Seguridad Pasiva Equipos

Ubicación del CPD

Las empresas colocan los equipos de usuario cerca del usuario, pero los servidores están todos juntos en una misma sala. CPD. Centralizando se consigue:

• Ahorrar en costes de protección y mantenimiento. No necesitan duplicar la vigilancia, la refrigeración, etc.

• Optimizar las comunicaciones entre servidores. Al estar unos cerca de otros no necesitan utilizar cables largos o demasiados elementos intermedios que reducen el rendimiento.

• Aprovechar mejor los recursos humanos del departamento de informática. No tienen que desplazarse a distintos edificios para realizar instalaciones, sustituir tarjetas, etc.

Tan importante como tomar medidas para proteger los equipos es tener en cuenta qué hacer cuando esas medidas fallan. Todas las empresas deben tener documentado un plan de recuperación ante desastres, donde se describa con el máximo detalle qué hacer ante una caída de cualquiera de los servicios que presta el CPD. Este plan debe ser actualizado cuando se efectúe un cambio en el CPD. El plan debe incluir:

• Hardware. Qué modelos de máquinas tenemos instalados , qué modelos alternativos podemos utilizar y cómo se instalarán

• Software. Qué sistema operativo y aplicaciones están instalados, con el número de versión actualizado y todas las opciones de configuración.

• Datos. Qué sistemas de almacenamiento utilizamos, con qué configuración y cómo se hace el respaldo de datos

Protección

El CPD debe estar protegido al máximo:

• Elegiremos un edificio en una zona con baja probabilidad de accidentes naturales (terremotos, ciclones, inundaciones).

• También evitaremos la proximidad de ríos, playas, presas, aeropuertos, autopistas, bases militares, centrales nucleares, etc.

• Evitaremos ubicaciones donde los edificios vecinos al nuestro pertenezcan a empresas dedicadas a actividades potencialmente peligrosas: gases inflamables, explosivos, etc.

• Preferentemente seleccionaremos las primeras plantas del edificio.
• La planta baja está expuesta a sabotajes desde el exterior (impacto de vehículos, asaltos, etc.).
• Las plantas subterráneas serían las primeras afectadas por una inundación.
• Las plantas superiores están expuestas a un accidente aéreo y, en caso de incendio iniciado en plantas inferiores, es seguro que nos afectará.

• Se recomienda que el edificio tenga dos accesos y por calles diferentes. Así siempre podremos entrar en caso de que una entrada quede inaccesible (obras, incidente, etc.).

• Es recomendable evitar señalizar la ubicación del CPD para dificultar su localización a posibles atacantes.

• Los pasillos que llevan hasta el CPD deben ser anchos porque algunos equipos son bastante voluminosos. Incluso conviene dotarlo de un muelle de descarga.

• El acceso a la sala debe estar muy controlado. Los servidores solo interesan al personal del CPD.

• En las paredes de la sala se deberá utilizar pintura plástica porque facilita su limpieza y se evita la generación de polvo.

• En la sala se utilizará falso suelo y falso techo

• La altura de la sala será elevada tanto para permitir el despliegue de falso suelo y falso techo como para acumular muchos equipos en vertical, porque el espacio de esta sala es muy valioso.

• El mobiliario de la sala debe utilizar materiales ignífugos.

Aislamiento

Las máquinas que situamos en el CPD utilizan circuitos electrónicos. Por tanto, hay que protegerlas ante:

• Temperatura. Los circuitos de los equipos, en especial los procesadores, trabajan a alta velocidad, por lo que generan mucho calor. Si además le sumamos la temperatura del aire, los equipos pueden tener problemas.

• Humedad. No solo el agua, también un alto porcentaje de humedad en el ambiente puede dañarnos. Para evitarlo utilizaremos deshumidificadores.

• Interferencias electromagnéticas. El CPD debe estar alejado de equipos que generen estas interferencias, como material industrial o generadores de electricidad, sean nuestros o de alguna empresa vecina.

• Ruido. Los ventiladores de las máquinas del CPD generan mucho ruido, tanto que conviene introducir aislamiento acústico para no afectar a los trabajadores de las salas adyacentes.

Ventilación

Los CPD no suelen tener ventanas. La ventilación que conseguiríamos con ellas sería mínima para todo el calor que se genera, y el riesgo de intrusiones desde el exterior no es admisible en una instalación de tanta importancia.

La temperatura recomendable en la sala estaría alrededor de los 22 grados. Las máquinas no lo necesitan, pero hay que pensar que ahí también van a trabajar personas. Para conseguirlo instalaremos equipos de climatización.

En los CPD grandes se adopta la configuración de pasillos calientes y pasillos fríos. Las filas de equipos se colocan en bloques formando pasillos, de manera que todos los ventiladores que extraen el calor de la máquina apunten hacia el mismo pasillo. En este pasillo se colocan los extractores de calor del equipo de climatización.

Suministro eléctrico y comunicaciones

Nuestro CPD no está aislado: necesita ciertos servicios del exterior. Los principales son la alimentación eléctrica y las comunicaciones. En ambos casos conviene contratar con dos empresas distintas, de manera que un fallo en una compañía suministradora no nos impida seguir trabajando.

El suministro eléctrico del CPD debería estar separado del que alimenta al resto de la empresa para evitar que un problema en cualquier despacho de ese edificio afecte a los servidores, porque están siendo utilizados por empleados de otros edificios, incluso por clientes y proveedores.

En cuanto a las comunicaciones, conviene que el segundo suministrador utilice una tecnología diferente al primero.

Control de acceso

Las máquinas del CPD son vitales para la empresa y solo necesitan ser utilizadas por un reducido grupo de especialistas. El acceso a esta sala de máquinas debe estar especialmente controlado. No podemos consentir que alguien se lleve ninguna máquina o algún componente de ella ni dejarle dentro intentando tener acceso desde las consolas de los servidores.

Las identificaciones habituales se complementan con medidas más seguras, como la biometría. En instalaciones importantes, el CPD puede tener su propio equipo de vigilantes de seguridad. En la sala se suele instalar también una red de sensores de presencia y cámaras de vídeo para detectar visitas inesperadas.

Centro de respaldo

A pesar de tanta protección, debemos pensar en la posibilidad de que ocurra una catástrofe en nuestro CPD y quede inservible. La continuidad de la empresa no puede depender de un punto único de fallo; si disponemos de presupuesto suficiente, debemos instalar un segundo CPD.

Este segundo CPD, también llamado centro de respaldo, ofrece los mismos servicios del centro principal. Aunque, si la inversión en hardware resulta demasiado elevada, puede limitarse a los servicios principales, o a los mismos servicios pero con menos prestaciones. Por supuesto, debe estar físicamente alejado del CP; cuantos más kilómetros entre ambos, mejor.

En condiciones normales, el CR está parado esperando que, en cualquier momento, la empresa pueda necesitar detener el CP y activar el CR como nuevo CP. Los usuarios no deberían notar el cambio. Para ello, la información del CP también está en el CR. Esto incluye la configuración de los servicios; pero, sobre todo, los datos que han sido modificados en el último instante, antes de la conmutación de centros. Por tanto, no es suficiente con recuperar la última copia de seguridad del CP: debemos habilitar mecanismos especiales de réplica, en especial para las bases de datos, que son más complejas que los sistemas de ficheros. Pero esto necesita de muy buenas comunicaciones entre el CP y el CR, con lo que la distancia que los separa puede ser un problema.

SAI/UPS

Un SAI (sistema de alimentación ininterrumpida), es un conjunto de baterías que alimentan una instalación eléctrica.

En caso de corte de la corriente, los equipos conectados al SAI siguen funcionando porque consigue electricidad de las baterías. La capacidad de estas baterías es reducida depende del SAI elegido y del consumo de los equipos, aunque el mínimo garantizado suele ser diez minutos. Este es el factor más importante a la hora de adquirir un SAI: cuántos vatios consumen los equipos que debe proteger y cuánto tiempo necesitamos que los proteja.

Cuando ocurre un corte de luz, el SAI procede de esta manera:

• Espera unos minutos por si el corte ha sido puntual y el suministro se recupera inmediatamente por sí solo.

• Si no es así, ejecuta una parada ordenada de los equipos conectados al SAI. Siempre es mejor solicitar una parada al sistema operativo y las aplicaciones que ejecuta que perder la corriente y confiar en que no se genere ninguna inconsistencia

Tipos

SAI en estado de espera. Los equipos informáticos toman corriente del suministro principal, mientras el SAI se limita a vigilar que ese suministro fluya. Cuando ocurre un corte, el SAI activa inmediatamente sus baterías para que los equipos no se vean afectados. A partir de ese momento, el SAI aplica los tiempos de espera señalados en el punto anterior. Cuando vuelve la corriente, desactiva la generación de corriente propia y empieza a cargar las baterías.

SAI en línea. Los equipos siempre están tomando corriente de las baterías del SAI. Cuando ocurre un corte, el SAI se limita a aplicar los tiempos de espera. Cuando vuelve la corriente, empieza a cargar las baterías.

Monitorización

Cuando tenemos un SAI confiamos en que está bien y que responderá cuando sea necesaria su intervención. Pero conviene revisar regularmente el estado del SAI. Estos equipos suelen incorporar unos indicadores luminosos en el frontal: si está cargando o descargando las baterías, porcentaje de batería restante, etc.

En la imagen vemos una ventana del log de un SAI. Muestra una lista de los eventos que ha registrado:

• La primera columna señala el tipo de evento. Puede ser informativo o una alerta.

• Las dos siguientes indican la fecha y hora en que ocurrió el evento. Es importante para asociarlo a otros sucesos ocurridos: caída de alguna máquina, corte de líneas de comunicaciones, etc.

• La cuarta es la descripción del evento. Hay algunos sencillos, como Agent Start, que indican que ha arrancado el agente. Vemos que minutos antes ha ocurrido un USB Communication with device lost, lo que significa que el ordenador se ha reiniciado.

Triggers

El software del SAI, además de la monitorización, incluye la configuración de los comandos para responder ante un corte de corriente.

• Cuándo hacerlo: en un instante concreto (cuando se alcance Battery Backup Time) o cuando detecte que la carga de la batería está baja.

• Qué hacer con el sistema: suspenderlo o apagarlo.

• Qué comando ejecutar antes de empezar el apagado. En este apartado aprovecharemos para apagar las otras máquinas conectadas a este SAI.

Mantenimiento

Las baterías se desgastan con el tiempo y ofrecen cada vez menos rendimiento. El software del SAI nos ayuda en este aspecto:

• Permite lanzar determinados test para comprobar la degradación actual de las baterías. Si no es suficiente para garantizar la parada ordenada de los equipos protegidos, debemos cambiarlas. Para cambiar las baterías acudiremos al personal especializado, porque las baterías utilizan componentes químicos muy peligrosos.

• Incluye operaciones automáticas de descarga controlada, que alargan la vida de las baterías.

Criptografía

¿Por qué cifrar? 

La información es poder, Para sacar el máximo partido de una información hay que compartirla con otros individuos: El plano del motor o la fórmula deben llegar a la fábrica. El autor del documento

(emisor) debe transferirlo a algún soporte (disco duro, CD, pendrive USB, impresión en

papel, cuenta de correo electrónico, upload a un servidor web, etc.) y hacer llegar ese

soporte hasta el destino (receptor) mediante algún canal de comunicación (empresa de

mensajería, fax, Internet, etc.).

Nuestra era de la información y las comunicaciones necesita el cifrado más que nunca,

porque cada vez existen más medios de almacenamiento (memorias portables de todo

tipo) y, sobre todo, más mecanismos de comunicación.

• Voz mediante teléfono (fijo/móvil).
• Mensajería instantánea breve (SMS,Whatsapp).
• Datos por línea digital (ADSL,Fibra).
• Aperturas por la redes internas de las empresas para que puedan trabajar sus trabajadores (VPN de teletrabajo), sus clientes (acceso web) y otras empresas (VPN de empresas).

Todas esas conversaciones utilizan redes compartidas con otros usuarios y administradas por otras empresas que no son nuestras.

Criptografía

En griego significa ocultar, escribir. Se puede traducir como mensaje oculto. Consiste en tomar el documento original y aplicarle un algoritmo cuyo resultado es un nuevo documento. Este documento estará cifrado (no puede ser entendido ni leído, pero llegará al destino que sabrá aplicar dicho algoritmo para recuperar el documento original. Realmente hace falta algo más que un algoritmo, debido a que el enemigo puede conocerlo. La privacidad la conocemos gracias a la clave del algoritmo (conjunto de valores que, combinados con el documento original y como se indica en el algoritmo, general un documento cifrado de tal forma que , solo con ese documento, es imposible deducir el documento original y la clave. Las claves de combinaciones son (letras, números, signos..) por lo tanto nuestra seguridad esta expuesta a ataques de fuerza bruta (recordamos que intenta probar todas las combinaciones posible para cifrar la contraseña). Para evitarlo, aplicaremos las siguientes medidas:

• Utilizar claves de gran longitud.
• Cambiar regularmente la clave.
• Utilizar todos los tipos de caracteres posibles.
• No utilizar palabras fácilmente identificables.
• Detectar repetidos intentos fallidos en un corto intervalo de tiempo.

Criptografía simétrica y asimétrica

La criptografía simétrica utilizan la misma clave para los dos procesos (cifrar y descifrar). Son sencillos de utilizar y resultan bastantes eficientes. Cuando el receptor recibe el documento cifrado, se aplico el algoritmo con dicha clave pero en función descifrar. Si el documento no ha sido alterado en el camino y la clave es la misma, el resultado será el documento original. El problema de la criptografía simétrica es la circulación de las claves (como conseguimos que el emisor y y el receptor tengan la clave buena). No podremos utilizar el mismo canal inseguro por el que enviaremos el mensaje. Debemos de utilizar un segundo canal de comunicación, que también había que proteger y así sucesivamente. El segundo problema es la gestión de claves almacenadas.

       La criptografía asimétrica resuelve dos principales problemas:

• No necesitamos canales seguros para comunicar la clave que utilizaremos en el cifrado.
• No hay desbordamiento en el tratamiento de claves y canales.

Los algoritmos asimétricos tienen sus propios problemas:

• Son pocos eficientes.
• Analiza paquetes cifrados.
• Hay que proteger la clave privada.
• Necesitamos una copia de seguridad del llavero.
• Hay que transportar la clave privada.

La solución más común a los problemas de proteger y transportar la clave privada es la tarjeta inteligente. La tarjeta de plástico contiene un chip electrónico. Hay dos tipos:

• Tarjetas de memoria: Equivale a memoria Flash y se limita a almacenar el llavero.
• Tarjeta procesadora: Las claves también están almacenadas, pero nunca sale de ella.

Las tarjetas inteligentes se pueden clasificar por el tipo de interfaz:

• Tarjetas de contacto: Contactos metálicos del chip para interactuar con él.
• Tarjetas sin contacto: Utiliza tecnologías inalámbricas para interactuar con el chip.

Cifrar y firmar

La primera utilidad de la criptografía consiste en garantizar la confidencialidad de las comunicación cifrando un determinado documento. La segunda utilidad es conseguir determinar la autenticidad del emisor. En la criptografía asimétrica, el mecanismo de firma garantiza que el emisor es quien dice ser. El emisor aplica al documento una lista de caracteres. El emisor cifra ese resumen con su clave privada y lo envía al destino, junto con el documento original. En el destino se producen dos operaciones: 

• Aplica la misma función hash al documento para obtener dicho resumen.
• Descifra el resumen recibido, utilizando la clave pública del emisor.

Si ambos resúmenes coinciden, el destino está seguro de que el documento es el mismo que el dueño de la clave pública que acaba de aplicar para descifrar el documento recibido. Si queremos que el documento original no sea interceptado en la transmisión desde el emisor al receptor, debemos de cifrarlo. Para ello usamos la clave pública del receptor. Así se realiza:

• El emisor aplica la función hash.
• El emisor toma su clave privada para aplicar el algoritmo asimétrico. Como resultado, el documento es cifrado.
• El emisor toma la clave pública del receptor para aplicar el algoritmo asimétrico al documento original y al documento resumen. Como resultado, el documento conjunto es cifrado, se envía al receptor.

El mecanismo de firma también se utiliza en las comunicaciones de datos para garantizar al servidor que somos clientes de confianza, así evitaríamos introducir usuario y contraseña. El servidor debe de tener almacenada la clave pública del cliente.

PKI. DNIe

PKI, todo lo necesario, tanto de hardware como software, para las comunicaciones seguras mediante el uso de certificadas digitales y formas digitales. eEn la comunicación segura entre cliente y servidor

aparecen diversos interlocutores:

• Autoridad de Certificación (CA): Emite certificados.
• Autoridad de Registro (RA): Asegura que el certificado del solicitante es de quien dice ser.
• Autoridad de Validación: (VA): Responsable de la validez de certificados digitales.
• Los repositorios: Almacenes certificados.

El funcionamiento es el siguiente:

• Durante el inicio de la sesión, el servidor envía su clave pública al cliente para que cifre el diálogo que van comenzar, pero el cliente antes comprueba que el servidor es quien dice ser.
• El servidor lo ha supuesto y ha enviado, junto con su clave pública, la firma digital de esa clave.
• El cliente verifica que forma, si ésta es correcta, la clave pública del servidor también lo es.

Por tanto para que funcione se necesitan dos pasos:

• El servidor a conseguido que una autoridad de certificación firme su clave pública.
• el cliente dispone de la clave pública de dicha autoridad dentro de su llavero de claves asimétricas.

Como todo en la seguridad informática, la PKI no es del todo perfecta, todavía disponemos de dos vulnerabilidades:

• Un virus en nuestro ordenador puede alterar el depósito de claves, e importar sin nuestro consentimiento claves públicas. Una conexión segura a un servidor mediante la autoridad de certificación no es fiable.
• Un ataque a los servidores podría probar su clave privada. El atacante puede firmar claves públicas de servidores peligrosos y los clientes se conectan con ellos confiando en que la forma es legal.

Vídeo:

Conceptos básicos de seguridad

Definiciones

Para fijar los conceptos relacionados con la seguridad informática vamos a intentar elaborar

un pequeño diccionario. Utilizaremos ejemplos de la vida real para comprobar

que la seguridad está en todas partes, no solo en los ordenadores.

Seguridad física/lógica, activa/pasiva

La seguridad física cubre todo lo referido a los equipos informáticos: ordenadores de

propósito general, servidores especializados y equipamiento de red. La seguridad lógica

se refiere a las distintas aplicaciones que ejecutan en cada uno de estos equipos.

Las amenazas contra la seguridad física son:

• Desastres naturales: (incendios, inundaciones, hundimientos, terremotos). Los tenemos en cuenta a la hora de ubicar el emplazamiento del centro de proceso de datos (CPD), donde alojamos los principales servidores de la empresa; pero, aunque tengamos el mejor sistema de extinción de incendios o la sala esté perfectamente sellada, siempre deberíamos tener un segundo CPD para que la actividad no pare.

• Robos: Nuestros equipos, y sobre todo la información que contienen, resultan valiosos para otros individuos u organizaciones. Debemos proteger el acceso a la sala del CPD mediante múltiples medidas de seguridad: vigilantes, tarjetas de acceso, identificación mediante usuario y contraseña, etc.

• Fallos de suministro: Los ordenadores utilizan corriente eléctrica para funcionar y necesitan redes externas para comunicar con otras empresas y con los clientes. Estos servicios los contrataremos con determinados suministradores, pero debemos estar preparados para las ocasiones en que no puedan proporcionarlo: unas baterías o un grupo electrógeno por si falla la corriente, una segunda conexión a Internet como línea de backup —incluso podemos optar por una solución inalámbrica— para estar protegidos ante un corte en la calle.

Las amenazas contra la seguridad lógica son:

• Virus, troyanos y malware en general. Como ocurre con el spam en el correo electrónico, el malware es software no deseado y que debemos eliminar.

• Pérdida de datos. Un defecto en el código fuente de una aplicación, o una configuración defectuosa de la misma, puede ocasionar modificaciones inexplicables en la información almacenada, incluso la pérdida de datos. Para reducir este riesgo, las empresas prueban muy bien una aplicación antes de decidir utilizarla y, sobre todo, realizan copias de seguridad en varios puntos del procesamiento de la información para poder recuperarse sin perderlo todo.

• Ataques a las aplicaciones de los servidores. Los hackers intentarán entrar a por los datos aprovechando cualquier vulnerabilidad del sistema operativo o de las aplicaciones que ejecutan en esa máquina (por eso conviene tener instalado el software mínimo imprescindible).

La seguridad pasiva son todos los mecanismos que, cuando sufrimos un ataque, nos

permiten recuperarnos razonablemente bien. Por ejemplo, las baterías ante una caída

de tensión o la copia de seguridad cuando se ha estropeado la información de un disco.

La seguridad activa intenta protegernos de los ataques mediante la adopción de medidas

que protejan los activos de la empresa, como vimos en el epígrafe anterior: equipos,

aplicaciones, datos y comunicaciones.

Confidencialidad, disponibilidad, integridad y no repudio

• Autenticación: La autenticación intenta confirmar que una persona o máquina es quien dice ser, que no estamos hablando con un impostor.

• Autorización: Una vez autenticado, los distintos usuarios de la información tendrán distintos privilegios sobre ella. Básicamente dos: solo lectura, o lectura y modificación.

• Cifrado: La información estará cifrada para que sea inútil para cualquiera que no supere la autenticación.

Sabes-tienes-eres

• Algo que sabes. Para acceder al sistema necesitas conocer alguna palabra secreta: la típica contraseña.

• Algo que tienes. En este caso es imprescindible aportar algún elemento material: generalmente una tarjeta.

• Algo que eres. El sistema solicita reconocer alguna característica física del individuo (biometría): huella dactilar, escáner de retina, reconocimiento de voz, etc.

AAA

La sigla AAA se refiere a autenticación, autorización y accounting. Las dos primeras ya las
hemos visto con anterioridad; la tercera se refiere a la información interna que los sistemas
generan acerca de sí mismos

Esta información sirve para revisar el dimensionado de los equipos y, debidamente asociada
a cada departamento de la empresa, permite establecer limitaciones y penalizaciones.

e2e

e2e significa extremo a extremo: la seguridad debe controlarse en el origen de los datos,

en el destino de los datos y en el canal de comunicación utilizado entre origen y destino:

En el origen y en el destino intentaremos que el equipo y las aplicaciones no hayan
sido modificados. Si alguno no está bajo nuestro control, debemos desconfiar.

En el canal intentaremos limitar quién accede y, sobre todo, cifraremos, porque nuestros
datos atravesarán las redes de otras compañías. Sobre sus equipos y el personal
que opera con ellos no tenemos ningún control, luego debemos desconfiar.

Vulnerabilidad, malware, exploit

Una vulnerabilidad es un defecto de una aplicación que puede ser aprovechado por un
atacante. Si lo descubre, el atacante programará un software (llamado malware) que utiliza
esa vulnerabilidad para tomar el control de la máquina (exploit) o realizar cualquier
operación no autorizada.

• Vulnerabilidades reconocidas por el suministrador de la aplicación y para las cuales ya tiene un parche que las corrige. Si nuestra empresa utiliza esa aplicación, debemos aplicar el parche inmediatamente.

• Vulnerabilidades reconocidas por el suministrador, pero todavía no hay un parche. En algunos casos sí se proporciona una solución temporal (workaround), pero, generalmente, lo mejor es desactivar el servicio hasta haber aplicado el parche.

• Vulnerabilidades no reconocidas por el suministrador. Es el peor caso, porque podemos estar expuestos a un ataque durante un tiempo largo sin saberlo.

Hay muchos tipos de malware:

• Virus. Intentan dejar inservible el ordenador infectado. Pueden actuar aleatoriamente o esperar una fecha concreta

• Gusanos. Van acaparando todos los recursos del ordenador: disco, memoria, red. El usuario nota que el sistema va cada vez más lento, hasta que no hay forma de trabajar.

• Troyanos. Suelen habilitar puertas traseras en los equipos: desde otro ordenador podemos conectar con el troyano para ejecutar programas en el ordenador infectado.

Tipos de ataques

• Interrupción. El ataque consigue provocar un corte en la prestación de un servicio: el servidor web no está disponible, el disco en red no aparece o solo podemos leer

• Interceptación. El atacante ha logrado acceder a nuestras comunicaciones y ha copiado la información que estábamos transmitiendo.

• Modificación. Ha conseguido acceder, pero, en lugar de copiar la información, la está modificando para que llegue alterada hasta el destino y provoque alguna reacción anormal. Por ejemplo, cambia las cifras de una transacción bancaria.

• Fabricación. El atacante se hace pasar por el destino de la transmisión, por lo que puede tranquilamente conocer el objeto de nuestra comunicación, engañarnos para obtener información valiosa,

Para conseguir su objetivo puede aplicar una o varias de estas técnicas:

• Ingeniería social. A la hora de poner una contraseña, los usuarios no suelen utilizar combinaciones aleatorias de caracteres. En cambio, recurren a palabras conocidas para ellos: el mes de su cumpleaños, el nombre de su calle, su mascota, su futbolista favorito, etc.

• Phishing. El atacante se pone en contacto con la víctima (generalmente, un correo electrónico) haciéndose pasar por una empresa con la que tenga alguna relación (su banco, su empresa de telefonía, etc.). En el contenido del mensaje intenta convencerle para que pulse un enlace que le llevará a una (falsa) web de la empresa. En esa web le solicitarán su identificación habitual y desde ese momento el atacante podrá utilizarla.

• Keyloggers. Un troyano en nuestra máquina puede tomar nota de todas las teclas que pulsamos, buscando el momento en que introducimos un usuario y contraseña. Si lo consigue, los envía al atacante.

• Fuerza bruta. Las contraseñas son un número limitado de caracteres (letras, números y signos de puntuación). Una aplicación malware puede ir generando todas las combinaciones posibles y probarlas una a una; tarde o temprano, acertará.

• Spoofing. Alteramos algún elemento de la máquina para hacernos pasar por otra máquina. Por ejemplo, generamos mensajes con la misma dirección que la máquina auténtica.

• Sniffing. El atacante consigue conectarse en el mismo tramo de red que el equipo atacado. De esta manera tiene acceso directo a todas sus conversaciones.

• DoS (Denial of Service, denegación de servicio). Consiste en tumbar un servidor saturándolo con falsas peticiones de conexión. Es decir, intenta simular el efecto de una carga de trabajo varias veces superior a la normal.

• DDoS (Distributed Denial of Service, denegación de servicio distribuida). Es el mismo ataque DoS, pero ahora no es una única máquina la que genera las peticiones falsas (que es fácilmente localizable y permite actuar contra ella), sino muchas máquinas repartidas por distintos puntos del planeta. Esto es posible porque todas esas máquinas han sido infectadas por un troyano que las ha convertido en ordenadores zombis (obedecen las órdenes del atacante).

Tipos de atacantes

• Hacker. Ataca la defensa informática de un sistema solo por el reto que supone hacerlo. Si tiene éxito, moralmente debería avisar a los administradores sobre los agujeros de seguridad que ha utilizado, porque están disponibles para cualquiera.

• Cracker. También ataca la defensa, pero esta vez sí quiere hacer daño: robar datos, desactivar servicios, alterar información, etc.

• Script kiddie. Son aprendices de hacker y cracker que encuentran en Internet cualquier ataque y lo lanzan sin conocer muy bien qué están haciendo y, sobre todo, las consecuencias derivadas de su actuación (esto les hace especialmente peligrosos).

• Programadores de malware. Expertos en programación de sistemas operativos y aplicaciones capaces de aprovechar las vulnerabilidades de alguna versión concreta de un software conocido para generar un programa que les permita atacar.

• Sniffers. Expertos en protocolos de comunicaciones capaces de procesar una captura de tráfico de red para localizar la información interesante.

• Ciberterrorista. Cracker con intereses políticos y económicos a gran escala

Buenas prácticas

• Localizar los activos que hay que proteger: equipos, aplicaciones, datos y comunicaciones. Sobre todo, revisar la política de copias de seguridad: qué copiamos, cuándo copiamos, dónde lo copiamos, dónde guardamos de manera segura los dispositivos de copia, cómo verificamos que la copia se ha hecho bien, cuándo hacemos una prueba de recuperación de una copia, etc.

• Redactar y revisar regularmente los planes de actuación ante catástrofes, contemplando todas las posibilidades: ataque intencionado, desastre natural, arranque parcial de servicios

• No instalar nada que no sea estrictamente necesario, y revisar la configuración de los sistemas y aplicaciones por si estamos otorgando más permisos de los imprescindibles.

• Estar al día de todos los informes de seguridad que aparezcan. Para ello hay que registrarse en listas de correo sobre seguridad y, además, en las listas de nuestros proveedores (tanto de hardware como de software) para recibir sus noticias directamente.

• Activar los mecanismos de actualización automática de las aplicaciones que tenemos instaladas. Salvo sistemas delicados, en general los fabricantes liberan actualizaciones que no dan problemas. 

• Dar formación a los usuarios para que utilicen la seguridad y la vean como una ayuda, no como un estorbo.

• Revisar los log del sistema (el accounting que hemos visto antes). Algunas herramientas nos ayudan porque recogen los ficheros de log y aplican fácilmente muchos patrones conocidos

• Considerar la opción de contratar una auditoría externa, porque si hemos cometido un error de concepto, es muy difícil que lo encontremos por nosotros mismos.

• Revisar la lista de equipos conectados: pueden haber introducido equipos no autorizados.

• Revisar la lista de usuarios activos: puede que algún empleado ya no esté en la empresa pero su usuario y todos los privilegios asociados siguen disponibles para él o para alguien de su confianza.

• En aquellos sistemas que lo permitan, configurar el aviso por SMS o correo electrónico para que nos enteremos los primeros de cualquier problema. Por ejemplo, los sistemas de baterías (SAI [sistema de alimentación ininterrumpida]) suelen tener esta funcionalidad.

Legislación

Como en el mundo real, romper la seguridad informática de una empresa para robar
sus datos es un delito perseguido por la ley. También el desarrollo de Internet ha impulsado
la aparición de leyes completamente nuevas, como la que regula el comercio
electrónico.

LOPD

Nivel básico. Cualquier fichero de datos de carácter personal. Las medidas de seguridad
con estos datos son:

• Identificar y autenticar a los usuarios que pueden trabajar con esos datos.
• Llevar un registro de incidencias acontecidas en el fichero.
• Realizar copia de seguridad como mínimo semanalmente.

Nivel medio. Cuando los datos incluyen información sobre infracciones administrativas
o penales, informes financieros y de gestión tributaria y datos sobre la personalidad
del sujeto. Las medidas de seguridad incluyen las del nivel básico más:

• Al menos una vez cada dos años una auditoría externa verificará los procedimientos de seguridad.
• Debe existir control de acceso físico a los medios de almacenamiento de los datos.

Nivel alto. Son los datos especialmente protegidos: ideología, vida sexual, origen racial,
afiliación sindical o política, historial médico, etc. Las medidas de seguridad amplían las
de nivel medio:

• Cifrado de las comunicaciones
• Registro detallado de todas las operaciones sobre el fichero, incluyendo usuario, fecha y hora, tipo de operación y resultado de la autenticación y autorización.

LSSI-CE

La Ley de Servicios de la Sociedad de la Información y Comercio Electrónico intenta cubrir el hueco legal que había con las empresas que prestan servicios de la sociedad de la información:

• Las obligaciones de los prestadores de servicio, incluidos los que actúen como intermediarios en la transmisión de contenidos por las redes de telecomunicaciones.
• Las comunicaciones comerciales por vía electrónica.
• La información previa y posterior a la celebración de contratos electrónicos.
• Las condiciones relativas a su validez y eficacia.
• El régimen sancionador aplicable a los prestadores de servicios de la sociedad de la información.

LPI

La Ley de Propiedad Intelectual (LPI) establece los derechos de autor en los entornos
digitales. Considera la digitalización de un contenido como un acto de reproducción,
luego se necesita autorización expresa del titular del contenido.
Como excepción incluye la copia privada, que es para uso personal del dueño de ese
contenido legalmente adquirido. La copia, al igual que el original, no se puede utilizar
de manera colectiva ni lucrativa.

Administración electrónica

La Administración electrónica hace referencia al esfuerzo de todos los estamentos públicos
para adaptar sus procedimientos a las nuevas tecnologías. Así evitan seguir manejando
papeles, y los ciudadanos y empresas pueden relacionarse con la Administración
de manera telemática.

• Disponibilidad las 24 horas del día. No hace falta pedir permiso en el trabajo; incluso podemos hacerlo en días festivos y fines de semana.
• Facilidad de acceso. Los portales de la Administración incorporan múltiples asistentes que proporcionan toda la ayuda necesaria.
• Ahorro de tiempo. No hay que desplazarse hasta una oficina y esperar turno para ser atendido.
• Fiabilidad. Los procedimientos ya no dependen de personas, sino de sistemas.