aRamirez Ventura

advertisement
UNIVERSIDAD VERACRUZANA
Facultad de Contaduría y Administración
El MALWARE en las organizaciones
MONOGRAFÍA
para obtener el Título de:
Licenciado en Sistemas
Computacionales Administrativos
Presenta:
Alejandro Ramírez Ventura
Asesor:
M.C.A. Jesús Ramírez Sánchez
Cuerpo Académico:
Sistemas Telemáticos y las Organizaciones
Inteligentes en la Sociedad del Conocimiento
Xalapa-Enríquez, Veracruz.
Agosto 2009
UNIVERSIDAD VERACRUZANA
Facultad de Contaduría y Administración
El MALWARE en las organizaciones
MONOGRAFÍA
para obtener el Título de:
Licenciado en Sistemas
Computacionales Administrativos
Presenta:
Alejandro Ramírez Ventura
Asesor:
M.C.A. Jesús Ramírez Sánchez
Cuerpo Académico:
Sistemas Telemáticos y las Organizaciones
Inteligentes en la Sociedad del Conocimiento
Xalapa-Enríquez, Veracruz.
Agosto 2009
AGRADECIMIENTOS
A Dios,
por permitirme llegar hasta aquí, por darme la fuerza día a día para lograr esta
meta, por regalarme esas dos personas tan especiales que, sin ellas no hubiera logrado mi
sueño: Mis padres.
A mis Padres,
por depositar su confianza en mí, por todos los sacrificios realizados para formarme y
hacer de mí una persona de bien. Sin duda, sin su apoyo este sueño no hubiera podido ser
realidad, no me alcanzarían las palabras para decirles lo agradecido que me siento hacia
ustedes, espero se sientan tan orgullosos como yo me siento de ustedes. ¡¡¡DE CORAZÓN
GRACIAS, LOS QUIERO!!!
A mis Tíos Catalina y Carlos,
por abrirme las puertas de su casa, brindarme su confianza y su apoyo
incondicional para lograr mi objetivo, que fue siempre terminar mi carrera profesional.
Gracias.
A mi hermana y toda mi familia,
por darme esas palabras de aliento y consejos que me ayudaron a seguir adelante a lo
largo de este camino, en especial a mis Abuelitos que siempre creyeron en mí, Gracias.
A mi asesor de trabajo Mtro. Jesús,
por su tiempo y dedicación para la realización de este trabajo, y por todos los consejos
como Tío y amigo a lo largo de esta carrera, Gracias.
A mi novia,
por ser un apoyo más, por ser en lo profesional un ejemplo a seguir haciéndome saber
que si se puede, Gracias Nel, te quiero.
A todos mis compañeros y amigos,
que desinteresadamente me ayudaron a lo largo de este camino y que me hicieron
conocer el verdadero significado de la palabra amistad, Gracias.
¡¡¡ A todos Gracias!!!
ÍNDICE
Pág.
RESUMEN
1
INTRODUCCIÓN
2
CAPÍTULO I. SEGURIDAD INFORMÁTICA
6
1.1 Definición de Seguridad Informática
7
1.2 Antecedentes de la Seguridad Informática en las organizaciones
9
1.2.1 La etapa de los Modelos Formales de Seguridad
10
1.2.2 La etapa de los Estándares y Mejores prácticas de Seguridad
10
1.2.3 La etapa de la Seguridad Estratégica
11
1.3 Objetivos de la seguridad informática
12
1.3.1 Confidencialidad
13
1.3.2 Integridad
14
1.3.3 Disponibilidad
14
1.4 Tipos de Seguridad
15
1.4.1 Seguridad física
15
1.4.1.1 Peligros
16
1.4.1.2 Medidas de prevención y mitigación
18
1.4.2 Seguridad lógica
24
1.4.2.1 Peligros
24
1.4.2.2 Medidas de prevención y mitigación
28
1.5 Amenazas
30
1.5.1 Internas
30
1.5.2 Externas
32
1.6 Triángulo de debilidades del sistema informático
34
II
1.7 Aportación personal
CAPÍTULO II. MALWARE
39
42
2.1 Definición de MALWARE
43
2.2 Antecedentes de Software Malo
44
2.3 Clasificación del MALWARE
49
2.3.1 MALWARE que afecta a la información
50
2.3.1.1 Virus
50
2.3.1.2 Caballo de Troya
53
2.3.1.3 Spyware (Software espía)
54
2.3.1.4 Phishing (Pescando)
56
2.3.1.5 Back door (Puerta trasera)
57
2.3.1.6 Bomba lógica
59
2.3.2 MALWARE que afecta el rendimiento del equipo
de cómputo
59
2.3.2.1 Worm (Gusano)
60
2.3.2.2 Adware (Software de anuncio)
61
2.3.2.3 Rootkit (Herramienta del root)
62
2.4 Medidas de prevención contra el MALWARE
63
2.5 Aportación personal
65
CAPÍTULO III. ESTUDIO DE CASOS
67
3.1 Caso “Fannie Mae”
69
3.1.1 Antecedentes de la Organización
69
3.1.2 Planteamiento del problema
69
3.1.3 Impacto del MALWARE
70
3.1.4 Medidas que se tomaron para la reparación
III
de los daños
70
3.1.5 Medidas de prevención tomadas después
del ataque
71
3.2 Caso “Universidad de Granada”
71
3.2.1 Antecedentes de la Organización
71
3.2.2 Planteamiento del problema
72
3.2.3 Impacto del MALWARE
73
3.2.4 Medidas que se tomaron para la reparación
de los daños
73
3.2.5 Medidas de prevención tomadas después
del ataque
3.3 Caso “Poder Judicial del estado de Veracruz”
74
74
3.3.1 Antecedentes de la organización
74
3.3.2 Antecedentes del MALWARE
75
3.3.3 Planteamiento del problema
75
3.3.4 Impacto del MALWARE
76
3.3.5 Medidas que se tomaron para la reparación
de los daños
76
3.3.6 Medidas de prevención tomadas después
del ataque
77
3.4 Aportación personal
77
CONCLUSIONES
79
FUENTES DE INFORMACIÓN
82
GLOSARIO
87
ÍNDICE DE FIGURAS
92
ÍNDICE DE TABLAS
93
IV
RESUMEN
En el presente trabajo se desarrolla el tema “El MALWARE en las organizaciones”.
Inicialmente se trata el tema de Seguridad Informática, el cual expone lo más
relevante en cuanto al cuidado y protección de la información que se almacena en
los equipos de cómputo.
Como tema central, se considera el MALWARE, ya que es preciso conocer el
riesgo que representa enfrentarse a un software de este tipo, y por lo tanto, poder
tomar las medidas de seguridad necesarias para evitar daños a la información.
Por último, un apartado en el que se estudian algunos casos reales en los que el
MALWARE se ha hecho presente en las organizaciones, el cual le da sentido a
este trabajo.
1
INTRODUCCIÓN
En la actualidad, las organizaciones del mundo utilizan la tecnología para
ser más competitivas cada día y alcanzar sus objetivos, en concreto, el uso de la
computadora ha sido parte fundamental para el logro de lo antes mencionado.
Sin embargo, de la misma manera que el manejo de la información a través
de medios electrónicos ha traído cuantiosos beneficios, también ha venido
arrastrando consigo un sin número de amenazas que ponen en peligro la
integridad de dicha información. Una de estas amenazas, y que ha sido
considerada como una de las más potenciales en cuanto a peligrosidad, debido a
su constante e incansable perfeccionamiento, es el Software Malo (MALWARE).
El MALWARE, de forma muy general, puede definirse como: todo tipo de
software que tiene como fin dañar la PC. El MALWARE ha venido evolucionando
desde hace muchos años, al principio solo se diseñabas programas con el fin de
demostrar el conocimiento que poseían sus creadores y en algunos casos para
realizar bromas inofensivas.
Hoy en día, esto ha cambiado significativamente, ya que comúnmente
podemos encontrar programas malignos con la intención de robar información
confidencial para usos ilícitos. Es por eso que, las organizaciones deben tomar
conciencia sobre los peligros que corren, y darle a este tema la atención que
merece, ya que un descuido podría traerles graves consecuencias.
Por tales motivos, se pretende ampliar el panorama acerca del impacto que
podría tener el ataque de algún tipo de MALWARE dentro de una organización.
El objetivo de este trabajo es informar a las organizaciones que no tienen el
conocimiento suficiente en cuanto a seguridad informática se refiere, y al mismo
tiempo crear conciencia que, aún teniendo los recursos, no invierten lo suficiente
para implementar medidas de seguridad que resguarden su información, para lo
cual se ha integrado con los siguientes temas:
3
En el Capítulo I, se exponen algunas definiciones de Seguridad Informática
de acuerdo a diferentes autores, así como también algunos de sus antecedentes
dentro de las organizaciones, sus objetivos, los tipos de amenazas a los que está
expuesta la información, y los tipos de seguridad en los que se divide la Seguridad
Informática (Física y Lógica), con el fin de entender la importancia que implica una
buena gestión de la seguridad dentro de una organización.
A lo largo del Capítulo 2 se habla sobre MALWARE, iniciando con su
definición, seguido de sus antecedentes, y los tipos de MALWARE que existen
actualmente, cada uno con sus características y su forma de eliminación, con el fin
de conocer más a fondo cada uno de estos programas que circulan hoy en día en
grandes cantidades por la red.
Por último en el Capítulo 3, como parte central de este trabajo, se presentan
tres casos de estudio en los que organizaciones fueron afectadas por algún tipo de
MALWARE descrito en el Capítulo anterior, primeramente se expone el caso de
una Institución hipotecaria de viviendas de E.U.A llamada “Fannie Mae”, que fue
agredida por uno de sus ex empleados al dejar activada una bomba lógica,
seguido del caso de una reconocida Universidad de España “Universidad de
Granada”, que fue atacada de uno de sus alumnos, al robar información
importante de dos profesores y modificando una pagina web propiedad de la
universidad, y para concluir, se presenta el caso de una instancia del Gobierno del
Estado de Veracruz, “Poder Judicial del Estado de Veracruz”, la cual fue víctima
del conocido gusano “Conficker”, que ha causado grandes daños por todo el
mundo, con el objetivo de dar a conocer estas experiencias para que
organizaciones de todo tipo se mantengan alerta y sepan los peligros a los que
está expuesta su información.
Al término de este trabajo se presentan las conclusiones en las que se
destaca lo importante que es mantenerse bien informado y tomar las precauciones
necesarias para evitar la pérdida de información, y por lo tanto evitar pérdidas que
pongan en peligro la existencia de la organización.
4
Es de resaltar que para la elaboración de este trabajo denominado como
una Monografía, se hizo una extensa investigación siendo necesario consultar
diferentes fuentes de información, tales como páginas web, tesis, libros,
documentos web, así como también una entrevista la cual se plasma en uno de
los casos de estudio que conforman el capitulo tres. También es importante
mencionar que los casos de estudio tomados para este trabajo son actuales, ya
que ocurrieron durante los últimos tres años a la fecha.
5
CAPÍTULO I: SEGURIDAD INFORMÁTICA
Introducción.
En el presente capítulo se presenta un marco general de los aspectos
fundamentales que comprende la seguridad de la información, tomando en cuenta
los tipos de seguridad, antecedentes sobre seguridad informática y algunas
definiciones que ayudarán a una mejor comprensión del tema.
1.1 Definición de Seguridad Informática.
Antes de abordar el tema Seguridad Informática, es necesario conocer su
significado, para esto se comenzará por definir la palabra Seguridad así como
también el término Informática, lo que dará una idea un poco más clara de lo que
se hablará en este primer capítulo.
El INEGI (2002) define la seguridad como aquellas reglas técnicas y/o actividades
destinadas a prevenir, proteger y resguardar lo que es considerado como
susceptible de robo, pérdida o daño, ya sea de manera personal, grupal o
empresarial”.
Por otro lado, Alcalde (2008) en un número de la revista Compendium de la
Universidad Centroccidental Lisandro Alvarado,
afirma que la Informática se
entiende como el resultado de los términos información y automatización, es la
ciencia que estudia el tratamiento automático y racional de la información. Dice
que el tratamiento es automático por ser máquinas las que realizan los trabajos de
captura, proceso y presentación de la información, y se habla de racional por estar
todo el proceso definido a través de programas que siguen el razonamiento
humano.
7
De acuerdo a las definiciones que se presentaron en los párrafos anteriores
sobre los conceptos de seguridad e informática, ahora se estudiarán diferentes
puntos de vista sobre el concepto de Seguridad Informática.
En el mundo de la información del que hoy en día se dispone, existe un
gran número de definiciones sobre Seguridad Informática, sin embargo el sitio
electrónico llamado Portal de definiciones, es bastante acertado al decir que la
seguridad informática es una disciplina que se encarga de proteger la integridad y
la privacidad de la información almacenada en un sistema informático.
Por otro lado, Asensio (2006) en su libro “Seguridad en Internet: Una guía práctica
y eficaz para proteger su PC con software gratuito” (pág. 15), define la seguridad
informática como la capacidad de mantener intacta y protegida la información de
sistemas informáticos.
Finalmente, un reconocido grupo de la plataforma Linux dedicado a la
seguridad en los equipos de cómputo “Grupo de Usuarios GNU/Linux de la
Laguna” (2009), afirma que la seguridad informática consiste en asegurar que los
recursos del sistema de información sean utilizados de la manera que se decidió y
que el acceso a la información allí contenida sólo sea posible a las personas que
se encuentren acreditadas.
Conforme
a las definiciones anteriores sobre seguridad informática, se
puede decir que la seguridad informática es una disciplina que consta de técnicas
y actividades aplicadas tanto a los medios de almacenaje como a los medios
electrónicos de procesamiento de datos como lo son las computadoras, con el fin
de resguardar el acceso a toda la información que en ellos se maneja, para
mantenerla intacta y protegida de aquellas amenazas que pudieran afectar su
integridad, como pueden ser personas, desastres naturales, virus informáticos,
etc.
8
1.2 Antecedentes de la Seguridad Informática en las
organizaciones.
Después de hacer un análisis del concepto de seguridad informática, a
continuación se presentan sus antecedentes dentro de la organización, basados
en tres etapas que exponen lo más representativo de cada una, lo siguiente fue
tomado de una publicación realizada por el Gerente de Programa de Seguridad
para Latino América de la empresa Microsoft Corp. de México, Roberto Arbeláez
(2008).
A lo largo de los años, la seguridad informática pasó de ser una subespecialidad oscura y exclusivamente técnica dentro del campo de la informática,
a volverse un actor central en la vida de la organización.
La aparición de los servicios en línea, y la integración vertical y horizontal
de las organizaciones a través de las TICs18, generaron nuevas formas de hacer
negocios, pero también nuevos riesgos para las organizaciones.
Hoy en día, las organizaciones incorporan la gestión del riesgo como parte
de sus prácticas de buen gobierno corporativo y, debido a su alta dependencia
tecnológica, el riesgo de tecnología se vuelve especialmente relevante. En este
sentido, una de las formas más importantes de manejar el riesgo de tecnología es
a través de la seguridad de la información.
Por ello, la seguridad de la información tiene una gran importancia para las
organizaciones modernas y está embebida en todos los aspectos de operaciones
de un área de tecnología, siendo parte fundamental del conjunto de temas a
entender y atender por parte de todo gerente de tecnología; pero más importante
aún, es discutida en ámbitos de la alta gerencia organizacional, debido a su
importancia estratégica para la supervivencia de la organización.
Esta evolución de la seguridad de la información no se dio de la noche a la
mañana, la cual se divide en tres grandes etapas:
9
1.2.1 La etapa de los Modelos Formales de Seguridad.
Esta etapa está centrada en el control de acceso a sistemas de información.
La seguridad empieza a aparecer de la mano de los usuarios y las contraseñas, y
de una preocupación general por quién puede acceder a qué en el sistema.
En esta etapa se formulan los primeros modelos formales de seguridad
informática, modelos teóricos especificados en papers académicos en donde
abundan las fórmulas de lógica de primer orden y las máquinas de estados. Estos
modelos son diseñados para mantener uno o varios de los atributos de seguridad
(confidencialidad, integridad y/o disponibilidad) y son la base teórica sobre la que
se diseñan los primeros sistemas operativos que incorporan la seguridad, así
como la funcionalidad de autenticación, autorización y acceso, los sistemas de
directorio, las bases de datos y los protocolos de red entre otros.
Entre los modelos más conocidos están los modelos de Biba11, HarrisonRuzzo-Ullman14, Clark-Wilson13, el modelo de Lattice15 y el modelo de Chinese
wall12.
En esta etapa, la seguridad informática es competencia de desarrolladores
de sistemas operativos y de administradores de sistemas, y es impulsada por
algunos académicos especializados en seguridad que trabajan en agencias
gubernamentales o empresas asociadas a ramos defensa, y se limita a esferas
eminentemente técnicas siendo considerada apenas una disciplina emergente.
1.2.2 La etapa de los Estándares y Mejores prácticas de Seguridad.
La seguridad empieza a tener relevancia en la organización, aunque se
trabaja de manera empírica. Esto lleva a que se empiecen a desarrollar cuerpos
de conocimiento (Body of knowledge - BoK)1 de seguridad informática; organismos
como ISACA6 e ISC24 empiezan a desarrollar formalmente el marco teórico de lo
que más adelante se consideraría como la teoría formal de seguridad, y a crear
certificaciones para profesionalizar la seguridad de la información.
10
En paralelo, organismos como la ITU10 (International Telecommunication
Union), la IEEE5 (Institute of Electrical and Electronic Engineers) y la ISO8
(International Standards Organization) empiezan a desarrollar estándares de
seguridad inicialmente muy técnicos y de muy bajo nivel, y posteriormente
organismos como el NIST16 (National Institute of Standards and Technology), la
BSI3 (British Standards Institute) y la ISO generan estándares progresivamente
más orientados a las mejores prácticas, así como a la gestión y administración de
la seguridad. Se empieza a generar demanda por personas con certificados en
seguridad informática y las organizaciones empiezan a incorporarlos a sus filas, y
a adoptar las mejores prácticas de seguridad.
En esta etapa, la seguridad informática es de competencia directa del
gerente de tecnología y se integra con la práctica de operaciones de tecnología
(usualmente modelada usando ITIL9), siendo tenida en cuenta para la definición
de acuerdos de nivel de servicio (SLAs - Service Level Agreements)17 y para la
planeación estratégica de tecnología. En esta etapa, la seguridad es impulsada
por una pujante y creciente comunidad de profesionales de seguridad, apoyada
por la industria y la academia.
1.2.3 La etapa de la Seguridad Estratégica.
La
seguridad
informática
se
reconoce
como
estratégica
para
la
supervivencia de la organización. Se empiezan a ver las áreas de seguridad
informática independientes del área de tecnología, a veces incorporando
elementos de seguridad industrial, seguridad física y continuidad del negocio, que
dependen directamente de la alta gerencia, incluso de la junta directiva.
El presupuesto de seguridad informática se desliga del presupuesto de
tecnología y se desarrollan procesos independientes de planeación estratégica de
seguridad informática y de continuidad del negocio, desligados de los procesos
tradicionales de planeación estratégica de tecnología.
11
La gestión en seguridad informática se maneja a través de indicadores de
gestión en tableros de control de gerentes a diferentes niveles jerárquicos; los
riesgos informáticos hacen parte fundamental de los análisis de riesgos
organizacionales y la adquisición de infraestructura, software y servicios de
seguridad informática es vista por la organización como una inversión con un
retorno definido y con un propósito específico: mitigar el riesgo que afronta la
organización.
Las organizaciones empiezan a buscar certificar sus operaciones de
tecnología
bajo
estándares
de
seguridad
reconocidos internacionalmente
(BS7799-22, ISO 270017). Las personas con certificaciones en seguridad
informática se vuelven comunes en la organización.
En esta etapa, la seguridad informática se sale de la esfera de influencia del
área de tecnología y se vuelve estratégica para la organización, siendo lideradas
por roles de muy alto perfil jerárquico con acceso directo a la junta directiva y con
poder de veto sobre proyectos de tecnología, y es impulsada por procesos
organizacionales de gestión del riesgo, una sólida comunidad de profesionales de
seguridad, y una academia fuerte en investigación de seguridad, con una oferta
creciente de programas de postgrado a nivel de maestrías y doctorados en
seguridad de la información.
1.3 Objetivos de la seguridad informática.
En el apartado presentado anteriormente, se dio a conocer lo más
representativo de la evolución que ha tenido la seguridad informática dentro de las
organizaciones, lo cual para efecto de este trabajo es muy importante conocer, no
obstante, también es de suma importancia hablar sobre sus objetivos , ya que en
base a ellos radica su razón de existir.
12
Kioskea (2008) afirma que, generalmente los sistemas de información incluyen
todos los datos de una compañía y también en el material y los recursos de
software que permiten a una compañía almacenar y hacer circular estos datos.
Los sistemas de información son fundamentales para las compañías y deben ser
protegidos.
También dice que, la seguridad informática consiste en garantizar que el
material y los recursos de software de una organización se usen únicamente para
los propósitos para los que fueron creados y dentro del marco previsto.
La seguridad informática se resume, por lo general, en 3 objetivos
principales: confidencialidad, integridad y disponibilidad, que a continuación se
explican.
1.3.1 Confidencialidad.
Navarro (2002) en su libro: “La seguridad de los datos de carácter personal”,
asegura que, la confidencialidad se refiere a la privacidad de los elementos de
información almacenados y procesados en un sistema informático. Se cumple
cuando sólo las personas autorizadas pueden conocer los datos o la información
correspondiente.
Podemos preguntarnos: ¿qué ocurriría si un soporte magnético con los
datos de los clientes o empleados de una entidad fuera cedido a terceros?, ¿cuál
podría ser su uso final?, ¿habría una cadena de cesiones o ventas incontroladas
de esos datos?
En algunos casos interesa registrar quién ha accedido a qué datos, cuando
y desde donde, aún estando autorizado sólo a leer, para poder analizar los
accesos producidos en caso necesario y si estaban justificados según la función, o
los encargos o áreas asignadas.
13
Este objetivo es particularmente importante en sistemas distribuidos, es
decir, aquellos en los que usuarios, computadores y datos residen en localidades
diferentes, pero están física y lógicamente interconectados.
1.3.2 Integridad.
Según Navarro et al. (2002), la integridad consiste en que sólo los usuarios
autorizados puedan variar (modificar o borrar) los datos. Deben quedar pistas para
control posterior y para auditoría.
Pensemos que alguien introdujera variaciones de forma que perdiéramos la
información de determinadas deudas a cobrar (o que sin perderla recurriéramos a
la información en papel), o que modificará de forma aleatoria parte de los
domicilios de algunos clientes, o historiales médicos de pacientes, etc.
Algunas de estas acciones se podrían tardar en detectar, y tal vez las
diferentes copias de seguridad hechas a lo largo del tiempo estarían corruptas, lo
que haría difícil le reconstrucción.
1.3.3 Disponibilidad.
Siguiendo con Navarro et al. (2002), él argumenta
que,
la
disponibilidad
se
cumple si las personas autorizadas pueden acceder a tiempo a la información a la
que estén autorizadas.
El disponer de la información después del momento necesario puede
equivaler a la falta de disponibilidad. Otro tema es disponer de la información a
tiempo pero que ésta no sea correcta, e incluso que no sepa, lo que puede originar
la toma de decisiones erróneas. Más grave aún puede ser la ausencia de
disponibilidad absoluta, por haberse producido algún desastre. En ese caso, a
medida que pasa el tiempo el impacto irá siendo mayor, hasta llegar a suponer la
14
falta de continuidad de la entidad, como ha pasado en muchos de los casos
producidos: más de un 80% según las estadísticas.
Para terminar, Navarro et al. (2002), afirma que además de los objetivos descritos
anteriormente debe existir también, autenticidad: que quiere decir que los datos o
información sean auténticos, introducidos o comunicados por usuarios auténticos y
con las autorizaciones necesarias.
1.4 Tipos de Seguridad.
De acuerdo a los objetivos de la seguridad informática, es necesario
dividirla en dos tipos, por un lado se tiene la seguridad física, la cual habla de
cómo proteger los equipos de computo de amenazas que pudieran dañar el
hardware, por otro lado, se encuentra la seguridad lógica, que habla sobre la
protección tanto de software como de los datos que se tienen almacenados en las
computadoras, mismas que a continuación se presentan:
1.4.1 Seguridad física.
Rodríguez (2004) en su libro: “Seguridad de la información en sistema de
cómputo”, argumenta que,
la seguridad física “consiste en la aplicación de
barreras físicas y procedimientos de control, como medidas de prevención y
contramedidas a amenazas a los recursos e información confidencial. Se refiere a
los controles y mecanismos de seguridad dentro y alrededor del área de cómputo
así como los medios de acceso remoto, implementados para proteger el hardware
y medios de almacenamiento de datos”.
Es necesario proteger tanto la seguridad física de las instalaciones donde
está ubicado el equipo de cómputo como la del propio equipo. Por lo tanto, se
requiere planear la instalación, controlar el acceso físico y protegerse contra daños
y fallas en los suministros. Mantener la seguridad física es un primer paso para
proteger las instalaciones de cómputo y comunicaciones. Las medidas de
15
seguridad física deben tomar en cuenta riesgos como accidentes, desastres
naturales, ataque por intrusos, condiciones ambientales, etc.
1.4.1.1 Peligros.
Dentro de la seguridad física existen ciertos riesgos que pueden poner en
peligro la integridad del equipo de cómputo, Rodríguez et al. (2004), considera los
siguientes:

Incendios.
Se pueden definir como la ignición no controlada de materiales inflamables y
explosivos, dado el uso inadecuado de combustibles, fallas en instalaciones
eléctricas defectuosas y el inadecuado almacenamiento y traslado de sustancias
peligrosas. Los daños que produce un incendio son generados por el fuego, el
calor, los productos de combustión, el agente extinguidor y tiene como
consecuencia destrucción de construcciones y estructuras. Los incendios son
comúnmente considerados como el principal y más temido riesgo en instalaciones
de cómputo, sin embargo, estadísticamente el agua es la causa del mayor número
de desastres en instalaciones de cómputo.

Inundaciones.
Se considera inundación al flujo o a la invasión de agua por exceso de
escurrimientos superficiales o por acumulación en terrenos planos, ocasionada por
falta o insuficiencia de drenaje tanto natural como artificial. Entre las causas
comunes de inundación están: fugas de tuberías de agua, aire acondicionado
(fugas de agua o condensación), sistemas de enfriamiento por agua (así se
enfrían algunos equipos computacionales), rociadores, etc.
16

Instalaciones eléctricas.
Trabajar con computadoras implica trabajar con electricidad, por lo tanto esta
es una de las principales áreas a considerar en la seguridad física. Además, es
una problemática que abarca desde el usuario hogareño hasta la gran empresa.
En la medida que los sistemas se vuelven más complicados se hace más
necesaria la presencia de un especialista para evaluar riesgos particulares y
aplicar soluciones que estén de acuerdo con una norma de seguridad industrial.
Las consecuencias de una interrupción en el suministro de electricidad son
proporcionales al grado de dependencia en la computadora. El suministro de
energía para el aire acondicionado, la computadora y el equipo de captura de
datos es importante en las instalaciones de alto riesgo, especialmente las que
cuentan con procesamiento en línea o de tiempo real, el suministro de respaldo es
imprescindible.

Contaminación.
La entrada de partículas contaminantes al equipo electrónico, puede causar
corto circuitos e incluso iniciar incendios en equipo de procesamiento de datos.
Surge la pregunta: ¿Cómo se introducen los contaminantes al ambiente
supuestamente limpio del centro de cómputo? Mientras que ciertos contaminantes
son introducidos por los operadores (incluyendo fibra de ropa, partículas de
cabello y piel, ceniza, etc.), la mayoría de las partículas son traídas por el aire y
transportadas dentro de los equipos sensibles a través de las entradas de aire
debajo del piso falso. Algunos de los contaminantes más comunes son: polvo de
cemento,
yeso
y tierra,
contaminación “urbana”, y partículas
metálicas
(conductores de electricidad). Muchos contaminantes pueden absorber humedad
además de conducir electricidad.
17

Terremotos.
Estos fenómenos sísmicos
pueden ser tan poco intensos que solamente
instrumentos muy sensibles los detectan o tan intensos que causan la destrucción
de edificios y hasta la pérdida de vidas humanas. El problema es que en la
actualidad, estos fenómenos están ocurriendo en lugares donde no se les
asociaba. Por fortuna los daños en zonas improbables suelen ser ligeros.

Robo de equipo e información.
En los centros de cómputo se encuentran activos de gran valor monetario, que
resultan susceptibles de ser sustraídos. Mas grave aún puede resultar la
sustracción de información (parte de la cual tiene carácter de confidencial).

Utilización de Guardias.
La principal desventaja de la aplicación de personal de guardia es que éste
puede llegar a ser sobornado por un tercero para lograr el acceso a sectores
donde no esté habilitado, como así también para poder ingresar o egresar de la
planta con materiales no autorizados.
Esta situación de soborno es muy frecuente, por lo que es recomendable la
utilización de sistemas biométricos para el control de accesos.
1.4.1.2 Medidas de prevención y mitigación.
Para prevenir o controlar las algunas de las posibles amenazas mencionadas
anteriormente que pudieran dañar el equipo de cómputo, Rodríguez et al. (2004),
propone las siguientes:
18

Control de acceso al equipo de cómputo.
Este tipo de sistemas garantizan que sólo el personal autorizado podrá
ingresar al CPD (Centro de Procesamiento de Datos), con lo cual se disminuirá
considerablemente el riesgo de robo, destrucción o manipulación no autorizada de
equipos de información. Los controles durante los descansos y cambios de turno
son de especial importancia. El medio que permite identificar al personal al
personal, puede ser a través de teclados y claves numéricas, otros realizan la
identificación mediante lectores de tarjetas codificadas o tarjetas con cintas
magnéticas. Hay otros sistemas que se basan en quién es la persona y no en qué
tiene la persona (como se acaba de mencionar), como los reconocimientos de
firmas, de huella digitales (Ver Figura1.1), sistemas de reconocimiento de las
líneas de la mano, de voz, reconocimiento de retina (Ver Figura 1.2), etc.,
llamados biométricos.
Figura 1.1 Sistemas Biométrico de reconocimiento de huella. (Acrosoft.net)
Figura 1.2 Sistema Biométrico de reconocimiento de retina. (Acrosoft.net)
19
A los sistemas descritos anteriormente se les llama “Sistemas de
Identificación y Autentificación”, ya que intentan no solo conocer la identidad del
usuario, sino de saber que esa identidad es auténtica. Cuando se utilicen estos
sistemas automáticos para las puertas, debe existir una puerta adicional que se
usa como salida de emergencia. Las aperturas que se usen para recepción y
entrega de datos deberían estar en un área separada del centro de cómputo con
una división a prueba de fuego.

Sistema de protección contra descargas eléctricas
En toda instalación de equipo de cómputo deberá existir una red de pararrayos
que garantice que toda descarga eléctrica sea derivada a tierra, con esto también
se disminuirá el riesgo de incendio. Otros riesgos son los cambios de voltaje. Por
lo tanto, deben instalarse supresores de picos, reguladores de voltaje, dispositivos
de monitoreo y alarmas. Muchos constructores de equipo recomiendan conectar el
CPU y los periféricos a diferentes circuitos para mantenerlos aislados
eléctricamente.
 Humedad
La humedad no sólo afecta a los equipos sino también a las cintas, discos y
papel; por esta razón se deben instalar sistemas de detección de fugas de
líquidos. No deben pasar tuberías por encima ni debajo ni a los lados directamente
del equipo de cómputo, almacenes de cintas, discos, papel, etc. Se debe tener
cuidado con fugas de agua de equipos enfriados por este líquido y fugas de los
aparatos de aire acondicionado.
 Temperatura
Las instalaciones de cómputo son muy sensibles a la temperatura, incluso
temperaturas de 50 a 60°C pueden tener efectos muy dañinos en equipo y medios
de almacenamiento de información. Por lo tanto deben existir sistemas de aire
acondicionado con salidas bien distribuidas, también la construcción del centro de
20
cómputo tiene que estar bien diseñada de modo que no haya fugas del aire frío ni
entradas de aire caliente, polvo o luz solar.
 Prevención de incendios
Son de gran importancia los sistemas de detección de humo (el detector de
humo que se elija debe ser capaz de detectar los distintos tipos de gases que
desprenden los cuerpos en combustión), los cuales deben ser posicionados de
acuerdo a las corrientes de aire, ya que los conductores de A.C. pueden difundir el
calor o el humo y no permitir que se active el detector. Tienen que instalarse
detectores en los gabinetes, ductos de A.C., bajo el piso falso, en el techo, etc. Y
estar conectados a sistemas de alarma y además deben señalar la ubicación
exacta de la fuente.
Además deben ponerse extintores manuales en lugares apropiados de acceso
inmediato (los operadores deben estar entrenados en el uso de estos equipos y de
todos los procedimientos de emergencia); estos extinguidores y el equipo de gas
se deben revisar con regularidad para asegurar su buen funcionamiento. El equipo
respiratorio debe estar a la mano porque las cintas magnéticas despiden humo
nocivo.
 Prevención de inundaciones
Resulta necesario contar con medidas para detectar la intrusión de agua antes
de que sea necesario apagar la computadora. Existen sistemas para detectar la
presencia de agua bajo el piso antes de que se vuelva peligrosa para el equipo.
Además de señalar fugas con una alarma, estos sistemas deben proveer los
medios para quitar automáticamente la energía a los equipos.
 Seguridad en los almacenes
Deben tenerse medidas de seguridad en los almacenes de cintas y discos:
controles de acceso, y controles ambientales y tener almacenamiento de
21
respaldos en otro lugar, por ejemplo: en cajas de seguridad contra incendios (que
no tenga los mismos riesgos que el sitio original).

Barreras de protección.
Básicamente hay cuatro niveles jerárquicos:
a) Protección perimetral: los controles ubicados en el área externa del predio y que lo
limitan con las colindancias inmediatas, por ejemplo: bardas, rejas, puertas de
acceso, casetas de vigilancia, etc.
b) Protección del inmueble: se consideran los controles ubicados en la periferia del
edificio mismo, por ejemplo: muros de material fuerte, puertas, etc.
c) Protección de objeto: esta última barrera nos permite diseñar la protección de
áreas específicas que por su importancia o valor requieran de un tratamiento
especial, por ejemplo: sistemas sofisticados de detección de intrusos como
sistemas fotométricos, sistemas de detección de movimiento por sonido,
ultrasonido o microondas, sistemas de detección de ruido y vibración, detectores
de metales en las entradas, etc.
 Control de personas.
Para llevar controlar el personal que entra a una organización, Borguello (2008)
en el Blog “Segu-Info”, propone lo siguiente:
El Servicio de Vigilancia es el encargado del control de acceso de todas las
personas al edificio. Este servicio es el encargado de colocar los guardias en
lugares estratégicos para cumplir con sus objetivos y controlar el acceso del
personal. A cualquier personal ajeno a la planta se le solicitará completar un
formulario de datos personales, los motivos de la visita, hora de ingreso y de
egreso, etc.
22
El uso de credenciales de identificación es uno de los puntos más importantes
del sistema de seguridad, a fin de poder efectuar un control eficaz del ingreso y
egreso del personal a los distintos sectores de la empresa.
En este caso la persona se identifica por algo que posee, por ejemplo una tarjeta
de identificación. Cada una de ellas tiene un PIN (Personal Identification Number)
único, siendo este el que se almacena en una base de datos para su posterior
seguimiento, si fuera necesario. Su mayor desventaja es que estas tarjetas
pueden ser copiadas, robadas, etc., permitiendo ingresar a cualquier persona que
la posea. Estas credenciales se pueden clasificar de la siguiente manera:
a) Normal o definitiva: para el personal permanente de planta.
b) Temporaria: para personal recién ingresado.
d) Contratistas: personas ajenas a la empresa, que por razones de servicio
deben ingresar a la misma.
e) Visitas.
Las personas también pueden acceder mediante algo que saben (por ejemplo
un número de identificación o un password) que se solicitará a su ingreso. Al igual
que el caso de las tarjetas de identificación los datos ingresados se contrastarán
contra una base donde se almacena los datos de las personas autorizadas. Este
sistema tiene la desventaja que generalmente se eligen identificaciones sencillas,
bien se olvidan dichas identificaciones o incluso las bases de datos pueden verse
alteradas o robadas por personas no autorizadas.
23
1.4.2 Seguridad lógica.
La seguridad lógica es tan importante como la física, incluye normas para el
control del acceso a los datos/información, a fin de reducir el riesgo de
transferencia, modificación, pérdida o divulgación accidental ó intencional de
éstos. La seguridad física y lógica dependen, para el éxito de cada una, de la
eficiencia y fortaleza de la otra, considera Rodríguez et al.
Algunas de las principales aplicaciones de las medidas de seguridad lógica
son:
a) Separar de otros recursos del sistema el material al que tiene acceso permitido
un usuario.
b) Proteger los datos de un usuario de los de otro.
c) Controlar el acceso de lugares remotos.
d) Definir y poner niveles de control de acceso.
e) Monitorear el sistema para detectar cualquier uso impropio.
1.4.2.1 Peligros
De igual manera que en la seguridad física, dentro de la seguridad lógica
también existen riesgos que ponen en peligro la integridad de la información y
software que están contenidos en los equipos de cómputo, Rodríguez considera
los siguientes (citado en Pino 2005):
 Riesgos debido a la amabilidad de los sistemas.
Las microcomputadoras y los paquetes de software de uso muy sencillo han
provisto con capacidades o conocimientos en computación a personas sin un
entrenamiento formal en el área. Algunos ejemplos de tipos de sistemas
amigables al usuario que crean preocupaciones de seguridad son los siguientes:
24
a) Sistemas de compras para clientes.
b) Sistemas de órdenes y envíos. Un creciente número de organizaciones
industriales están desarrollando sistemas de intercambio electrónico de
datos.
c) Sistemas de pedidos de manufactura.
d) Sistemas de transferencia de dinero y comercialización de acciones.
Todos los anteriores tipos de sistemas están diseñados para hacer sencillos de
usar, y para incrementar la productividad y eficiencia de una organización a través
de sistemas flexibles.
Debe tenerse mucho cuidado con los riesgos generados por aplicaciones que
son
quizá demasiado “amables” para el usuario y no tienen controles. Por
ejemplo, sistemas que diseñan contraseñas muy cortas y fáciles de recordar y que
no se cambian en forma regular, sistemas con controles de acceso demasiado
débiles, etc.
 Privacía de la información
Los sistemas de procesamiento de datos pueden almacenar grandes cantidades
de información acerca de individuos. La información puede ser recopilada de
varias fuentes y entonces comparada. Algunas de estas comparaciones podrían
ser inofensivas, pero otras no.
¿Cuándo podría considerarse una violación de la privacía de las personas en un
ambiente de negocios? Tal vez, siempre que información que ha sido recopilada
para un propósito sea revelada a externos para otro propósito.
 Falla en el CPU
Una interrupción en la computadora central puede ser el resultado de múltiples
factores. El sistema puede interrumpirse debido a fallas en el hardware y el
software, o bien, el sistema puede ser retenido y reinicializado (lo que puede
25
tardar mucho tiempo) por el
operario cuando identifica que una de las
computadoras se encuentra funcionando deficientemente.
 Errores en el software
Una falla en un programa hace que éste produzca resultados inapropiados. Los
errores en el
software (“bugs”) han significado enormes pérdidas financieras,
incluso en negocios grandes y bien establecidos. Estos errores representan un
problema fundamental con sistemas computarizados porque no hay métodos
infalibles (“debugger”) para probar que un programa opera correctamente y
pueden ocurrir hasta en los programas mejor evaluados.
 Errores en los datos
Los errores en los datos son otra fuente de riesgo, ya que los sistemas de
información no pueden ser buenos si la información que manejan no es correcta.
 Piratería de software
En años recientes, la piratería de software (el robo de copias de software
comprado), se ha vuelto un nuevo riesgo de seguridad; esto se debe a la
proliferación de las microcomputadoras personales, en ellas los programas que
corren en una, corren fácilmente en otra.
Ha habido varios pleitos legales contra organizaciones que piratean software
abiertamente. Aun sin pleito legal, una organización que hace copias ilegales o
que permite que sus empleados las hagan podría estar sujeta a desprestigio
público (especialmente con una cultura de respeto y protección a los derechos de
autor).
 Robo
Los robos vía computadora se pueden dividir en tres categorías: robo ingresando
datos fraudulentos a las transacciones, robo modificando software y robo
modificando o robando (valga la redundancia) datos.
26
a) Robo ingresando datos fraudulentos a las transacciones: es el más simple y
común (no requiere mucho conocimiento de computación). Los datos
fraudulentos pueden ser ingresados por falsificación de documentos,
omisión de procedimientos o haciéndose pasar por otra persona. En E.U.
más de 100 empresas cada año van a la bancarrota debido a fraudes
internos.
b) Robo por modificación de software: algunos programadores han cometido
ilícitos modificando software de manera que se desempeñe en forma
diferente cuando encuentre una cuenta en particular o alguna otra
condición.
c) Robo por modificación o robo de datos: la gente puede robar datos
tomando los medios en que están almacenados, por ejemplo: cintas,
diskettes, papel, etc., también pueden copiarlos y dejar originales.
 Sabotaje
Los saboteadores no tratan de robar nada. En lugar de eso, tratan de invadir y
dañar hardware, software, o datos. Pueden ser “hackers”, empleados disgustados
o espías. Se han usado varias técnicas de programación en el sabotaje:
a) Falsificación de datos: se refiere a la modificación de datos antes o durante
su entrada al sistema. Es fácil de prevenir con un buen sistema de control
en las aplicaciones.
b) Técnicas de salami: consiste en agregar instrucciones a los sistemas que
manejan dinero para desviar rebanadas tan pequeñas que nadie las nota,
por ejemplo fracciones de centavo. Sin embargo, al acumularlas pueden
llegar a formar una gran suma.
c) Trap door: es un conjunto de instrucciones que permiten a un usuario
traspasar las medidas estándares de seguridad de un sistema.
27
d) Virus: un virus de computadora puede estar programado para borrar toda la
información de un conjunto de datos; se puede infiltrar en una computadora
y hasta en una red completa, y puede ser extremadamente peligroso si no
se detecta a tiempo.
1.4.2.2 Medidas de prevención y mitigación.
Existen medidas de seguridad para evitar que personas ajenas al equipo de
cómputo tengan acceso a él, de acuerdo a Rodríguez (citado en Pino 2005), se
presentan las siguientes:
 ¿Cómo elegir un password?
He aquí una breve guía para que los usuarios puedan tener una idea de cómo
elegir su contraseña:
a) Elija una frase, canción o titulo de un libro que le guste. Luego, construya
una contraseña la primera, segunda o cualquier otra letra de cada una de
las palabras de la frase. Cuando necesite recordar la contraseña, repita la
frase para usted mismo.
b) Sea creativo cuando elija una contraseña, hágalo con cuidado. NO caiga en
la trampa de usar sus iniciales, su apodo, los nombres de su conyugue o
niños, teléfonos, direcciones, o letras o números consecutivos, o cualquier
otra cosa que pudiera ser asociada con usted como si contraseña. NO use
ninguna que pudiera ser adivinada fácilmente.
c) El cambio de una contraseña puede ser una molestia, pero vale la pena.
Constituye una práctica que le protege tanto a usted como a la información.
Usted debe cambiar la contraseña con regularidad, por si acaso alguien se
entera de la misma cuando usted la esta ingresando al computador. Un
buen momento para cambiar su contraseña, es antes de ausentarse
durante un periodo prolongado, tal como en ocasión de sus vacaciones.
28
 Sistemas de huellas.
Desafortunadamente, el margen de error de los sistemas de huellas puede ser
alto debido a cortadas, mugre, etc.
 Respaldo (Backup).
Definir y seguir procedimientos adecuados de respaldo de la información
importante de al empresa (tanto de PC como LAN y equipos centrales) representa
una actividad de suma importancia en la seguridad de la información y
especialmente para la efectividad de los planes de contingencia. Deben
mantenerse respaldos que contengan los archivos suficientes para recuperar la
información dañada o destruida y que garanticen la posibilidad de continuar con el
servicio y operación de la empresa, así como los programas y documentación
suficiente para facilitar este proceso en sus instalaciones o fuera de ellas.
 Asignación de propiedad.
Desde el punto de vista de seguridad de la información, es muy importante
definir bien los privilegios (crear, modificar, borrar, abrir, leer, escribir, etc.) que
tiene
cada
usuario
sobre
los
archivos.
Aquí
entran
nuevamente
las
consideraciones sobre la propiedad de los archivos con el objeto de definir quién
puede dar o negar los diversos tipos de acceso a la información y ser responsable
de la misma.
 Seguridad del sistema operativo.
Los sistemas operativos seguros han sido materia de gran preocupación entre
los expertos en seguridad de computadoras. Se han hecho esfuerzos
considerables para definir y desarrollar lo que se llama un “sistema operativo
seguro”. Los conceptos incorporados en un sistema así están más allá de las
necesidades de un sistema de cómputo comercial típico.
29
El software de control de acceso debe estar diseñado para que las terminales de
usuario no puedan obtener acceso directo a las funciones del sistema operativo.
Estas funciones incluyen acceso a las librerías de programas y a las diversas
tablas del sistema. Debe haber un buen mecanismo para revisar la ocurrencia de
cualquier operación inusual.
1.5 Amenazas.
Anteriormente se describieron los tipos de seguridad, dentro de los cuales
se encuentra la seguridad lógica, que habló sobre las amenazas que atentan
contra los datos y software, ahora bien, éstas amenazas dentro de una
organización, pueden llegar de cualquier parte, tanto de afuera como desde
adentro de la misma, es por eso que se han clasificado en amenazas internas y
amenazas externas, que enseguida se muestran:
1.5.1 Internas.
Schultz (2002) define una amenaza interna como el uso inadecuado e intencional
de los sistemas de información por usuarios autorizados a utilizarlos.
Generalmente a este usuario se le conoce con el nombre de atacante interno. El
atacante interno por lo tanto puede ser un empleado permanente o un trabajador
temporal en el que la organización deposita su confianza. Basándose
precisamente en esa confianza es que el atacante interno puede provocar daños
desde el interior de la organización sin importar que exista un sistema de
seguridad que proteja externamente a la información. El mecanismo o proceso
que realiza este atacante interno para acceder sin autorización a los sistemas de
información de una organización con el objetivo de obtener información para
beneficios propios o para hacerle daño a la organización (venganza) es conocido
como: “Ataque “. Cooke (2002) afirma que el número de ataques reportados por el
30
Centro de Expertos de la Seguridad en Internet (CERT) se ha venido duplicando
cada año, por lo que es un problema que va en rápido crecimiento y al cual las
organizaciones tienen que estar preparadas de la mejor manera para poder
disminuir o eliminar los riesgos que estos representan.
Muchos de los ataques internos que se dan contra las organizaciones se
realizan utilizando Ingeniería Social. Como indica Berti (2003) “La Ingeniería
Social” (IS) ha ganado amplia aceptación alrededor de las comunidades de
sistemas de información como un proceso social/psicológico a través del cual un
individuo puede obtener información de otro individuo generalmente acerca de una
organización específica.
Berti la define como “El arte criminal de engañar a los empleados de una
organización con el objetivo de obtener información valiosa de la misma”. Muchos
en la industria de la seguridad parecen olvidar que las computadoras y la
tecnología son solamente herramientas y que son realmente las personas quienes
realmente las están utilizando, configurando, instalando y abusando de estas. Los
ataques de IS tienden a seguir una forma de trabajo basado en fases y en la
mayoría de los casos, los ataques son muy similares a como los sistemas de
inteligencia obtienen información acerca de una entidad especifica. Las fases que
incluye la IS son: Recopilación de inteligencia, Selección de Objetivo y por ultimo
el Ataque (Berti 2003).
Según Portillo (2003) en un documento elaborado para el Centro de difusión de
Tecnologías ETSIT-UPM titulado “Seguridad Informática”, las amenazas internas
pueden dividirse en las dos categorías siguientes:
a)
Las
Amenazas
Personales
No
Intencionadas:
son
causadas
generalmente por negligencias, desconocimiento o falta de información de los
usuarios y administradores de equipos. Piénsese por ejemplo en un administrador
de un sistema que, utilizando sus privilegios de acceso, borra inadvertidamente
ciertos archivos con información importante. O en un usuario que, para que no se
le olvide, apunta su contraseña de acceso al equipo de computo en un "post-it" en
31
la pantalla de su equipo de computo, o escribe sus contraseñas sin cifrar en
archivos del equipo de computo.
b) En las Amenazas Personales Intencionadas: el atacante tiene la
intención clara y precisa de acceder a un determinado sistema o recurso
informático. Estos atacantes pueden ser simplemente Curiosos, que acceden al
sistema para "pasearse" por el mismo, y como logro personal al lograr burlar la
seguridad de los sistemas, pero sin recopilar información ni causar daños, o
pueden ser Malintencionados, destruyendo, modificando o apoderándose de
información del sistema al que acceden.
1.5.2 Externas.
Las amenazas externas o de red son los ataques llevados a cabo por
personas sin la asistencia de empleados o contratistas internos. Estos ataques se
llevan a cabo generalmente por un individuo experimentado malicioso, un grupo
de personas experimentadas, una organización con experiencia malintencionado,
o por atacantes inexpertos (script Kiddies).
Las amenazas externas son generalmente realizadas por medio de un plan
previo y de las tecnologías (herramientas) o de las técnicas del atacante(s). Una
de las principales características de las amenazas externas es que generalmente
incluye la exploración y recolección de información.
Por lo tanto, puede detectar un ataque exterior por examinar los registros
de cortafuegos. También puede instalar un sistema de detección de intrusión para
identificar rápidamente las amenazas externas. Las amenazas externas pueden
ser categorizadas en amenazas, ya sean estructuradas o no estructuradas:
32
a) Amenazas externas estructuradas.
Estas amenazas provienen de una persona malintencionada, un grupo de
maliciosos individuo(s) o de una organización maliciosa. Las amenazas
estructuradas suelen ser iniciadas desde la red, los atacantes que tienen un
pensamiento premeditado sobre los daños reales y las pérdidas que quieren
provocar. Posibles motivos de las amenazas externas estructuradas incluyen la
codicia, la política, el terrorismo, el racismo y beneficios penales.
Estos agresores están altamente calificados en el diseño de redes, sobre
los métodos para evitar las medidas de seguridad, sistemas de detección de
intrusos (IDSS), los procedimientos de acceso y herramientas de entrada de forma
ilegal en un sistema informático con el ánimo de obtener información (Hacking).
Ellos tienen los conocimientos necesarios para desarrollar nuevas técnicas de
ataque de red y la capacidad de modificar las herramientas de hacking existentes
para su explotación. En algunos casos, el atacante podría ser asistido por una
persona autorizada interior.
b) Amenazas externas sin estructurar.
Estas amenazas provienen de un atacante sin experiencia, por lo general a
partir de un script kiddie. Un script kiddie es la terminología utilizada para referirse
a un atacante sin experiencia que usa herramientas de cracking o guión,
herramientas disponibles en Internet, para realizar un ataque de red. Script Kiddies
insuficientemente cualificados suelen crear las amenazas por su propia cuenta.
33
1.6 Triángulo de debilidades del sistema informático.
Es muy importante tener en cuenta que las organizaciones de hoy en día
manejan un gran volumen de información, por lo que es necesario el uso de la
tecnología para poder procesarla, específicamente del uso de la computadora. Sin
embargo, existen riesgos y amenazas que afectan directamente a los equipos de
cómputo y por lo tanto a todo lo que éstos contengan.
Las amenazas tanto internas como externas presentadas en el apartado
anterior, se pueden presentar directamente en los elementos de un Sistema
Informático, que son: Hardware, Software, Datos, Memoria y Usuarios.
Cabe mencionar que en los elementos citados existen debilidades que pueden
ser explotadas para obtener beneficios o causar daños, Ramió (2006) en su libro
electrónico “Seguridad Informática y Criptografía Versión 4.1” considera lo
siguiente:
 Hardware: pueden producirse errores intermitentes, conexiones sueltas,
desconexión de tarjetas, etc.
 Software: puede producirse la sustracción de programas, ejecución errónea,
modificación, defectos en llamadas al sistema, etc.
 Datos: puede producirse la alteración de contenidos, introducción de datos
falsos, manipulación fraudulenta de datos, etc.
 Memoria: puede producirse la introducción de un virus, mal uso de la gestión
de memoria, bloqueo del sistema, etc.
 Usuarios: puede producirse la suplantación de identidad, el acceso no
autorizado, visualización de datos confidenciales, etc.
Dichas
amenazas
pueden
ser
cuatro
principalmente:
Interrupción,
Interceptación, Modificación y Generación.
34
En un sistema informático lo normal es que la información fluya de manera
correcta, esto es, que el receptor reciba la información integra, tal cual la envía el
emisor. (Ver figura 1.3).
Figura 1.3: Flujo normal de la información. (Fuente: Vilares 2007).
Sin embargo, cuanto esto no sucede así, podría estarse presentando alguna de
las amenazas mencionadas, que a continuación se explican:
 Interrupción: Este es un ataque contra la Disponibilidad. Vilares (2007),
argumenta que puede ser temporal o permanente e incluye la posibilidad de
destrucción de recursos y activos. Es la más sencilla de detectar y la que
presenta mayor dificultad para luchar contra ella, ya que muchas veces son
accidentes naturales. (Ver figura 1.4). Ejemplos: corte de un cable de red,
interrupción de suministro eléctrico, incendios.
Figura 1.4: Interrupción del flujo de información (Fuente: Vilares 2007).
35
 Interceptación: De acuerdo a Vilares et al. (2007), este es un ataque contra la
confidencialidad, un elemento no autorizado consigue acceso a un
determinado objeto del sistema (Ver figura 1.5). Ejemplos: entrada no
autorizada en la sala de servidores, acceso a una base de datos, lectura del
correo electrónico de otro usuario, análisis del patrón de mensajes entre dos
puntos, etc.
Figura 1.5: Interceptación del flujo de información, (Vilares 2007).
 Modificación: Siguiendo con Vilares, este es un ataque contra la Integridad,
además del acceso, el elemento no autorizado consigue modificar el objeto.
La destrucción es un tipo especial de modificación, en la que se inutiliza el
objeto modificado, (Ver figura 1.6). Ejemplos: cambios en el contenido de una
base de datos, cambio del contenido de una página WEB, incremento del
saldo en una BD de cuentas bancarias.
Figura 1.6: Modificación en el flujo de información. (Fuente: Vilares 2007).
36
 Generación: Por último Vilares et al., dice que este es un ataque contra la
Autenticidad, el intruso crea un objeto similar al atacado de forma que sea
difícil distinguir el objeto original del fabricado, (Ver figura 1.7). Ejemplo:
suplantación de dirección IP en una red, suplantación de identidad del
usuario de una máquina, páginas falsas de recogida de datos bancarios.
Figura 1.7: Generación en el flujo de información. (Fuente: Vilares 2007).
Según Ramió, las amenazas descritas en los párrafos anteriores, afectan
principalmente a 3 de los cinco elementos de un Sistema de información:
Hardware, Software y Datos, que conforman el llamado “Triangulo de debilidades
del sistema” (Ver figura 1.8).
37
Interrupción
(pérdida)
Interceptación
(acceso)
Modificación
(cambio)
Generación
(alteración)
DATOS
Los datos son la parte
más vulnerable del sistema
HARDWARE
Interrupción (denegar servicio)
Interceptación (robo)
SOFTWARE
Interrupción (borrado)
Interceptación (copia)
Modificación (falsificación)
Figura 1.8: Triángulo de debilidades del sistema (Fuente: Ramió 2006).
Como se muestra en la figura de arriba, existen dos amenazas que se
pueden presentar en todos los elementos del triángulo, sin embargo, hay un
elemento en el que impactan las 4 amenazas, convirtiéndolo así, en el más
susceptible de ser atacado: los datos.
A continuación de acuerdo a Ramió, se explica cómo afecta cada amenaza en
cada uno de los elementos del triángulo:
1.- Hardware:

Interrupción.- denegar el acceso a un servicio o información necesaria para
los usuarios, por ejemplo, cortar un cable de red, desconectar una
impresora, apagar el servidor, hardware intermitente, destruir hardware,
robar equipos.

Interceptación.- es la sustracción ilegal o robo de alguna parte de un equipo
de cómputo o de algún dispositivo de conexión, por ejemplo, robo de un
disco duro, robo de cableado de fibra óptica, etc.
38
2.- Software:

Interrupción.- se refiere a borrar programas o sistemas de información en
actividad, por ejemplo borrar la paquetería de Office, quitar el sistema que
administra la contabilidad de la empresa, etc.

Interceptación.- copiar software original ajeno para usarlo en beneficio
propio, (leer y usar algo que no nos pertenece).

Modificación.- software pirata adaptado, eliminación de barreras de
copyright, corromper algún sistema y dejar que el usuario lo utilice creyendo
que es original.
3.- Datos:

Interrupción.- borrado de una base de datos, impedir el acceso a los datos.

Interceptación.- acceso ilegal a los datos, lectura no autorizada, como
consecuencia se pueden hacer inferencias sobre otros datos.

Modificación.- por ejemplo, cambiar características y/o propiedades en
bases de datos.

Generación.- añadir elementos nuevos en bases de datos, crear nuevos
archivos o carpetas falsas.
1.7 Aportación personal.
A lo largo de este capitulo se abordaron aspectos de la seguridad informática que
desde mi punto de vista deben ser considerados de vital importancia, ya que en la
actualidad el uso de las computadoras se ha extendido por todas partes, ya no es
extraño observar una computadora realizando trabajos que antes eran llevados a
cabo manualmente, el volumen de información que se maneja en nuestros días a
39
menudo rebasa la capacidad de las personas para procesarla, por lo que el
emplear las computadoras se ha convertido en una necesidad.
Internet como es bien sabido, es un gran conjunto de redes interconectadas entre
si, con la cual cualquier persona puede tener acceso a la información de cualquier
parte del mundo desde la comodidad de su casa, sin embargo este gran beneficio
también ha sido usado con malas intenciones, por ejemplo robo de información de
carácter personal, robo o alteración de datos valiosos de alguna empresa, fraudes,
sabotaje, etc.
Es aquí donde la seguridad informática cobra mayor importancia, esta es
orientada principalmente para prevenir y contrarrestar todo evento que pudiera
perjudicar los equipos de cómputo y por supuesto lo más importante, la
información que en ellos se maneja.
Sin embargo, considero que las medidas de seguridad por muy eficientes y de alta
tecnología que sean, en ocasiones, no son suficientes para evitar intromisiones y
daños a la información, ya que como se mencionó en el apartado de “Amenazas
internas y externas” de este capítulo, muchos usuarios que llegan a provocar
daños en la información y en el hardware que la contiene, lo hacen sin intención
alguna, generalmente por que no tienen los suficientes conocimientos en el uso de
las computadoras o simplemente por descuido, en el caso de empleados, tal vez
por que no cuentan con una capacitación adecuada por parte de la empresa para
la que trabajan.
Por otro lado se tiene al personal interno que causa un perjuicio con toda intención
por diversas razones, las cuales son casi siempre de carácter personal, por
ejemplo, una venganza debido a diferencias personales con el jefe inmediato o el
dueño de la empresa, poner en práctica la corrupción esperando recibir algo a
cambio, etc., lo que los orilla a cometer ilícitos que podrían afectar a la empresa
seriamente.
40
Por último considero que la seguridad informática es un tema que debe interesar a
cualquier persona, debido a que no es necesario que manejemos una
computadora para que nuestra información pueda ser interceptada por algún
intruso, ya que en ocasiones para la realización de tramites de cualquier tipo,
proporcionamos nuestros datos y éstos son ingresados en bases de datos que si
no cuentan con un buen sistema de seguridad pueden ser accesadas por algún
intruso, y posteriormente, robar nuestra información perjudicándonos de alguna
manera.
41
CAPÍTULO II: MALWARE
Introducción.
Hoy en día el avance de la tecnología y en concreto hablando de las
computadoras, nos han permitido llevar una mejor administración y control de
nuestra información, así como también ha sido un factor muy importante dentro de
las organizaciones y empresas para mantener su competitividad ante el mercado
laboral; un ejemplo muy claro de esto es el comercio electrónico, que a diferencia
del negocio tradicional al que estamos acostumbrados, ahora ya no es necesario
salir de casa para realizar una compra, solo basta con tener una computadora con
conexión a internet, realizar una sencilla transacción y listo, el producto nos llega
hasta la puerta de nuestra casa.
Sin embargo también existe la otra cara de la moneda, el avance y continuo
perfeccionamiento de programas que son capaces de realizar acciones ilícitas y
perjudiciales en las computadoras y que si no son detectados a tiempo pueden
causar daños desde lentitud en la red hasta la pérdida total de la información, lo
cual en una organización sería catastrófico; este tipo de programas o algoritmos
en la actualidad son mejor conocidos como Software Malo (MALWARE), pero,
¿qué es en realidad el MALWARE?, esto lo veremos en los párrafos siguientes.
2.1 Definición de MALWARE.
Microsoft TechNet (2009) define el MALWARE como la abreviación de los
términos en inglés "Malicious Software" (software malintencionado). Se trata de un
nombre colectivo que incluye virus, gusanos, caballos de Troya, etc., que realizan
expresamente tareas malintencionadas en un sistema informático. Técnicamente,
un MALWARE es un código malintencionado.
43
Por otro lado Mairoll (2009), dentro de su página web llamada “Emsi Software”
señala que, la palabra 'MALWARE' se compone de los términos 'maligno' y
'software', significando entonces 'software maligno'. La definición de MALWARE
incluye todo tipo de programa que pueda dañar la PC.
Como puede notarse en los párrafos anteriores, los autores coinciden
claramente en que el MALWARE no es otra cosa que software diseñado con la
finalidad de causar daños a las computadoras, y por lo tanto también afectan la
información que se encuentra dentro de ellas. Cabe destacar que existen
diferentes tipos de MALWARE, cada uno tiene características propias que los
distinguen de los demás, son diseñados para diferentes fines, por ejemplo, robo
de información, dañar el hardware, ralentizar la red, etc.
Como se dijo al inicio de este capítulo,
el MALWARE ha venido
evolucionando de manera importante con el paso del tiempo hasta lo que hoy en
día se conoce, pero, ¿Cuál es el origen este tipo de software? A continuación en
los párrafos siguientes, se habla un poco sobre la historia del MALWARE.
2.2 Antecedentes del Software Malo.
En el apartado anterior se dio un panorama más amplio sobre el concepto
de malware, ahora es preciso conocer como fue que nació este tipo de software. A
continuación para explicar esta parte, se presenta un fragmento del documento
llamado “Cronología de los virus informáticos, La historia del Malware”, autoría de
Cristian Borghello (2006), Técnico de ESET Latinoamérica, en el que describe la
evolución del MALWARE.
Casi todos los autores y expertos coinciden en señalar que el precursor de
lo que hoy se conoce como el concepto de virus informático fue el famoso
científico húngaro Von Neumann, quién en 1949 expuso Theory and Organization
of Complicated Autómata (Teoría y organización de autómatas complejos), donde
44
presentaba, por primera vez, la posibilidad de desarrollar pequeños programas
replicantes y capaces de tomar el control de otros programas de similar estructura.
En 1951, Von Neumann propuso métodos para demostrar como crear ese
autómata. Sin bien el concepto tiene miles de aplicaciones en la ciencia,
modelando y simulando gran cantidad de sistemas físicos, como fluidos, flujo de
tráfico, etc.; es fácil apreciar una aplicación negativa de la máquina de Von
Neumann: los virus informáticos, programas que se reproducen a sí mismos el
mayor número posible de veces y aumentando su población de forma exponencial.
Ocho años después, en 1959, en los laboratorios de Bell Computer, tres
jóvenes programadores: Robert Thomas Morris, Douglas Mcllroy y Victor
Vysottsky crean un juego denominado CoreWar, inspirados en la teoría de Von
Neumann.
CoreWar (el precursor de los virus informáticos) es un juego en donde
programas combaten entre sí con el objetivo de ocupar toda la memoria de la
máquina eliminando así a los oponentes.
Otra de sus características era su capacidad de auto reproducirse cada vez
que se ejecutaba. Al término del juego, se borraba de la memoria todo rastro de la
batalla, ya que podrían llegar a ser un gran riesgo dejar un organismo suelto que
pudiera acabar con las aplicaciones. De esta manera surgieron los programas
destinados a dañar los sistemas informáticos.
Debido a su alta peligrosidad CoreWar fue mantenido en el anonimato,
como entretenimiento para intelectuales durante muchos años, hasta que en 1984,
Ken Thompson (creador del sistema operativo Unix y el lenguaje de programación
B) lo saca a la luz al momento de recibir el premio Turing de A.C.M. (Asociation of
Computing Machinery), e insta a la comunidad a experimentar con estas
“criaturas”. Además se forma la International CoreWar Society (ICWS) y se
actualizan las reglas del juego con las que actualmente se sigue jugando en
Internet.
45
En 1970, el Dr. Gregory Benford (físico y escritor de ciencia ficción) publica
la idea de un virus en el número del mes de mayo de Venture Magazine
describiendo específicamente el término “computer virus” (virus de computadora) y
dando un ejemplo de un programa denominado vacuna para eliminarlo.
El que se considera el primer virus propiamente dicho y que fue capaz de
“infectar” máquinas IBM 360 a través de una red ARPANET (el precedente de la
Internet actual), fue el llamado Creeper, creado en 1972 por Robert Thomas
Morris. Este parásito emitía un mensaje en la pantalla periódicamente: “I´m a
creeper… catch me if you can!” (Soy una enredadera, atrápame si puedes).
Para eliminar a Creeper se creó otro virus llamado Reaper (segadora)
programado para buscarlo y eliminarlo. Éste se podría decir que es el origen de
los actuales antivirus.
Ya en la década de los ochenta, con la rápida evolución de las PC, las
computadoras ganaban popularidad, y cada vez más personas entendían la
informática y escribían sus propios programas y esto también dio origen a los
primeros desarrolladores de programas dañinos.
En 1981, Richard Skrenta (co-fundador de NewHoo, actual DMOZ, el
servicio de directorio Internet en el cual está basado Google) recibe una Apple II
como regalo y escribe el primer virus de amplia reproducción: Elk Cloner el cual se
almacenaba en el sector de inicio de los disquetes de 360 kb de capacidad y era
capaz de residir en memoria luego que el disco era retirado. Elk Cloner era inocuo
para el sistema, pero contaba la cantidad de arranques y cuando llegaba a
cincuenta mostraba el siguiente poema:
“Elk Cloner: The program with a personality (Elk Cloner: El programa con
personalidad)
It will get on all your disks (llegará a todos tus discos)
It will infiltrate your chips (se infiltrará en sus chips)
46
Yes it's Cloner! (sí, es Cloner!)
It will stick to you like glue (se te pegará como el pegamento)
It will modify ram too (modificará la ram también)
Send in the Cloner! “(envía el Cloner!).
En 1983, Frederick B. Cohen inicia su estudio sobre los virus y en 1985,
finaliza su tesis de doctorado, basada en “programas auto-duplicadores”. El tutor
de esta tesis fue el Dr. Adleman, y quizás de allí provengan las confusiones sobre
quien ha sido el primero en acuñar el término virus y sus definiciones posteriores.
En 1984, Cohen publica sus estudios en “Computer Viruses - Theory and
Experiments” (Virus de computadora - Teoría y Experimentos), donde define por
primera vez a los virus, palabra que ya había sido ampliamente difundida luego de
los trabajo de Adleman. La definición propuesta por Cohen y aceptada por la
comunidad fue:
“Programa que puede infectar a otros programas incluyendo una copia
posiblemente evolucionada de sí mismo”.
Debido a esta definición y a su tratamiento formal, Cohen es conocido como
el “padre de los virus” sin bien, como ya se pudo comprobar, no fue el primero en
trabajar sobre ellos.
En 1987, Tom Duff comienza a experimentar en sistemas Unix con
pequeños scripts y pudo probar que los virus no necesariamente debían infectar
archivos dependientes del sistema y arquitectura para el cual fueron creados.
Luego, en 1989 Duff publica un artículo llamado “Experience with Viruses on Unix
Systems” describiendo (y mostrando) un virus que infectaba archivos ejecutables,
de diferentes sistemas Unix, sin modificar el tamaño del mismo. El virus (de 331
bytes) se copiaba en ejecutables que tuvieran un espacio de 331 bytes (o mayor)
47
ocupado con ceros y modificaba el punto de entrada del binario para que apuntara
al virus. Este concepto fue ampliamente explotado por los virus de la siguiente
generación.
Borguello et. al., explica que, actualmente los virus son producidos en cantidades
extraordinarias por muchísima gente alrededor del planeta. Algunos de ellos dicen
hacerlo por diversión, otros quizás para probar sus habilidades, hasta se ha
llegado a notar un cierto grado de competitividad entre los autores de estos
programas. Algunos de los programadores de virus, especialmente los mejores,
sostienen que su interés por el tema es puramente científico, que desean
averiguar todo lo que se pueda sobre virus y sus usos.
A diferencia de las compañías de software, que son organizaciones
relativamente aisladas unas de otras (todas tienen secretos que no querrían que
sus competidores averiguaran) y cuentan entre sus filas con mayoría de
estudiantes graduados, las agrupaciones de programadores de virus están
abiertas a cualquiera que se interese en ellas, ofrecen consejos, camaradería y
pocas limitaciones. Además, son libres de seguir cualquier objetivo que les
parezca, sin temer por la pérdida de respaldo económico.
Por otro lado, ciertos programadores parecen intentar legalizar sus actos
poniendo sus creaciones al alcance de mucha gente, (vía Internet, BBS
especializadas, etc). Existen programadores, de los cuales, generalmente,
provienen los virus más destructivos, que alegan que sus programas son creados
para hacer notoria la falta de protección de que sufren la mayoría de los usuarios
de computadoras.
En definitiva, sea cual fuere el motivo por el cual se siguen produciendo virus, se
debe destacar que su existencia no ha sido sólo perjuicios, gracias a ellos, mucha
gente ha tomado conciencia de qué es lo que tiene y cómo protegerlo.
48
2.3 Clasificación del MALWARE.
Como se afirma anteriormente en la definición de MALWARE, éste se
puede presentar en diferentes formas o tipos, mismos que funcionan de manera
distinta para lograr los fines para los que fueron creados, por ejemplo: robar
software, información, o bien dañar el hardware.
Una vez realizada una revisión previa sobre los tipos de Software Malo más
utilizados en la actualidad, se propone la siguiente clasificación de acuerdo al
daño que causan tanto al equipo de cómputo como a la información (Ver Tabla
2.1).
Afectan a la información.
Afectan el rendimiento del equipo de
cómputo.
Virus
Worm (Gusano)
Troyano
Adware
Spyware
Rootkit
Phishing
Back door
Bomba lógica
Tabla 2.1. Clasificación del MALWARE de acuerdo al daño que provoca. (Fuente: Propia).
Muchas veces se suelen confundir los conceptos de virus, troyano o
gusano, sin embargo es de resaltar que aunque tienen algunas similitudes, son
conceptos distintos. Es por eso que a continuación se explica más a detalle cada
49
uno de estos tipos de MALWARE y que a la vez ayudará a comprender el por que
se encuentran dentro de dicha clasificación.
2.3.1 MALWARE que afecta a la información.
De acuerdo a la tabla anterior, en esta clasificación se consideran los tipos
de MALWARE que mediante alguna de estas acciones: robo, borrado o
modificación, afectan la integridad y disponibilidad de la información, mismos que
a continuación se explican.
2.3.1.1 Virus.

¿Qué es?
Microsoft (2009) afirma que un virus es código informático que se adjunta a sí
mismo a un programa o archivo para propagarse de un equipo a otro, infecta a
medida que se transmite y pueden dañar el software, el hardware y los archivos.
Es un código escrito con la intención expresa de replicarse.
Según Picouto (2004), se pueden identificar tres importantes tipos de virus:
acompañantes, de vínculo y de macros, así como también algunas técnicas que
son utilizadas por los virus para lograr con éxito el objetivo para el que fueron
creados, que a continuación se presentan.
a) Acompañantes: los virus acompañantes no modifican los archivos, sino que
crean un nuevo programa con el mismo nombre que un programa legítimo y
engañan al sistema operativo apara que lo ejecute. Son realmente típicos
hoy día por su sencillez de elaboración.
b) De vínculo: los virus de vinculo modifican la forma en que
el sistema
operativo encuentra los programas y lo engañan para que ejecute primero
50
el virus y luego el programa deseado. Un virus de vínculo puede infectar
toda una carpeta y cualquier programa ejecutable al que se acceda en
dicha carpeta desencadena la acción del virus.
c) Macros: infectan programas que contienen lenguajes de macros potentes
(lenguajes de programación que permiten al usuario crear nuevas
características y herramientas) que pueden abrir, manipular y cerrar
documentos.
En cierta manera lo que el virus informático intenta en todo momento es imitar
a un ser vivo y, generalmente, están dotados de un avanzado instinto de
supervivencia y reproducción. A diferencia de los seres vivos propiamente dichos,
no han de alimentarse o morir, es más fruto de nuestra necesidad que de su
instinto y para eso usan algunas de las siguientes técnicas:
a) Técnicas Stealth: son el conjunto de técnicas que hacen que el virus pase
inadvertido ante el sistema y su usuario. De esta forma pasa inadvertido
ante la lista de procesos en ejecución, al mismo tiempo que queda
escondido en el disco.
b) Tunneling: es por lo general, una técnica bastante sofisticada que consiste
en evadir a los programas antivirus residentes en memoria y que
monitorizan todo el sistema. Es como intentar escapar a un control policial
constante.
c) Encriptación: ésta técnica consiste en la encriptación del código del virus.
De esta forma, los antivirus no detectan ningún archivo con virus, ya que lo que
van buscando son cadenas fijas y estos métodos de encriptación son de clave
variable, por lo general basados en la hora del sistema.
d) Polimorfismo:
el
polimorfismo
es
una
técnica
muy avanzada
de
encriptación, ya que no solo esta cifrado el cuerpo del virus sino que
además va cambiando de forma. De esta manera los antivirus que buscan
cadenas constantes en los archivos son incapaces de detectar el patrón fijo
51
del virus, por lo que es sin duda una de las técnicas más sofisticadas para
un virus.
e) Técnicas Anti-Heurísticas: los antivirus usan las llamadas “técnicas
heurísticas” para la detección de virus, es decir, buscan cadenas de
ejecución típica. En lugar de buscar patrones fijos de virus buscan patrones
típicos en el comportamiento de los virus. Bueno pues es realmente fácil
par aun programador de virus por lo general saltárselas… es simplemente
una cuestión de creatividad.
f) Anti- Debugger: estas técnicas consisten en dificultar la desensamblación
del virus. De esta forma generar la vacuna es realmente complicado, ya que
al no poder distinguir entre virus y programa no se puede conseguir el
patrón del virus. Pequeños trucos como el bloqueo del teclado durante unos
milisegundos hacen que el trazado del programa sea imposible.

¿Cómo funciona?
Un virus se adjunta a sí mismo a un programa host (programa de hospedaje) y,
a continuación, intenta propagarse de un equipo a otro. Puede dañar el hardware,
el software o la información. Al igual que los virus humanos tienen una gravedad
variable, los virus informáticos van desde molestias moderadas hasta llegar a ser
destructivos.

¿Cómo se propaga?
Un verdadero virus no se difunde sin la intervención humana. Alguien debe
compartir un archivo o enviar un mensaje de correo electrónico para propagarlo.

¿Cómo se elimina?
Primeramente se debe identificar el virus. Ejecute el software antivirus para
identificar el nombre del virus. Si no tiene un programa antivirus o si el programa
no detecta el virus, podrá identificarlo si observa indicios de su comportamiento.
52
Escriba el texto de los mensajes que envía el virus, o si usted recibió el virus por
correo electrónico, escriba la línea del asunto o el nombre del archivo adjunto al
mensaje. En el sitio web del proveedor del antivirus busque referencias para esos
indicios específicos que escribió para intentar encontrar el nombre del virus y las
instrucciones para quitarlo.
2.3.1.2 Caballo de Troya.

¿Qué es?
Enciclopedia Virus (2002), señala que, los caballos de Troya son programas que,
enmascarados de alguna forma como un juego o similar, buscan hacer creer al
usuario que son inofensivos, para realizar acciones maliciosas en su equipo. Estos
troyanos no son virus ni gusanos dado que no tienen capacidad para replicarse
por si mismos, pero en muchos casos, los virus y gusanos liberan troyanos en los
sistemas que infectan para que cumplan funciones especificas, como, por ejemplo,
capturar todo lo que el usuario ingresa por teclado (keylogger).

¿Cómo funciona?
Fuentes (2005), argumenta que estos códigos maliciosos tienen múltiples
funcionalidades, algunos funcionan para realizar acciones destructivas y otros
simplemente para espiar y robar información.

¿Cómo se propaga?
Los troyanos se difunden cuando a los usuarios se les engaña para abrir un
programa porque creen que procede de un origen legítimo, también se pueden
incluir en software que se descarga gratuitamente, otro método de infección es por
correo electrónico, cuando se reciben archivos adjuntos de algún remitente
desconocido, al estar instalado en la PC este programa se desarrolla normalmente
sin ser detectado por el antivirus ya que aparentemente esta ejecutando la
53
aplicación deseada, pero internamente el troyano se encarga de vulnerar la
computadora (Microsoft et al. 2009).

¿Cómo se elimina?
Este tipo de MALWARE se puede eliminar al ejecutar el software antivirus que
se tenga instalado en el equipo de cómputo.
2.3.1.3 Spyware (Software espía).

¿Qué es?
Tal como lo afirma Honeycutt (2004), escritor y conferencista de Microsoft,
Spyware es un tipo de software que manda la información personal a terceros sin
que las personas den su consentimiento o ni siquiera lo sepan. Este tipo de
información puede ir desde los sitios Web que se suelen visitar hasta algo más
delicado como por ejemplo el nombre de usuario y contraseña. Por lo general las
empresas con pocos escrúpulos utilizan esta información para enviar publicidad no
solicitada.
Algunos indicadores que pueden señalar que la computadora tiene instalado
Spyware son:

Un bombardeo de anuncios de tipo pop-up.

Un navegador “pirateado” o sea, un navegador interferido que se redirige a
sitios diferentes a aquellos que el usuario escribe en la línea de domicilio
Web.

Un cambio repentino o repetido de la página de inicio o página principal de
navegación de la computadora.

Aparición de barras de herramientas (tool bars) nuevas e inesperadas.
54

Teclas que no funcionan (por ejemplo, cuando se intenta saltar de un
casillero a otro al completar un formulario Web, la tecla “Tab” no funciona).

Aparición de mensajes de error fortuitos.

Funcionamiento lerdo o desesperadamente lento de la computadora al abrir
programas o guardar archivos.

¿Cómo funciona?
De acuerdo a la Federal Trade Comission (Comisión Federal de Comercio), el
Spyware es instalado sin el consentimiento del usuario y hace un monitoreo o
control del uso de la computadora. Este programa puede utilizarse para enviar
anuncios de aparición automática (pop-up), redirigir la computadora hacia sitios
Web indeseados, monitorear la navegación por Internet o registrar lo que se teclea
en la PC, lo cual podría resultar en robo de identidad.

¿Cómo se propaga?
Los programas espía pueden ser instalados en una computadora mediante un
virus o un troyano que se distribuye por correo electrónico, o bien puede estar
oculto en la instalación de un programa aparentemente inocuo. Algunos
programas descargados de sitios no confiables pueden tener instaladores con
spyware y otro tipo de malware (Wikipedia 2009).

¿Cómo se elimina?
Existen programas específicos diseñados para acabar con los programas de
espionaje (Anti - Spyware). No todos tienen la misma efectividad e incluso algunos
detectan Spyware que otros no y viceversa. Sin embargo también hay muchos
antivirus que soportan la eliminación de Spyware. (alegsa 2004).
55
2.3.1.4 Phishing (Pescando).

¿Qué es?
El phishing tal como lo dice Seguridad PC et al. (2008), es una técnica que
consiste en el envío de correos electrónicos que, aparentando provenir de fuentes
fiables (por ejemplo, entidades bancarias), intentan obtener datos confidenciales
del usuario. Para ello suelen incluir un enlace que, al ser pulsado, lleva a páginas
web falsificadas. De esta manera, el usuario, creyendo estar en un sitio de toda
confianza, introduce la información solicitada que, en realidad, va a parar a manos
del estafador.

¿Cómo funciona?
El mecanismo más habitualmente empleado es el envío masivo e
indiscriminadamente de un correo electrónico falso que simule proceder de una
determinada compañía, a cuyos clientes se pretende engañar. Dicho mensaje
contendrá enlaces que apuntan a una o varias páginas web que replican en todo o
en parte el aspecto y la funcionalidad de la empresa, de la que se espera que el
receptor mantenga una relación comercial.
Si el receptor del mensaje de correo efectivamente tiene esa relación con la
empresa y confía en que el mensaje procede realmente de esta fuente, puede
acabar introduciendo información sensible en un formulario falso ubicado en uno
de esos sitios web. El mensaje insta al usuario a pulsar sobre un enlace, que le
llevará a una página en la que deberá introducir sus datos confidenciales, con la
excusa de confirmarlos, reactivar su cuenta, etc.
Dado que el mensaje se distribuye masivamente, alguno de los receptores
será efectivamente cliente de la entidad. En el mensaje se indica que, debido a
algún problema de seguridad es necesario acceder a una dirección web donde
debe reconfirmar sus datos: nombre de usuario, contraseña, número de tarjeta de
crédito, PIN, número de seguridad social, etc.
56
Por supuesto, el enlace no dirige a ninguna página de la compañía, sino más
bien a un sitio web (similar al original) desarrollado a propósito por los estafadores
y que reproduce la imagen corporativa de la entidad financiera en cuestión,
normalmente la dirección web contiene el nombre de la institución legítima por lo
que el cliente no sospecha de la falsedad de la misma.
Cuando el usuario introduce sus datos confidenciales, éstos se almacenan en
una base de datos y lo que ocurre a continuación no necesita de un gran esfuerzo
de imaginación: los estafadores utilizan esta información para conectarse a su
cuenta y disponer libremente de los fondos. (Seguridad PC et al.).

¿Cómo se propaga?
Como se mencionó anteriormente, la forma de propagación es por el envío
masivo de correos electrónicos, (Seguridad PC et al.).

¿Cómo se elimina?
Debido a que el phishing se transmite a través de correos electrónicos, basta
con eliminar el correo que se crea sospechoso, y si es posible, informar al
proveedor de servicios de correo sobre su existencia.
2.3.1.5 Back door (Puerta trasera).

¿Qué es?
Seguridad en la red (2006), define un backdoor como un programa que se
introduce en el equipo de cómputo de manera encubierta aparentando ser
inofensivo.
Machado (2002), argumenta que algunas capacidades de los backdoor son:
a) Extraer y enviar información del sistema al intruso.
b) Descargar o enviar archivos de la computadora.
57
c) Substraer o cambiar los password (contraseña) o archivos de passwords.
d) Anular procesos en ejecución.
e) Mostrar mensajes en la pantalla.
f) Realizar acciones nocivas o dañinas: manipular el mouse, mostrar/ocultar la
Barra de Tareas, abrir y cerrar la bandeja del CD, reiniciar la computadora,
formatear el disco duro, entre otras acciones.
Así mismo (Machado et al.), afirma que, el sustento de esta gravísima amenaza
es la existencia de 65535 Puertos TCP/IP disponibles, a través de los cuales de
encontrarse "abiertos", será posible ingresar un pequeño programa “Servidor”
componente de cualquier sistema Backdoor.

¿Cómo funciona?
Una vez ejecutado, establece una "puerta trasera" a través de la cual es
posible controlar el equipo afectado. Esto permite realizar en éste acciones que
comprometan la confidencialidad del usuario o dificultar su trabajo.

¿Cómo se propaga?
Los mensajes de correo son la forma más fácil de propagación, por medio de
un archivo anexado al mensaje y, si el receptor comete el error de ejecutarlo,
instalará el Servidor permitiendo que el intruso pueda controlar el o los equipos
infectados (Machado et al.).

¿Cómo se elimina?
Symantec propone que, primeramente se debe inhabilitar la opción Restaurar
sistema. Después se procede a actualizar el software antivirus para luego ejecutar
un análisis completo del sistema y eliminar todos los archivos que se detecten
infectados por esta amenaza.
58
2.3.1.6 Bomba lógica.

¿Qué es?
Tal como lo dice el blog sobre seguridad informática Dagda (2007), una bomba
lógica es un programa informático que se instala en un equipo de cómputo y
permanece oculto hasta cumplirse una o más condiciones pre programadas, para
entonces ejecutar una acción maliciosa. Comúnmente esta acción suele ser un
borrado parcial o completo de archivos, y posteriormente
dañar el Sistema
Operativo de tal manera que no sea posible recuperarlos.

¿Cómo funciona?
Se pueden ejecutar mediante una fecha concreta, al pulsar una tecla o una
secuencia de teclas, al ejecutar un archivo determinado, al recibir un correo con un
texto concreto, etc. (Dagda et al.).

¿Cómo se propaga?
Prácticamente el 100% de las bombas lógicas son colocadas por empleados
descontentos que antes de marcharse de la empresa o ser despedidos, realizan
este tipo de sabotaje. (Dagda et al.).
2.3.2 MALWARE que afecta el rendimiento del equipo de cómputo.
En la presente clasificación, se contemplan los tipos de MALWARE que a
diferencia de los anteriores, estos disminuyen la capacidad de procesamiento del
equipo de cómputo, en ocasiones haciéndolo más lento y difícil de operar, o bien,
tratando de esconder procesos en el sistema que realizan acciones dañinas en el
equipo.
59
2.3.2.1 Worm (Gusano).

¿Qué es?
Según Microsoft (2009), un gusano al igual que un virus, está diseñado para
copiarse de un equipo a otro, pero lo hace automáticamente. Cuando se lanzan
nuevos gusanos, se propagan muy rápidamente. Bloquean las redes y
posiblemente provocan esperas largas (a todos los usuarios) para ver las páginas
Web en Internet. Un gusano puede consumir memoria o ancho de banda de red, lo
que puede provocar que un equipo se bloquee.

¿Cómo funciona?
En primer lugar, toma el control de las características del equipo que permiten
transferir archivos o información. Una vez que un gusano está en el sistema,
puede viajar solo.

¿Cómo se propaga?
El gran peligro de los gusanos es su habilidad para replicarse en grandes
números. Por ejemplo, un gusano podría enviar copias de sí mismo a todos los
usuarios de su libreta de direcciones de correo electrónico, lo que provoca un
efecto dominó de intenso tráfico de red que puede hacer más lentas las redes
empresariales e Internet en su totalidad.

¿Cómo se elimina?
Para la eliminación de un gusano, se debe actualizar el antivirus de
preferencia, para luego ejecutar un análisis completo del equipo de cómputo y
eliminar los archivos que resulten infectados.
60
2.3.2.2 Adware (Software de anuncio).

¿Qué es?
Honeycutt et al., expone que, el Adware es el software que muestra publicidad en
el equipo. Se trata de anuncios que aparecen de repente en la pantalla incluso
aunque no se esté navegando por Internet. Algunas empresas ofrecen software
"gratuito" a cambio de publicitarse en la pantalla. Así es como hacen dinero.
Según un reconocido foro sobre informática y soporte técnico “Configurarequipos”
(2009), lo peor de este tipo de malware radica, aparte de lo molesto que es, en
que llega a ralentizar extremadamente los sistemas y en que en muchos casos
están muy protegidos para evitar su desinstalación o la de los programas que lo
contienen, siendo necesario eliminarlos con programas específicos anti Adware.

¿Cómo funciona?
El Adware asocia nombres de dominio inexistentes con contenido de
patrocinadores. Cuando un usuario final inserta una palabra clave en la barra de
navegación o trata de corregir un error al escribir una dirección URL, el Adware lo
direcciona a la página de patrocinio (Symantec 2007).

¿Cómo se propaga?
Borguello (2008), en un foro de la página de ESET, menciona que el medio natural
de difusión del Adware son las descargas de páginas web y el correo electrónico.
Sin embargo, a diferencia del Spyware, requiere el consentimiento del usuario
para instalarse y no envía información a terceros sin previo aviso.

¿Cómo se elimina?
El Adware se puede eliminar instalando y posteriormente ejecutando una
herramienta anti-Adware, algunos antivirus incluyen técnicas para eliminar este
tipo de software.
61
2.3.2.3 Rootkit (Herramienta del root).

¿Qué es?
SeguridadPC (2008), conceptualiza un rootkit como un software que sirve para
esconder otros procesos que están llevando a cabo acciones maliciosas en el
sistema. Los rootkits, al estar diseñados para pasar desapercibidos, no pueden ser
detectados.

¿Cómo funciona?
Si un usuario intenta analizar el sistema para ver qué procesos están
ejecutándose, el rootkit mostrará información falsa, mostrando todos los procesos
excepto él mismo y los que está ocultando, o si se intenta ver un listado de los
archivos de un sistema, el rootkit hará que se muestre esa información pero
ocultando la existencia del propio archivo del rootkit y de los procesos que
esconde. Cuando el antivirus haga una llamada al sistema operativo para
comprobar qué archivos hay, o cuando intente averiguar qué procesos están en
ejecución, el rootkit falseará los datos y el antivirus no podrá recibir la información
correcta para llevar a cabo la desinfección del sistema (SeguridadPC et al.).

¿Cómo se propaga?
Configurar equipos et al. (2008), afirma que no se propaga automáticamente por
sus propios medios, sino que precisa de la intervención del usuario atacante para
su propagación. Los medios empleados son variados, e incluyen, entre otros,
disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos,
descargas de Internet, transferencia de archivos a través de FTP,
redes de
intercambio de archivos entre pares (P2P), etc.

¿Cómo se elimina?
El mejor método para detectar un rootkit según Configurar equipos et al., es
apagar el sistema que se considere infectado y revisar o salvar los datos
62
arrancando desde un medio alternativo, como un CD-ROM de rescate. Un rootkit
inactivo no puede ocultar su presencia. Los programas antivirus mejor preparados
suelen identificar a los rootkits que funcionan mediante llamadas al sistema y
peticiones de bajo nivel, las cuales deben quedar intactas. Si hay alguna diferencia
entre ellas, se puede afirmar la presencia de un rootkit. Los rootkits intentan
protegerse a sí mismos monitorizando los procesos activos y suspendiendo su
actividad hasta que el escaneo ha finalizado, de modo que el rootkit no pueda ser
identificado por un detector.
2.4 Medidas de prevención contra el MALWARE.
De acuerdo a todo lo visto anteriormente, el MALWARE se propaga
rápidamente afectando a un gran número de equipos por todo el mundo, siendo
esta la mayor preocupación de quienes utilizamos la red, a ciencia cierta no se
sabe hasta que punto va a llegar ni cuales serán las
nuevas técnicas que
adoptará para seguir evolucionando, lo que si es seguro es que no se debe bajar
la guardia y se deben tomar las medidas de seguridad pertinentes para evitar ser
víctima de un ataque. A continuación se presentan algunas recomendaciones que
ayudarán a disminuir la probabilidad de contagio por algún tipo de MALWARE.
Sophos (2009), recomienda instalar un programa antivirus en todos los equipos de
cómputo y servidores, y se debe mantenerse actualizado. Dado que los virus
nuevos pueden propagarse sumamente rápido, es importante disponer de una
infraestructura de actualización que pueda actualizar todos los equipos con
frecuencia y a corto plazo.
Trend Micro (2009), una de las empresas más importante a nivel mundial en
materia de
seguridad informática, recomienda desconfiar de los mensajes de
correo electrónico inesperados de aspecto extraño, independientemente del
remitente. No abrir nunca archivos adjuntos ni hacer clic en enlaces contenidos en
estos mensajes de correo electrónico. Así como también habilitar la función
63
"Actualización automática” en el sistema operativo Windows y aplicar las nuevas
actualizaciones en cuanto estén disponibles.
Otro consejo que corre a cargo de ESET (2009), es asegurarse de que se tienen
las actualizaciones (o parches) que solucionan vulnerabilidades (o agujeros) en los
sistemas operativos y sus aplicaciones. Cuando los proveedores de software
descubren aspectos vulnerables en sus aplicaciones, ofrecen las soluciones a
esos problemas en forma de parches, las cuales deberán ser instaladas a la
brevedad para solucionar los problemas hallados.
Mieres (2009), analista de seguridad de ESET Latinoamérica en un documento de
su autoría titulado “Herramientas para evitar ataques Informáticos”, argumenta
que, es importante adoptar como buena práctica la realización de copias de
seguridad de la información a fuentes externas como cintas, CD, DVD, discos
rígidos, etc. De esta manera, ante una eventual anomalía en el sistema operativo,
ya sea por daño de los archivos nativos del sistema o por la acción de códigos
maliciosos, es mucho más sencillo y rápido volver a recuperar la información.
Una de las características del malware actual afirma (Mieres et al.), es que,
cuando un MALWARE ha infectado un sistema, puede establecer una conexión a
Internet y actualizar su código dañino o descargar otros códigos maliciosos en el
equipo víctima. También es capaz de aprovechar las vulnerabilidades de los
navegadores o utilizar metodologías y técnicas de ataque más avanzadas que
permiten la infección de un sistema con el sólo acceso a una página web maliciosa
o previamente manipulada para inyectar instrucciones dañinas entre el código
original del sitio web.
En consecuencia, es importante complementar la solución antivirus con un
Firewall personal que permita bloquear este tipo de acciones y otros ataques
informáticos.
64
Un Firewall según Picouto (2004), representa una manera de controlar el tráfico
que viaja por una red filtrando lo que no se desea que ingrese en nuestra red local.
Algo que se debe tener siempre en cuenta es el evitar descargar contenidos
de páginas desconocidas o de dudosa reputación, ya que este método es muy
común para propagar algún tipo de MALWARE.
2.5 Aportación personal.
De acuerdo a lo que vimos a lo largo del capítulo, el MALWARE es una
amenaza potencial para la información, ya que en muchos casos actúa de forma
silenciosa de manera que cuando nos damos cuenta, ya ha causado algún daño.
El MALWARE ha venido perfeccionándose y multiplicándose a una
velocidad cada vez mayor, y se ha convertido en un arma para cometer delitos y
fraudes con el fin de obtener beneficios.
Si bien es cierto la tecnología para tratar de contra arrestarlo también ha
venido avanzado, aunque se mantiene un paso atrás de este tipo de software. Un
claro ejemplo es que, mientras los antivirus buscan una solución para controlar
una amenaza que ha surgido, esta ya se ha propagado y causado una serie de
daños por todas partes.
Sin embargo las mismas compañías que fabrican software antivirus,
proporcionan al público un conjunto de recomendaciones y medidas de seguridad
preventivas para evitar que estas nuevas plagas lleguen a nuestros equipos.
Es importante mantenerse bien informado acerca de las nuevas amenazas
y vulnerabilidades de nuestro sistema operativo, mismas que son aprovechadas
para causar el mayor daño posible.
Por ultimo, hay que tener bien presente que en gran medida depende de
nosotros el éxito del malware, debido a que si no concientizamos el peligro que
65
representa y no somos precavidos a la hora de utilizar una computadora, de nada
serviría contar con la mejor tecnología anti malware si primero no aprendemos el
uso de los recursos informáticos.
66
CAPÍTULO III: ESTUDIO DE CASOS
Introducción.
En los inicios del MALWARE, éste solía diseñarse con el fin de demostrar el
conocimiento que una persona poseía en cuanto a programación se refería, en la
actualidad esto ha cambiado significativamente, ya que ahora tiende a utilizarse
como una herramienta para obtener algún beneficio.
La mayoría busca beneficiarse económicamente, sin embargo muchos otros
lo hacen con el fin de afectar a otra persona robando o dañando la información
que manejan diariamente. Son cada vez más las empresas u organizaciones que
son victimas de este tipo de software, generando como consecuencia grandes
pérdidas económicas.
En los apartados siguientes, se presentan tres casos reales de
organizaciones, en los que el MALWARE ha afectado de alguna manera su
funcionamiento, en primer lugar se muestra el caso de una organización
americana de viviendas (“Fannie Mae”), que se vio afectada por un ex empleado;
enseguida el caso de una Universidad de España, ( “Universidad de Granada”),
que al parecer fue victima de uno de sus alumnos; y por ultimo un caso local, de la
ciudad de Xalapa, Veracruz, en el que un conocido gusano afectó las labores de
una institución de gobierno, (Poder Judicial del Estado de Veracruz).
68
3.1 Caso “Fannie Mae”
3.1.1 Antecedentes de la Organización.
De acuerdo al “Glosario Español- Inglés de términos de la industria”,
publicado por la misma organización (2007),
Fannie Mae es una compañía
propiedad de accionistas cuya misión pública es expandir el mercado de viviendas
asequibles y atraer el capital internacional a las comunidades locales. Al igual que
la mayoría de los grandes bancos comerciales, Fannie Mae se asegura de que la
banca hipotecaria y otros prestadores tengan suficientes fondos para prestarles a
los compradores de vivienda en todas las comunidades, en cualquier momento,
bajo cualquier condición financiera y con tasas de interés asequibles. Su trabajo
es ayudar a todos aquellos que les proveen viviendas a todas las comunidades,
con el fin de servir mejor al mercado de viviendas en los Estados Unidos.
3.1.2 Planteamiento del problema.
Según lo publicado por un blog dedicado a la seguridad informática “Segu-Info”
(2009), un ex ingeniero de la empresa Fannie Mae, despedido en Octubre del
2008, dejó plantada una bomba lógica en el servidor central el día de su despido, y
la programó para mantenerse “en espera” durante tres meses.
Según informa la empresa, el atacante de nombre Rajendrasinh Babubahai
Makwana trabajó durante tres años en el área de Sistemas, específicamente en el
Data Center en Urbana, Maryland. Además, tenía acceso administrativo a todos
los servidores de la organización.
Un agente del FBI indicó que el ingeniero de 35 años dejó un script dentro
de un programa legítimo (separando con una serie de saltos de línea para
ocultarlo) luego de haberse enterado de su despido. Aparentemente “razones
burocráticas” hicieron que durante casi 24 horas los permisos de este ingeniero se
69
mantuvieran intactos. El mismo agente informó que el script deshabilitaba el login
a los servidores en producción para toda la empresa, modificaba el password de
root (administrador del sistema), reescribía información (incluidos los Backups) y
generaba una denegación de servicio en un software de alta criticidad. Además,
se replicaba automáticamente en el resto de los servidores.
Makwana fue detenido por la justicia aunque una fianza de U$D 100.000 lo dejó
en libertad por un tiempo. Ahora, se enfrenta a un juicio que puede dejarlo hasta
10 años en prisión.
3.1.3 Impacto del MALWARE.
La bomba lógica atacó los servidores de la empresa, causando millones de
dólares en daños y causando que la empresa cerrara sus puertas por al menos
una semana.
El ataque fue detectado por otro ingeniero de la empresa cinco días
después de haber comenzado su propagación y llegó a afectar solo a decenas de
servidores. Si hubiera afectado a los 4000 servidores, las pérdidas hubieran sido
mayores, el tiempo de recuperación también, y probablemente la empresa no se
hubiera podido recuperar (Segu-Info).
3.1.4 Medidas que se tomaron para la reparación de los daños.
En la fuente donde se consultó la información del caso, no se especifican
las acciones que se tomaron para erradicar el software malo y reparar los daños
causados, sin embargo algo que se puede recomendar para haberse hecho en
este caso es que una vez encontrado el programa en el que se encontraba el
script, instalarlo de nuevo y acudir a un respaldo de la información para ser
ingresada nuevamente, con el fin de evitar revisar línea por línea el código del
70
programa y así ahorrar tiempo y esfuerzo por parte de la empresa, por otro lado
con respecto al password de root para acceder a los servidores, se debía
establecer uno nuevo. Por último, ejecutar un análisis completo de la información
con un software antivirus, con el fin de asegurarse que no quede ninguna otra
amenaza que pueda dañar la información.
3.1.5 Medidas tomadas después del ataque.
También esta información no fue especificada en la fuente consultada, por
lo que de la misma manera que en el párrafo anterior se procederá a hacer
algunas recomendaciones en caso de que ocurra lo mismo en otra organización,
en primer lugar cada vez que un trabajador va a ser removido de su puesto, se
debe notificar con anticipación al administrador de cuentas de usuarios para
deshabilitar la cuenta de usuario que este tiene en el sistema y así evitar que
pueda accesar a él, en segundo lugar, en caso de que el trabajador removido sea
el mismo administrador de las cuentas, se deben deshabilitar sus privilegios sobre
el sistema antes de que se le notifique su despido o cambio de puesto, con el fin
de evitar posibles represalias y posteriores modificaciones al sistema. Por último,
cada vez que el administrador de cuentas sea removido, como medida de
seguridad, se recomienda restablecer los passwords de todo el personal, ya que él
conoce dicha información y puede usarla para tener acceso al sistema haciéndose
pasar por otra persona y llevar a cabo un ataque.
3.2 Caso “Universidad de Granada”.
3.2.1 Antecedentes de la Organización.
De acuerdo a lo consultado en la página web de la propia universidad, la
Universidad de Granada fue fundada en 1531 con el apoyo de Carlos I, el
entonces Rey de España. La Universidad de Granada supuso la continuación de
los estudios superiores de la Universidad “La Madraza”. Desde entonces, la
71
Universidad ha brindado de un espíritu innovador a la ciudad, manteniendo una
tradición cultural que le ha permitido perdurar y convertirse en referencia cultural,
histórica, investigadora y docente de la ciudad.
La comunidad universitaria está compuesta por más de 80.000 personas
entre profesores, personal administrativo y alumnos. Con más de 60.000 alumnos,
el ambiente universitario se respira en muchos barrios de la ciudad. Además de la
ciudad de Granada, la Universidad también cuenta con un campus en la ciudad de
Ceuta y otro en la ciudad de Melilla.
3.2.2 Planteamiento del problema.
Según lo publicó Cabrero (2007), en un reconocido diario de la ciudad de
Granada en España, en Octubre del 2007, aparentemente un hacker (experto en
informática) ingresó a la red de la Universidad provocando pérdida de datos
personales de académicos y eliminación de una parte de la página oficial de la
Escuela Técnica Superior de Ingeniería e Informática y Telecomunicaciones
(ETSIIT).
José Luis Bernier, jefe del equipo web encargado de la restauración de los
daños, explica que al parecer, el pirata usó un programa llamado “Esnifer” -que
cualquiera puede descargar de la red- y lo ejecutó en el laboratorio de prácticas de
la escuela. (Este programa copia todo lo que circula por la red). Una vez en
marcha es muy fácil obtener las contraseñas que tanto alumnos como profesores
usan a diario en nuestra red, explica José Luis. Esas contraseñas son las mismas
para acceder al correo electrónico y a los foros de discusión. Así, el pasado lunes
29 de octubre, el hacker entró en el foro haciéndose pasar por otra persona y
aprovechó para decir alguna que otra barbaridad. “Pensamos que algún alumno
se habría dejado el equipo de cómputo encendido y que alguien había
aprovechado para gastarle una broma. Pronto descubriríamos que no era así”,
afirmó Bernier.
72
Según el director del equipo web, las investigaciones están llegando a buen
puerto, ya que afirma aún no tener pruebas concluyentes, pero todo apunta a que
ha sido un alumno de la propia Universidad, debido a que existen datos que
quedan guardados en el sistema, tales como: nombres de usuario, hora de inicio y
fin de sesión, etc.
3.2.3 Impacto del MALWARE.
Cabrero afirma que, al día siguiente el equipo web se encontró con una
ingrata sorpresa, ya que habían modificado la página web de la ETSIIT. Al parecer
el intruso había conseguido la contraseña de acceso de un alumno que trabaja en
la web de la escuela, por lo que pudo tener acceso a la administración de la
misma. Cambió la página de inicio y dejó mensajes en la portada, tales como:
“Esta página se va a dar de baja y va a dejar de funcionar un año”; textos que
fueron rápidamente retirados por el equipo de atención web.
Pero eso no fue todo, también entró a los equipos de cómputo de dos
maestros de la Universidad, al parecer consiguió sus claves y robó calificaciones y
las soluciones a las prácticas que usan durante todo el curso, hecho que provocó
que los profesores hayan perdido un año de trabajo y se hayan visto obligados a
invalidar los trabajos entregados hasta ese momento.
Sin duda “Esnifer” condujo a una grave repercusión, pues ha quedado en
entredicho la fiabilidad de todo el sistema informático de la Universidad de
Granada. Además de que algunos alumnos claman ante un hecho que no hace
más que evidenciar que el sistema operativo del servidor está anticuado y por lo
que pudieron saltar la barrera de seguridad con suma facilidad.
3.2.4 Medidas que se tomaron para la reparación de los daños.
73
En cuanto a la pagina web, Cabrero indica que, según el relato de Bernier,
se contaba con una copia de seguridad reciente con la que pudieron salvar todos
los datos y restaurar la web en aproximadamente 30 minutos.
3.2.5 Medidas tomadas después del ataque.
En la fuente de información citada no se cuenta con este dato, sin embargo
algo que se puede recomendar hacer en un caso similar es, generar respaldos
frecuentes de la información así como de las páginas web, crear una cuenta de
acceso limitada a los equipos de cómputo de la universidad para cada alumno,
para que cuando utilice alguno, sus acciones queden registradas en la bitácora y
poder identificar alguna anomalía que se lleve a cabo.
3.3 Caso “Poder Judicial del estado de Veracruz”.
3.3.1 Antecedentes de la organización.
De acuerdo a la página oficial de la institución, el Poder Judicial, es el
garante de la constitucionalidad en el Estado, y tiene a su cargo, como función
primigenia, la tarea de administrar justicia en el territorio veracruzano.
Una de las atribuciones del Poder Judicial, es la de dictar las medidas
procedentes para que la administración de justicia sea pronta, expedita y
completa; la percepción que la sociedad tenga de ello, depende de la utilización
adecuada y eficiente de los recursos humanos y tecnológicos disponibles; en ese
marco, se presenta a consideración de la ciudadanía veracruzana, la nueva
página del Poder Judicial del Estado, que habrá de mostrar, de manera
74
transparente,
la
forma
en
que
operan
sus
órganos
jurisdiccionales
y
administrativos.
La sede oficial del Poder Judicial del Estado es la ciudad de Xalapa,
Enríquez. Desde agosto de 1999, el Palacio de Justicia alberga en sus
instalaciones al Tribunal Superior de Justicia, al Tribunal de lo Contencioso
Administrativo, al Tribunal de Conciliación y Arbitraje, y al Consejo de la
Judicatura.
3.3.2 Antecedentes del MALWARE.
Se trata de un gusano llamado “Conficker”, el cual instalándose de forma
silenciosa ha logrado infectar una gran cantidad de equipos en el mundo
explotando una vulnerabilidad de Windows denominada MS08-067.
Según Symantec (2009) el gusano Conficker principalmente se propaga en las
redes. Si encuentra un equipo vulnerable, desactiva el servicio de copias de
seguridad automáticas, elimina los puntos de restauración anteriores, desactiva
algunos servicios de seguridad, bloquea el acceso a una cantidad de sitios web de
seguridad y abre equipos infectados para recibir otros programas del creador del
programa malicioso. El gusano luego intenta propagarse hacia otros equipos en la
misma red copiándose a sí mismo en carpetas compartidas e infectando
dispositivos USB, como tarjetas de memoria.
Se cree que el gusano será utilizado para crear una botnet (red controlada
remotamente) que, a su vez, será alquilada por delincuentes que desean enviar
spam (correo basura), robar datos identificativos y dirigir a los usuarios a sitios
web de phishing (sitios web falsos) y estafas online.
3.3.3 Planteamiento del problema.
75
Según la información aportada por Jesús Alemán (2009), prestador de
servicio social en la institución, afirma que debido a que el edificio del Poder
Judicial mantiene una red interna con la Secretaría de Finanzas y Planeación
(SEFIPLAN), el personal comparte información que se transfieren a través de
correo electrónico y en muchos casos a través de dispositivos de almacenamiento
extraíbles como memorias USB. Lo cual dio pie a que a principios del mes de
Enero del año en curso, se licitara una propagación masiva del “Conficker” por
literalmente todo el edificio del Poder Judicial, misma que pudo ser totalmente
controlada hasta finales del mes de Abril. Se habla de aproximadamente 600
equipos de cómputo afectados, cabe resaltar que hubo algunas excepciones
debido a que los equipos no se encontraban conectados a la red.
El personal de la Subdirección de Tecnologías de Información perteneciente
a la institución y a la vez encargada de solucionar el problema, asegura que el
origen de la infección fue en las oficinas de SEFIPLAN.
3.3.4 Impacto del MALWARE.
Alemán
argumenta que, afortunadamente no hubo daños tan graves que
desembocaran en pérdidas monetarias, sin embargo si hubo pérdida de archivos
personales en algunos equipos de cómputo, además de que se perdió mucho
tiempo en analizar cada máquina del edificio, lo cual causó un retraso significativo
en las actividades del personal que ahí labora.
3.3.5 Medidas que se tomaron para la reparación de los daños.
El personal de la Subdirección del Tecnologías, una vez enterados del
suceso, procedió a instalar software antivirus en todas las computadoras del
edificio, según miembros del equipo, hubo la necesidad de utilizar dos antivirus
para eliminar por completo el gusano, además de algunas herramientas de
76
detección de malware de Symantec, también se instalaron parches de seguridad
de Windows que solucionaron la vulnerabilidad que se mencionó en los
antecedentes del MALWARE de este caso, y en algunos casos como medida
drástica de solución hubo que formatear el equipo de cómputo.
De igual manera también se analizaron y desinfectaron las memorias USB
de todo el personal del edificio del Poder Judicial (Alemán).
3.3.6 Medidas tomadas después del ataque.
Se mantiene actualizado el software antivirus, así como también se
actualiza el software de Windows. Se le proporcionó capacitación a todo el
personal que labora en la institución para el análisis constante de sus memorias
USB y de su equipo de cómputo. Sin embargo, como medida de seguridad se hizo
hincapié en evitar lo más posible la transferencia de archivos a través de
memorias USB, ya que se cree que esa fue la causa de la infección. Así como
también, se le dijo al personal tomar las precauciones necesarias al recibir correos
electrónicos de destinatarios desconocidos con datos adjuntos (Alemán).
3.4 Aportación personal.
Es una realidad que hoy en día, la producción de MALWARE sigue en
aumento y cada vez con técnicas más sofisticadas, ha pasado a ser un dolor de
cabeza más para las organizaciones que han sido afectadas, es sin duda un tema
que ya no se puede pasar por alto a la hora de implementar la seguridad en la
organización.
Como vimos a lo largo de este capitulo, una prestigiada universidad de
España, una entidad de Gobierno del Estado de Veracruz, y una institución muy
importante en E.U. han sido victimas de algún tipo de MALWARE, perjudicándolos
77
de alguna manera, lo cual nos indica que ninguna organización por muy grande y
reconocida que sea, esta exenta de sufrir un ataque, debido a que el MALWARE
circula diariamente por la red y usuarios inexpertos hacen que este software logre
su objetivo, que no es otro que, causar daño u obtener algún beneficio.
Un punto muy importante que deben tomar en cuenta las organizaciones,
es la capacitación a su personal sobre las medidas de seguridad básicas cuando
se esta frente a una computadora, no es aceptable que empresas pierdan
importantes cantidades de dinero e información por un descuido de su personal al
no estar bien enterado sobre los peligros a los que se esta expuesto.
El peligro es tal que, organizaciones han corrido el riesgo de desaparecer a
causa del software malo, tal como vimos en el caso de “Fannie Mae”, que tuvo un
paro de actividades de una semana debido a la bomba lógica que dejó uno de sus
ex empleados, si el software no hubiera sido detectado a tiempo, probablemente
las consecuencias hubiesen sido mayores al grado de cerrar la organización.
Aún sabiendo esto, empresas y organizaciones no invierten lo suficiente en
cuanto a seguridad informática se trata, por que creen que nunca les va a pasar y
que con las medidas de seguridad que tienen es suficiente para estar protegidos.
No basta con tener la mejor tecnología si esta no se aprovecha al máximo, no
basta con tener el mejor antivirus si no lo actualizamos frecuentemente y si no lo
ejecutamos periódicamente a nuestros archivos.
Es de vital importancia que el personal que labora en las organizaciones se
mantenga bien informado acerca de las nuevas amenazas para saber como
protegerse de ellas y en caso de ser víctima, saber que medidas tomar para evitar
daños irreparables a la información que puedan tener consecuencias desastrosas.
78
CONCLUSIONES
De acuerdo a lo planteado al inicio de este trabajo, su objetivo principal es
proporcionar a las organizaciones el conocimiento necesario para comprender la
importancia de implantar y mantener las medidas de seguridad necesarias para
evitar perjuicios a su información y que por lo tanto impacten de manera negativa
su imagen y competitividad.
Si bien es cierto, el activo más importante que cualquier empresa u
organización puede tener, es su información. De ahí la razón de existencia de la
Seguridad Informática, que tal como se explicó en el primer capítulo, su objetivo es
mantener la integridad de la información lejos de los peligros que la amenazan,
tales como el robo, daño o eliminación.
Es de suma importancia mantener informado al personal de las
organizaciones sobre los peligros que existen hoy en día en el mundo de la
informática, como lo es el MALWARE. La peligrosidad de este tipo de software
radica en su capacidad de pasar desapercibido ante el usuario y el software
antivirus, y en la velocidad con que se propaga, la cual va cada vez en aumento.
Estas características aunadas a la poca información con la que cuenta el personal
de muchas organizaciones acerca del MALWARE, puede llevar a una situación
verdaderamente desastrosa.
Como pudimos darnos cuenta si no se toman las medidas de prevención
necesarias, el MALWARE puede llegar a ser muy peligroso al grado de poner en
riesgo la existencia de la organización.
Ahora bien, tomando en cuenta esto y las malas experiencias pasadas por
otras organizaciones, como las que se plantearon en el capítulo tres, se espera
que, organizaciones ya sean privadas o públicas, tomen conciencia de lo que está
pasando actualmente e inviertan lo suficiente para fortalecer su seguridad.
Algunas de las medidas de prevención que se deben ser tomadas en
cuenta para proteger la información son: principalmente el uso de software
80
antivirus, el cual debe actualizarse frecuentemente, de ser posible diariamente, ya
que cada día surgen nuevas amenazas y evoluciones de los virus ya existentes.
Evitar la transferencia de archivos por dispositivos móviles como lo son las
memorias USB, y en caso de verse obligado a utilizarlo, someterlo a un análisis
con el antivirus, para asegurarse de que está libre de software malintencionado.
Evitar abrir correos electrónicos de los cuales el remitente sea desconocido,
y en caso de abrirlo por accidente y el contenido trae consigo datos adjuntos, se
recomienda no descargar dichos archivos, así como también no accesar a ligas
que nos lleven a otros sitios que parecen ser confiables.
Es recomendable no descargar programas de sitios no oficiales, ya que
esta es una de las maneras más comunes de propagar algún tipo de MALWARE.
Algo muy importante a la hora de navegar por internet es, no revelar datos
personales importantes, tales como, números de cuentas bancarias, contraseñas,
etc., ya que son usados para cometer fraudes y puede traer consecuencias muy
graves, por ejemplo, dejar nuestra cuenta bancaria en cero.
Es importante también, realizar un respaldo periódico de la información que
se maneja diariamente, de los sistemas y páginas web que se utilizan en la
organización, ya que en caso de que ocurra un ataque por MALWARE y este borra
algunos o todos los datos, la información puede ser restaurada sin ningún
problema.
Sin embargo, lo primordial es capacitar al personal en el uso correcto de los
equipos de cómputo, con el fin de disminuir en lo posible la probabilidad de sufrir
un ataque por software malo, y en caso de que suceda, saber qué hacer para que
el daño sea lo menor posible.
81
FUENTES DE INFORMACIÓN
Alcalde. (2008). Revista Cientifica Compendium del Decanato de Administración y
Contaduría de la Universidad Centroccidental Lisandro Alvarado (UCLA) .
Arbeláez, R. (Sep de 2008). Del centro de cómputo a la junta directiva.
Recuperado el 5 de Mayo de 2009, de
http://www.infosecurityonline.org/newsletter/septiembre2008/palabras.html
Asenio, G. (2006). Seguridad en Internet: Una guía práctica y eficaz para proteger
su PC con software gratuito. España: Illustrated.
Berti, J. (2003). Social Engineering the forgotten risk. Canadian HR Reporter .
Borguello, C. (s.f.). ESET. Recuperado el 25 de Mayo de 2009, de
www.esetla.com/press/informe/cronologia_virus_informaticos.pdf
Borguello, C. (22 de 02 de 2008). Foro de ESET Latinoamérica. Recuperado el 27
de Junio de 2009, de http://blogs.esetla.com/laboratorio/2008/02/22/adwarefabrica-pop-pups
Configurarequipos: Foro de informática y soporte técnico. (s.f.). Recuperado el 1
de Junio de 2009, de http://www.configurarequipos.com/doc438.html
Cooke, D. L. (2003). Learning from incidents. 21st International Conference of the
System Dynamics Society .
82
Dagda Blogia: Blog sobre seguridad informática. (30 de 09 de 2007). Recuperado
el 2 de Junio de 2009, de http://dagda37.blogia.com/2007/093001-bombalogica.php
Definicion.de: Portal de definiciones. (s.f.). Recuperado el 22 de Marzo de 2009,
de http://definicion.de/seguridad-informatica
Del Peso, E. N. (2002). La seguridad de los datos de carácter personal. España:
Díaz de Santos.
Enciclopedia Virus. (2002). Recuperado el 25 de Febrero de 2009, de
http://www.enciclopediavirus.com/enciclopedia/
ESET. (2009). Consejos de seguridad. Recuperado el 2 de Julio de 2009, de
http://www.eset-la.com/threat-center/security_help.php.
Federal Trade Comission, FTC (Comisión Federal de Comercio). (s.f.).
Recuperado el 29 de Mayo de 2009, de
http://www.ftc.gov./bcp/edu/pubs/consumer/alerts/salt142.shtm
Ferro, M. V. (2007). Seguridad en sistemas de información. Recuperado el 3 de
Junio de 2009, de http://ccia.ei.uvigo.es/docencia/SSI/Tema1.pdf
García V., J. (2006). Modelación de amenazas internas a la seguridad de la
información utilizando dinámica de sistemas. Tesis para obtener el grado
académico de maestro en Administración de las Telecomunicaciones. Monterrey,
N.L.
Grupo de usuarios GNU/Linux de la Laguna (GULAG). (3 de 02 de 2009).
Recuperado el 4 de Mayo de 2009, de http://www.gulag.org.mx/eventos/2009-0203-uaneseguridad_informatica/seguridad_informatica.pdf.
83
Honeycutt, J. (2004). Proteja su equipo de Spyware y Adware. Recuperado el 28
de Junio de 2009, de
http://www.microsoft.com/SPAIN/windowsxp/using/security/expert/honeycutt_spyw
are.mspx.
Instituto Nacional de Estadística y Geografía (INEGI). (s.f.). Recuperado el 12 de
Febrero de 2009, de
http://www.inegi.gob.mx/inegi/contenidos/espanol/ciberhabitat/museo/cerquita/rede
s/seguridad/intro.htm
Kioskea. (2008). Objetivos de la seguridad informática. Recuperado el 7 de Mayo
de 2009, de http://es.kioskea.net/contents/secu/secuintro.php3
Machado, J. (2002). Per Antivirus: Tienda de antivirus online. Recuperado el 2 de
Junio de 2009, de http://www.perantivirus.com/sosvirus/general/backdoor.htm
Mairoll, C. (s.f.). Emsi Software. Recuperado el 27 de Junio de 2009, de
http://www.emsisoft.es/es/software/antimalware
Microsoft Corp. (2006). ¿Qué son los virus, gusanos y troyanos? Recuperado el 13
de Febrero de 2009, de
http://www.microsoft.com/latam/athome/security/viruses/virus101.mspx
Microsoft. (2009). Microsoft Corp. Recuperado el 13 de Febrero de 2009, de
http://www.microsoft.com/latam/athome/security/viruses/virus101.mspx#EPC
Microsoft. (2009). Microsoft Corp. Latinoamérica. Recuperado el 28 de Febrero de
2009, de http://windowshelp.microsoft.com/Windows/es-XL/help/5c08774a-6602490d-ba33-faed5c8939913082.mspx
84
Mieres, J. (2009). Herramientas para evitar ataques informáticos. ESET.
Recuperado el 2 de Julio de 2009, de http://www.eset.com.pa/threatcenter/articles/herramientas_evitar_ataques_informaticos.pdf
PerAntivirus. (s.f.). Virus polimórficos o mutantes, especies virales que mutan su
estructura. Recuperado el 2 de Junio de 2009, de
http://www.perantivirus.com/sosvirus/general/polimorf.htm
Picouto, F. (2004). Hacking práctico. España: Anaya Multimedia.
Pino, I. C. (2005). Las nuevas tendencia de seguridad informática implementadas
en las áreas de cómputo. Monografía para obtener el titulo de Licenciado en
Informática, Facultad de Economía y Estadística de la Universidad Veracruzana .
Xalapa, Ver.
Portillo, J. (2003). Seguridad Informática. Recuperado el 16 de Mayo de 2009, de
www.ceditec.etsit.upm.es/index.../21-Seguridad-Informatica.html
Rodríguez, L. A. (1995). Seguridad de la de información en sistemas de cómputo.
México: Ventura.
Schultz, E. (2002). A framework for understanding and predicting insider Attacks.
Computers & Security .
SEGU-INFO. (s.f.). Seguridad física- Utilización de guardias. Recuperado el 26 de
Abril de 2009, de http://www.segu-info.com.ar/fisica/guardias.htm
Seguridad en la red: Asociación de internautas contra el fraude online. (s.f.).
Recuperado el 2 de Junio de 2009, de
http://www.seguridadenlared.org/es/index10esp.html
85
SeguridadPC. (s.f.). Seguridad informática, pretección del ordenador. Recuperado
el 2 de Junio de 2009, de http://www.seguridadpc.net/rootkits.htm
Serrano, L. F. (2005). Departamento de cómputo de UNAM CERT. Recuperado el
26 de Junio de 2009, de http://www.seguridad.unam.mx/descarga.dsc?arch=1007
Sophos. (2009). Sencillos pasos protegerse contra virus, programas espía y
adware. Recuperado el 2 de Julio de 2009, de http://esp.sophos.com/security/bestpractice/viruses.html
Symantec. (2007). Adware.NDotNet. Recuperado el 27 de Junio de 2009, de
http://www.symantec.com/es/mx/security_response/writeup.jsp?docid=2004020511-0558-99
TechNet, M. (2006). Estrategias para la administración de riesgos de malware.
Recuperado el 1 de Junio de 2009, de http://technet.microsoft.com/eses/library/cc875818.aspx
TrendMicro. (2009). Métodos de prevención- Mejores prácticas. Recuperado el 2
de Julio de 2009, de http://es.trendmicro.com/es/threats/enterprise/webthreats/prevention/
Valdanzo, H. S. (2008). Introdución al Malware. Recuperado el 3 de Junio de
2009, de http://www.scribd.com/doc/2565885/El-Malware
86
GLOSARIO
1. Body of Knowledge: (Cuerpo de conocimiento), es un término que se utiliza
para representar el conjunto de conceptos, términos y las actividades que
componen un dominio profesional, tal como se define por la asociación
profesional. El cuerpo de conocimiento en sí mismo es más que simplemente una
colección de términos, un profesional de lista de lectura, una biblioteca, un sitio
web o una colección de sitios web, una descripción de funciones profesionales, o
incluso una recogida de información.
2. BS7799-2: es el estándar de seguridad de información de facto, creada por
British Standards Institution (BSI) como un conjunto de controles de seguridad y
de metodologías para su correcta aplicación. Esta norma es el resultado de la alta
demanda de la industria, los gobiernos y las empresas por obtener un marco
común que permita a las empresas desarrollar, implementar y medir eficazmente
las prácticas de gestión de seguridad de la información.
3. BSI: (British Standards Institution). Es una multinacional cuyo origen se basa
en la creación de normas para la estandarización de procesos. Entre sus
actividades principales se incluyen la certificación, auditoría y formación en las
normas.
4.
ISC2:
(Information
Systems
Security
Certification
Consortium,
Inc.).
Organización sin ánimo de lucro que emite diversas acreditaciones en el ámbito de
la seguridad de la información.
5. IEEE: (Institute of Electrical and Electronic Engeneers). El Instituto de
ingenieros eléctricos y electrónicos es la mayor asociación internacional sin fines
de lucro formada por profesionales de las nuevas tecnologías, como ingenieros
eléctricos, ingenieros en electrónica, científicos de la computación, ingenieros en
informática e ingenieros en telecomunicación, responsable de la creación de una
gran cantidad de estándares en electrónica e informática.
6. ISACA: (Information Systems Audit and Control Association). Es la asociación
de control y auditoría de sistemas de información, es un organismo sin fines de
88
lucro que agrupa a profesionales alrededor del mundo que son afines a la
auditoría informática, seguridad y control de las tecnologías de información en
general.
7. ISO 27001: es el estándar para la seguridad de la información. Especifica los
requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema
de Gestión de la Seguridad de la Información.
8. ISO: (International Organization for Standardization). La Organización
Internacional para la Estandarización es el organismo encargado de promover el
desarrollo de normas internacionales de fabricación, comercio y comunicación
para todas las ramas industriales a excepción de la eléctrica y la electrónica. Su
función principal es la de buscar la estandarización de normas de productos y
seguridad para las empresas u organizaciones a nivel internacional.
9. ITIL: (Information Technology Infrastructure Library). La Biblioteca de
Infraestructura de Tecnologías de Información), es un marco de trabajo de las
buenas prácticas destinadas a facilitar la entrega de servicios de tecnologías de la
información (TI). ITIL resume un extenso conjunto de procedimientos de gestión
ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las
operaciones de TI. Estos procedimientos son independientes del proveedor y han
sido desarrollados para servir como guía que abarque toda infraestructura,
desarrollo y operaciones de TI.
10. ITU: (International Telecommunication Union). La Unión Internacional de
Telecomunicaciones es el principal organismo de las Naciones Unidas para la
tecnología de información y comunicación cuestiones, y centro de coordinación
mundial para los gobiernos y el sector privado en el desarrollo de las redes y los
servicios.
11. Modelo de Biba: Creado por K. J. Biba en 1977, el modelo de integridad
supone un enrejado de niveles de integridad (análogo a los niveles de seguridad)
con una relación ordenada menor o igual.
89
12. Modelo de Chinese Wall: es una política de seguridad elaborada por Brewer
y Nash en 1989, y está orientada al sector comercial.
13. Modelo de Clark- Wilson: El modelo de integridad de David Clark y David
Wilson desarrollado entre 1987 y 1989 comenzó una revolución en la investigación
de la seguridad informática. Clark y Wilson demostraron que para la mayoría del
cómputo relacionado con las operaciones de negocios y el control de los recursos,
la integridad es más importante que la confidencialidad.
14. Modelo de Harrison-Ruzzo-Ullman: Michael Harrison, Walter Ruzzo y Jeffrey
Ullman, propusieron un modelo en 1976 que es popularmente referenciado como
el modelo HRU. Este modelo sólo se preocupa por la protección, esto es, “quien
tiene que acceso a que objetos”.
15. Modelo de Lattice: Este método utiliza una jerarquía de niveles de seguridad
(llamados compartimentos) asociada a una clasificación de seguridad para los
objetos. Para acceder a un objeto, una entidad debe pertenecer a todas los
compartimentos a los que pertenece ese objeto, y debe tener asignado un nivel de
seguridad igual o superior al del objeto.
16. NIST: (National Institute of Standards and Technology). El Instituto Nacional de
Normas y Tecnología es una agencia de la Administración de Tecnología del
Departamento de Comercio de los Estados Unidos. La misión de este instituto es
promover la innovación y la competencia industrial en Estados Unidos mediante
avances en metrología, normas y tecnología de forma que mejoren la estabilidad
económica y la calidad de vida.
17. SLAs: (Service Level Agreements). Un acuerdo de nivel de servicio, es un
contrato escrito entre un proveedor de servicio y su cliente con objeto de fijar el
nivel acordado para la calidad de dicho servicio.
18. TICs: (Tecnologías de Información y Comunicación). Las tecnologías de la
información y la comunicación son una parte de las tecnologías emergentes que
habitualmente suelen identificarse con las siglas TIC y que hacen referencia a la
90
utilización de medios informáticos para almacenar, procesar y difundir todo tipo de
información o procesos de formación educativa.
91
ÍNDICE DE FIGURAS
Pág.
Figura 1.1. Sistema biométrico de reconocimiento de huella
19
Figura 1.2. Sistema biométrico de reconocimiento de retina
19
Figura 1.3. Flujo normal de la información
35
Figura 1.4 Interrupción del flujo de información
35
Figura 1.5 Intercepción de la información
36
Figura 1.6 Modificación del flujo de información
36
Figura 1.7 Generación en el flujo de información
37
Figura 1.8 Triángulo de debilidades del sistema
38
92
ÍNDICE DE TABLAS
Pág.
2.1 Clasificación del MALWARE de acuerdo al daño que provoca
49
93
Descargar