Las 10 Leyes Inmutables de Seguridad
Ley 1: Si un intruso lo puede persuadir para que usted ejecute el
programa de él en su computadora, ésta ya deja de ser su computadora.
Es otra ley inmutable de la informática: cuando un programa se ejecuta en el ordenador hace lo que el programador le ha dicho que haga, no lo que creemos que tiene que hacer. Por lo tanto, si permitimos que un programa se ejecute en nuestro ordenador tendrá las mismas capacidades de realizar cambios, incluidos los dañinos, que nosotros tenemos como usuarios y los hará según las instrucciones de su programador
Ley 2:
Si un intruso puede alterar el sistema operativo de su computadora, ésta ya deja de ser su computadora.
El sistema operativo no deja de ser un programa más acompañado por un conjunto de ficheros de configuración, que están protegidos pero que a la larga puede ser modificados. Si permitimos cambios en el sistema nuestro ordenador ya no estará bajo nuestro control.
Ley 3: Si un intruso tiene acceso físico sin restricción a su computadora, ésta ya no es su computadora.
Tomar las mejores precauciones para protegernos de los intrusos que pueden acceder a nuestro ordenador a través de Internet no vale nada si el intruso puede acceder tranquilamente a nuestro ordenador y sentarse a teclear. Es algo que en ocasiones descuidamos, pero un elemento básico de la seguridad. En el artículo de TechNet dan una lista de lo que un “tipo malvado” puede hacer si tiene acceso al ordenador, desde la edad de la piedra a la edad espacial.
Algunos de los peligros son que puede destruir nuestro ordenador con un martillo pilón, robar el ordenador y pedir un rescate, reformatear el disco, robar el disco duro, duplicarlo, grabar las pulsaciones de nuestro teclado… Las precauciones que hay que tomar aumentan con la portabilidad del PC que utilicemos. No hay que desdeñar los candados o los sistemas de acceso biométricos. No hay que olvidar que un ordenador es un dispositivo valioso, pero lo más valioso son siempre nuestros datos.
Ley 4: Si usted le permite a un intruso subir programas a su sitio Web, éste deja de ser suyo.
El tipo malvado es el que entra en el servidor e intenta cambiar nuestra página web. Conseguirá así extender el contagio de un virus o malware. La responsabilidad de un usuario que mantenga un sitio web incluye controlar que los usuarios de la web no puedan agregar programas y mantener actualizado el software con los parches de seguridad adecuados.
En este caso no sólo nos hacemos daño a nosotros, sino que contribuimos al contagio de muchas personas a través de nuestra web.
Ley 5: Las contraseñas débiles atentan contra la seguridad fuerte.
Es uno de los eslabones más débiles de la cadena de seguridad. Si para identificarnos utilizamos contraseñas fáciles de averiguar, los sistemas de seguridad que hayamos instalado no servirán de nada. Hay que tener la precaución de que siempre en nuestro sistema el administrador requiera contraseña.
Ley 6: Una máquina es tan segura como confiable sea el administrador
Todo ordenador tiene su administrador, aunque en muchos casos el administrador seamos nosotros. El edministrador es el que instala el software, modifica el sistema operativo y establece las políticas de seguridad. En el decálogo de Technet se advierte que un administrador chapucero puede frustrar cualquier medida de seguridad que tomemos nosotros.
Si necesitamos un administrador para nuestra empresa tomemos eso en cuenta. Ahorrar y contratar un mal administrador, uno descuidado o no fiable puede salirnos muy caro a la larga.
Ley 7: Los datos encriptados son tan seguros como la clave de desencriptación.
Una versión distinta del problema de las passwords. La encriptación es una excelente herramienta para proteger nuestros datos y se utiliza en las transacciones que se realizan en Internet, pero en el caso de los programas de encriptación, hay que tener cuidado dónde se almacenan. Lo mejor es utilizar claves que memorizaremos o almacenarlas en un dispositivo externo a nuestro ordenador para que sean difíciles de localizar.
Ley 8: Un escáner de virus desactualizado sólo es ligeramente mejor que ningún escáner de virus en absoluto.
En Internet van apareciendo y mutando nuevos virus y malware a un ritmo muy alto. Por eso hoy más que nunca, cuando pasamos más tiempo conectados a Internet, es muy importante disponer de un antivirus actualizado. Uno que no esté puesto al día nos protegerá solamente de amenazas obsoletas pero no será una herramienta de protección fiable.
Ley 9: El anonimato absoluto no es práctico, ni en la vida real ni en la Web .
Las herremientas que permiten conseguir un grado de anonimato importante en Internet son muchas, como los proxies o conversores de direcciones IP que hacen que no podamos ser localizados o los navegadores web que no dejan rastros de nuestra actividad. Hay que tener cuidado con qué servicios utilizamos para conseguir el anonimato, porque puede que estemos consiguiendo precisamente lo contrario.
Ley 10: La tecnología no es una panacea.
Una lección que es necesario aprender a pesar de los grandes adelantos tecnológicos que estamos viviendo y en el campo de la seguridad en particular. Como adelantábamos al principio, a pesar de toda esta tecnología tan sofisticada y los avances en el software de seguridad, no podemos encomendar nuestra seguridad totalmente a la tecnología.
Nuestro sentido común, la prudencia y la inteligencia tienen que ser los ingredientes más importantes. Sin ellos la tecnología más avanzada no servirá de nada. Es tentador dar la culpa a los fabricantes de software o a los proveedores de acceso de nuestros problemas de seguridad, pero no perdamos de vista que los responsabes somos nosotros.
Conceptos básicos sobre seguridad informática
Virus, gusanos, troyanos y otros males de la Red
Desde el momento que nos conectamos a Internet, nuestro equipo se encuentra vulnerable a diversos tipos de ataques, desde virus, hasta intrusiones. Durante las próximas semanas, vamos a realizar un repaso de los peligros que acechan en la Red. En esta primera entrega os ofrecemos una visión general para despejar dudas.
Debido al continuo desarrollo de nuevos virus, y al descubrimiento de fallos de seguridad en los sistemas operativos, actualmente es imposible garantizar al cien por cien la inmunidad de un ordenador. Lo único que podemos hacer es reducir el riesgo lo máximo posible. Además, también habría que recalcar que la mayoría de los ataques son aleatorios, aunque últimamente son más los que buscan una información concreta o la obtención de un servicio gratuito.
Para reducir al mínimo los riesgos, lo primero es conocer a lo que nos enfrentamos, y como funciona. El siguiente paso sería configurar correctamente nuestro ordenador e instalar los programas de seguridad pertinentes.
Los daños en nuestro PC pueden ser muy diferentes dependiendo del virus o del ataque. Algunos sólo muestran un mensaje de vez en cuando, realizan una determinada aplicación, o eliminan datos importantes del disco duro. También hay peligros no visibles a simple vista, que incluyen el envío de información privada, como: los programas instalados, los datos personales del usuario o sus números de tarjetas de crédito.
Otros de los riesgos que no podemos pasar por alto, es el uso de nuestro ordenador, conexión, y dirección IP, para realizar accesos a terceros ordenadores o efectuar operaciones ilegales, Este daño, aunque aparentemente leve, puede llegar a ocasionarnos problemas judiciales.
Los peligros de Internet
Aunque parezca una tontería, nuestro primer error es dar por sentado que al no tener enemigos aparentes, nadie nos va a hacer nada. En la mayoría de los casos, tanto la infección, como la vulnerabilidad de nuestro sistemas, es debida a dejadez o a ciertos actos involuntarios difíciles de controlar, como navegar por una página web infectada.
Dentro de la Red hay muchos peligros que nos acechan, en casi todos los casos, el modo de infección o transmisión se reduce a dos vías: la navegación y el correo electrónico. Ambos caminos son utilizados por "piratas informáticos" (crackers) para cometer sus delitos. Pero, ¿qué tipo de herramientas y aplicaciones de software usan estos delincuentes cibernéticos?
Virus
Es un pequeño programa capaz de reproducirse a sí mismo, infectando cualquier tipo de archivo ejecutable, sin conocimiento del usuario. El virus tiene la misión que le ha encomendado su programador, ésta puede ser desde un simple mensaje, hasta la destrucción total de los datos almacenados en el ordenador.
Lo único que tienen en común todos es que han de pasar desapercibidos el mayor tiempo posible para poder cumplir su trabajo. Una vez infectado un PC, el virus no tiene por que cumplir su misión al momento, algunos esperan una fecha, evento o acción del sistema para llevar a fin su objetivo.
Se llaman de esta forma, por su analogía con los virus biológicos del ser humano. Al igual que estos, los informáticos tienen un ciclo de vida, que va desde que "nacen", hasta que "mueren". Creación, gestación, reproducción, activación, descubrimiento, asimilación, y eliminación. Además, existen varias técnicas que permiten a un virus ocultarse en el sistema y no ser detectado por el antivirus: ocultación, protección antivirus, camuflaje y evasión.
Hackers y crackers
La palabra hacker, en un principio, se refería al experto en programación cuya meta era compartir sus conocimientos y experiencias con otros hackers. Actualmente, aplicamos este distintivo a todos aquellos que realizan piratería informática y delitos en Internet, cuando en realidad deberíamos decir crackers. La finalidad de estos últimos, es causar el mayor daño posible y robar información para uso propio en ordenadores personales o redes empresariales.
El término cracker fue creado en 1985 por los propios hackers, para defenderse de la utilización incorrecta del calificativo que les distinguía del resto de profesionales informáticos.
Gusanos
Es un código maligno cuya principal misión es reenviarse a sí mismo. Son códigos víricos que, en principio, no afectan a la información de los sitios que contagian, aunque consumen amplios recursos de los sistemas, y los usan para infectar a otros equipos.
A diferencia de la mayoría de virus, los gusanos se propagan por sí mismos, sin modificar u ocultarse bajo otros programas. No destruyen información de forma directa, pero algunos pueden contener dentro de sí, propiedades características de los virus.
El mayor efecto de los gusanos es su capacidad para saturar, e incluso bloquear por exceso de tráfico los sitios web, aunque estos se encuentren protegidos por un antivirus actualizado.
Troyanos
Es un programa potencialmente peligroso que se oculta dentro de otro para evitar ser detectado, e instalarse de forma permanente en nuestro sistema.
Este tipo de software no suele realizar acciones destructivas por sí mismo, pero entre muchas otras funciones, tienen la capacidad de capturar datos, generalmente contraseñas e información privada, enviándolos a otro sitio.
Otra de sus funciones es dejar indefenso nuestro sistema, abriendo brechas en la seguridad, de esta forma se puede tomar el control total de forma remota, como si realmente se estuviera trabajando delante de nuestra pantalla.
Los peligros que esconde el correo electrónico
Después del pequeño repaso a los tipos de programas y códigos que pueden infectar nuestro PC, habría que hablar del resto de "quebraderos de cabeza" que puede transportar un correo electrónico, como el spam o el spyware.
Spam
Es el correo electrónico no solicitado o no deseado, que se envía a múltiples usuarios con el propósito de hacer promociones comerciales o proponer ideas. Generalmente, suelen ser: publicidad, ofertas o enlaces directos una página web. Estos mensajes son enviados a cientos de miles de destinatarios cada vez.
El correo basura es molesto y roba recursos del sistema. Su distribución causa la perdida de ancho de banda en la Red, y multiplica el riesgo de infección por virus.
Las personas o empresas que envían este tipo de emails, construyen sus listas usando varias fuentes. Normalmente, utilizan programas que recogen direcciones de correo desde Usenet, o recopilan las mismas de otras listas de distribución.
Muchos de los mensajes no solicitados nos ofrecen la opción de eliminarnos. La experiencia demuestra que este método es una trampa, y que sólo sirve para verificar que la dirección de correo existe realmente, y se encuentra activa. Por otro lado, si respondemos alguno de estos emails, el resultado es idéntico, seremos colocados automáticamente en una nueva lista de distribución, confirmando nuestra dirección.
Spyware
Los programas espías se instalan en un ordenador sin el conocimiento del usuario, para recopilar información del mismo o de su ordenador, enviándola posteriormente al que controla dicha aplicación.
Existen dos categorías de spyware: software de vigilancia y software publicitario. El primero se encarga de monitorizar todo el sistema mediante el uso de transcriptores de teclado, captura de pantallas y troyanos. Mientras, el segundo, también llamado “Adware”, se instala de forma conjunta con otra aplicación o mediante controles ActiveX, para recoger información privada y mostrar anuncios.
Este tipo de programas registran información sobre el usuario, incluyendo, contraseñas, direcciones de correo, historial de navegación por Internet, hábitos de compra, configuración de hardware y software, nombre, edad, sexo y otros datos secretos.
Al igual que el correo basura, el software publicitario, usa los recursos de nuestro sistema, haciendo que sea este el que pague el coste asociado de su funcionamiento. Además, utiliza el ancho de banda, tanto para enviar la información recopilada, como para descargar los banners publicitarios que nos mostrará.
Los mayores responsables de la difusión de spyware son los populares programas de intercambio de archivos (P2P) disponibles en la actualidad, tipo Kazaa, eDonkey o eMule.
OBTENCION DE INFORMACION DE UN ATACANTE
Es importante conocer la metodología que sigue un atacante para poder defendernos mejor de él.
El primer paso para realiozar un atacante es la exploración. En la exploración, el atacante obtiene una lista de direccioners IP y de red utilizando descargas de transferencias de zona y consultas whois. Estas técnicas proporcionan información valiosa a los atacantes, incluyendo nombres de empleados, números de teléfonos, rangos de direcciones IP, servidores DNS, etc.
Uno de los pasos basicos de exploración de una red para determinar qué sistemas están activos, es llevar a cabo un barrido de ping automatizado en un rango de direcciones IP y de bloques de red. Ping se utiliza tradicionalmente para enviar paquetes ICMP ECHO a un sistema destino, en un intento de obtener un ICMP ECHO_REPLY que indica que el sistema destino está activo. Aunque enviar un ping resulta un mètodo aceptable para determinar el número de sistemas activos en una red pequeña o de tamaño medio, no es eficiente en redes corporativas de mayor tamaño. Para llevar a cabo exploraciones de Clase A es necesario varias horas.
Una vez identificados los sistemas que se están activos mediante el uso de barridos ping, el sistema paso que realiza un atacante es la de exploración de puertos.
La exploración de puertos es el proceso de conexión a puertos UDP y TCP del sistema destino que nos permite determinar los servicios que se están ejecutando. Identificar los puertos que están a la escucha es crítico para determinar el tipo de sistema operativo y aplicaciones que se están utilizando. Los servicios activos que estén a la escucha pueden permitir que un usuario no autorizado tenga acceso a sistemas que no estén bien configurados o que ejecuten una versión de software que tenga vulnerabilidades de seguridad conocidas. Los objetivos que se persiguen con la exploración de puertos son los siguientes:
-Identificar los servicios TCP y UDP que se están ejecutando en el sistema.
-Identificar el tipo de sistema operativo instalado en el sistema.
-Identificar las versiones o aplicaciobnes específicas de un determinado servicio.
-Identificar las vulknerabilidades del sistema.
Objetivos de la seguridad
informática
Generalmente, los sistemas de información incluyen todos los
datos de una compañía y también en el material y los recursos de
software que permiten a una compañía almacenar y hacer circular estos
datos. Los sistemas de información son fundamentales para las compañías y
deben ser protegidos.
Generalmente, la seguridad informática consiste en garantizar
que el material y los recursos de software de una organización se usen
únicamente para los propósitos para los que fueron creados y dentro del
marco previsto.
La seguridad informática se
resume, por lo general, en cinco objetivos principales:
* Integridad: garantizar que los datos sean los que
se supone que son
* Confidencialidad:
asegurar que sólo los individuos
autorizados tengan acceso a los recursos que se intercambian
* Disponibilidad: garantizar el correcto funcionamiento de los sistemas de
información
* Evitar el rechazo:
garantizar de que no pueda negar
una operación realizada.
* Autenticación:
asegurar que sólo los individuos
autorizados tengan acceso a los recursos
Frecuentemente, la seguridad
de los sistemas de información es objeto de metáforas. A menudo, se la
compara con una cadena, afirmándose que el nivel de seguridad de un
sistema es efectivo únicamente si el nivel de seguridad del eslabón más
débil también lo es. De la misma forma, una puerta blindada no sirve
para proteger un edificio si se dejan las ventanas completamente
abiertas.
Necesidad de un enfoque global
Lo que se trata de demostrar es que se debe afrontar el tema
de la seguridad a nivel global y que debe constar de los siguientes
elementos:
* Concienciar a los usuarios acerca de los problemas de seguridad
* Seguridad lógica, es decir, la seguridad a nivel de los datos, en
especial los datos de la empresa, las aplicaciones e incluso los
sistemas operativos de las compañías.
* Seguridad en las telecomunicaciones: tecnologías de red,
servidores de compañías, redes de acceso, etc.
* Seguridad física, o la seguridad de infraestructuras materiales:
asegurar las habitaciones, los lugares abiertos al público, las áreas
comunes de la compañía, las estaciones de trabajo de los empleados,
etc.
Cómo implementar una política de
seguridad
Uno de los primeros pasos que debe dar una compañía
es definir una política de seguridad que pueda implementar en
función a las siguientes cuatro etapas:
- Identificar las necesidades de seguridad y los riesgos
informáticos
que enfrenta la compañía así como sus posibles consecuencias
- Proporcionar
una perspectiva general de las reglas y los
procedimientos que deben implementarse para afrontar los riesgos
identificados en los diferentes departamentos de la organización
- Controlar
y detectar las vulnerabilidades del sistema de
información, y mantenerse informado acerca de las falencias en las
aplicaciones y en los materiales que se usan
- Definir las acciones a realizar y las personas a
contactar en
caso de detectar una amenaza
La política de
seguridad comprende todas las reglas
de seguridad que sigue una organización (en el sentido general de la
palabra). Por lo tanto, la administración de la organización en cuestión
debe encargarse de definirla, ya que afecta a todos los usuarios del
sistema.
En este sentido,
no son sólo los administradores
de informática los encargados de definir los derechos de acceso sino sus
superiores. El rol de un administrador de informática es el de asegurar
que los recursos de informática y los derechos de acceso a estos
recursos coincidan con la política de seguridad definida por la
organización.
Es más, dado que
el/la administrador/a es la única
persona que conoce perfectamente el sistema, deberá proporcionar
información acerca de la seguridad a sus superiores, eventualmente
aconsejar a quienes toman las decisiones con respecto a las estrategias
que deben implementarse, y constituir el punto de entrada de las
comunicaciones destinadas a los usuarios en relación con los problemas y
las recomendaciones de seguridad.
La seguridad
informática de una compañía depende
de que los empleados (usuarios) aprendan las reglas a través de sesiones
de capacitación y de concientización. Sin embargo, la seguridad debe ir
más allá del conocimiento de los empleados y cubrir las siguientes
áreas:
- Un mecanismo de seguridad física y lógica que se adapte a las
necesidades de la compañía y al uso de los empleados
- Un
procedimiento para administrar las actualizaciones
- Una
estrategia de realización de copias
de seguridad (backup) planificada adecuadamente
- Un plan
de recuperación luego de un incidente
- Un sistema
documentado actualizado
Las causas de inseguridad
Generalmente, la
inseguridad se puede dividir en dos
categorías:
- Un estado de inseguridad activo; es decir, la falta de
conocimiento del usuario acerca de las funciones del sistema, algunas de
las cuales pueden ser dañinas para el sistema (por ejemplo, no
desactivar los servicios de red que el usuario no necesita)
- Un estado de inseguridad pasivo; es decir, la falta de
conocimiento de las medidas de seguridad disponibles (por ejemplo,
cuando el administrador o usuario de un sistema no conocen los
dispositivos de seguridad con los que cuentan)
