1. Tema 2
Vulnerabilidades y Riesgos
Vulnerabilidades
Son errores que permiten realizar desde afuera actos sin permiso del
administrador del equipo, incluso se puede suplantar al usuario, actualmente,
ya hay muchas amenazas que tratan de accesar remotamente a los ordenadores,
ya sea para hacerlos servidores ilegales de Spam o para robar información, de
los agujeros más famosos está el LSASS y el de SVSHOST, de los cuales el
Sasser y Blaster se diseminaron rápidamente.
¿Cómo evitarlas?
Es imposible evitar las vulnerabilidades al 100% incluso cuando tenemos
operando en nuestro sistema cortafuegos, antispam, antivirus, y detectores de
código maligno.
Lo que sí es posible es tratar de evitarlas al máximo posible, tengamos presente
que las comunicaciones en la red constan de 7 capas según el modelo OSI, y las
vulnerabilidades pueden estar presentes en varias capas, o incluso dentro del
núcleo de nuestro sistema operativo.
No debemos imaginar que con un buen antivirus podemos estar libres de
vulnerabilidades, ya que las vulnerabilidades no son solo mediante virus que
estén radicando en nuestra computadora sino que también pueden llegar a ser
mediante ejecución de código mientras visitemos alguna página web, o cuando
el atacante tiene privilegios de acceso a nivel administrativo a nuestra
computadora Así que se debe tener presente que para evitar las
vulnerabilidades no solamente basta con tener un antivirus y ejecutarlo de
manera periódica Lista de recomendaciones para tener nuestra computadora
libre de virus:
1- Actualice o cheque las actualizaciones cada cierto tiempo, pues eso permite
casi adelantarse a cualquier peligro que se aproveche de la vulnerabilidad.
2- Activar Firewall.
3- Programar escaneos completos del Antivirus mensuales.
4- No caer en trampas obvias como correos spam diciéndote que ganaste la
lotería en un país que ni siquiera conoces.
5- Si vas a descargar música, libros, programas ejecutables, etc. procura hacerlo
solo de fuentes confiables
6- Vacunar unidades externas. (Genaro aportation) Para la mayoría de los
usuarios de internet estas simples recomendaciones serán suficientes y útiles.
¿Como las explotan?
2. Aunque no siempre hay una regla general para explotar vulnerabilidades de los
sistemas podemos describir a grandes rasgos una serie de pasos para llegar a tal
cometido:
Paso 1 conocer la existencia de la vulnerabilidad
Paso 2 documentarse sobre las características de la vulnerabilidad
Paso 3 conocer las características del sistema que se va a explotar
Paso 4 conseguir acceso a ese sistema con los privilegios suficientes.
Una vez conseguido el acceso al sistema en cuestión, se es libre de hacer lo que
se quiera hacer, es como estar operando frente al computador víctima.
¿Qué consecuencias traen?
Simplifican un ataque, permitiendo a los crackers obtener más permisos en el
equipo víctima y poder usarlo al libre albedrío, o el sistema puede ejecutar
automáticamente códigos maliciosos, abrir puertos, o en algunos casos es el
almacenamiento incorrecto de datos privados, como contraseñas.
La palabra vulnerabilidad hace referencia a una debilidad en un sistema
permitiendo a un atacante violar la confidencialidad, integridad,
disponibilidad, control de acceso y consistencia del sistema o de sus datos y
aplicaciones.
Las Vulnerabilidades son el resultado de bugs o de fallos en el diseño del
sistema. Aunque, en un sentido más amplio, también pueden ser el resultado de
las propias limitaciones tecnológicas, porque, en principio, no existe sistema
100% seguro. Por lo tanto existen vulnerabilidades teóricas y vulnerabilidades
reales (conocidas como exploits).
Las Vulnerabilidades en las aplicaciones suelen corregirse con parches, hotfixs o
con cambios de versión. En tanto algunas otras requieren un cambio físico en
un sistema informático.
Las Vulnerabilidades se descubren muy seguidas en grandes sistemas, y el
hecho de que se publiquen rápidamente por todo internet (mucho antes de que
exista una solución al problema), es motivo de debate.
Mientras más conocida se haga una vulnerabilidad, más probabilidades de que
existan piratas informáticos que quieren aprovecharse de ellas. Por
vulnerabilidad entendemos la exposición latente a un riesgo. En el área de
informática, existen varios riesgos tales como: ataque de virus, códigos
maliciosos, gusanos, caballos de Troya y hackers; no obstante, con la adopción
de Internet como instrumento de comunicación y colaboración, los riesgos han
evolucionado y, ahora, las empresas deben enfrentar ataques de negación de
servicio y amenazas combinadas; es decir, la integración de herramientas
automáticas de "hackeo", accesos no autorizados a los sistemas y capacidad de
identificar y explotar las vulnerabilidades de los sistemas operativos o
aplicaciones para dañar los recursos informáticos.
3. Específicamente, en los ataques de negación de servicio, el equipo de cómputo
ya no es un blanco, es el medio a través del cual es posible afectar todo el
entorno de red; es decir, anular los servicios de la red, saturar el ancho de banda
o alterar el Web Site de la compañía. Con ello, es evidente que los riesgos están
en la red, no en la PC.
Es por la existencia de un número importante de amenazas y riesgos, que la
infraestructura de red y recursos informáticos de una organización deben estar
protegidos bajo un esquema de seguridad que reduzca los niveles de
vulnerabilidad y permita una eficiente administración del riesgo.
Para ello, resulta importante establecer políticas de seguridad, las cuales van
desde el monitoreo de la infraestructura de red, los enlaces de
telecomunicaciones, la realización del respaldo de datos y hasta el
reconocimiento de las propias necesidades de seguridad, para establecer los
niveles de protección de los recursos.
Las políticas deberán basarse en los siguientes pasos:
Identificar y seleccionar lo que se debe proteger (información sensible)
Establecer niveles de prioridad e importancia sobre esta información.
Conocer las consecuencias que traería a la compañía, en lo que se refiere a
costos y productividad, la pérdida de datos sensibles
Identificar las amenazas, así como los niveles de vulnerabilidad de la red
Realizar un análisis de costos en la prevención y recuperación de la
información, en caso de sufrir un ataque y perderla
Implementar respuesta a incidentes y recuperación para disminuir el impacto
Este tipo de políticas permitirá desplegar una arquitectura de seguridad basada
en soluciones tecnológicas, así como el desarrollo de un plan de acción para el
manejo de incidentes y recuperación para disminuir el impacto, ya que
previamente habremos identificado y definido los sistemas y datos a proteger.
Es importante tomar en consideración, que las amenazas no disminuirán y las
vulnerabilidades no desaparecerán en su totalidad, por lo que los niveles de
inversión en el área de seguridad en cualquier empresa, deberán ir acordes a la
importancia de la información en riesgo.
Así mismo, cada dispositivo que conforma la red empresarial necesita un nivel
de seguridad apropiado y la administración del riesgo implica una protección
multidimensional (firewalls, autenticación, antivirus, controles, políticas,
procedimientos, análisis de vulnerabilidad, entre otros), y no únicamente
tecnología.
Un esquema de seguridad empresarial contempla la seguridad física y lógica de
una compañía. La primera se refiere a la protección contra robo o daño al
4. personal, equipo e instalaciones de la empresa; y la segunda está relacionada
con el tema que hoy nos ocupa: la protección a la información, a través de una
arquitectura de seguridad eficiente.
Esta última debe ser proactiva, integrar una serie de iniciativas para actuar en
forma rápida y eficaz ante incidentes y recuperación de información, así como
elementos para generar una cultura de seguridad dentro de la organización.
Protección Contra Virus Los virus son una seria amenaza para todos los
sistemas de cómputo, especialmente los enlazados a redes o a servicios de
correo electrónico o internet. Los programas de protección antivirus son una
parte esencial de cualquier sistema de cómputo.
¿Qué es un virus de computadora?
Son programas desarrollados por programadores inescrupulosos o mal
intencionados que son capaces de ejecutar distintas funciones, tanto benignas
como malignas, en una computadora "infectada". Los virus benignos pueden
simplemente ejecutar funciones inofensivas (pero usualmente molestas) como
mostrar mensajes animados. Los malignos pueden alterar programas o
información, destruir archivos o provocar que se generen cantidades masivas
de correos electrónicos, amenazando la estabilidad de las redes al saturarlas de
información. Los virus se diseminan transfiriendo archivos infectados de una
computadora a otra. Esto puede ocurrir transfiriendo archivos en discos
removibles, accediendo o descargando archivos de internet o de una red o a
través de archivos enviados por correo electrónico. Los virus pueden ser
archivos ejecutables o en otros formatos, como de procesador de texto que
contengan macros. Al correr estos archivos ejecutables o abrir aquellos que
contienen macros infectados se puede activar el virus que puede provocar
daños considerables.
Algunos virus atacan programas de correo electrónico. Al ingresar a la lista de
direcciones almacenada por el usuario, el virus se puede reproducir enviando
copias a todas ellas. El efecto multiplicador de esta estrategia significa que un
virus puede propagarse a un gran número de computadoras por todo el mundo
en muy poco tiempo.
Las computadoras atacadas por un virus pueden experimentar daños muy
serios, y mucha información se puede perder o poner en riesgo. En los peores
casos, el disco duro de la computadora puede quedar inservible y perder toda
la información que contiene. En estos casos, lo mejor que se puede hacer es
reformatear el disco duro (limpiarlo y empezar otra vez) y volver a cargar todos
los programas y respaldos necesarios). La posibilidad de un ataque de virus es
un poderoso incentivo para realizar respaldos periódicos y exhaustivos de los
programas y la información. Para mayores detalles sobre los procedimientos de
respaldo.
Programas antivirus
5. La forma de proteger un sistema contra un ataque de virus es utilizando un
programa de protección. Los programas antivirus están diseñados para operar
permanentemente, por lo que el usuario normalmente no está consciente de que
al menos surja un problema. Los programas de protección están diseñados para
reconocer virus conocidos e impedir que generen sus efectos. Además, como
aparecen nuevos virus frecuentemente, los programas de protección también
están diseñados para identificar sus posibles actividades e impedir que operen.
Por ejemplo, un típico programa antivirus colocará una "etiqueta" en cada
archivo ejecutable conocido en cada computadora. Si un archivo ejecutable
desconocido trata de ejecutar un programa, el protector activará una alarma y le
solicitará al usuario si desea que opere. Si el usuario confirma que el archivo
ejecutable parece ser un virus, el programa de protección lo puede eliminar del
sistema. Desafortunadamente, ya que los nuevos virus adoptan nuevas
modalidades, los programas de protección tienen que ir tras ellos
continuamente y tratar de atrapar cada nuevo virus identificado. Como
resultado, los programas de protección tienen que ser actualizados
frecuentemente para asegurar que son capaces de identificar y manejar los
últimos virus conocidos. Un plan estructurado para actualizar los programas
antivirus puede ser parte de la estrategia tecnológica de un organismo electoral.
Prácticas seguras de la computadora
Independientemente de la presencia de programas de protección, algunos virus
pueden pasar desapercibidos e infectar un sistema de cómputo. A fin de
prevenir esta posibilidad, la información debe ser respaldada continuamente y
los usuarios deben aplicar prácticas seguras en la computadora. Debido a la
posibilidad de virus, todos los usuarios deben conocer los pasos necesarios para
evitarlos. Primero, los programas antivirus deben ser instalados y estar en
operación, no desactivados. Los administradores de sistemas con frecuencia
querrán monitorear la operación de estos programas para asegurarse que los
usuarios no los han desactivado o, mejor aún, los usuarios deben estar
impedidos de hacerlo. Segundo, los usuarios deben tener cuidado al abrir
archivos y especialmente de operar los programas ejecutables si no están
seguros de que han sido enviados por una fuente conocida y confiable. Incluso
los correos electrónicos enviados por conocidos pueden ser sospechosos, ya que
los virus pueden controlar la lista de correos de un usuario y enviar mensajes
utilizando cualquier nombre de esa lista. Los virus enviados por e-mail pueden
estar acompañados de mensajes convincentes que alienten a los usuarios a abrir
los archivos infectados. Los usuarios deben tener cuidado en estos casos. Si los
usuarios no están seguros de que los programas o archivos que han recibido
son confiables no deben abrirlos. En estos casos, los pueden eliminar (también
hay que hacerlo de la bandeja de reciclaje). Si el usuario no está seguro, se
puede contactar al remitente para verificar que el archivo o programa es
genuino. En caso de duda, es recomendable que el usuario contacte a un
asistente técnico o a una instancia de ayuda.
ISO/IEC 27001
6. La información tiene una importancia fundamental para el funcionamiento y
quizá incluso sea decisiva para la supervivencia de la organización. El hecho de
disponer de la certificación según ISO/IEC 27001 le ayuda a gestionar y
proteger sus valiosos activos de información.
ISO/IEC 27001 es la única norma internacional auditable que define los
requisitos para un sistema de gestión de la seguridad de la información (SGSI).
La norma se ha concebido para garantizar la selección de controles de
seguridad adecuados y proporcionales.
Ello ayuda a proteger los activos de información y otorga confianza a
cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta
un enfoque por procesos para establecer, implementar, operar, supervisar,
revisar, mantener y mejorar un SGSI.
¿Para quién es significativo?
ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o
pequeña, de cualquier sector o parte del mundo. La norma es particularmente
interesante si la protección de la información es crítica, como en finanzas,
sanidad sector público y tecnología de la información (TI). ISO/IEC 27001
también es muy eficaz para organizaciones que gestionan la información por
encargo de otros, por ejemplo, empresas de subcontratación de TI. Puede
utilizarse para garantizar a los clientes que su información está protegida.
Ventajas
El hecho de certificar un SGSI según la norma ISO/IEC 27001 puede aportar las
siguientes ventajas a la organización:
Demuestra la garantía independiente de los controles internos y cumple los
requisitos de gestión corporativa y de continuidad de la actividad comercial.
Demuestra independientemente que se respetan las leyes y normativas que
sean de aplicación.
Proporciona una ventaja competitiva al cumplir los requisitos contractuales y
demostrar a los clientes que la seguridad de su información es primordial.
Verifica independientemente que los riesgos de la organización estén
correctamente identificados, evaluados y gestionados al tiempo que formaliza
los procesos, procedimientos y documentación de protección de la información.
Demuestra el compromiso de la cúpula directiva de su organización con la
seguridad de la información.
El proceso de evaluaciones periódicas ayudan a supervisar continuamente el
rendimiento y la mejora.
Nota: las organizaciones que simplemente cumplen la norma ISO/IEC 27001 o
las recomendaciones de la norma del código profesional, ISO/IEC 17799 no
logran estas ventajas.
ISO/IEC 17799:27002 proporciona recomendaciones de las mejores prácticas en
la gestión de la seguridad de la información a todos los interesados y
7. responsables en iniciar, implantar o mantener sistemas de gestión de la
seguridad de la información. La seguridad de la información se define en el
estándar como "la preservación de la confidencialidad (asegurando que sólo
quienes estén autorizados pueden acceder a la información), integridad
(asegurando que la información y sus métodos de proceso son exactos y
completos) y disponibilidad (asegurando que los usuarios autorizados tienen
acceso a la información y a sus activos asociados cuando lo requieran)".
La versión de 2005 del estándar incluye las siguientes once secciones
principales:
1. Política de Seguridad de la Información.
2. Organización de la Seguridad de la Información.
3. Gestión de Activos de Información.
4. Seguridad de los Recursos Humanos.
5. Seguridad Física y Ambiental.
6. Gestión de las Comunicaciones y Operaciones.
7. Control de Accesos.
8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.
9. Gestión de Incidentes en la Seguridad de la Información.
10. Gestión de Continuidad del Negocio.
11. Cumplimiento
Dentro de cada sección, se especifican los objetivos de los distintos controles
para la seguridad de la información. Para cada uno de los controles se indica
asimismo una guía para su implantación. El número total de controles suma 133
entre todas las secciones aunque cada organización debe considerar
previamente cuántos serán realmente los aplicables según sus propias
necesidades. Con la aprobación de la norma ISO/IEC 27001 en octubre de 2005
y la reserva de la numeración 27.000 para la seguridad de la información, se
espera que ISO/IEC 17799:2005 pase a ser renombrado como ISO/IEC 27002 en
la revisión y actualización de sus contenidos en el 2007.
Certificación La norma ISO/IEC 17799 es una guía de buenas prácticas y no
especifica los requisitos necesarios que puedan permitir el establecimiento de
un sistema de certificación adecuado para este documento.
La norma ISO/IEC 27001 (Information technology - Security techniques -
Information security management systems - Requirements) sí es certificable y
especifica los requisitos necesarios para establecer, implantar, mantener y
mejorar un Sistema de Gestión de la Seguridad de la Información según el
famoso “Círculo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act
(Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas
descritas en ISO/IEC 17799 y tiene su origen en la norma británica British
Standard BS 7799-2 publicada por primera vez en 1998 y elaborada con el
propósito de poder certificar los Sistemas de Gestión de la Seguridad de la
8. Información implantados en las organizaciones y por medio de un proceso
formal de auditoría realizado por un tercero.