Conceptos básicos de seguridad

Definiciones

Para fijar los conceptos relacionados con la seguridad informática vamos a intentar elaborar

un pequeño diccionario. Utilizaremos ejemplos de la vida real para comprobar

que la seguridad está en todas partes, no solo en los ordenadores.

Seguridad física/lógica, activa/pasiva

La seguridad física cubre todo lo referido a los equipos informáticos: ordenadores de

propósito general, servidores especializados y equipamiento de red. La seguridad lógica

se refiere a las distintas aplicaciones que ejecutan en cada uno de estos equipos.

Las amenazas contra la seguridad física son:

• Desastres naturales: (incendios, inundaciones, hundimientos, terremotos). Los tenemos en cuenta a la hora de ubicar el emplazamiento del centro de proceso de datos (CPD), donde alojamos los principales servidores de la empresa; pero, aunque tengamos el mejor sistema de extinción de incendios o la sala esté perfectamente sellada, siempre deberíamos tener un segundo CPD para que la actividad no pare.

• Robos: Nuestros equipos, y sobre todo la información que contienen, resultan valiosos para otros individuos u organizaciones. Debemos proteger el acceso a la sala del CPD mediante múltiples medidas de seguridad: vigilantes, tarjetas de acceso, identificación mediante usuario y contraseña, etc.

• Fallos de suministro: Los ordenadores utilizan corriente eléctrica para funcionar y necesitan redes externas para comunicar con otras empresas y con los clientes. Estos servicios los contrataremos con determinados suministradores, pero debemos estar preparados para las ocasiones en que no puedan proporcionarlo: unas baterías o un grupo electrógeno por si falla la corriente, una segunda conexión a Internet como línea de backup —incluso podemos optar por una solución inalámbrica— para estar protegidos ante un corte en la calle.

Las amenazas contra la seguridad lógica son:

• Virus, troyanos y malware en general. Como ocurre con el spam en el correo electrónico, el malware es software no deseado y que debemos eliminar.

• Pérdida de datos. Un defecto en el código fuente de una aplicación, o una configuración defectuosa de la misma, puede ocasionar modificaciones inexplicables en la información almacenada, incluso la pérdida de datos. Para reducir este riesgo, las empresas prueban muy bien una aplicación antes de decidir utilizarla y, sobre todo, realizan copias de seguridad en varios puntos del procesamiento de la información para poder recuperarse sin perderlo todo.

• Ataques a las aplicaciones de los servidores. Los hackers intentarán entrar a por los datos aprovechando cualquier vulnerabilidad del sistema operativo o de las aplicaciones que ejecutan en esa máquina (por eso conviene tener instalado el software mínimo imprescindible).

La seguridad pasiva son todos los mecanismos que, cuando sufrimos un ataque, nos

permiten recuperarnos razonablemente bien. Por ejemplo, las baterías ante una caída

de tensión o la copia de seguridad cuando se ha estropeado la información de un disco.

La seguridad activa intenta protegernos de los ataques mediante la adopción de medidas

que protejan los activos de la empresa, como vimos en el epígrafe anterior: equipos,

aplicaciones, datos y comunicaciones.

Confidencialidad, disponibilidad, integridad y no repudio

• Autenticación: La autenticación intenta confirmar que una persona o máquina es quien dice ser, que no estamos hablando con un impostor.

• Autorización: Una vez autenticado, los distintos usuarios de la información tendrán distintos privilegios sobre ella. Básicamente dos: solo lectura, o lectura y modificación.

• Cifrado: La información estará cifrada para que sea inútil para cualquiera que no supere la autenticación.

Sabes-tienes-eres

• Algo que sabes. Para acceder al sistema necesitas conocer alguna palabra secreta: la típica contraseña.

• Algo que tienes. En este caso es imprescindible aportar algún elemento material: generalmente una tarjeta.

• Algo que eres. El sistema solicita reconocer alguna característica física del individuo (biometría): huella dactilar, escáner de retina, reconocimiento de voz, etc.

AAA

La sigla AAA se refiere a autenticación, autorización y accounting. Las dos primeras ya las
hemos visto con anterioridad; la tercera se refiere a la información interna que los sistemas
generan acerca de sí mismos

Esta información sirve para revisar el dimensionado de los equipos y, debidamente asociada
a cada departamento de la empresa, permite establecer limitaciones y penalizaciones.

e2e

e2e significa extremo a extremo: la seguridad debe controlarse en el origen de los datos,

en el destino de los datos y en el canal de comunicación utilizado entre origen y destino:

En el origen y en el destino intentaremos que el equipo y las aplicaciones no hayan
sido modificados. Si alguno no está bajo nuestro control, debemos desconfiar.

En el canal intentaremos limitar quién accede y, sobre todo, cifraremos, porque nuestros
datos atravesarán las redes de otras compañías. Sobre sus equipos y el personal
que opera con ellos no tenemos ningún control, luego debemos desconfiar.

Vulnerabilidad, malware, exploit

Una vulnerabilidad es un defecto de una aplicación que puede ser aprovechado por un
atacante. Si lo descubre, el atacante programará un software (llamado malware) que utiliza
esa vulnerabilidad para tomar el control de la máquina (exploit) o realizar cualquier
operación no autorizada.

• Vulnerabilidades reconocidas por el suministrador de la aplicación y para las cuales ya tiene un parche que las corrige. Si nuestra empresa utiliza esa aplicación, debemos aplicar el parche inmediatamente.

• Vulnerabilidades reconocidas por el suministrador, pero todavía no hay un parche. En algunos casos sí se proporciona una solución temporal (workaround), pero, generalmente, lo mejor es desactivar el servicio hasta haber aplicado el parche.

• Vulnerabilidades no reconocidas por el suministrador. Es el peor caso, porque podemos estar expuestos a un ataque durante un tiempo largo sin saberlo.

Hay muchos tipos de malware:

• Virus. Intentan dejar inservible el ordenador infectado. Pueden actuar aleatoriamente o esperar una fecha concreta

• Gusanos. Van acaparando todos los recursos del ordenador: disco, memoria, red. El usuario nota que el sistema va cada vez más lento, hasta que no hay forma de trabajar.

• Troyanos. Suelen habilitar puertas traseras en los equipos: desde otro ordenador podemos conectar con el troyano para ejecutar programas en el ordenador infectado.

Tipos de ataques

• Interrupción. El ataque consigue provocar un corte en la prestación de un servicio: el servidor web no está disponible, el disco en red no aparece o solo podemos leer

• Interceptación. El atacante ha logrado acceder a nuestras comunicaciones y ha copiado la información que estábamos transmitiendo.

• Modificación. Ha conseguido acceder, pero, en lugar de copiar la información, la está modificando para que llegue alterada hasta el destino y provoque alguna reacción anormal. Por ejemplo, cambia las cifras de una transacción bancaria.

• Fabricación. El atacante se hace pasar por el destino de la transmisión, por lo que puede tranquilamente conocer el objeto de nuestra comunicación, engañarnos para obtener información valiosa,

Para conseguir su objetivo puede aplicar una o varias de estas técnicas:

• Ingeniería social. A la hora de poner una contraseña, los usuarios no suelen utilizar combinaciones aleatorias de caracteres. En cambio, recurren a palabras conocidas para ellos: el mes de su cumpleaños, el nombre de su calle, su mascota, su futbolista favorito, etc.

• Phishing. El atacante se pone en contacto con la víctima (generalmente, un correo electrónico) haciéndose pasar por una empresa con la que tenga alguna relación (su banco, su empresa de telefonía, etc.). En el contenido del mensaje intenta convencerle para que pulse un enlace que le llevará a una (falsa) web de la empresa. En esa web le solicitarán su identificación habitual y desde ese momento el atacante podrá utilizarla.

• Keyloggers. Un troyano en nuestra máquina puede tomar nota de todas las teclas que pulsamos, buscando el momento en que introducimos un usuario y contraseña. Si lo consigue, los envía al atacante.

• Fuerza bruta. Las contraseñas son un número limitado de caracteres (letras, números y signos de puntuación). Una aplicación malware puede ir generando todas las combinaciones posibles y probarlas una a una; tarde o temprano, acertará.

• Spoofing. Alteramos algún elemento de la máquina para hacernos pasar por otra máquina. Por ejemplo, generamos mensajes con la misma dirección que la máquina auténtica.

• Sniffing. El atacante consigue conectarse en el mismo tramo de red que el equipo atacado. De esta manera tiene acceso directo a todas sus conversaciones.

• DoS (Denial of Service, denegación de servicio). Consiste en tumbar un servidor saturándolo con falsas peticiones de conexión. Es decir, intenta simular el efecto de una carga de trabajo varias veces superior a la normal.

• DDoS (Distributed Denial of Service, denegación de servicio distribuida). Es el mismo ataque DoS, pero ahora no es una única máquina la que genera las peticiones falsas (que es fácilmente localizable y permite actuar contra ella), sino muchas máquinas repartidas por distintos puntos del planeta. Esto es posible porque todas esas máquinas han sido infectadas por un troyano que las ha convertido en ordenadores zombis (obedecen las órdenes del atacante).

Tipos de atacantes

• Hacker. Ataca la defensa informática de un sistema solo por el reto que supone hacerlo. Si tiene éxito, moralmente debería avisar a los administradores sobre los agujeros de seguridad que ha utilizado, porque están disponibles para cualquiera.

• Cracker. También ataca la defensa, pero esta vez sí quiere hacer daño: robar datos, desactivar servicios, alterar información, etc.

• Script kiddie. Son aprendices de hacker y cracker que encuentran en Internet cualquier ataque y lo lanzan sin conocer muy bien qué están haciendo y, sobre todo, las consecuencias derivadas de su actuación (esto les hace especialmente peligrosos).

• Programadores de malware. Expertos en programación de sistemas operativos y aplicaciones capaces de aprovechar las vulnerabilidades de alguna versión concreta de un software conocido para generar un programa que les permita atacar.

• Sniffers. Expertos en protocolos de comunicaciones capaces de procesar una captura de tráfico de red para localizar la información interesante.

• Ciberterrorista. Cracker con intereses políticos y económicos a gran escala

Buenas prácticas

• Localizar los activos que hay que proteger: equipos, aplicaciones, datos y comunicaciones. Sobre todo, revisar la política de copias de seguridad: qué copiamos, cuándo copiamos, dónde lo copiamos, dónde guardamos de manera segura los dispositivos de copia, cómo verificamos que la copia se ha hecho bien, cuándo hacemos una prueba de recuperación de una copia, etc.

• Redactar y revisar regularmente los planes de actuación ante catástrofes, contemplando todas las posibilidades: ataque intencionado, desastre natural, arranque parcial de servicios

• No instalar nada que no sea estrictamente necesario, y revisar la configuración de los sistemas y aplicaciones por si estamos otorgando más permisos de los imprescindibles.

• Estar al día de todos los informes de seguridad que aparezcan. Para ello hay que registrarse en listas de correo sobre seguridad y, además, en las listas de nuestros proveedores (tanto de hardware como de software) para recibir sus noticias directamente.

• Activar los mecanismos de actualización automática de las aplicaciones que tenemos instaladas. Salvo sistemas delicados, en general los fabricantes liberan actualizaciones que no dan problemas. 

• Dar formación a los usuarios para que utilicen la seguridad y la vean como una ayuda, no como un estorbo.

• Revisar los log del sistema (el accounting que hemos visto antes). Algunas herramientas nos ayudan porque recogen los ficheros de log y aplican fácilmente muchos patrones conocidos

• Considerar la opción de contratar una auditoría externa, porque si hemos cometido un error de concepto, es muy difícil que lo encontremos por nosotros mismos.

• Revisar la lista de equipos conectados: pueden haber introducido equipos no autorizados.

• Revisar la lista de usuarios activos: puede que algún empleado ya no esté en la empresa pero su usuario y todos los privilegios asociados siguen disponibles para él o para alguien de su confianza.

• En aquellos sistemas que lo permitan, configurar el aviso por SMS o correo electrónico para que nos enteremos los primeros de cualquier problema. Por ejemplo, los sistemas de baterías (SAI [sistema de alimentación ininterrumpida]) suelen tener esta funcionalidad.

Legislación

Como en el mundo real, romper la seguridad informática de una empresa para robar
sus datos es un delito perseguido por la ley. También el desarrollo de Internet ha impulsado
la aparición de leyes completamente nuevas, como la que regula el comercio
electrónico.

LOPD

Nivel básico. Cualquier fichero de datos de carácter personal. Las medidas de seguridad
con estos datos son:

• Identificar y autenticar a los usuarios que pueden trabajar con esos datos.
• Llevar un registro de incidencias acontecidas en el fichero.
• Realizar copia de seguridad como mínimo semanalmente.

Nivel medio. Cuando los datos incluyen información sobre infracciones administrativas
o penales, informes financieros y de gestión tributaria y datos sobre la personalidad
del sujeto. Las medidas de seguridad incluyen las del nivel básico más:

• Al menos una vez cada dos años una auditoría externa verificará los procedimientos de seguridad.
• Debe existir control de acceso físico a los medios de almacenamiento de los datos.

Nivel alto. Son los datos especialmente protegidos: ideología, vida sexual, origen racial,
afiliación sindical o política, historial médico, etc. Las medidas de seguridad amplían las
de nivel medio:

• Cifrado de las comunicaciones
• Registro detallado de todas las operaciones sobre el fichero, incluyendo usuario, fecha y hora, tipo de operación y resultado de la autenticación y autorización.

LSSI-CE

La Ley de Servicios de la Sociedad de la Información y Comercio Electrónico intenta cubrir el hueco legal que había con las empresas que prestan servicios de la sociedad de la información:

• Las obligaciones de los prestadores de servicio, incluidos los que actúen como intermediarios en la transmisión de contenidos por las redes de telecomunicaciones.
• Las comunicaciones comerciales por vía electrónica.
• La información previa y posterior a la celebración de contratos electrónicos.
• Las condiciones relativas a su validez y eficacia.
• El régimen sancionador aplicable a los prestadores de servicios de la sociedad de la información.

LPI

La Ley de Propiedad Intelectual (LPI) establece los derechos de autor en los entornos
digitales. Considera la digitalización de un contenido como un acto de reproducción,
luego se necesita autorización expresa del titular del contenido.
Como excepción incluye la copia privada, que es para uso personal del dueño de ese
contenido legalmente adquirido. La copia, al igual que el original, no se puede utilizar
de manera colectiva ni lucrativa.

Administración electrónica

La Administración electrónica hace referencia al esfuerzo de todos los estamentos públicos
para adaptar sus procedimientos a las nuevas tecnologías. Así evitan seguir manejando
papeles, y los ciudadanos y empresas pueden relacionarse con la Administración
de manera telemática.

• Disponibilidad las 24 horas del día. No hace falta pedir permiso en el trabajo; incluso podemos hacerlo en días festivos y fines de semana.
• Facilidad de acceso. Los portales de la Administración incorporan múltiples asistentes que proporcionan toda la ayuda necesaria.
• Ahorro de tiempo. No hay que desplazarse hasta una oficina y esperar turno para ser atendido.
• Fiabilidad. Los procedimientos ya no dependen de personas, sino de sistemas.