos ms importantes de esto ley son: Los empresas o las que afecta estn obligadas o proporcionar informacin sobre

nombre, domicilio, direccin de correo electrnico, nmero de identificacin fiscal e informacin clara sobre el precio de las productos. Si esta informacin se incluye en la pgina web, la empresa estar cumpliendo con este requisito.

Exculpa de responsabilidad, siempre que no tengan conocimiento efectivo de la informacin contenida en sus servidores, a empresas que se dedican al alojamiento o almacenamiento de datos o enlaces a datos incluidos por clientes.

Establece la validez de los contratos realizados por va electrnica. Para demostrar la existencia de dicho contrato jurdicamente es suficiente con la presentacin del documento en formato electrnico. Por ejemplo en el caso de los billetes de transpor te adquiridas a travs de Internet, el documento electrnico justifica dicho controto.

La aplicacin de estas leyes ha derivado en acciones judiciales, como la siguiente:

o-m .. " ~teccin de Datos multa a Telefnica con 60.000 euros .

. ; .

La Agencia Espaolo de Proteccin de Dolos IAEPD) ha impuesto a Telefnica una multa de 60 101 ,21 euros por haber revelado dolos de clientes a consecuencia de un problema tcnico que sufri el porlal de Terra.

htlp://www.consumer.es/web/es/tecnolagia/2008/03/17/175496.php

...

Un grupo de jvenes insulto y veja en 2006 a un chico de 17 aos con sndrame de dawn. Uno de ellos lo grabo y acabo colgado en Google Video, el servcio de hospedaje de vdeos del gigante informtico que ms larde adquirira Yautube. Lo escena llego o recibir 5.500 visitas en dos meses y aparece entre los vdeos ms divertidos. Quin es el res-ponsable de lo dignidad del agredido, socavado en unas imgenes que alcanzaron uno audiencia global? Un juez en Miln lo juzgo desde hoy, cenlrndose en lo responsabilidad de cuatro directivos de Google. Los altos cargos, entre los que se encuentra un vicepresi-dente de la empreso, se enfrentan a una acusacin penal por difamar a la vctima y a Vivi Dow n, una asociacin de personas con sndrome de down. Adems, la Fiscala les consi-dera responsables del incumplimienlo de la legislacin ilaliana en materia de privacidad. 15/12/2009 Daniel Basleira Diario Pblico

Identificar las necesidades de la seguridad informtica

1. Analiza las perjuicios que puede ocasionarte la conexin a una red wifi que no pide ningn tipo de contrasea.

2. Analiza la seguridad que tendran las claves farmadas exclusivamente por nmeros.

3. Comprueba la seguridad de las contraseas que habi-tualmente utilizas en el comprabadar de contrase-as de Microsoft: hHp://www.microsoft.com/latam/ athome/security/privacy/password_checker.mspx.

4. Escribe en un papel tu nombre, apellidos, nmera de telfono mvil, nmero fijo, fecha de nacimiento, direc-cin postal, nombre de familiares y mascotas y nom-bres de usuario para el equipa de tu casa, el correa electrnica y otros servicios a los que accedes por Inter-net. Intercambia tu papel con el de un compaero e intenta, haciendo combinaciones de estos datos, des-cubrir sus contraseas.

5. En esta actividad vamos a trabajar con Chrame, nave-gador gratuito diseado por la compaa Google. En caso de que no lo tengas descrgatelo de Internet. Vete a la pgina de Gmail, es decir al correo electrnico de Google, y busca en ella el certificado que utiliza Gmail.

6. Rellena la siguiente tabla:

Fsica activa

7. Indica los pasos que debemos realizar para conseguir mejorar la seguridad informtica.

8. Imagina que la empresa en la que eres responsable de seguridad sufre un ataque a travs del servidor Web utilizando una vulnerabilidad conocida. Que medidas tomaras?

9. Pon un ejemplo de sistema en el que los riesgos estn asociadas a impactos altos y otro ejemplo en el que estn asociados a mayor probabilidad de vulnerabili-dades.

10. Busca una noticia en un peridico sobre seguridad informtica e identifica los tipos de atacantes y los tipos de ataques. Crees que el ataque se pudo llevar a cabo debido a una mala planificacin de la seguridad?

Conceptos bsicos de la seguridad informtica 1

Comprueba tu aprendizaje f9 11. Infrmate en la pgina de Microsoft sobre la vulnerabi-

lidad MS07-041 que afecta al servidor Web de Micro-soft Internet Information Server.

12. Busca un boletn de seguridad de Microsoft en el que se publique una vulnerabilidad de Windows 7. Escribe en tu cuaderna un resumen, cmo ha sido clasificada, a qu sistemas afecta, si crees que nos afectara y cmo pueden protegerse los equipos afectados de esta vulne-rabilidad.

13. Accede a la pgina de Hispasec Sistemas hHp://www. hispasec.com/index_html y suscrbete a Una al da para recibir en tu correo electrnico una noticia cada da sobre problemas de seguridad que afecten a cual-quier sistema. Elige una noticia que afecte a un sistema que conozcas y haz un resumen del problema de segu-ridad en tu cuaderno.

14. Busca informacin sobre las listas Robinson y averigua en qu consisten, cmo funcionan, quin puede entrar a formar parte de ellas y cul es el procedimiento para que una persona sea incluida en ellas.

Reconocer la legislacin y normativa sobre la seguridod y proteccin de datos onalizando las repercusiones de su incumplimiento 15. En el Caso prctico 9 vimos el procedimiento que

seguido por SiTour para almacenar y gestionar los datos de sus clientes segn la normativa vigente. Una vez que ha realizado todo este proceso, SiTour enva a SiCon, una empresa de construccin con la que tiene acuerdos comerciales, los datos de su fichero de clien-tes pero no informa a estos del envo. Responde a las siguientes preguntas: Cul es el organismo que se ocupa de controlar y

multar estas infracciones? En que ley se recogen las sanciones a aplicar? Cul es la gravedad de la infraccin que est come-

tiendo? Qu multa pueden tener? Nota: Es la primera vez que se sanciona a estas empre-sas y el volumen de datos afectadas no es muy alto, por lo que las sanciones a aplicar sern las mnimas pasibles.

16. Terminado este curso y con la formacin adquirida, decides montar una empresa en Internet que se va a dedicar a ofrecer un disco duro an-line. Necesitas de cada usuario: nombre, apellido, telfono y direccin de correo electrnico. En qu afectan estos datos a la formacin de tu empresa? Qu medidas de segu-ridad tendrs que tomar cuando almacenas esta infor-macin?

~/1 Conceptos bsicos de la seguridad informtica

Confidenciolidod

Disponibilidod

Integridod Interrupcin

No Repudio Intercepcin

Modificacin Seguridad fsico

-C Fabricacin Seguridad lgica

pasiva Spoofing

Sniffing Conocidas sobre

aplicaciones Conexin no autorizada o sistemas instalados

Molwore Conocidas sobre

.. .. . ~ aplicaciones Keyloggers no inslaladas

An no conocidas Denegacin de servicio

Ingeniera social

Hackers

Crackers

Phreakers

Sniffers Ley 15/1999 { de proteccin de dalos de Lammers carcter personal . . Newbie Ley 34/2002 de servicios de la informacin

Ciberterrorisla y el comercio electrnico

Programadores de virus

Carders

B

lUJ n'il D d

Seguridad pasivo. Hardware y almacenamiento

~ Actividades 1. Realiza en equipo una

tormenta de ideas para descubrir qu factores hay que tener en cuenta para elegir dnde situor los equipos que forman el CPD. Es esencial que ten-gis siempre presente lo importante que son estos equipos y la informacin que manejan para cual-quier organizacin. Fjate en la Figura 2.1 para analizar estos fac-tores, teniendo en cuenta los equipos y armarios donde se instalan, que puedes ver en la imagen, as como las caractersti-cas de este CPD.

l. Ubicacin y proteccin fsica El primer paso para establecer la seguridad de un servidor o un equipo es decidir adecuadamente dnde vamos a instalarlo. Esta decisin puede parecer superflua, pero nada ms lejos de la realidad: resulta vital para el mantenimiento y proteccin de nues-tros sistemas. Los planes de seguridad fsica se basan en proteger el hardware de los posibles desas-tres naturales, de incendios, inundaciones, sobrecargas elctricas, robos y otra serie de amenazas.

Se trata, por tanto, de aplicar barreras fsicas y procedimientos de control, como medi-das de prevencin y contra medidas para proteger las recursos y la informacin, tanta para mantener la seguridad dentro y alrededor del Centro de Clculo como los medios de acceso remoto a l o desde l. Veremos algunos de los mecanismos de seguridad fsica de los que hemos hablado en la Unidad 1, que, cama recordars, se recogen en la Tabla 1.2, relativa a amenazas y mecanismos de defensa de seguridad. Cada sistema informtica es nica. Par ejemplo, en la Figura 2.1 se puede ver la vis-ta parcial de un CPD de una organizacin grande, pero en pequeas empresas u organizaciones, ei CPD podra estar compuesta sala par una de esios mdulos a par un servidor. Cuando hablemos del plan de seguridad fsica na podemos pensar que existe un plan de seguridad general aplicable a cualquier tipo de instalacin. En esta unidad nos centraremos en las pautas de aplicacin general, teniendo en cuenta que estas deben personalizar-se para cada empresa y cada edifido. Adems, no es lo mismo establecer las caractersticas de una sala tcnica en una zona donde los terremotos son ha- \ bitLJales, por ejemplo, a hacerlo para una zona donde apenas hay temblares apreciables. Fig. 2 .1. Saja de servidores.

1.1. Factores para elegir la ubicacin Cuando hay que instalar un nuevo centra de clculo es necesario fijarse en varios fac-tares. En concreta, se elegir la ubicacin en funcin de la disponibilidad fsica y la fa-cilidad para modificar aquellas aspectos que vayan a hacer que la instalacin sea ms segura. Existen una serie de factores que dependen de las instalaciones propiamente dichas, coma son: El edificio. Debemos evaluar aspectos como el espacio del que se dispone, cmo

es el acceso de equipas y personal, y qu caractersticas tienen las instalaciones de suministro elctrico, acondicionamiento trmico, etc. Igualmente, hemos de atender a cuestiones de ndole fsica como la altura y anchura de los espacias disponibles para la instalacin, si tienen columnas, cmo es el suelo, la iluminacin, etc.

Tratamiento acstico. En general, se ha de tener en cuenta que habr equipos, como las de aire condicionado, necesarios para refrigerar los servidores, que son bastante ruidosos. Deben instalarse en entornos donde el ruido y la vibracin estn amortiguados.

Seguridad fsica del edificio. Se estudiar el sistema contra incendias, la proteccin contra inundaciones y otras peligros naturales que puedan afectar a la instalacin.

Suministro elctrico propio del CPD. La alimentacin de los equipos de un centro de procesamiento de datos tiene que tener unas condiciones especiales, ya que no puede estor sujeta a los fluctuaciones o picos de lo red elctrico que pueda sufrir el resto del edificio. No sue-le ser posible disponer de toda una red de suministro elctrico propio, como la que ves en la Figura 2.3, pero siempre es conveniente utilizar una sistema independien-te del resto de la instalacin y elementos de proteccin y seguridad especficos, como sistemas de alimentacin ininterrumpida, a los que dedicaremos el Apartado 2 de la unidad: equipos electrgenos, bateras, etc.

Seguridad pasivo. Hardware y almacenamiento 2

Existen otra serie de factores inherentes a la localiza-cin, es decir, condiciones ambientales que rodean al local donde vayamos a instalar el CPD. Los principales son los factores naturales (fro, calor, inundaciones, in-cendios o terremotos); los servicios disponibles, espe-cialmente de energa elctrica y comunicaciones (an-tenas, lneas telefnicas, etc.), y otras instalaciones de la misma zona; y la seguridad del entorno, ya que la zona donde vaya situarse el CPD debe ser tranquila, pero no un sitio desolado. Otros factores que han de tenerse en consideracin son el vandalismo, el sabotaje y el terrorismo.

Fig. 2.2. Sistema de refrigeracin del centro de datos de Google en The Dalles, Oregn. Fuente: www.informationweek.com.

o Dnde se debe instalar el CPD? Atendiendo solo a estos factores ya podemos obtener las primeras conclusiones poro instalor el CPD en una ubica-cin de caractersticas idneas. As pues, siempre que po-damos, tendremos en cuenta que: Deben evitarse reas con fuentes de interferencia de

radiofrecuencia, tales como transmisores de radio y es-taciones de TY.

El CPD no debe estar contiguo a maquinaria pesada o almacenes con gas inflamable o nocivo.

Fig. 2.3. Sistema de alimentacin del compleja de Google en The Dalles, Oregn. Fuente: www.;nformationweek.com.

El espacio deber estar protegido ante entornos peligrosos, especialmente inunda-ciones. Se buscar descartar:

Zonas cercanas a paredes exteriores, planta baja o salas de espera, ya que son ms propensas al vandalismo o los sabotajes. Stanos, que pueden dar problemas de inundaciones debido a caeras princi-pales, sumideros o depsitos de agua . ltima planta, evitando desastres areos, etc. Encima de garajes de vehculos de motor, donde el fuego se puede originar y extender ms fcilmente.

Segn esto, la ubicacin ms conveniente se sita en las plantos intermedias de un edi-ficio o en ubicaciones centrales en entornos empresariales.

Actividades "

2. Estudia las instalaciones de tu centro. Dadas las caractersticas del mismo, dnde crees que podra instalarse un pequeo centro de clculo?

Seguridad pasiva. Hardware y almacenamiento

1.2. Control de acceso De modo complementario o la correcta eleccin de la ubicacin del CPD es necesario un frreo control de acceso al mismo. Dependiendo del tipo de instalacin y de la inver-sin econmica que se realice se dispondr de distintos sistemas de seguridad, como los siguientes: o Servicio de vigilancia, donde el acceso es controlado por personal de seguridad que

comprueban la identificacin de todo aquel que quiera acceder a una ubicacin.

En general, suele utilizarse en el control de acceso al edificio a al emplazamiento y se complementa can otros sistemas en el acceso directa al CPD.

o Detectores de metales y escneres de control de pertenencias, que permiten revisar a las personas, evitando su acceso a las instala-ciones con instrumentas potencialmente peligrosas a armas.

o Utilizacin de sistemas biamtricas, basados en identificar caracters-ticas nicas de las personas cuyo acceso est autorizado, coma sus huellas digitalizadas a su iris, de los que hablaremos en la Unidad 5.

Fig. 2.4. Control de acceso al complejo de Google en The Dalles, Oregn. Fuente: www.inFormationweek.com.

o Proteccin electrnica, basada en el usa de sensores conectadas a centrales de alarma que reaccionan ante la emisin de distintas se-ales. Cuando un sensar detecta un riesgo, informa a la central que procesa la informacin y responde segn proceda, par ejemplo emitiendo seales sonoras que alerten de la situacin.

~ Actividades 3. Busca informacin sobre

distintos sistemas de pro-teccin electrnico, sus aplicaciones y costes de implantacin.

,

Q Caso Jlrctico 1 Estudio de la ubicacin del CPO de SiCon SiCon, una importante empresa de construccin, ha decida trasladar sus oficinas a un nueva edificio. Una de los factares ms impartantes para decidir entre las posi-bles ubicaciones, tres en total, es determinar cul ofrece las mejores garantas para la instalacin de su CPD. Es nuestra responsabilidad como tcnicas informticos presentar la propuesta de ubicacin ms conveniente.

l. Se trata de tres edificios situadas en diferentes zonas, consideradas todas ellas como seguras desde el punto de vista de robos y vandalismo, y que se sitan en la misma rea geogrfica, donde no son habituales las inundaciones. Adems se han seleccionado edificios con buenos sistemas contra incendios, etc.

2. El primero de ellos se sita en el centro de una gran ciudad, junto a otra serie de edificios principalmente de oficinas, aunque tambin hay alguno de viviendas; el segundo de los edificios se encuentra en un gran parque empresarial con ml-tiples oficinas, pero donde no hay fbricas; el tercero, en un polgono industrial, donde se concentran fbricas de metalurgia, factoras de vehculos, as como otra serie de fabricas de maquinaria pesada.

3. Los edificios tienen control de acceso mediante guardias y cmaras, que man-tendr una empresa externa.

4. La altura de los edificios, es decir, las plantas disponibles en cada edificio, es distinta. En el edificio cntrico disponemos de siete plantas en un edificio compartido con otra empresa, en el parque empresarial de un edificio de seis plantas y en el polgono industrial de un edificio de dos plantas, ambos de uso exclusivo de SiCon.

c:. Las tres zonas estn bien dotadas de servicios de comunicaciones y las instala-ciones no presentan problemas elctricos. (Contina)

Seguridad pasiva. Hardware y almacenamiento 2

Caso I!rctico 1 9 Continuacin}

6. En el edificio situado en el centro de lo ciudad ser necesario realizar ciertas reformas para amortiguar los sonidos de los equipos que se instalen, dada la cercana de edificios de viviendas.

7. La empresa ha decidido realizar la inversin necesaria para instalar sistemas de control de acceso biomtrico al CPD, para garantizar que sea la ms seguro pasible, as como las sistemas de alimentacin necesarias.

8. Una vez que conocemos estos datos, podemos realizar una tabla valorando las instalaciones en funcin de su conveniencia, donde morcaremos si se ade