ENTELEQUIA eumed•net www.eumed.net/entelequia revista interdisciplinar Diana Vanessa Rodríguez Duque Emmanuel González Rogel * ** VULNERABILIDAD EN REDES DE DATOS. PROPUESTA PARA ANALIZAR E IDENTIFICAR RIESGOS WEAKNESS IN DATA RESOURCES. A PROPOSAL FOR RISK IDENTIFYING Resumen: La falta de medidas de seguridad en las redes es un problema que está en crecimiento. Cada vez es mayor el número de atacantes y cada vez están más organizados, por lo que van adquiriendo día a día habilidades más especializadas que les permiten obtener mayores beneficios. Palabras clave: Redes de datos, protección de información personal. Abstract: The lack of security measures in networks is a growing problem, regarding the number of attackers and their organization degree, so they adquire day by day more specialized skills for obtainning higher benefits. Keywords: Data resources, personal information protection. * Instituto Politécnico Nacional – UPIICSA. [email protected]. Tel. 5729 6000 ext. 70005 ** Instituto Politécnico Nacional – UPIICSA. [email protected]. Tel. 5729 6000 ext. 70005 Núm. 18 (primavera 2015) Rodríguez Duque – González Rogel / 127 ENTELEQUIA revista interdisciplinar eumed•net www.eumed.net/entelequia H oy por hoy, es de suma importancia conocer los problemas de inseguridad y los riesgos a las redes de datos en las organizaciones ya que sin la búsqueda de vulnerabilidades en una red las empresas crean una idea errada de su seguridad y es muy importante destacar que algunas de las debilidades que se generan en una red frecuentemente y que a veces no son atendidas es la falta de conocimientos por parte del usuario, la transmisión por medio de comunicaciones que están protegidos, una mala elección de las contraseñas para servidores y equipos de computo para los usuarios, la falta de funcionalidad de la seguridad así como también una tecnología no aprobada. La seguridad es tan importante en las empresas ya que el fallo en la misma puede ser muy costoso en lo relativo a productividad, eficiencia, perdida de datos e información valiosa, su posterior reparación y la inevitable perdida de la confianza en los usuarios y clientes. En el mundo actual, donde las Redes y las Telecomunicaciones juegan un papel fundamental en la transmisión de información y el desarrollo de las funciones y transacciones en el mercado, la Seguridad en Redes Empresariales y entre las mismas es una necesidad indispensable. Se realiza una profunda investigación de las vulnerabilidades y riesgos más comunes en las organizaciones para la identificación de riesgos y vulnerabilidades que disminuyan los riesgos, para la mejor toma de decisiones. El análisis de riesgos El análisis de riesgos es una piedra angular de los procesos de evaluación, certificación, auditoria y acreditación que formalizan la confianza que merece un sistema de información. El análisis de riesgos proporciona una visión singular de cómo es cada sistema, que valor posee, a que amenazas está expuesto y de que protecciones se ha dotado. Por lo que para identificar los riesgos es necesario conocer su clasificación, qué son, su tipología, se presenta a continuación un cuadro resumen del análisis y gestión de riesgos. Núm. 18 (primavera 2015) Rodríguez Duque – González Rogel / 128 ENTELEQUIA revista interdisciplinar eumed•net www.eumed.net/entelequia Análisis y Gestión de Riesgos [1] El análisis de riesgos es paso obligado para poder llevar a cabo todas las tareas que se relacionan según el siguiente esquema de Auditoria de la Seguridad. Esquema Auditoria de la Seguridad Núm. 18 (primavera 2015) Rodríguez Duque – González Rogel / 129 ENTELEQUIA revista interdisciplinar eumed•net www.eumed.net/entelequia La seguridad informática es un gran problema para las organizaciones, en este caso la seguridad en redes de datos, ya que las pérdidas están aumentando, las empresas tienen más dificultad para ocuparse de esta situación, entre otras cosas, por lo complicado que les resulta contratar a personal especializado; motivo por el cual la mayoría de las compañías decide finalmente externalizar su departamento de Sistemas. Estas son las principales conclusiones del estudio sobre seguridad gestionada en la empresa. Una encuesta en la que han participado 1.000 responsables de presupuestos de tecnología de empresas de más de mil empleados situadas en Italia, Francia, Reino Unido, Alemania, Estados Unidos y España durante enero de 2009. A nivel europeo, un 58 % de los encuestados informó sobre un aumento notable o significativo de las amenazas de seguridad en redes de datos. De hecho, el 95 % fue testigo de ataques en los dos últimos años, más de la mitad observó este tipo de amenaza de forma habitual y un 26 % presenció una cantidad grande o extremadamente grande de agresiones a la seguridad de su organización. Asimismo, un tercio señaló que los ataques habían tenido una eficacia notable o significativa en su compañía y han sido valorados como el riesgo más importante para la empresa, concretamente, más del doble que los delitos tradicionales y más del cuádruple que los terroristas. En España, las cifras no se quedan atrás; ya que un 65 % de los participantes españoles consideró que las amenazas a la seguridad se habían incrementado en los dos últimos años de forma significativa; y un 65 % cree que continuarán creciendo en los dos próximos años. Y por tanto, un desarrollador internacional de software de seguridad de red, seguridad de contenido y mensajería, ha revelado una relación de problemáticas y desafíos a las que los administradores de redes y sistemas tendrán que hacer frente en el presente año, poniendo a prueba sus habilidades para proteger las redes corporativas así como algunas apuntan a la virtualización, al VOIP o a la evolución del malware como las principales amenazas actuales en materia de seguridad de redes. GFI señala al elemento humano como el mayor reto en seguridad, ya que la tecnología es un elemento neutral en sí. Estadísticas de Amenazas, Ataques y Vulnerabilidades en Redes de Datos Las amenazas combinadas más sofisticadas se han convertido en la nueva frontera. Las amenazas web continuarán empleando múltiples vectores para evitar su detección. Estas utilizarán los últimos trucos y técnicas, tales como el Troyano que cambia el DNS, además de que los creadores de código malicioso implementarán las mejores herramientas disponibles. Núm. 18 (primavera 2015) Rodríguez Duque – González Rogel / 130 ENTELEQUIA revista interdisciplinar eumed•net www.eumed.net/entelequia Ataques en los que se piden rescates. Las previsiones apuntan a que durante la segunda mitad del año se dirigirán peticiones de rescate, especialmente a las pymes más que a los usuarios domésticos. Las empresas con presupuestos más ajustados son especialmente vulnerables ante los cibercriminales, quiénes les chantajearán solicitando pagos masivos a modo de compensación. Aumentarán los ataques a equipos MAC. Los equipos Mac, para los que generalmente no se comercializan aplicaciones antivirus, continuarán incrementando su cuota de mercado, convirtiéndose progresivamente en más vulnerables a los ataques. El malware recientemente detectado dirigido a los usuarios de Mac procede de mensajes de spam y se plantearán con una aplicación de vídeo para distribuirse. Cuando los usuarios hagan clic en el link para ver el vídeo, se infectarán con el malware. También aumentarán las amenazas que explotarán los errores de sistemas operativos alternativos, especialmente con el incremento de la popularidad de Linux (a causa del 'boom' del mercado de las netbooks). El eterno objetivo: Microsoft continuará su legado de problemas en 2009. El malware de prueba de concepto explotará Microsoft Windows 7, Surface, Silverlight y Azure. Los cibercriminales continuarán utilizando un enfoque más profesional para sus exploits de día cero con el fin de desestabilizar el programa mensual de lanzamiento de parches de Microsoft, Patch Tuesday. La guerra de ciberbandas copará los titulares. Los investigadores de seguridad son testigos de las guerras de virus, gusanos y botnets, debido a la gran competencia que existe para obtener ganancias financieras con el phishing y los fraudes, además de la reducción del tamaño de las ciberbandas y de soluciones de seguridad mejoradas. La creciente competencia entre Europa del Este y China determinará qué bandas y de qué país serán las primeras en incluir las últimas vulnerabilidades en sus kits de exploits. Los mundos virtuales registrarán más problemas que el mundo real. Muchas de las amenazas encontradas en el mundo real aparecerán en el mundo virtual. Desde que los cibercriminales necesitan mayores audiencias para perpetrar sus crímenes, han comenzado a atacar a los residentes del mundo virtual y a los jugadores online, particularmente en Asia, donde estos juegos son extremadamente populares. Los temas relacionados con la ruptura de DNS continuarán dando quebraderos de cabeza. Según los expertos, los cibercriminales ya están utilizando técnicas como el caché DNS contaminado para crear canales de comunicación encubiertos, medidas para eludir la seguridad y suministrar contenido malicioso. Si bien la comunidad de fabricantes de seguridad, incluyendo a Trend Micro, está trabajando estrechamente con los registros y registradores hasta donde le es posible, este es un problema que la ICANN (Corporación Internet para Nombres y Números Asignados) debe solucionar. A diferencia de la economía global, la economía clandestina seguirá floreciendo. El aumento del código malicioso que roba información personal, Núm. 18 (primavera 2015) Rodríguez Duque – González Rogel / 131 ENTELEQUIA revista interdisciplinar eumed•net www.eumed.net/entelequia bancaria y de tarjetas de crédito, continuará prosperando, porque ahí es donde está el dinero y el crimen electrónico se mueve y promueve simple y llanamente por razones económicas. Además, las aplicaciones engañosas son grandes negocios en el mundo clandestino, así como los sitios de subastas de malware. El robo de identidad se incrementará a escala global. Pocos países tienen leyes que regulen este tema, por lo que el robo de identidad continuará impactando entre víctimas desprevenidas en el 2009. Según el Centro de Investigación de Robo de Identidad (ITRC, por sus siglas en inglés), los informes sobre brechas e infecciones de datos batieron récords en 2008. El volumen de spam continuará creciendo. El 95 % de los emails contiene spam. Alrededor de 115.000 millones de mensajes de correo basura, casi todos ellos procedentes de equipos comprometidos, son enviados cada día, superando así la media de los 75.000 millones registrados en 2005 y 2006. En el correo basura la máxima que rige es la de “a más spam enviado y mejor ingeniería social, mayor oportunidad de que los usuarios hagan clic en el mensaje”. La falta de seguridad provoca pérdidas al 98 % de las empresas: Un estudio de Symantec revela cómo la seguridad informática se ha convertido en un problema de peso para la mayoría de las organizaciones, provocándoles pérdidas de productividad y credibilidad. Internet será la principal vía que aprovechen los cibercriminales este año Una empresa desarrolladora de antivirus señala que la explotación de los recursos de Internet y su extensión a las plataformas móviles serán una de las principales técnicas que aprovecharán los creadores de malware durante este año. Así lo señala la desarrolladora del antivirus, que advierte de cómo la explotación de los recursos de Internet y su ampliación a las plataformas móviles serán las principales técnicas que utilizarán los creadores de malware y los usuarios maliciosos. Una de las técnicas que se utilizarán en la propagación de ataques informáticos, según Una empresa desarrolladora de antivirus, será el aprovechamiento de la creciente movilidad en Internet. Así, si en el 2008 los creadores de malware estuvieron observando cómo se incrementaba el uso de Internet y su adaptación a las plataformas móviles, durante este año se centrarán en el desarrollo de nuevos exploits (vulnerabilidades) para una mayor variedad de exploradores y de nuevas variantes para Internet Explorer y Firefox. En esta línea, además se aprovecharán de servidores vulnerables para difundir y alojar malware y se crearán dominios diseñados específicamente para propagar códigos maliciosos con el uso de técnicas de posicionamiento en buscadores. Núm. 18 (primavera 2015) Rodríguez Duque – González Rogel / 132 ENTELEQUIA revista interdisciplinar eumed•net www.eumed.net/entelequia La segunda técnica que más usarán los ciberdelincuentes será la automatización de ataques y medios de engaño, a través de la ingeniería social. Temas de interés general como la actual crisis financiera, serán 'excusa' para propagar malware de forma automática. Una empresa desarrolladora de antivirus, alerta también de cómo se incrementará la difusión masiva de falsos programas de seguridad, una tendencia que ya se observaba en 2008. Durante este año, serán aún más las aplicaciones y programas que pasando por soluciones de seguridad auténticas sean en realidad malware que infecten a los usuarios. Paralelamente, 2009 será un año en el que crecerá el desarrollo de negocios fraudulentos, en los que se comercializa el servicio de programadores para el diseño de software dañino para infectar al máximo de usuarios posible y obtener información privada y confidencial de los mismos. Así, aparecerán nuevas variantes de troyanos bancarios y redes de equipos zombies utilizadas para el alojamiento de sitios web ilegales, envío de spam, etc., entre otros ataques. La explotación de redes sociales y medios de información, como vehículos de difusión de malware, el uso de los juegos en línea, especialmente para robar usuarios y contraseñas de los internautas, y la utilización maliciosa de nuevos dispositivos móviles como los smartphones y los Pocket PCs, son otras de las fórmulas que, durante este año, más utilizarán los ciberdelincuentes para causar daño en Internet. De este modo, desde Una empresa desarrolladora de antivirus se señala que si bien no existe una garantía de efectividad del 100 % en materia de seguridad informática, la combinación de capacitación y educación de los usuarios acerca de las tendencias del malware, junto con la correcta elección de soluciones eficaces que se ajusten a las necesidades del sistema o red de equipos informáticos, es una de las mejores maneras de prevenir evolucionados ataques informáticos. Durante el pasado año, los ciberdelincuentes optaron por hacer más agresivo el malware que cambia los registros DNS (Servidor de Nombres de Dominio) de las máquina, explotaron las vulnerabilidades de los navegadores como los exploits de día cero utilizados con Microsoft Internet Explorer y también lanzaron ataques adicionales contra otros navegadores, todos ellos realizados de forma rápida y encubierta, antes de que estas compañías pudieran haber solucionado estas vulnerabilidades. El malware de robo de datos, como subraya el informe, también experimentó un enorme crecimiento. El ataque se iniciaba con el envío de un Troyano para capturar información sensible de los PCs de los usuarios que posteriormente se enviaba a un “bot herder” (hacker que controla un gran número de equipos comprometidos con fines maliciosos) o a otros operadores criminales, quienes explotan directamente tales datos o bien los utilizan para su venta en el mercado negro. Núm. 18 (primavera 2015) Rodríguez Duque – González Rogel / 133 ENTELEQUIA revista interdisciplinar eumed•net www.eumed.net/entelequia Una vez más, Estados Unidos fue el país que más spam recibió, con el 22,5 % del total, Europa se coloca al frente del ranking como el continente con más spam recibido. Los porcentajes del volumen de spam en China también registraron un incremento en los últimos meses, hasta alcanzar el 7'7% (5.23 % en 2007) o con ratios menores de Rusia, Brasil y la República de Corea del Sur. Entre enero y noviembre de 2008, se infectaron un total de 34.3 millones de PCs con boot (programas de software que permiten el control remoto del PC por terceras partes) y el incremento más grande tuvo lugar en el trimestre de junio a agosto cuanto se registró un repunte de infecciones del 476 %. A destacar en este apartado la caída, en noviembre último, del grupo Mc Colo Corporation con sede en San José, calificado como una de las mayores fuentes de spam del mundo, como consecuencia del trabajo de colaboración de un grupo de investigadores de seguridad. Cuantificación de los Resultados en la Identificación de Vulnerabilidades La primera impresión del estado de la red es de 37% de protección, frente a 63% de vulnerabilidad, en la variable Observación Básica del Estado de la Empresa, al realizar un sondeo de preguntas sencillas, sin entrar en detalles específicos, sobre el funcionamiento de la red y las protecciones básicas que posee. Se puede apreciar que la institución cuenta con herramientas para minimizar el nivel de vulnerabilidades, pero esto está lejos de un óptimo rendimiento de seguridad. Los datos que generan en la segunda variable, se enfoca en el perímetro de la red, esto debido al tipo de preguntas realizadas, se aprecia la baja vulnerabilidad en comparación con las medidas de protección existentes, y con los que la organización cuenta en este caso firewalls y segmentación de la red entre otras protecciones. La variable Observación del Perimetro de la Red de la Empresa presenta 56% de protección, frente a 44%. En cuanto a la Evaluación de la autenticación en la Organización, el análisis arroja, en cambio, un 44% de protección. Con las respuestas obtenidas por parte del administrador se podría decir que la institución cuenta con un sistema de autenticación para el acceso a sus sistemas aunque no es el óptimo, pero sin embargo, al observar las respuestas obtenidas por los usuarios se entiende que no se cumplen las normas de creación de contraseñas ni el control de estas. Otro punto sumamente importante es la falta de encriptación, lo que deja abierta la información a cualquier persona que explore la red, ésta grave vulnerabilidad es demostrada en el caso práctico. Todos estos puntos modifican la evaluación de la tabla de autenticación, tal como se puede apreciar en la Figura No.3, existe un 56% de vulnerabilidad en lo que a autenticación se refiere. Sin duda alguna, una de las mayores Núm. 18 (primavera 2015) Rodríguez Duque – González Rogel / 134 ENTELEQUIA revista interdisciplinar eumed•net www.eumed.net/entelequia fortalezas de la institución es la forma de administración y control que posee sobre los sistemas, esto debido a que cuenta con un buen sistema de procedimientos, además de contar con personal interno capacitado para mantener la red, este resultado se expresa en la variable Gestión de Administración y Control, que ofrece un 100% de vulnerabilidad, mientras que la Evaluación de las Aplicaciones, una evaluación de protección de 60%. Paso importante en toda red es determinar el tipo de aplicaciones que utiliza, el nivel que entrega la evaluación es positivo, tal como se muestra en este último dato (Evaluación de las Aplicaciones). De la misma forma como se ha apreciado en gráficos anteriores, existe un bajo nivel de vulnerabilidades, lo que para el entorno en la que se desarrolla la organización se tendría que poner un poco mas de atención puesto que en esta parte refleja más vulnerabilidad, esto queda demostrado al observar la Evaluación del Entorno. Aquí los porcentajes son 47% de protección, frente a 53% de vulnerabilidad. Conclusiones La falta de medidas de seguridad en las redes es un problema que está en crecimiento. Cada vez es mayor el número de atacantes y cada vez están más organizados, por lo que van adquiriendo día a día habilidades más especializadas que les permiten obtener mayores beneficios. Tampoco deben subestimarse las fallas de seguridad provenientes del interior mismo de dicha de la organización. Es de suma importancia identificar los riesgos y vulnerabilidades para las redes de datos ya que hoy por hoy se está convirtiendo en una necesidad para los administradores de red debido a que no se preocupaban de la seguridad de la misma y cuando les ocasiona problemas lo que hacen es implantar programas conocidos también como parches lo que provoca que el rendimiento de los equipos de computo disminuya. La propia complejidad de la red es una dificultad para la detección y corrección de los múltiples y variados problemas de seguridad que van apareciendo. En medio de esta variedad, han ido aumentando las acciones poco respetuosas de la privacidad y de la propiedad de recursos y sistemas. Hackers, crackers, entre otros, han hecho aparición en el vocabulario ordinario de los usuarios y de los administradores de las redes, es por ello que es importante la aplicación de soluciones tecnológicas que ayuden a la medición de vulnerabilidades en las redes de datos. Hoy por hoy además de las técnicas y herramientas criptográficas, es importante recalcar que un componente muy importante para la protección de los sistemas la cual consiste en la atención y vigilancia continua y sistemática. Por parte de los responsables de la red como lo es el administrador de la misma y que hoy por hoy no se preocupa mucho de la seguridad de dicha red, los riesgos y las vulnerabilidades que puedan existir en la misma y Núm. 18 (primavera 2015) Rodríguez Duque – González Rogel / 135 ENTELEQUIA revista interdisciplinar eumed•net www.eumed.net/entelequia cuando llega a tener problemas, el tiempo que emplea es mucho mayor al que podría demorar si existiera un modelo, política o procedimiento para el uso correcto de los recursos informáticos. La seguridad es tan importante en las empresas ya que el fallo en la misma puede ser muy costoso en lo relativo a productividad, eficiencia, perdida de datos e información valiosa, su posterior reparación y la inevitable perdida de la confianza en los usuarios y clientes. En el mundo actual, donde las Redes y las Telecomunicaciones juegan un papel fundamental en la transmisión de información y el desarrollo de las funciones y transacciones en el mercado, la Seguridad en Redes Empresariales y entre las mismas es una necesidad indispensable. Núm. 18 (primavera 2015) Rodríguez Duque – González Rogel / 136 ENTELEQUIA revista interdisciplinar eumed•net www.eumed.net/entelequia Attribution­NonCommercial­NoDerivs 3.0 Reconocimiento­NoComercial­SinObraDerivada 3.0 You are free: Usted es libre de: to Share — to copy, distribute and transmit the work copiar, distribuir y comunicar públicamente la obra Under the following conditions: Bajo las condiciones siguientes: Attribution — You must attribute the work in the manner specified by the author or licensor1 (but not in any way that suggests that they endorse you or your use of the work). Reconocimiento — Debe reconocer los créditos de la obra de la manera especificada por el autor o el licenciador 3(pero no de una manera que sugiera que tiene su apoyo o apoyan el uso Noncommercial — You may not use this work for commercial que hace de su obra). purposes. No Derivative Works — You may not alter, transform, or build upon this work. No comercial — No puede utilizar esta obra para fines comerciales. Sin obras derivadas — No se puede alterar, transformar o generar una obra derivada a partir de esta obra. With the understanding that: Entendiendo que: Waiver — Any of the above conditions can be waived if you get permission from the copyright holder. Renuncia — Alguna de estas condiciones puede no aplicarse Public Domain — Where the work or any of its elements is in si se obtiene el permiso del titular de los derechos de autor the public domain under applicable law, that status is in no Dominio Público — Cuando la obra o alguno de sus way affected by the license. elementos se halle en el dominio público según la ley vigente aplicable, esta situación no quedará afectada por la licencia. Other Rights — In no way are any of the following rights affected by the license: • Your fair dealing or fair use rights, or other applicable copyright exceptions and limitations; • The author's moral rights; • Rights other persons may have either in the work itself or in how the work is used, such as publicity or privacy rights. Otros derechos — Los derechos siguientes no quedan afectados por la licencia de ninguna manera: • Los derechos derivados de usos legítimos u otras limitaciones reconocidas por ley no se ven afectados por lo anterior. • Los derechos morales del auto; • Derechos que pueden ostentar otras personas sobre la propia obra o su uso, como por ejemplo derechos de imagen o de privacidad. Notice — For any reuse or distribution, you must make clear to others the license terms of this work. The best way to do this is with a link to this web page.2 Aviso — Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. 1 2 It shall clearly include author(s) name(s) and the text, if applicable, 3 “Article originally published in Entelequia. Revista Interdisciplinar. Available at <http://www.eumed.net/entelequia>”. <http://creativecommons.org/licenses/by­nc­nd/3.0/> Debe incluir claramente el nombre de su autor o autores y, si es aplicable, el texto “Artículo originalmente publicado en Entelequia. Revista Interdisciplinar. Accesible en <http://www.eumed.net/entelequia>”.