Editorial Universidad Manuela Beltrán...Juan Carlos Tafur Herrera Autoridades Académicas Rectora...

Editorial Universidad Manuela Beltrán

Seguridad en Redes Telemáticas

2018

Seguridad en Redes Telemáticas

Autores

Alexander Larrahondo Núñez

Manuel Antonio Sierra Rodríguez

Henry Leonardo Avendaño Delgado

Carlos Augusto Sánchez Martelo

Carlos Andrés Collazos Morales

Domingo Alirio Montaño Arias

Breed Yeet Alfonso Corredor

José Daniel Rodríguez Munca

Edición


Autores

Alexander Larrahondo Núñez

Ingeniero de sistemas,

especialista en seguridad de

redes, maestría en seguridad de

las TIC. CISM, Auditor Líder

ISO 27001, Auditor Líder ISO

31000, Auditor Líder ISO

22301

Carlos Augusto Sánchez

Martelo

Dr. (c) en Pensamiento

Complejo, Maestría en Diseño,

Gestión y Dirección de

Proyectos, Ingeniero de

sistemas, Certificado

Internacionalmente en ITIL Foundation v3,

Procesos en Desarrollo de Software y TIC

Henry Leonardo Avendaño

Delgado

Dr. (c) en Educación línea de

investigación Tecnologías de

la Información y

Comunicación para la

inclusión, Magister en

Educación, Especialista en Gerencia de

Telecomunicaciones, Ingeniero Electrónico.

Manuel Antonio Sierra

Rodríguez

Dr. (c) en Proyectos en la línea

de investigación en Tecnologías

de la Información y

Comunicación, Magíster en

Software Libre, Especialista en

Seguridad en Redes, Ingeniero

de Sistemas, Consultor en Seguridad de la

Información y Comunicaciones.

Domingo Alirio Montaño Arias

Dr. En Genética, Magister en

Biología, Biólogo, Investigador

Asociado, Universidad Manuela

Beltrán, BSc, MSc, PhD

Intereses de investigación en

Neurociencias, Genética y TIC

Aplicadas a la Educación.

Miembro comité editorial revista Journal of Science

Educations. Miembro fundador de la Sociedad

Iberoamericana de Biología Evolutiva.

Carlos Andrés Collazos

Morales

Postdoctorado en Ciencia y

Tecnología Avanzada, Dr. en

Ciencias, Magister en

Ingeniería Electrónica y

Computadores, Físico.

Breed Yeet Alfonso Corredor

Dr. (c) en Proyectos, Magister

en Educación, Especialista en

Desarrollo e Implementación de

Herramientas Telemáticas,

Ingeniera Electrónica, Directora

Académica y Calidad,

Consultora Nacional e Internacional Académica de

Educación Superior.

José Daniel Rodríguez Munca

Magister en Ciencias de la

Educación, Master en

Estrategias y Tecnologías para

el Desarrollo, Especialista en

docencia mediada por las TIC

e Ingeniero Electrónico.

Daniela Suarez Porras

Corrección de estilo (Editor secundario)

Diagramación: Cesar Augusto Ricautre

Diseño de portada: Cesar Augusto Ricautre

Publicado en Diciembre de 2018

Formato digital PDF (Portable Document Format)


Avenida Circunvalar Nº 60-00

Bogotá – Colombia

Tel. (57-1) 5460600

Seguridad en Redes Telemáticas. / Alexander Larrahondo Núñez… (y

otros 7) - Bogotá: Universidad Manuela Beltrán, 2018.

236 p.: ilustraciones, gráficas, tablas ; [versión electrónica]

Incluye bibliografía

ISBN: 978-958-5467-19-4

1. Seguridad en computadores 2. Protección de datos 3. Criptografía. i.

Avendaño Delgado, Henry Leonardo ii. Sánchez Martelo, Carlos Augusto. iii.

Sierra Rodríguez, Manuel Antonio iv. Collazos Morales, Carlos Andrés v.

Montaño Arias, Domingo Alirio. vi. Alfonso Corredor, Breed Yeet. vii.

Rodríguez Munca, José Daniel.

005.8 cd 23 ed.

CO-BoFUM

Catalogación en la Publicación – Universidad Manuela Beltrán

Alexander Larrahondo Núñez, Henry Leonardo Avendaño Delgado,

Carlos Augusto Sánchez Martelo, Manuel Antonio Sierra

Rodríguez, Carlos Andrés Collazos Morales, Domingo Alirio

Montaño Arias, Breed Yeet Alfonso Corredor, José Daniel

Rodríguez Munca

Seguridad en Redes Telemáticas, Bogotá, UMB

© Alexander Larrahondo Núñez, Henry Leonardo Avendaño

Delgado, Carlos Augusto Sánchez Martelo, Manuel Antonio Sierra

Rodríguez, Carlos Andrés Collazos Morales, Domingo Alirio

Montaño Arias, Breed Yeet Alfonso Corredor, José Daniel

Rodríguez Munca

© Universidad Manuela Beltrán

Bogotá, Colombia

http:// www.umb.edu.co

Queda prohibida la reproducción total o parcial de este libro por

cualquier proceso gráfico o fónico, particularmente por fotocopia,

Ley 23 de 1982

Autoridades Administrativas

Gerente

Juan Carlos Beltrán Gómez

Secretario General

Juan Carlos Tafur Herrera

Autoridades Académicas

Rectora

Alejandra Acosta Henríquez

Vicerrectoría de Investigaciones

Fredy Alberto Sanz Ramírez

Vicerrectoría Académica

Claudia Milena Combita López

Vicerrectoría de Calidad

Hugo Malaver Guzman

ISBN: 978-958-5467-19-4

13

TABLA DE CONTENIDO

Tabla de contenido TABLA DE CONTENIDO ...................................................................................................................... 13

Introducción ..................................................................................................................................... 17

GLOSARIO ...................................................................................................................................... 19

Capítulo 1: Introducción a la Seguridad de la Información ...................................................... 25

1.1 Conceptualización ............................................................................................................. 25

1.2 Pilares de la Seguridad de la Información .................................................................. 28

1.3 Activos de Información .................................................................................................... 30

1.4 Tópicos de la Seguridad Informática ........................................................................... 32

1.5 Contexto legal de la seguridad de la información .................................................... 34

1.6 Ejemplos .............................................................................................................................. 40

1.7 Reflexiones .......................................................................................................................... 40

1.8 Conclusiones ...................................................................................................................... 41

Capítulo 2: Ataque más comunes en las redes ......................................................................... 45

2.1 Elementos atacantes ........................................................................................................ 48

2.2 Amenazas de seguridad en la información ................................................................ 49

2.3 Seguridad en la Nube ....................................................................................................... 52

2.4 Ejemplos .............................................................................................................................. 57

2.5 Reflexiones .......................................................................................................................... 58

2.6 Conclusiones ...................................................................................................................... 58

Capítulo 3: Técnicas de Protección ............................................................................................. 63

3.1 Protocolos de seguridad ................................................................................................. 63

3.2 Políticas de Seguridad ..................................................................................................... 67

3.3 Defensa en profundidad .................................................................................................. 71

3.4 Endurecimiento de la seguridad física ........................................................................ 72

3.5 Ejemplos .............................................................................................................................. 74

3.6 Reflexiones .......................................................................................................................... 75

3.7 Conclusiones ...................................................................................................................... 75

Capítulo 4: Diagnóstico y Prospectiva de TIC ........................................................................... 79

4.1 Aseguramiento de las comunicaciones ...................................................................... 80

4.2 Funcionamiento del protocolo TCP/IP ......................................................................... 80

14

4.2.1 TWH ................................................................................................................... 85

4.2.2 FWH ................................................................................................................... 86

4.3 Seguridad en Redes Privadas Virtuales VPN ............................................................. 87

4.4 Protocolo IPSec ................................................................................................................. 89

4.5 Protocolo SSL, TLS y SSH ............................................................................................. 92

4.6 Ejemplos .............................................................................................................................. 94

4.7 Reflexiones .......................................................................................................................... 94

4.8 Conclusiones ...................................................................................................................... 95

Capítulo 5: Firewall e IDS/IPS ...................................................................................................... 99

5.1 Firewall ................................................................................................................................. 99

5.1.1 Arquitectura y Clasificación ....................................................................... 99

5.1.2 Tipos de Firewall .......................................................................................... 101

5.1.3 Implementación de Firewall ...................................................................... 104

5.2 IDS/IPS ................................................................................................................................ 106

5.2.1 Tipos y características ............................................................................... 107

5.2.2 Componentes de los IDS/IPS ................................................................... 109

5.2.3 Detección de intrusos en la capa de enlace del protocolo 802.11 . 111

5.3 Ejemplos ............................................................................................................................ 114

5.4 Reflexiones ........................................................................................................................ 114

5.5 Conclusiones .................................................................................................................... 115

Capítulo 6: Vulnerabilidades ....................................................................................................... 119

6.1 Concepto de Vulnerabilidad ......................................................................................... 119

6.2 Tipos de Vulnerabilidades ............................................................................................. 121

6.3 Herramientas de Análisis de Vulnerabilidades ........................................................ 124

6.4 Organizaciones que Publicas las Vulnerabilidades ............................................... 127

6.5 Ejemplos ............................................................................................................................ 130

6.6 Reflexión ............................................................................................................................ 131

6.7 Conclusiones .................................................................................................................... 132

Capítulo 7: Seguridad en Redes Inalámbricas y Cifrado de Datos ...................................... 135

7.1 Elementos de Seguridad Wi-Fi ..................................................................................... 136

7.2 Amenazas y Riesgos en Redes Móviles y en los Dispositivos ........................... 140

7.3 Ejemplos ............................................................................................................................ 144

7.4 Reflexiones ........................................................................................................................ 144

15

7.5 Conclusiones .................................................................................................................... 145

Capítulo 8: Criptografía ............................................................................................................... 148

8.1 Conceptos ......................................................................................................................... 148

8.2 Principios de Criptografía ................................................................................................... 149

8.3 Firma Electrónica y Certificados Digitales ............................................................... 154

8.4 Ejemplos ............................................................................................................................ 156

8.5 Reflexiones ........................................................................................................................ 157

8.7 Conclusiones .................................................................................................................... 157

Capítulo 9: Introducción al Pentest Web .................................................................................. 161

9.1 Etapas de un Pentesting ................................................................................................ 161

9.2 Entornos Web Vulnerables ........................................................................................... 164

9.3 Tecnologías Empleadas en el Servidor Web ............................................................ 166

9.4 Medidas de Protección contra el Malware ................................................................ 170

9.5 Ingeniería Social .............................................................................................................. 172

9.6 Ejemplos ............................................................................................................................ 175

9.6 Reflexiones .......................................................................................................................... 175

9.7 Conclusiones ........................................................................................................................ 176

Capítulo 10: SGSI, Auditoria y Plan de continuidad de Negocio .......................................... 179

10.1 El Sistema de Gestión de Seguridad de la Información ..................................... 179

10.1.1 Implementación del SGSI ........................................................................ 179

10.2 El Estándar ISO/IEC 27001:2013 ................................................................................ 181

10.3 Análisis de Riesgos y las Metodologías ................................................................. 185

10.4 Integración del SGSI (ISO 27001) e ISO 9001 – 14000 ......................................... 193

10.5 Ejemplos .......................................................................................................................... 194

10.6 Reflexiones ..................................................................................................................... 194

10.7 Conclusiones .................................................................................................................. 195

Capítulo 11: Auditoria de Seguridad de la Información .......................................................... 199

11.1 Auditorías Internas........................................................................................................ 199

11.2 Metodología para Auditoria del SGSI ....................................................................... 200

11.3 Técnicas e Instrumentos para Auditoria ................................................................. 207

11.4 Auditoria de Certificación ........................................................................................... 212

11.5 Ejemplos .......................................................................................................................... 214

11.6 Reflexiones ..................................................................................................................... 215

16

11.7 Conclusiones .................................................................................................................. 215

Capítulo 12: DRP\Plan de Continuidad del Negocio............................................................... 219

12.1 Conceptualización ......................................................................................................... 219

12.2 Plan de Respuesta a Incidentes ................................................................................ 223

12.3 DRP ................................................................................................................................... 225

12.4 Ejemplos .......................................................................................................................... 227

12.5 Reflexiones ..................................................................................................................... 228

12.6 Conclusiones .................................................................................................................. 228

13. Bibliografía .............................................................................................................................. 230

17

Introducción

Telemática proviene de las palabras Telecomunicaciones (que son comunicaciones a

distancia) e informática (que se encarga del estudio del procesamiento y trasmisión de

información y datos) y el termino actualmente engloba el activo más valioso de la gran

mayoría de las compañías del siglo XXI es la información, la seguridad en su recolección,

procesamiento, consulta, transmisión y almacenamiento es uno de los principales retos

que traen las tecnologías que utilizamos hoy en día y las que utilizaremos en el futuro.

Los procesos de generación, transmisión, consulta y almacenamiento de la

información que soporta el negocio se hacen haciendo uso de las facilidades y

características de las redes telemáticas, por lo que su seguridad es uno de los puntos de

vital importancia con el fin de garantizar las características mínimas de seguridad,

conocidas como la triada de seguridad CID “Confidencialidad, Integridad y

Disponibilidad”.

19

GLOSARIO

BIA: Business Impact Analysis, análisis de impacto al negocio es un proceso que ayuda

a evaluar la criticidad y sensibilidad de los activos de información, determinando el

impacto de no poder ejecutar algún proceso de la organización, determina los recursos

mínimos necesarios para la recuperación y prioriza los procesos a recuperar y el

sistema de soporte de los mismos (ISACA, 2017)

CERT: Computer Emergency Response Team, equipo de respuesta a emergencias de

computador, equipo integrado con líneas claras de informes y responsabilidades para

la repuesta a emergencias relacionadas con los sistemas de información (ISACA, 2017).

CMMI: “Capability Maturity Model Integration” Integración de Modelos de Madurez o

Capacidades, modelo que detalla los atributos necesarios que caracterizan a una

organización que está en determinado estado de madurez (Institute, 2017).

CIO: “Chief Information Officer” (comunidad.iebschool.com, 2016).

COBIT: “Control Objetives for Information and Related Technology) marco de

referencia que proporciona directrices y mejores prácticas para la gestión de procesos

de IT (ISACA, 2017).

Cold Site: Sitio alterno para procesasmiento de información que aún no está equipado

para prestar sus servicios y que se equipara en el momento de darse su necesidad

(ISACA, 2017).

DLP: “Data Loss Prevention” software que permite la implementación de controles que

buscan la prevención de perdida de datos (Mcafee, 2017).

20

DRP: Disaster Recovery Plan, conjunto de recursos humanos, técnicos y de

procedimientos para recuperar, dentro de un tiempo y costo definido, una actividad

interrumpida por una emergencia o un desastre (ISACA, 2017).

ERP: Acrónimo del inglés Enterprise Resource Planning o Planificación de recursos

empresariales (ticportal, 2017).

Hot Site: Instalación de procesamiento de datos externa totalmente operativa y

equipada con hardware y software de sistema para usarse en caso de desastre (ISACA,

2017).

ISO/IEC 38500: Norma internacional que proporciona un marco de principios sobre

gestión de IT (ISO, 2017).

ISO/IEC 27001: Norma internacional que proporciona un marco de referencia para la

implementación de un Sistemas de Gestión de Seguridad de la Información (SGSI).

(ISO, 2017).

IaaS: Infraestructure As A Service, infraestructura como servicio, modalidad de

contratación de infraestructura e la nube (ISACA, 2017).

Políticas: Conjunto de normas de conocimiento dentro de la organización que rigen de

manera estricta los principios, usos y/o características habilitadas en los procesos de la

misma definiendo las condiciones bajo las cuales estos usos son permitidos (ISACA,

2017).

PYME: Acrónimo de Pequeña Y Mediana Empresa, que hace referencia a organizaciones

pequeñas que componen un porcentaje importante del sector económico de cualquier

país (Wikipedia, 2017).

21

RPO: Recovery Point Objective, perdida de datos aceptable en caso de una interrupción

de las operaciones, indica el punto más temprano en el tiempo que es aceptable para

recuperar los datos (ISACA, 2017).

RTO: Recovery Time Objective, cantidad de tiempo permitido para la recuperación de

una función de negocio o recurso después de un evento (ISACA, 2017).

SaaS: Software As A Service, Software como Servicio, son oferta de productos de

software listos para usar para las organizaciones(Wikipedia, 2017).

TIC: Sigla de Tecnología de la Información y las Comunicaciones (enticconfio, 2017).

Warm Site: Similar a un Hot Site pero no completamente equipado con todo el

hardware necesario para la recuperación (ISACA, 2017).

23

Capítulo I

Intr

od

ucc

ión

a la

Seg

uri

dad

de

la In

form

ació

n

Conceptualización

Pilares de la Seguridad de la Información

Activos de Información

Tópicos de la Seguridad Informática

Contexto legal de la seguridad de la

información

Ejemplos

Reflexiones

Conclusiones

Introducción a la Seguridad de la Información

25

Capítulo 1: Introducción a la

Seguridad de la Información

Este capítulo tiene por objeto que el lector comprenda y apropie los conceptos básicos

de la seguridad de la información, que apropie los conceptos que le permitan

diferenciar seguridad informática versus seguridad de la información, que comprenda

los aspectos legales que soportan la seguridad de la información y sus implicaciones y

que conozca el contexto nacional e internacional a través de una breve revisión de los

estándares y/o normas más representativas.

En el segundo capítulo trataremos los ataques más comunes a las redes, elementos

atacantes, amenazas de seguridad en la información y por último seguridad en la nube

y en el último capítulo podemos identificar las técnicas de protección, protocolos de

seguridad, políticas, defensa en profundidad y endurecimiento de la seguridad.

La comprensión y apropiación de todos estos conceptos es muy importante para la

formación profesional y su correcta aplicación ayudará a las organizaciones a proteger

su información en la búsqueda de cumplir con sus objetivos estratégicos y es de vital

importancia para proteger la información que circula por las diferentes redes en una

sociedad digital como la nuestra.

1.1 Conceptualización

El concepto de seguridad de la información es bastante amplio y engloba los

controles o medidas tanto preventivas como correctivas que resguardan tanto los

26

recursos tecnológicos como los procesos que gestionan la información buscando

proteger la confidencialidad, integridad y disponibilidad de la misma.

La información se puede definir como una colección o conjunto de datos que

constituyen un mensaje que tiene sentido para el receptor y que modifica su nivel de

conocimiento, la información se puede encontrar en diferentes formas como escrita,

oral, visual, digital, etc, y dentro de sus características más importantes resaltan el

valor, vigencia e importancia, la sociedad moderna genera enormes cantidades de

información que los individuos o empresas gestionan e interpretan para apoyar sus

procesos de toma de decisiones.

Tabla 1: Unidades de almacenamiento

Larrahondo, A. (2017) Elaboración modulo virtual Seguridad en Redes Telemáticas. Construcción propia

basado en una gráfica obtenida en: http://www.aventurine.com/the-3-vs-of-big-data-why-they-matter-to-

you/

Para poder dimensional la cantidad de información que producimos hoy en día,

debemos tener claras las escalas de medición de la misma, teniendo en cuenta que las

computadoras funcionan con el sistema binario (unos y ceros) o presencia y ausencia

de voltaje, la menor unidad de información sería un Bit que representaría un cero o un

Factor Binario

1 Byte (B) 8 Bits 2^0= 1 Byte

1 Kilobyte (Kb) 1024 B 2^10=1.024 Bytes

1 Megabyte (Mb) 1024 Kb 2^20=1.048.576 Bytes

1 Gigabyte (Gb) 1024 Mb 2^30=1.073.741.824 Bytes

1 Terabyte (Tb) 1024 Gb 2^40=1.099.511.627.776 Bytes

1 Petabyte (Pb) 1024 Tb 2^50=1.125.899.906.842.624 Bytes

1 Exabyte (Eb) 1024 Pb 2^60=1.152.921.504.606.846.976 Bytes

1 Zettabyte (Zb) 1024 Eb 2^70=1.180.591.620.717.411.303.424 Bytes

1 Yottabyte (Yb) 1024 Zb 2^80=1.208.925.819.614.629.174.706.176 Bytes

1 Brontobyte (Bb) 1024 Yb 2^90=1.237.940.039.285.380.274.899.124.224 Bytes

1 Geopbyte (Gb) 1024 Bb 2^100=1.267.650.600.228.229.401.496.703.205.376 Bytes

Unidad de almacenamiento

27

uno, a partir de allí las escalas aumentan basadas en los factores binarios como se

observa en la tabla uno (1).

El increíble aumento de las velocidades de procesamiento que se ha conseguido

desde los inicios de la computación, facilitan enormemente la gestión de cantidades

desorbitantes de información, la conexión a internet a su vez facilita su búsqueda,

consulta y descarga desde muchas fuentes diferentes contribuye en gran medida a este

aumento en la generación de información, la información en formato multimedial

aumenta de manera considerable la cantidad de bytes que esta información representa

y que se transmite y consume de parte de los usuarios

Tabla 2: Estimado de Exabytes por mes

Larrahondo, A. (2017) Elaboración modulo virtual Seguridad en Redes Telemáticas. Construcción propia

basado en una gráfica obtenida en: http://www.cisco.com/c/en/us/solutions/collateral/service-

provider/visual-networking-index-vni/vni-hyperconnectivity-wp.pdf

Según la tabla dos (2) tomada del documento “The Zettabyte Era: Trends and Analysis”

del fabricante CISCO, en el 2016 se transmitieron mensualmente 96 exabytes de

96

122

151

186

228

278

0

50

100

150

200

250

300

2016 2017 2018 2019 2020 2021

Exabytes por Mes

28

información y este número aumentara de manera gradual hasta llegar a 278 exabytes

mensuales en el año 2021.

Otro concepto que hay que dejar claro es la diferencia entre seguridad informática y

seguridad de la información, la seguridad informática se enfoca en proteger la

infraestructura sobre la cual se gestiona la información (Pc’s, portátiles, servidores,

redes, etc) o dicho de otro modo la seguridad informática se ocupa de la seguridad de

la información pero dentro de las fronteras del dominio de la tecnología generalmente

desde el rol de custodios de la misma, recordemos que IT no es dueño ni de la

información ni de los sistemas solo es un facilitador de la utilización de los mismos en

la organización, mientras que la seguridad de la información se encarga de velar por el

cumplimiento de la triada de la seguridad sin importar el medio en que la información

se gestione o se encuentre (oral, escrita, impresa, digital), por lo que la seguridad de la

información contendría a la seguridad informática, por lo que la seguridad informática

se puede ver como la línea táctica y operacional de la seguridad, mientras que la

seguridad de la información se puede ver como la línea estratégica, teniendo clara esta

distinción debemos aclarar cuáles son los elementos que queremos proteger.

1.2 Pilares de la Seguridad de la Información

El aumento de la información que generamos y consumimos no solo requiere

constantes mejoras en la infraestructura que soporta la transmisión procesamiento y

almacenamiento, sino que requiere de medidas de resguardo y aseguramiento de los

diferentes elementos tecnológicos y computaciones que intervienen en los procesos en

los cuales esta información es gestionada, para ello la seguridad de la información

cuenta con sus conocidos pilares que son confidencialidad, integridad y disponibilidad

29

Confidencialidad: Medida en la cual la información debe ser solo accedida por quienes

tengan derecho legítimo. Este concepto es importante en sectores como el sector salud,

el sector financiero y otros

Integridad: Medida en la cual la información debe permanecer inalterada en sus

procesos de almacenamiento, transmisión y consulta de la misma. Este concepto es

importante para sectores de la economía en donde la exactitud de la información es

vital, algunos ejemplos pueden ser el sector financiero, el sector salud, el sector

aeronáutico, el e-commerce, etc.

Disponibilidad: Medida en la cual la información debe estar disponible para su uso en

el momento en que se requiera. Este concepto es importante para la información de

sectores como la banca, las ventas on line, los servicios de salud, y en general sectores

en donde el acceso a la información en el momento requerido es una característica vital

Existen otros conceptos o dimensiones adicionales a estos y que tienen inclusive

contextos legales:

Autenticidad y no repudio: Este concepto trata sobre la garantía de la identidad del

usuario que realiza determinada acción y la condición de que esta acción no pueda ser

negada por el usuario que la realiza.

Trazabilidad: Este concepto trata de la necesidad de poder reconstruir las acciones

realizadas sobre un sistema y el autor de las mismas.

30

1.3 Activos de Información

Para poder aplicar los criterios de seguridad de la información una de las principales

actividades es identificar la lista de activos de información con las que cuenta la

organización y con esta lista priorizar los activos que se encuentran directamente

relacionados con el cumplimiento de los objetivos estratégicos de la organización, y a

ellos realizarles el análisis de riesgos que a su vez ayudará a la determinación de los

controles a aplicar a cada uno de ellos, controles que se deben aplicar con el objetivo de

minimizar los riesgos a los que están expuestos.

Un activo es aquello que tiene un valor para la organización y los activos de

información, serán los recursos tangibles o intangibles con los que una organización

gestiona la información que usa para cumplir los objetivos de negocio, dentro de los

activos de la información relacionados con IT tenemos los archivos, bases de datos,

software, hardware (pc’s, portátiles, servidores, impresoras, telefonía), archivo físico,

equipos de telecomunicaciones, equipos de seguridad, etc.

En términos generales los activos de información será cualquier activo que este

directamente involucrado en la generación, trasmisión, procesamiento y

almacenamiento de información física y/o digital e incluyen las personas e

instalaciones.

Para cada uno de estos activos, el inventario debe tener la mayor cantidad útil de

información posible con el fin de facilitar su ubicación de manera inequívoca en la

organización e identificación de sus propietarios y/o responsables (Identificación, tipo,

descripción, área, serial, proceso, responsable, proveedor, etc), usuarios, derechos de

acceso, dirección IP, dirección MAC, etc.

31

Estos datos acerca de los activos de información facilitaran su valoración, los análisis

de riesgos a realizar sobre los activos y la estimación de su impacto sobre los procesos

del negocio en caso de perdida y/o indisponibilidad del activo.

Los activos por analizar se pueden clasificar en los siguientes tipos:

Físicos: En esta categoría estaría todo el hardware como los pc’s, los portátiles,

servidores, impresoras, routers, switches, teléfonos, etc.

Lógicos: Aquí estarían los elementos de software de la organización, sistemas

operativos, aplicaciones del mercado, desarrollos internos, etc.

Infraestructura: Aquí están los elementos de infraestructura que soportan la

operación de la organización como edificios, cableados eléctricos y de datos, UPS’s, etc.

Personal: Son las personas que componen la organización desde el punto de vista de

los perfiles que conforma la estructura de personal de la misma, usuarios,

administradores de sistemas, DBA’s, administradores de seguridad, etc.

Intangibles: Son los activos que no son físicos, pero son representativos para la

organización como la imagen corporativa y el know how.

Todos los activos deben poder valorarse para efectos contables y de valoraciones de

riesgo, por ello hay varios tipos de valores para los diferentes tipos de activos, el valor

de reposición, el valor de uso y el valor de perdida de oportunidad

32

1.4 Tópicos de la Seguridad Informática

Para muchas de las organizaciones modernas la información no es solo un insumo

que ayuda en sus procesos para conseguir los objetivos estratégicos, en la economía

digital de hoy en día, para muchas de las organizaciones la información es su principal

activo y su core de negocios, la necesidad de contar con elementos, políticas y

estrategias de seguridad para la información es tan o más importante que contar con

estos mismos elementos para otros procesos vitales de la organización, la evolución de

los conceptos de seguridad muestran que los encargados de estos procesos tienen

visibilidad de la alta dirección y en organizaciones donde la información es el core del

negocio los responsables de la seguridad de la información ya pertenecen a las altas

esferas de la organización.

Una vez clara la diferencia entre seguridad información y seguridad informática,

aunque la evaluación de amenazas hace parte del proceso de evaluación de riesgos y es

común ver que se utilizan como si fueran sinónimos, una amenaza es diferente a un

riesgo, se puede decir en términos generales que una amenaza es una acción o hecho

que puede inferir o producir un daño sobre un bien o activo y que son de naturaleza

lógicas o físicas, y también que según su origen las amenazas se pueden dar clasificar

en:

Amenazas naturales: Terremotos, incendios, inundaciones

Amenazas externas: Sabotaje, hacker’s, estafas, robos

Amenazas Internas: Empleados descontentos, decisiones corporativas erróneas,

etc.

Las amenazas se pueden agrupar según el factor de seguridad que pueden

comprometer se clasifican en:

Interrupción

33

Modificación

Fabricación

Interceptación

Ilustración 1: Ataques a la seguridad de la Información

Larrahondo, A. (2017). Diseño del módulo virtual para la asignatura Seguridad en redes

Telemáticas

En la ilustración dos (2) podemos observar el flujo de información como un

proceso normal entre un emisor y un receptor y se evidencia un intruso.

Para el caso de la interceptación, es posible reconocer que, si bien se mantiene

el flujo de la información entre el emisor y el receptor, el intruso logra

interceptar la comunicación y quedarse con copia de la información, de la triada

de la seguridad se pierde la confidencialidad de la información, el caso más usual

es la de software snnifer de trafico.

34

Para el caso de la modificación, el intruso no solo intercepta el tráfico, sino

que está en capacidad de modificarlo, alterando la información que le llega al

receptor, en este caso de la triada se pierde la confidencialidad, y la integridad,

una técnica que usa este tipo de ataque es “man in the Middle”.

Para el caso de interrupción, el intruso consigue interrumpir el flujo de la

información impidiendo que el receptor reciba la comunicación, en este caso se

pierde la disponibilidad de la información, una técnica que usa este tipo de

ataque es “DoS” (Denegación de servicio).

Para el caso de la fabricación de la información, el intruso consigue agregar

tráfico al flujo normal de datos entre emisor y receptor, en este caso de la triada

se pierde la integridad de la información, dado que la información que le llega al

receptor no es la que origina el receptor, una técnica que usa este tipo de ataque

es “Inyección de SQL”.

Algunos de los tópicos en los cuales se hace más énfasis en la seguridad informática en

las organizaciones son:

Seguridad del protocolo TCP/IP

Seguridad de Bases de Datos

Seguridad de aplicaciones

Seguridad en la Nube

Cada uno de estos tópicos está completamente integrado con los demás y en

cada uno de ellos se puede hablar de sus respectivas contramedidas

1.5 Contexto legal de la seguridad de la información

La importancia del proceso de aseguramiento ha generado que a lo largo de las últimas

décadas se desarrollen marcos de trabajo y/o normativas que definen los elementos

35

necesarios para la implementación de procesos de aseguramiento de la información, la

primera entidad normalizadora a nivel mundial fue BSI British Standards Institution)

que en el año 1995 gestiono seguridad de la información para las empresas británicas

con la norma BS-7799 que tenía dos partes la BS-7799-1 Guía de buenas prácticas, que

no era certificable y la BS-7799-2 que estableció el SGSI (Sistema de Gestión de

Seguridad de la Información) como una entidad independiente para ser certificable, en

el año 1999 fueron revisadas y en el 2000 la norma BS-7799-1 se adoptó casi sin

cambios como norma ISO 17799, para el 2005 la norma BS-7799-2 se publicó con

algunos cambios como la norma ISO 27001.

Ilustración 2: Estándares y marcos vigentes

Larrahondo, A. (2017). Diseño del módulo virtual para la asignatura Seguridad en redes Telemáticas

En la ilustración uno se pueden observar los estándares y marcos vigentes para

trabajar seguridad de la información, descendiendo desde los marcos regulatorios más

36

generales, pasando por los marcos de gobierno corporativo y los objetivos de control y

por último los controles como su punto de vista más específico, la implementación de

estos marcos regulatorios se han dado por la necesidad de establecer controles para

proteger a las organizaciones y a sus partes interesadas de los problemas relacionados

con los manejos incorrectos de la información, uno de los casos más sonados es el de

SOX “Sarbanes-Oxley Acto f 2002” que nace en los Estados Unidos como una ley que

reforma la contabilidad pública de las empresas y que se motivó principalmente por el

caso de Enron “Enron Creditors Recovery Corporation” esta compañía llego a estar en

el top 10 de las compañías de los Estados Unidos, el escándalo por manejos indebidos

de fondos y ocultamiento de información la llevo a la quiebra en 2001 y de paso causo

la disolución de Arthur Andersen que era una de las más prestigiosas firmas de

auditoría y contabilidad, la quiebra de Enron afecto a miles de accionistas que

perdieron cerca de 11 mil millones de dólares, SOX implemento nuevas

responsabilidades por alterar, crear o destruir información con el fin de inducir a los

accionistas a errores.

Las demás regulaciones de la ilustración uno, tiene también como objeto reforzar los

controles que el gobierno tiene sobre la información financiera y de auditoria de las

firmas que cotizan en bolsa con el fin de proteger a los accionistas, HIPAA por ejemplo

es la Ley de responsabilidad y transferencia de seguros médicos “Health Insurance

Pottability and Accountability Act” que contempla la protección de las coberturas

médicas para los ciudadanos de los Estados Unidos cuando estos cambian o pierden su

trabajo, en su componente de privacidad esta ley, limita el uso y la divulgación de

información relacionada con el registro medico a su mínimo indispensable. FISMA por

su parte es el acrónimo del inglés de la ley federal de administración de la Seguridad de

la Información “Federal Information Security Management Act”.

Las regulaciones aplican dependiendo el país en el que la organización realice sus

actividades o en donde tenga contactos comerciales, para casi cada sector existen

37

regulaciones que aplican, entre más importante sea la información con las que se

realizan los objetivos de las organizaciones, mayor será el control de los entes

regulatorios y por lo mismo la regulación aplicable, es probable también que una

organización esté sujeta a varias de estas regulaciones, lo que complica su panorama

regulatorio y obliga a la formalidad con todos los procesos que generan, modifica,

consultan o transmiten información.

Por otro lado COSO es un marco de referencia para la gestión del sistema de control

interno, apoya la gestión de riesgos y la disuasión del fraude como parte de su principal

objetivo, el modelo de OCEG propone un sistema de estándares que buscan ayudar a los

profesionales a mejorar las capacidades de GRC (Gestión Riesgo y Cumplimiento), estos

marcos generales de gobierno corporativo al ser generales son independientes del

sector al que pertenezca la compañía y buscan generar herramientas de gobierno

apoyadas en mejores prácticas de la industria que sean aplicables a organizaciones de

todos los sectores.

Descendiendo a lo más específico nos encontramos con los objetivos de control como

COBIT acrónimo en inglés de (Objetivos de Control para Información y Tecnologías

relacionadas “Control Objetives for Information and related Technology” que se define

como un marco de trabajo con las mejores prácticas para el control y supervisión de

tecnologías de la información, al ser este componente uno de los más importantes en

las organizaciones del siglo XXI ese marco de trabajo facilita la implementación de

buenas prácticas en organizaciones de múltiples sectores, ITIL acrónimo de “IT

Infraestructure Library” es un marco que describe las mejores prácticas para la

administración, gestión y entrega de servicios de IT, está fundamentado en ocho libros

cada uno de ellos enfocado en un tema específico de gestión de IT, CMM “Capability

Maturity Model” o modelo de madurez de capacidades, fue desarrollado originalmente

por la universidad Carnie-Mellon para el Software Engineering Institute.

38

En cuanto al conjunto de normas ISO/IEC 20000 son propuestas por el “International

Organization for Standardization” e IEC “International Electrotechnical Commission” y

es básicamente la serie de estándares para gestión de servicios de IT, basados a su vez

en los estándares de la BSI “British Standards Institution.

Bajando en especificidad nos encontramos entonces con los documentos, normas,

estándares o marcos de trabajo que sugieren los controles específicos orientados a

seguridad de la información, aquí encontramos la norma ISO/IEC 27002 es una guía de

buenas prácticas para la implementación de los controles de seguridad que apoyan la

implementación y gestión del SGSI (ISO/IEC 27001), dividida en 14 dominios con 114

controles en total, de los cuales no es obligatorio implementar ninguno, de hecho una

organización puede definir sus propios controles e implementarlos y con ello garantizar

la seguridad de la información, sin embargo la guía de la norma ISO/IEC 27002 es

indispensable para la definición e implementación de los controles.

Como se puede observar observar la industria cuenta con los marcos de trabajo

suficientes y necesarios para el aseguramiento de la información que es un requisito

regulatorio para casi todas las industrias en todos los países hoy en día y se cuentan con

las herramientas necesarias para desarrollar el gobierno y la gestión necesaria para

asegurar este cumplimiento regulatorio, también el lector puede observar que son

varias las opciones a considerar para su implementación considerando que

dependiente del sector de la industria existirán marcos de obligatorio cumplimiento, el

ambiente se vuelve más complejo cuando es necesario cumplir dos o más de estos

marcos o buenas prácticas, y es allí donde el gobierno de estas iniciativas debe estar

soportado de manera suficiente por la alta gerencia y tener sus objetivos claros con el

fin de optimizar el uso de recursos y herramientas para no perder de vista el fin últimos

de los mismos que es proteger la información de la organización.

39

Dentro del marco normativo colombiano, es necesario que el lector conozca varias

leyes, una de las más importantes es la ley 1273 del 2009 “Por medio de la cual se

modifica el código penal, se crea un nuevo bien jurídico tutelado – denominado “de la

protección de la información y de los datos” y se preservan integralmente los sistemas

que utilicen las tecnologías de la información y las comunicaciones, entre otras

disposiciones”. La ley está dividida en dos capítulo, en el primer capítulo están definidos

los artículos que tratan de los atentados contra la confidencialidad, integridad y la

disponibilidad de los datos y de los sistemas informáticos, el segundo capítulo trata de

los atentados informáticos y otras infracciones

Capitulo Primero

Artículo 269 A: Acceso abusivo a un sistema informático

Artículo 269 B: Obstaculización ilegitima de sistema informático o red de

telecomunicación

Artículo 269 C: Interceptación de datos informáticos

Artículo 269 D: Daño informático

Artículo 269 E: Uso de software malicioso

Artículo 269 F: Violación de datos personales

Artículo 269 G: Suplantación de sitios web para capturar datos personales

Artículo 269 H: Circunstancias de agravación punitiva

Capitulo Segundo

Articulo 269 I: Hurto por medios informáticos y semejantes

Articulo 269 J: Transferencia no consentida de activos

Para la mayoría de los artículos se contemplan penas económicas que pueden llegar

a 1500 SMLMV y de prisión que pueden llegar a los 120 meses, la implementación de

esta ley sin embargo ha encontrado que algunos de los jueces de nuestra república no

tienen un conocimiento muy fuerte en TIC y en el manejo de evidencia digital, además

40

la realización de actividades ilegales a través de internet, tiene la complejidad adicional

de ubicar físicamente al infractor, la realización de este tipo de infracciones además es

transnacional, lo que complica desde el punto de vista jurídico la aplicación exacta de

la ley.

1.6 Ejemplos

El gobierno de Colombia a través de la guía número cinco (5) entrego la “Guía para

la Gestión y clasificación de Activos de Información” este documento que se encuentra

disponible en el sitio web de MinTic, basando se en normativa colombiana como la Ley

de Transparencia, y en la norma ISO 27005 es una excelente guía para tomar de ejemplo

en cuanto a la gestión y clasificación de activos.

Otro excelente documento que nos puede aportar como ejemplo, es el del “Modelo

de Seguridad y Privacidad de la Información”, en este documento se hace una

descripción detallada del modelo de operación de seguridad y privacidad, incluye

además de las fases de planificación e implementación, las fases de evaluación del

desempeño y mejora continua.

1.7 Reflexiones

La apropiación y aplicación de los conceptos de seguridad de la información es

determinante en la protección de la información con la que las organizaciones

gestionan sus procesos, la correcta aplicación de los pilares de la seguridad ayuda a la

organización a determinar los controles que deberá aplicar para su protección.

La necesidad de proteger de manera adecuada la información ha generado la

aparición de distintos modelos de seguridad y privacidad, varios de ellos son lo

41

suficientemente maduros para que los utilicemos al interior de nuestras organizaciones

para que se adapten a nuestro estilo de gestión interno

1.8 Conclusiones

En las organizaciones de la era digital el principal activo es la información, los

esfuerzos que estas realicen para protegerla deben ser los adecuados y pertinentes de

acuerdo a sus características, los entes regulatorios y los usuarios finales son consiente

del valor de la información y exigirán cada vez con mayor fuerza que se apliquen los

controles necesarios para tenerla debidamente resguardada.

Los ataques a la información y a la infraestructura que soporta su generación,

procesamiento, transmisión y almacenamiento son cada vez más frecuentes, las

correctas valoraciones de las técnicas de protección permiten que las organizaciones

seleccionen las medidas apropiadas de protección dentro de un abanico cada vez más

grande de solución con múltiples características.

43

Capítulo II

Ata

qu

es M

as C

om

un

es e

n la

s R

edes

Elementos Atacantes

Amenazas deSeguridad en la Información

Seguridad en la Nube

Ejemplos

Reflexiones

Conclusiones

Ataques más Comunes en las Redes

45

Capítulo 2: Ataque más comunes en

las redes

Para la revisión de los ataques más comunes a las redes, el lector debe conocer las

bases de la comunicación de las mismas, para ello revisaremos el más popular, no el

único de protocolos de comunicación en redes de datos, TCP/IP y para ello se hace

necesario que mencionemos un poco de historia del mismo, como parte de un plan de

contingencia ante un ataque a sus redes, en la década de los años 60’s enmarcados por

la guerra fría, la agencia de proyectos de investigación avanzada del departamento de

defensa de los Estados Unidos (DARPA) se dio a la tarea de desarrollar una red que

fuera completamente distribuida, para ello se rompió el paradigma de la comunicación

de redes a través de conmutación de circuitos que básicamente solicitaba el

establecimiento de una conexión dedicada entre dos redes, algo que por esa época era

extremadamente difícil técnicamente hablando y costoso, entonces surgió la idea de

realizar conmutación de paquetes, basado en este concepto se desarrolló la red

ARPANET, de carácter experimental y con la finalidad de ser tolerante a los fallos, a

mediados de los 70’s se trabajó en la interconexión de distintas redes, y en 1974 se

establecieron las bases de desarrollo de la familia de protocolos TCP/IP que sigue

vigente hoy en día.

Tal como se observa en la ilustración número tres (3), esta familia de protocolos se

divide en cuatro capas cada una de las cuales tiene una funcionalidad especifica

Capa de Red: En esta capa se gestionan las comunicaciones usando el medio físico de

transmisión que puede ser dedicado (redes punto a punto) o compartido (redes

Ethernet y redes inalámbricas

46

Capa de Internet: O capa de Internetworking es la capa que homogeniza la conexión

de los diferentes equipos a la red, sin importar el medio físico que usaron para esta

conexión, sus principales funciones son el manejo de las direcciones y el

encaminamiento (enrutamiento) de los paquetes de datos

Ilustración 3: Modelo TCP/IP


Capa de Transporte: Esta capa da fiabilidad a la red mediante el manejo del control de

flujo, esta capa esta implementada en los equipos finales, los enrutadores o routers no

la implementan.

Capa de aplicación: Capa en la cual están las aplicaciones que consumen la data que

transporta el conjunto de protocolos TCP/IP, esta capa solo se implementa en equipos

de usuario final

47

Para cada una de las capas anteriores tenemos implementaciones de protocolos

distintos que soportan diferentes servicios, y existen también debilidades de diseño que

implican vulnerabilidades en los mismos, la coexistencia entre los protocolos existentes

en cada una de estas capas, más las vulnerabilidades de las aplicaciones y sistemas

operativos que sustentan los puntos de usuario final, generan un entorno con

demasiadas variables que se deben controlar y monitorear, siendo esta una tarea de

bastante complejidad para lo cual lo más óptimo es usar herramientas de seguridad

especializadas.

Las vulnerabilidades más comunes en la capa de red están asociadas a adulteraciones

de los medios de transmisión, cortes de los mismos, desvíos o dispositivos de

bifurcación y/o copia del tráfico que pasa por ellos, en la capa de internet es vulnerable

a ataques que afecten los datagramas IP algunas técnicas son Sniffing, suplantación,

denegación y otras, en la capa de transporte es vulnerable a ataques que afecten la

autenticación, integridad y a la confidencialidad, en la capa de aplicación las

vulnerabilidades están asociadas a los protocolos propios de esta capa, y en términos

generales son vulnerabilidades más específicas de las aplicaciones y de sus procesos de

autenticación, gestión, transporte y almacenamiento de datos, aunque existen

vulnerabilidades especificas en las implementaciones de cada uno de los protocolos

como http, smtp, dns, dhcp, etc o vulnerabilidades de diseño que los pueden afectar sin

importar que fabricante puntual realizo la implementación.

48

Ilustración 4: Algunos protocolos del modelo TCP/IP


En la ilustración cuatro (4), el estudio puede observar algunos de los protocolos más

significativos del modelo TCP/IP en cada una de sus capas, esta ilustración no pretende

ser una recopilación exhaustiva de los protocolos por capa, pretende srvir de base para

mostrar solo algunos de ellos.

2.1 Elementos atacantes

En la ilustración uno (1) ya habíamos mostrado las amenazas según el factor de

información que pueden comprometer, es este apartado se le mostrara al lector las

definiciones de los diferentes tipos de atacantes, cabe anotar que estas definiciones van

creciendo y apareciendo nuevas en la medida que los desarrollos tecnológicos muestras

tendencias sobre nuevas destrezas en nuevas tecnologías

49

Hackers: Son normalmente personas con fuerte conocimiento de informática,

lenguajes de desarrollo, no tienen motivación económica, lo hacen solamente por

superar las barreras de seguridad de los sistemas y demostrar que tienen o adquieren

el conocimiento para burlas estas medidas de seguridad, saben usar las herramientas

de auditoria de seguridad, pero también pueden crear las suyas propias o adaptarlas

Crackers: Son personas que burlan las medidas de seguridad con intención de hacer

daño, robar y/o vender la información de los sistemas, tienen también profundos

conocimientos técnicos y su motivación principal es la obtención de beneficios

económicos.

Lammers: Son personas con conocimiento informático mejor que el promedio, con

capacidad para usar algunas herramientas de seguridad informática, pero sin conocer

el detalle técnico de su funcionamiento, serían incapaces de crear sus propias

herramientas

Newbie: Son básicamente principiantes en el arte de la seguridad, pero con las

inquietudes suficientes para lograr causar daño intentando usar herramientas de

auditoria

Ciberterroristas: Son personas o equipos de especialista en seguridad que trabajan

para organizaciones o gobiernos que buscar generar el terror con la interrupción, robo,

filtración, modificación y/o eliminación de datos de sistemas críticos con el fin de

desestabilizar gobiernos u organizaciones.

2.2 Amenazas de seguridad en la información

Para la revisión de este tópico existen varias versiones de clasificación de amenazas, la

exposición frecuenta de los sistemas de información a los variados tipos de amenazas,

50

expone la información a diversos riesgos y a potenciales pérdidas financieras derivadas de

los mismos que desafortunadamente no son fáciles de estimar y que aún después de sufrido

el daño son complicadas de cuantificar, temas como perdidas reputacionales son imposibles

de cuantificar con exactitud y daños a largo plazo pueden hacer quebrar cualquier compañía

La taxonomía para la clasificación de las amenazas obliga a la consideración de algunos

principios con el fin de que el resultado de la misma sea exacto, estos principios son los

siguientes:

Exhaustivo: Este principio infiere que las categorías de la clasificación contemplan

todas las posibilidades.

Mutuamente exclusivo: Este principio busca que no existan categorías traslapadas o

con elementos que pertenezcan a dos o más categorías.

Inequívoco: Este principio busca que todas las categorías sean claras.

Repetible: Este principio busca que la aplicación de la clasificación de el mismo

resultado con las mismas categorías.

Aceptación: Este principio busca que las todas las categorías sean lógicas, intuitivas y

prácticas.

Útil: Este principio busca que las categorías y el resultado general de la clasificación

sea útil.

Haciendo uso de estos principios de taxonomía para la clasificación, se puede

encontrar propuestas de clasificación de las amenazas que contemplan los métodos en

los cuales se basan las técnicas de ataques, y algunos otros en que se usa el impacto de

51

las amenazas para realizar su clasificación, el lector debe poder revisar las diferentes

clasificaciones y reconocer en ellas, que si se aplican correctamente los principios

anteriores, estas clasificaciones también son válidas, anotando que el constante avance

en la tecnologías y el ambiente cambiante de las amenazas pueden modificar las

diferentes clasificaciones agregando o eliminado elementos a las mismas.

Ilustración 5: Clasificación amenazas seguridad de la información


Algunos modelos adicionales intentan contemplar más características como

motivaciones e intenciones, pero esto complejiza el ejercicio y los resultados si bien son

interesantes, pasan por ser más académicos y de investigación que prácticos. Dado que

las amenazas se pueden clasificar por varios criterios y no existe una única vista de la

clasificación, vamos a revisar una vista desde el tipo de amenazas como se puede

observar abajo en la ilustración cinco (5), en donde dividen a las amenazas en internas

y externas, y luego en humanas, ambientales y tecnológicas, luego las dividen en

maliciosas o no maliciosas y por último en intencionales y no intencionales.

52

Se puede observar también que, para las amenazas tecnológicas y ambientales, no

existe conexión con la clasificación de maliciosas, dado que estas amenazas son no

maliciosas, el lector recuerda que la tecnología no tiene intencionalidad, la

intencionalidad la dan las personas que utilizan la tecnología para propósitos mal

intencionados.

2.3 Seguridad en la Nube

La búsqueda constante de la aplicación de los avances en la industria a la vez que se

busca la optimización en la utilización de los recursos, junto con la expansión de

internet, genera que desde hace ya varios años, los servicios en la nube sean una

propuesta más que la gerencia de IT deba considerar, al trasladar la complejidad de la

infraestructura que genera estos servicios trae probados beneficios a las

organizaciones modernas, el concepto de la nube es básicamente implementar

cualquier servicio y/o producto y/o aplicación sobre internet, esto ha generado

diferentes tendencias como son:

Software como servicio “SaaS” Software As A Service, que nació hace muchos años con

uno de los primeros y más populares servicios “gratis” en internet que fue el servicio

de correo electrónico y que a hoy a evolucionado hasta el punto de que casi cualquier

software comercial se presta bajo esta modalidad, ejemplos muy conocidos son Office

365, SalesForce, etc.

Infraestructura como servicio “IaaS” Infraestructure As A Service, en esta modalidad de

servicio se pueden tener soluciones de infraestructura como servicios, inicialmente

servicios como servidores (memoria, procesador y disco) virtuales, pero ha

evolucionado hasta prestar servicios de telecomunicaciones (Infraestructura de

comunicaciones de datos y voz).

53

Plataforma como Servicio “PaaS” Plaform As A Service, en esta modalidad el proveedor

ofrece una plataforma para que los desarrolladores se ocupen solo del desarrollo de las

aplicaciones y los servicios asociados a ellas sin preocuparse por la complejidad de los

recursos necesarios para que esta funcione.

Ilustración 6: Modelo de servicios Cloud


En la ilustración seis (6), se puede identificar el modelo de servicios en nube, en

donde se observan las responsabilidades del cliente y las del proveedor de los servicios,

dada la posibilidad de mezclar modelos y el trabajo de facilitar el consumo de los

mismos de parte de los proveedores, esta ilustración está basada en las condiciones

generales de cada una de las tendencias, pero se pueden modificar según los deseos de

los clientes, se observa que la seguridad es un componente importante no solo desde el

punto de vista del modelo seleccionado sino que tenemos que tenerla en cuenta desde

el interior de nuestra organización, dado que al tener nuestros servicios en la nube los

54

estamos exponiendo aún más a las brechas de seguridad y debido a que consumimos

estos servicios debemos proveedor enlaces de calidad y debidamente asegurados para

el consumo de los servicios desde nuestra organización, la seguridad además debe

prever que tenemos expuestos estos servicios por lo que las consideraciones de

seguridad del acceso a los mismos deben ser iguales aún más cuidadosas y fuertes que

cuando los servicios estaban al interior de la organización.

Dentro de los beneficios de estas tendencias esta la disponibilidad que la garantiza

el proveedor y que en algunos casos llega a los cuatro nueves (99.99%), la facilidad de

manejar los aspectos financieros al retirar de las organizaciones las necesidades de

justificar presupuestos de compras de tecnología que son manejadas como inversiones

con cálculos complejos de retornos de inversión, depreciación, etc y permitirles pagar

estos como servicios mensuales, mejorando los flujos de caja de las organizaciones, otra

ventaja puede ser la reducción del personal de TI necesarios para atender toda la

complejidad de los temas locales.

Pero la seguridad de la nube pasa a tomar un papel protagónico en la ecuación, el no

tener el control físico de la infraestructura y no conocer el detalle técnico de quien,

cuando y como pueden acceder a los datos que están allí almacenados genera nuevos

riesgos, además de temas regulatorios de algunos países en el tipo de información que

puede o no salir de los países de origen junto con regulaciones en donde el usuario final

debe autorizar este tipo de traslado de información, generar un ambiente complejo no

solo técnicamente sino legalmente.

Según la CSA (Cloud Security Alliance) existen 12 amenazas a la seguridad en la nube

que se deben considerar y son las siguientes:

Data Breaches: Dada la cantidad de data de las organizaciones expuesta en la nube, el

potencial del daño depende de la sensibilidad de la información expuesta a la infracción

55

o brechas “breach”, los proveedores desarrollan e implementan controles para proteger

la data de las organizaciones, pero es absolutamente claro que la responsabilidad sobre

la información sigue siendo de la organización.

Compromised credentials and broken authentication: Las brechas en los datos son

el resultado de los ataques son regularmente originados por pobres políticas de

contraseñas de usuarios o por no remover los permisos de usuarios que han cambiado

de rol, al tener los procesos de autenticación de usuarios federados en servicios de la

nube, se hacen unos objetivos extremadamente valiosos para los atacantes, en razón de

ello las organizaciones deben estudiar la implementación de procesos de doble factor

de autenticación cuando esta se realiza desde fuera de la red corporativa.

Hacked Interfaces and APIs: Todos los servicios de nube ofrecen interfaces de

conexión y API’s “Application Program Interfaces” que permiten consumir los recursos

contratados y que tienen entre otras funciones aprovisionar servicios, administrarlos,

monitorearlos u orquestarlos, estas interfaces para poder funcionar exponen.

componentes en la nube y aunque requieran procesos de autenticación y validación

para su uso están expuestas y por ende deben ser correctamente protegidas y

monitoreas con el fin de evitar que sean víctimas de ataques

Exploid system vulnerabilities: Los bug’s en las aplicaciones son usuales, no son

deseados, pero existen y existirán en las aplicaciones, pero en los ambientes de nube

este facto puede afectar los servicios y crear nuevas superficies de ataque, los procesos

de parchado y/o actualización de aplicaciones se deben realizar de manera normal con

los servicios en nube y se debe contemplar un proceso de actualización de emergencia

en conjunto con el proveedor.

Account hijacking: La segregación de funciones de los usuarios y la protección

adecuada de las cuentas de los mismos, debe ser una prioridad, debido a la naturaleza

56

de los mismos servicios en la nube, el compromiso de una cuenta no solo afecta los

permisos que tenga la misma, sino que puede hacer que los servicios en la nube sirvan

para el lanzamiento de otros ataques.

Malicious insiders: Las amenazas al interior de una organización pueden provenir de

cualquier rol, administrador, contratista, empleado, se sugiere control estricto de las

cuentas y control de las llaves de encripción y procesos centralizados que se puedan

ver afectados, las posibilidades de mover datos de manera sencilla entre servidores o

servicios son útiles si se realizan con la debida diligencia o ser factores altos de riesgos

si no se realizan con las precauciones del caso.

The APT parasite: Las amenazas persistentes avanzadas “Advanced Persistent

Threats” son llamadas por la Cloud Security Alliance como formas parasitas de

ataques, ya que se infiltran y si se logran establecer en el sistema, a partir de allí,

filtran de manera furtiva datos, por lo que la organización debe contar con controles

de seguridad, procesos de gestión de incidentes y entrenamiento adecuado de sus

usuarios para evitar ser víctimas de APT’s

Permanet Data Loss: A medida que los servicios en la nube maduran, es más extraño

encontrar reportes de perdida de datos atribuibles a los proveedores, sin embargo la

responsabilidad de la información siempre será del cliente, razón por la cual se sugiere

distribuir geográficamente los servicios, con el fin de evitar indisponibilidad de los

mismos a un determinado centro de datos tener problemas de disponibilidad (que

siempre pueden ocurrir), procesos probados y eficientes de copias de respaldo siempre

son y serán necesarios para proteger la información de la organización.

Inadequate diligence: El debido cuidado está asociado al análisis que la organización

debió realizar cuando se planteó la posibilidad de migrar parte o todos sus datos a la

nube, bajo cualquiera de los esquemas existentes el análisis de riesgos legales,

57

comérciales, técnicos, fiñaneros y de cumplimiento regulatorio debe ser el punto de

partida antes de tomar cualquier decisión.

Cloud Service Abuse: Los servicios en la nube pueden ser usados como recursos para

romper llaves de encripción, lanzar ataques de denegación de servicio distribuido DDoS

enviar spam, phishing y otros malwares, los proveedores deben poner herramientas de

monitoreo de la salud de los servicios para sus clientes con el fin de detectar este tipo

de actividades.

DoS attacks: Los ataques de denegación de servicios que afectan la disponibilidad de

los sistemas pueden encaminarse hacia los servicios de la nube, los proveedores deben

poder identificar, controlar y monitorear este tipo de ataques y facilitar el acceso a estas

herramientas para que los clientes las puedan utilizar

Shared Technology, shared dangers: Los servicios en la nube son susceptibles a

brechas de seguridad causadas por las vulnerabilidades, al estar los servicios,

infraestructura, plataformas y aplicaciones compartidos las vulnerabilidades o errores

de configuración pueden tener un impacto significativo que afecto a varios o todos los

clientes de estos servicios. La CSA recomienda la estrategia de defensa en profundidad,

incluir autenticación de múltiple factor, IDS, NIDS, aplicar el concepto del mínimo

privilegio, segmentación de red y un programa muy exacto de parchado de recursos.

2.4 Ejemplos

En mayo de 2017 el mundo sufrió uno de sus más recientes ataques de ransomware

(cibersecuestro) que infecto a más de 300000 computadoras en todo el mundo,

secuestrando la información, mediante un proceso de cifrado que la dejaba

completamente inaccesible, el objetivo era obtener cerca de 300 Dólares por medio del

pago con la divisa virtual del Bitcoin (Moneda virtual difícil de rastrear), el nombre que

58

se le dio al virus utilizado para afectar los equipos fue WannCry y los equipos se

afectaban a través de los puertos que regularmente se utilizan para compartir archivos.

En febrero de 2017 un bug en la plataforma de servicios en la nube CloudFlare, que

soporta servicios para una gran lista de servicios web, dejaba de manera aleatoria

expuesta información sin cifrar de los usuarios de sus servicios, dado que CloudFlare

presta servicios de CDN (Content Delivery Netword), los sitios de muchos servicios que

lo usan como proveedor resultaron afectados.

2.5 Reflexiones

La frecuencia y complejidad de los ataques a las redes de datos es cada vez más alta,

los ataques pasaron a ser generados por mafias aparentemente muy bien organizadas

que se lucran con el resultado de estas actividades, si los usuarios finales y las

organizaciones no mejoran sus esquemas de defensa de la información en algún

momento serán victimas de uno de estos ataques.

El movimiento de servicios hacia la nube permite a las organizaciones dedicarse a

sus objetivos de negocios trasladando las responsabilidades de IT a proveedores que

ofrecen una amplia gama de servicios y unos altos índices de disponibilidad, pero no

debemos olvidar que la seguridad de la información sigue siendo responsabilidad de la

organización y no de sus proveedores.

2.6 Conclusiones

Los conocimientos en las principales técnicas de ataque ayudaran a las

organizaciones en el proceso de la identificación más eficiente de las mismas,

permitiéndoles también trabajar en la correcta selección de las herramientas que les

permitan mitigarlas y/o monitorearlas.

59

Dado el aumento de las amenazas a la seguridad de la información, el traslado de

nuestros servicios, infraestructura y/o aplicaciones a la nube de mano de proveedores

de talla mundial como Microsoft, Amazon y otros, no nos exime de la responsabilidad

de la protección de esta información, el uso de herramientas y/o servicios facilitan a las

organizaciones su trabajo pero no modifican ni disminuyen las obligaciones

contractuales que estas adquieren con los clientes ni con la información de los mismos.

61

Capítulo III

Técn

icas

de

Pro

tecc

ión

Protocolos de Seguridad

Políticas de Seguridad

Defensa en Profundidad

Endurecimiento de la Capa Física

Ejemplos

Reflexiones

Conclusiones

Técnicas de Protección

63

Capítulo 3: Técnicas de Protección

Las técnicas de protección han evolucionado a la par de las diferentes amenazas

identificadas, y pasan por soluciones técnicas o procedimentales, es usual pensar en

soluciones del tipo técnicas para todos los problemas de seguridad pero puede ser un

concepto erróneo, si hay un riesgo y su mitigación con un control técnico es compleja o

costosa, la mejor opción puede ser revisar el proceso y rediseñarlo de manera que se

elimine el riesgo o que controles técnicos o procedimentales sirvan de mejor manera

que antes de rediseñar el proceso, eliminar el riesgo que genera el problema no siempre

es factible pero es una opción a considerar, sobre todo en entornos donde los recursos

técnicos, humanos y/o financieros son limitados.

Las herramientas técnicas que nos ayudan con la implementación de las políticas

definidas han ido evolucionando, cubriendo las nuevas necesidades que surgen de las

evoluciones normales de las tecnologías ya existentes a las que les prestan sus servicios

de protección y nuevas herramientas han ido surgiendo cuando nuevos servicios son

desarrollados e implementados, en esta evolución natural tanto de las amenazas como

de las herramientas de protección.

3.1 Protocolos de seguridad

Un protocolo es un conjunto de reglas que se establecen y se respetan por dos o más

partes para facilitar su interacción y que definen que hacer y que decisiones tomar

dependiendo de las interacciones entre los miembros que usan el protocolo,

específicamente hablando de protocolos de seguridad establecen las reglas que

gobiernan los procesos de transmisión de datos con el fin de garantizar la

confidencialidad, integridad, disponibilidad y no repudio de los mismos, un protocolo

busca que se puedan implementar los servicios de seguridad. Para contextualizar al

64

lector acerca de los protocolos de seguridad, revisaremos los más comunes y

explicaremos su utilización.

Las matemáticas tienen un papel determinante dentro de los protocolos de

seguridad y una de sus ramas, la criptografía que hace uso de métodos matemáticos con

el objetivo de facilitar cifrar un mensaje o archivo por medio del uso de algoritmos,

generando diferentes criptosistemas que permiten garantizar al menos dos aspectos de

la seguridad de la información que son la confidencialidad y la integridad, la criptografía

sin dudas es la rama más compleja relacionada con aspectos de la seguridad, se usan

también modelos matemáticos con el finde detectar, evaluar y gestionar amenazas de

seguridad, los retos son trabajar con la potencia de computo actual, para generar

basados en funciones de la criptografía como las curvas elípticas, o calculo con números

primos, unas llaves lo suficientemente grandes para que sirvan para proteger la

información pero de una manera óptima usando comúnmente funciones de una sola

via, es decir funciones como el múltiplo de dos números primos muy grandes, de

manera tal que teniendo el número resultante sea casi imposible o complejamente

dispendioso desde el punto de vista computacional conseguir los números primos

originales

Una de las preocupaciones de los avances tecnológicos ante la criptografía es la

computación cuántica que está en pleno desarrollo actualmente, cuando los

computadores cuánticos sean accesibles, la velocidad y capacidad de cálculo de estos

nuevos computadores, amenazaran todos los protocolos de seguridad creados hasta el

momento, ya que con estas nuevas capacidades de cálculo será relativamente sencillo

romper los algoritmos matemáticas usados para cifrar cualquier información

La navegación sobre internet se basa en el protocolo http, el protocolo permite la

carga eficiente de información desde los sitios web hasta los navegadores de los

usuarios, es un protocolo que ha sufrido varias actualizaciones y que incluye

65

funcionalidades para el despliegue de componentes multimediales, sin embargo es un

protocolo que no es cifrado, por lo que un intruso lo puede interceptar y quedarse con

el tráfico, esta característica lo hace bastante inseguro, para servicios en donde la

seguridad de la información es importante se debe trabajar con un protocolo que cifre

la información entre el emisor y el receptor, de otro lado los protocolos de seguridad

más utilizados son aquellos que se pueden implementar de manera masiva sin

demasiada intervención del usuario final, esto asegurara en parte el éxito de su

implementación, https (Hipertext Transfer Protocol Secure) protocolo seguro de

transferencia de hipertexto es uno de los mejores ejemplos, permitiendo el cifrado del

tráfico entre el servidor y el cliente, de manera casi imperceptible para el cliente

La implementación de este protocolo requiere de una autorizada certificadora

externa, que valida el certificado que tienen el servidor web y que garantiza que entre

el servidor web y el cliente se establezca una sesión cifrada de intercambio de

información, dada la preocupación por los temas de privacidad de la información de los

servicios de internet, este servicio de seguridad se recomienda que se utilice en todos

los sitios web

Ilustración 7: Como trabaja https

66

Tomada de https://www.webscreationsdesign.com/encryption-is-not-the-same-as-

security-please-take-note/

En la ilustración siete (7) vemos cómo funciona de manera conceptual la utilización

del protocolo https en la navegación a un sitio web, en este caso de ejemplo el sitio es

el de la red social Facebook. Actualmente varios de los navegadores generan alertas si

el sitio a visitar si este no cuenta con HTTPS

Otro de los protocolos utilizados en seguridad es Kerberos que se utiliza dentro de la

implementación del servicio de directorio en Windows, el protocolo implementado es

LDAP (Lightweight Directory Access Protocol) que permitía sesiones anónimas y

autenticación mediante texto en claro por lo que Microsoft implemento Kerberos, que

fue creado inicialmente por el MIT y que usa criptografía de claves simétricas, para

validar los usuarios con los diferentes servicios de red, evitando tener que enviar

contraseñas a través de la red, esto se realiza a través de un proceso de expedición de

tickets

Ilustración 8: Kerberos

67

Tomada de

https://www.cisco.com/c/en/us/td/docs/security/nac/appliance/configuration_guide/412

/cas/412_cas_book/s_adsso.html

Existen muchos otros protocolos seguros que se utilizan dentro de las redes para la

entrega de servicios de manera segura, la criptografía es el común denominador de

estos protocolos y parte de su éxito es esconder la complejidad subyacente a los

usuarios finales y administradores, mientras hacen su trabajo, la estandarización de

muchos de estos protocolos le permite a los diferentes fabricantes hacer sus propias

implementaciones a la vez que garantiza que los diferentes fabricantes sean

compatibles entre si con sus diferentes versiones de los mismos protocolos, en la era

de la digitalización de la información e Internet, la mayoría de los protocolos que se

usan en internet tienen su correspondiente versión segura.

3.2 Políticas de Seguridad

La disponibilidad de protocolos seguros y la implementación de servicios de

computo basados en los mismos no garantizan de por si la seguridad de la información,

es necesaria la definición e implementación de políticas de seguridad que reflejen los

objetivos de la alta gerencia, que aseguren que mediante su cumplimiento se consigue

proteger la información la organización genera, procesa, almacena y transporta en

cumplimiento de sus objetivos estratégicos, la seguridad de la información debe apoyar

los objetivo de la organización para que le genere valor a la misma, en términos

generales las políticas deben representar la intención, expectativas y directrices de la

gerencia, el desarrollo de las políticas apoyara la estructura de la estrategia que buscara

conseguir los objetivos de seguridad planteados por la organización

68

Política: Es típicamente un documento que describe requisitos específicos o reglas que

deben cumplirse para alguna situación en particular, deben ser expedidas y/o

respaldadas por un ente de jerarquía dentro de la organización.

Ilustración 9: Estructura documental

Larrahondo, A. (2017). Diseño del módulo virtual para la asignatura Seguridad en Redes Telemáticas

En la ilustración nueve (9(, el lector puede ver la pirámide documental en donde está

en primer lugar la política, seguida de los procedimientos y por último los instructivos

o manuales

Los atributos recomendables para las políticas a definir incluyen entre otros los

siguientes:

Las políticas deben ser una articulación de la estrategia de seguridad y deben

considerar las expectativas, intención y directrices de la gerencia.

Cada política debe establecer un mandato de seguridad

69

Las políticas deben ser claras y fáciles de comprender para todas las partes

interesadas

Las políticas deben ser concisas y no deben exceder más de un par de líneas o

un párrafo

El número de políticas no debería exceder la veintena

Entre las políticas que debería tener una organización deberían estar las siguientes:

Asignación clara de roles y responsabilidades, se deben definir claramente y se

deben asignar formalmente con el fin de dejar claras y garantizar la

determinación de la responsabilidad

Identificación y clasificación de los activos de información, con su

correspondiente asignación de responsabilidad, con el fin de poder determinar

su valor para el negocio con base e su criticidad y sensibilidad

Diseñar, implementar y mantener controles efectivos, administrando tanto el

impacto como el riesgo, contemplando un balance correcto de costo beneficio en

los controles implementados

Políticas que soliciten contar con procesos de monitoreo eficaces, todas las

actividades representativas de control de riesgos, aseguramiento y de seguridad

deben contar con procesos de monitoreo de acuerdo con su temporalidad, que

busquen garantizar el cumplimiento de sus objetivos de control

70

Políticas que busquen procesos eficaces de cumplimiento y su exigencia,

buscando que se cumpla las políticas de seguridad y que con ello se alcancen los

objetivos de control definidos

Políticas que definan procesos de respuesta ante incidentes y que contemplen la

respuesta ante emergencias, buscando mitigar el impacto de eventos no

contemplados y garantizando que la organización siga operando ante ellos.

Políticas que definan y establezcan, planes de continuidad de negocios y plan de

recuperación de desastres, buscando garantizar la capacidad de la organización

bajo cualquier condición.

Para poder identificar claramente las políticas necesarias para las organizaciones

existen marcos de trabajo que facilitan esta labor, uno de ellos es CMM (Capability

Maturity Model) Modelo de madurez de capacidades, que evalúa los procesos de una

organización y ayuda a identificar el estadio en que se encuentra la organización y

basado en ello sugiere los conjuntos de políticas a aplicar para conseguir madurar en

los niveles definidos por este arco de trabajo. Adicional a este existen oros marcos de

trabajo o metodologías que se pueden usar para identificar cuáles son las políticas que

la organización debería tener implementadas, con ello se pude revisar su mejora o

implementarlas de ser necesario

Las políticas de seguridad están asociadas inevitablemente al cumplimiento de temas

regulatorios en las organizaciones, estos cumplimientos deber esta contemplados

dentro de las políticas dado que son temas de obligatorio cumplimiento, las exigencias

regulatorias varían de industria en industria y las regulaciones acerca de la protección

de la información de los clientes y la protección de la información personal son fuertes

en todas las industrias.

71

3.3 Defensa en profundidad

El concepto de defensa en profundidad es un concepto que busca proteger un recurso

con la aplicación de controles de seguridad en varios niveles, con el fin de conseguir un

mayor nivel de protección del recurso, ya que este queda protegido por más de un

control de seguridad, al aplicar diferentes barreras de protección en varios niveles se

hace más complejo para el atacante y sus técnicas romper las diferentes barreras de

seguridad, favoreciendo la protección buscada como objetivo de esta estrategia

Ilustración 10: Defensa en profundidad

Tomada de: http://blog.segu-info.com.ar/2010/11/defensa-en-profundidad.html

72

En la ilustración diez (10) se pueden evidenciar los diferentes niveles propuestos en

la estrategia y los controles y/o herramientas propuestas para la protección de cada

uno de ellos, esta imagen puede servir de guía en cuanto a los controles sugeridos por

cada uno de los diferentes niveles, no necesariamente se deben implementar todos los

controles, la selección de los mismos debe obedecer a una evaluación juiciosas de los

requerimientos de controles de cada organización y de su evaluación en cuanto a costo

beneficio.

Los controles se pueden dividir en:

Controles Disuasivos

Controles Preventivos

Controles Correctivos

Controles detectivos

El nivel más interior es el de datos y debe ser el nivel que tiene más protección, dado

que, para llegar a él, se debe pasar por todos los niveles anteriores, en cada uno de estos

niveles existen soluciones técnicas que deberían existir en todas las organizaciones, y

no todas ellas son técnicas, se pueden observar varias soluciones que son políticas,

auditorias,

Cabe recordar que el análisis de costo beneficio de los controles a aplicar debe

regirse por el principio de que los controles de seguridad del activo no deben costar ni

igual ni más que el activo.

3.4 Endurecimiento de la seguridad física

La seguridad física asociada a la seguridad de la información es un factor

determinante, ninguna política, o control técnico puede funcionar adecuadamente sin

estar acompañado de medidas de seguridad física adecuadas, los controles físicos

73

además tienen el atenuante de que si fallan pueden terminar afectando la vida de las

personas que son parte de los procesos, el debido ingreso a las instalaciones, el ingreso

a los centros de datos, a los sitios de procesamiento de la información, deben ser

cuidadosamente cuidados, registrados y monitoreados, si en el centro de datos tenemos

todos nuestros controles adecuados y no cuidamos el acceso físico, un intruso puede

apagar un servidor o un empleado de la limpieza puede apagar todo un centro de datos

accidentalmente, ocasionando fallas en varios servicios, o pueden sustraer un disco

duro, no solo afectando los servicios sino robando información vital para la compañía.

Existen múltiples medidas a implementar los cuidados normales pueden pasar por

el registro y autorización del acceso de las personas a sitios restringidos, pasando por

los debidos cuidados en la parte de suministro de energía eléctrica, ups’s, uso correcto

de sistemas de aire acondicionado, accesos a los centros de cableado, ubicación de los

servidores y equipos de comunicaciones en diferentes rack como medida preventiva,

ubicación geográfica de centros de datos y de sitios de contingencia, evaluación de

situaciones ambientales que puedan afectar los servicios, temas como clima, ubicación

de ríos, edificios sismo resistentes, sistemas de aguas lluvias, aguas negras, etc.

En organizaciones con un número elevado de usuarios, el mantenimiento de las

computadoras asignadas requiere considerar también la compra de modelos que

puedan tener un nivel de seguridad física como un candado que permita el control del

hardware, este control asociado a una herramienta de inventario y monitoreo de

estaciones de trabajo que permita el inventario tanto de software como de hardware,

facilita el seguimiento a cambios no autorizados en el hardware o en el software, lo que

sirve de medida disuasoria para evitar pérdidas constantes en el hardware o

modificaciones que afecten la seguridad de la organización.

El acceso al sistema de arranque de las computadoras de la organización también

debe prevenirse, si un usuario logra ingresar al BIOS de uno de los equipos o iniciar con

74

un Live Cd con alguna herramienta es factible que los controles de seguridad de nuestra

organización no sean efectivos, un usuario sobre una red, pero con un sistema operativo

del cual no tenemos registro ni control puede ser más peligroso que un intruso desde

la calle con un acceso limitado a aplicaciones expuestas públicamente en internet, no se

debe demeritar ninguno de los vectores de riesgo y el ataque interno es uno de los más

usuales en las organizaciones modernas.

En los servidores se deben tener estos mismos controles sobre el acceso física y la

inhabilitación del inicio desde el BIOS, independientemente si el servidor está en la

organización o está en data center de terceros se debe implementar o solicitar que se

expliquen las medidas de acceso físico a los mismos,

Cuando una organización depende de servicios en la nube o sus servicios de comercio

electrónico son el core de la organización, debe contar con enlaces de contingencia para

el acceso a internet, no solo con diferentes proveedores sino llegando en lo posible a

dispositivos de comunicaciones independientes, para no generar puntos únicos de falla

en los servicios, esta característica se debe implementar en lo posible en todos los

servicios core del negocio.

3.5 Ejemplos

Como ejemplos para este capítulo se puede observar la implementación del

protocolo de seguridad TLS/SSL sobre la mayoría de los sitios web de manera tal que

surgió la iniciativa HTTPS Everywhere, en donde por medio de plugins o extensiones

sobre los navegadores se garantiza que el tráfico entre el servidor y el cliente vaya

debidamente cifrado mediante el uso de certificados, esto claro esta para aquellos sitios

que no lo posean de manera natural.

75

Otro ejemplo es la utilización de clientes VPN Clientless, que es básicamente la

utilización de conexiones cifradas a recursos corporativos sobre canales de internet sin

la utilización de un cliente, este cliente de manera regular requiere la instalación y

configuración de un software con determinada parametrización, con esta modalidad,

básicamente el usuario cargo una página web (TLS/SSL) y en ella hace su proceso de

autenticación quedando conectado de manera segura a los recursos de la organización.

3.6 Reflexiones

La utilización de protocolos de seguridad debe estar justificado en las políticas de

seguridad respectivas, los servicios que deben tener controles especiales de seguridad

deben estar claramente identificados, monitoreados y obedecer a los objetivos de la

organización

Los conceptos asociados a la seguridad en profundidad deben ser revisados para

que cumplan los lineamientos del concepto, no se trata de acumular varias soluciones

de seguridad para puntos de riesgos común, sino de hacer inversiones en seguridad

justificadas y que estas le aporten valor al negocio

3.7 Conclusiones

Uno de los activos más importantes es la información, su protección demanda de las

organizaciones el establecimiento de políticas de seguridad adecuadas a la gestión que

con esa información se realiza, para poder materializar estas políticas se deben aplicar

herramientas que utilizan a su vez protocolos de seguridad, todo este escenario debe

ser correctamente comprendido para optimizar la relación entre los componentes.

La aplicación correcta de técnicas de protección como la de defensa en profundidad

requiere el correcto uso de las herramientas y la comprensión de los controles de

76

seguridad involucrados en la protección de los activos de la información con el objetivo

de optimizar el uso de los recursos y maximizar la aplicación del concepto.

77

Capítulo IV

Dia

gnó

stic

o y

Pro

spe

ctiv

a d

e

TIC

Aseguramiento de las Comunicaciones

Funcionamiento del Protocolo TCP/IP

Seguridad en Redes Privadas Virtuales - VPN

Protocolo IPSec

Protocolos SSl, TTL y SSH

Ejemplos

Reflexiones

Conclusiones

Diagnóstico y Prospectiva de TIC

79

Capítulo 4: Diagnóstico y Prospectiva

de TIC

En este capítulo, se tratará el tema de aseguramiento de las comunicaciones, en

términos generales el proceso de aseguramiento de las comunicaciones lleva implícito

el detalle técnico del set de protocolos TCP/IP que es base en la comunicación en

Internet y la herramienta de seguridad por excelencia para el control del tráfico entre

redes en el firewall, el control que se realiza parte de la estructura de la revisión y

autorización del trafico basado en el comportamiento de los protocolos de este set,

luego de ello se trabajara con las soluciones de detección y prevención de intrusos que

nos ayudan a controlar lo que pasa en nuestras redes, más allá del tradicional control

del firewall y por ultimo trataremos el tema de las vulnerabilidades que están implícitas

en todos los niveles de la comunicación, desde los diferentes protocolos, los servicios

que soportan, y las aplicaciones que hacen uso de ellos.

Este capítulo contempla las bases técnicas y las principales herramientas de control

de acceso a las redes, y da las bases para la comprensión de las funcionalidades y

beneficios de las herramientas de seguridad y conceptos que se tratan en este y en los

capítulos siguientes.

80

4.1 Aseguramiento de las comunicaciones

El proceso de transporte o comunicación entre los sistemas de la información con

fines de procesamiento, almacenamiento y/o consulta apalancados en la

popularización y los grandes beneficios de las redes de datos, generan múltiples y

nuevas amenazas a la confidencialidad, integridad y disponibilidad de la información,

por lo que es necesario revisar las bases del proceso de comunicación con el fin de

entender su funcionamiento y comprender como mitigar los riesgos a los que se ve

expuesta en estos procesos.

4.2 Funcionamiento del protocolo TCP/IP

El set de protocolos TCP/IP versión 4, Transport Control Protocol / Internet

Protocol, es un realidad un conjunto amplio de protocolos dividido en cuatro capas, tal

como el lector observo en las ilustraciones 3 y 4 del capítulo uno, las capas de red,

internet, transporte y aplicación, y en cada una de las capas encontramos varios

protocolos que permiten el transporte de la data y que sirve de enlace entre la capa

anterior y la siguiente, el objetivo de esta parte es revisar el detalle del funcionamiento

de los protocolos más significativos en este proceso, en razón a ello vamos a revisar de

la capa de transporte como se realiza la comunicación de la data a través de los procesos

de Three Way Handshake y Four Way Handshake, para ello hay que mencionar que el

proceso de comunicación se puede realizar con dos orientaciones, orientado a conexión

y no orientado a conexión, el protocolo TCP es orientado a conexión, y el protocolo UDP

es no orientado a conexión.

Para revisar cómo se dan los procesos de TWH y FWH y con el fin de entender cómo

se articula todo el proceso de transferencia de comunicación entre los elementos más

importantes de los diferentes protocolos de las diferentes capas es importante conocer

los headers o encabezados de los protocolos TCP, IP, UDP e ICMP, este conocimiento

nos dará la información necesaria para comprender la complejidad técnica del proceso

81

de intercomunicación entre protocolos y para entender como las vulnerabilidades y las

amenazas generan los riesgos que debemos tener en cuenta para la definición de los

controles en cada una de las etapas.

Ilustración 1: TCP Header

Tomada de: https://nmap.org/book/tcpip-ref.html

Dado que TCP “Transport Control Protocol” es un protocolo orientado a conexión,

sus funciones más importantes son garantizar siempre basados en el mejor esfuerzo

que la data se entregue sin errores, y en la secuencia correcta en razón a ello algunos

de sus campos más importantes son, puerto origen “Source Port” y puerto destino

“Destination Port” que le permiten determinar el puerto origen y el puerto destino de

la comunicación, numero de secuencia “Sequence Number”, que le permite ordenar los

paquetes que gestiona, y solicitar la retransmisión de los paquetes que se pierdan de

ser el caso, número de acuse de recibo “acknowledgment number” indica el número de

82

secuencia del paquete que espera recibir al tiempo que confirma que el anterior se

recibió, banderas TCP “TCP Flags” ayudan a establecer condiciones especiales dentro

del paquete son “U” Urgent, “A” Ack, “P” Push, “R” Reset, “S” Syn, “F” Fin, “CRW”

Congestion Windows Reduce y “ECN” Echo aparecen reservadas, Suma de verificación

“Checksum” aquí se aplican algoritmos con el fin de cerciorar la integridad del paquete

de datos que se recibe, Urgente “Urgent” indica que el paquete tiene prioridad sobre los

demás

Ilustración 2: IP Header


Para el encabezado IP algunos de los campos más representativos son los siguientes:

Versión “versión” indica que el paquete es IPV4, tiempo de vida “Time to Live” contador

que disminuye en uno cada vez que el paquete pasa por un host y que cuando llega a 0,

83

genera que el paquete sea descartado, Protocolo “Protocol” indica que protocolo de alto

nivel es el que creo el contenido, código verificador de la cabecera “header checksum”

valor calculado por el host y que se calcula nuevamente al recibir el paquete para

garantizar su integridad, dirección de origen “source IP Address” dirección IP de origen

del paquete de datos, dirección IP destino “Destination IP Address” dirección IP de

destino del paquete, Longitud Total “Total Length” en este campo se indica la longitud

total del datagrama que no puede exceder 65535 bytes, este campo genera una

condición de seguridad que es la fragmentación cuando el campo contiene más data de

la permitida se habilita fragmentación del paquete que indica que la data viene en

varios paquetes de datos y que tiene varias amenazas conocidas sobre el protocolo.

Ilustración 3: UDP Header


User Datagram Protocol (UDP), es un protocolo de la capa de transporte no orientado

a conexión, solo usa el puerto para referir la data a la aplicación correspondiente, sus

campos más representativos son:

Puerto de Origen “Source port” indica el puerto usado por host que envía la

comunicación, puerto destino “Destination Port” indica el puerto de destino de la

comunicación, longitud “Length” indica la longitud total del paquete, Código de

84

verificación “Checksum” valor calculado por el host y que se calcula nuevamente al

recibir el paquete para garantizar su integridad.

Ilustración 4: ICMP Header


Para el protocolo ICMP “Internet Control Message Control” que es uno de los

protocolos más usados para las pruebas de conectividad entre redes y uno de los

protocolos que más información nos puede brindar si lo sabemos usar, con el uso de la

función ping que lo usa, los campos más comunes de su encabezado son: Tipo “type”

especifica el tipo de mensaje, Codigo “code” permite que se precise el motivo por el cual

el destino no es alcanzable, es decir cuando el tipo de mensaje es tres (3), código de

verificación “Checksum” valor calculado por el host y que se calcula nuevamente al

recibir el paquete para garantizar su integridad.

Con el fin de poder identificar los procesos que debe recibir los datos, con el

protocolo de TCP se definió el campo de puerto, que es un enero de 16 bits es decir

85

existen 65536 puertos, creado como un identificador que permite a los protocolos entre

nodos identificar los protocolos de alto nivel que envían y reciben la data, los puertos

fueron definidos por la IANA “Internet Assigned Numbers Authority” y se reservaron

los primeros 1023 que se conocen como puertos reservados para servicios claramente

identificados y del 49152 al 65535 son definidos como dinámicos o privados.

4.2.1 TWH El procedimiento de establecimiento de conexión (TCP) se conoce como Three Way

Handshake, o proceso de establecimiento de conexión de tres vías, y se efectúa siempre

que dos hosts establecen comunicación mediante TCP.

Ilustración 5: TCP THW

Tomada de: https://commons.wikimedia.org/wiki/File:Tcp-handshake.png

En la ilustración cinco (5) se observa gráficamente el proceso, el cliente que genera

la solicitud de conexión envía un paquete con la bandera Syn, el servidor envía un

paquete Syn, más el Ack de confirmación del paquete que había enviado el cliente,

posteriormente el cliente envía al servidor un paquete con la bandera Ack, y luego de

que la conexión está establecida, envía la data, este proceso se puede evidenciar

claramente con un analizador de tráfico, filtrando el tráfico como se observa en la

imagen siguiente

86

Ilustración 6: Ejemplo TCP TWH

Larrahondo, A. (2017) Elaboración modulo virtual Seguridad en Redes Telemáticas

En la ilustración seis (6) observamos una captura de tráfico en donde se observa

claramente el proceso de TWH, entre la estación 192.168.15.163 y el servidor

72.21.81.200, proceso que termina exitosamente y que continua con el uso del

protocolo TLS V 1.2.

4.2.2 FWH

El procedimiento de terminación normal de conexión TCP se conoce con el nombre

de FWH Four Way Handshake

Ilustración 7: TCP FWH

Tomado de: http://c-kurity.blogspot.com

Para este proceso el host que desea terminar normalmente la conexión envía un paquete

con las banderas FIN/ACK, el host envía un ACK de que recibió la petición y acto seguido envía

87

un paquete con las banderas FIN/ACK confirmando la propuesta de cerrar normalmente la

conexión, en respuesta a ello el host que inicio la petición envía un ACK y con ello se da por

cerrada la conexión.

Ilustración 8: Ejemplo TCP FWH


En la ilustración ocho (8) se puede observar un ejemplo de TCP FWH, en los

paquetes 9479, 9483, 9484, y 9488, se observa que el host que desea terminar

normalmente la conexión 192.168.15.163 envía un paquete con las banderas FIN y ACK

al servidor 23.32.202.208, luego el servidor envía un ACK de que recibió este paquete y

acto seguido el servidor envía al cliente un paquete con las banderas FIN y ACK al

cliente, quien responde con un ACK y se da por terminada normalmente la conexión.

4.3 Seguridad en Redes Privadas Virtuales VPN

La disponibilidad de servicios para empleados y/o terceros como contratistas es una

necesidad a cubrir hoy en día para las organizaciones, la confidencialidad de la

información es muy importante, al determinar publicar servicios o dejarlos disponibles

sobre internet la seguridad es una cuestión primordial, para facilitar tanto el consumo

de servicios de la organización en condiciones seguras, se utiliza el concepto de VPN

“Virtual Private Network” o red privada virtual, este concepto es básicamente proveer

un acceso público cifrado por medio del cual se puedan consumir los servicios de una

organización a través de internet.

88

Su funcionamiento es simple, el cliente a través de internet usa un software o no para

conectarse de manera segura a los servicios, estableciendo un túnel por donde la

información viaja de manera cifrada garantizando que a pesar que viaje por Internet

viaja de manera segura.

Ilustración 9: Grafico conceptual de una VPN

Tomada de: https://www.techhive.com/article/3158192/privacy/howand-whyyou-should-

use-a-vpn-any-time-you-hop-on-the-internet.html

La ilustración nueve (9) muestra una laptop usando el túnel cifrado a través de una

conexión publica para consumir un recurso de manera segura a través de Internet. La

conexión se puede establecer con un software, lo que implica el descargue, la

configuración y el uso de un aplicativo para establecer esta comunicación, o se puede

usar un portal web, estos servicios suelen llamarse clientless lo que permite mayor

flexibilidad para el usuario final, ya que no debe instalar ni configurar ninguna software

adicional, únicamente recordar la URL de un sitio web público y obviamente las

credenciales de uso, para muchas de estas soluciones se recomienda el uso de doble

89

factor de autenticación, como un token de hardware, o en soluciones más recientes, el

envió de un código a un número de celular o a un correo corporativo que el usuario

pude consultar por vía web, o por vía teléfono celular, el esquema a seleccionar

dependerá de la complejidad de seguridad que se quiera a utilizar, que debería ser

proporcional a la sensibilidad o criticidad de los servicios a consumir.

Los protocolos utilizados para este tipo de servicios son IPSec y en el caso de los

clientless se utiliza https, combinado con soluciones de doble factor de autenticación

que permiten garantizar la autenticidad del usuario que está requiriendo el servicio.

4.4 Protocolo IPSec

IPSec “Internet Protocol Security” es un realidad un conjunto de protocolos que

aseguran el protocolo IP autenticando y cifrando cada paquete IP del flujo de datos,

usando funciones de criptografía, este protocolo actúa sobre la capa de red del modelo

de referencia OSI, lo que hace muy flexible ya que puede proteger los protocolos de la

capa cuatro (UDP, TCP entre otros) sin realizar cambios a nivel de las aplicaciones,

contrario a protocolos que operan en otras capas como https o TLS que implican

cambios en los aplicativos para ponerlos a funcionar. Para garantizar la compatibilidad

definió que se dejan soportar algoritmos de cifrado como DES y 3DES y MD5 y SHA-1

como funciones de hash.

Dentro de IPSec podemos identificar varios componentes importantes como son IP

Authentication Header (AH) e IP Encapsulating Security Payload (ESP) que son

protocolos de seguridad e Internet Key Exchange (IKE) que es un protocolo de gestión

que permite negociar las claves junto con los parámetros requeridos con el fin de

establecer la conexión.

90

Ilustración 10: Funcionamiento Protocolo AH

Tomada de: http://www.frlp.utn.edu.ar/materias/internetworking/apuntes/IPSec/ipsec.pdf

Tal como se observa en la ilustración diez (10), el emisor hace calcula una pequeña

cadena de caracteres llamada extracto, basado en la información original aplicando un

algoritmo de hash, este extracto se copia en uno de los campos de la cabecera AH, el

receptor recibe el mensaje y vuelve y aplica el algoritmo de hash y el extracto resultante

lo compara con el que recibió, si son iguales se tiene la seguridad de que la información

no fue alterada durante el transporte

91

Ilustración 11: Funcionamiento Protocolo ESP

Tomada de: http://www.frlp.utn.edu.ar/materias/internetworking/apuntes/IPSec/ipsec.pdf

En la ilustración once (11) observamos el funcionamiento del algoritmo ESP, el

emisor toma el mensaje original y lo cifra con un algoritmo criptográfico utilizando una

clave, y añade esta información cifrada como los datos del paquete, el receptor toma el

mensaje cifrado y con el algoritmo criptográfico y la clave lo descifra, como es claro del

proceso la seguridad radica en la clave y en su distribución entre emisor y receptor

IPSec permite dos modos, modo túnel y modo transporte, el protocolo IKE hace las

veces de protocolo de control y se encarga de especificar la lógica con la que se establece

la comunicación, su principal función es establecer la conexión cifrada y autenticada

entre los dos extremos, de manera práctica se suele realizar con una clave pre

compartida que se usa para iniciar el proceso de conexión luego usando los mismos

conjuntos de protocolos y de longitud de las llaves de los mismos de manera automática

se genera el resto del proceso, cuando la tarea es establecer enlaces entre muchos

nodos, ya no se puede realizar usando claves pre-compartidas, porque la complejidad

de la tarea lo hace imposible de administrar, aquí se usa IPSec apoyados con una PKI

(Public Key Infraestructure) Infraestructura de llave pública.

92

4.5 Protocolo SSL, TLS y SSH

El protocolo SSL Secure Socket Layer fue desarrollado por Netscape para

proporcionar privacidad e integridad en las conexiones entre os clientes y los

servidores web, el funcionamiento general de este protocolo es el siguiente

Ilustración 12: Funcionamiento Protocolo SSL

Tomada de: https://publib.boulder.ibm.com/tividd/td/TRM/SC23-4822-

00/es_ES/HTML/user277.htm

93

Como se observa en la ilustración doce (12) una vez se establece la conexión cifrada,

todo el tráfico queda protegido ante amenazas de confidencialidad e integridad, algunos

navegadores ponen en verde la barra de dirección del sitio web para facilitar que el

usuario identifique que la conexión se estableció de manera segura

El protocolo TLS Transport Layer Security nace con la versión 1.0 en el RFC 2246

siendo una actualización de SSL versión 3.0, por lo que se puede usar indiferentemente

los nombres SSL/TLS sin embargo técnicamente TLS es la evolución de SSL, la IEFT

deprecio las versiones de SSL 2.0 y 3.0 en 2011 y en 2015 respectivamente, se añade

seguridad con la utilización de TLS sobre otros protocolos que no son seguros por

definición, por ejemplo sobre HTTP lo convierte en HTTPS, SSH también lo utiliza,

NNTP, POP3, IMAP4 y SMTP pueden operar de manera segura haciendo uso de TLS.

En cuanto al protocolo SSH Secure Shell que se utiliza para realizar conexiones

administrativas a servidores de manera segura, en reemplazo de otros protocolos como

Telnet o FTP que transmiten sus datos e texto claro, y que al ser labores administrativas

permitían que un intruso se quedara con las credenciales de acceso administrativos a

los servidores y a sus servicios.

Ilustración 13: Funcionamiento Protocolo SSH

Tomada de: https://pressroom.hostalia.com/white-papers/configurar-protocolo-ssh

94

En la ilustración trece (13) observamos el proceso de establecimiento de conexión

usando SSH y su intercambio de llaves

4.6 Ejemplos

Como ejemplos de la importancia del aseguramiento de las comunicaciones

podemos mencionar la necesidad de cifrar el tráfico entre el cliente y los servidores que

proveen los servicios, para el caso del protocolo HTTPS, que usa a TLS/SSL como

protocolo de seguridad para cifrar la información, cualquiera de las páginas web que

cuente con un servicio en donde la seguridad de la información sea un elemento que

considerar, deberá tener implementado su página de manera segura.

En esta misma línea y teniendo como ejemplo el cifrado de las páginas web, las

conexiones a redes privadas virtuales (VPN) que se realizan sobre internet, hacen uso

de IPSec y de TLS/SSL con el fin de asegurar el cifrado de la información que es

transmitida por medio de estos circuitos virtuales, las técnicas de cifrado son las

técnicas de mayor uso en los procesos de aseguramiento de las comunicaciones,

impulsadas por políticas como el teletrabajo y la necesidad de dar acceso seguro a los

recursos empresariales a los clientes internos

4.7 Reflexiones

Una de las líneas más importantes en la defensa de la seguridad de la información es

el proceso de aseguramiento de las comunicaciones, la implementación exitosa de

servicios sobre esta base, se realiza haciendo uso de los protocolos de seguridad, aun

así, la última línea de defensa es el usuario quien debe utilizar de manera segura y

responsable estos servicios.

95

La posibilidad de realizar el uso de servicios sin cifrar o haciendo uso de versión con

cifrados obsoletos es una de las fallas más recurrentes en las organizaciones, el uso de

servicios debe realizarse siempre con las últimas versiones de los mismos, con las

opciones de cifrado y con las más recientes características de seguridad habilitadas con

el fin de garantizar la seguridad de los mismos.

4.8 Conclusiones

La comprensión de los aspectos técnicos de los procesos de comunicaciones y en

especial del funcionamiento del set de protocolo TCP/IP sentara bases vitales para

comprender el detalle de su funcionamiento y entender como las soluciones técnicas

apoyan los objetivos de la seguridad de la información definidos por la organización, la

correcta apropiación e interiorización de estos conceptos ayudaran al lector a entender

la complejidad técnica subyacente en los procesos de implementación de las soluciones

técnicas y en valorar las funcionalidades que cada herramienta puede aportar al

proceso general de la seguridad.

Las comunicaciones entre los clientes y los servidores que proveen los diferentes

servicios a través de los canales de comunicación, tanto internos como sobre Internet

deben hacerse haciendo uso de las mejores condiciones de seguridad y aprovechando

los protocolos definidos para facilitar estas comunicaciones, no hay que correr riesgos

en cuanto a los niveles de protección de la información.

La utilización de protocolos seguros para garantizar la seguridad de la información en

tránsito por nuestras redes es una obligatoriedad para garantizar el mínimo necesario

de información, la utilización de mecanismos adicionales como autenticación de doble

factor y el uso de biometría, ayudan a blindar los procesos de autenticación y

verificación de usuarios, el acceso a través de internet de manera fácil y segura a los

96

recursos empresariales es indispensable para varios de los actores de una organización

moderna y es un servicio que deben brindar los departamentos de IT.

97

Capítulo V

Fire

wal

l e ID

S/IP

S Firewall

IDS/IPS

Ejemplos

Reflexiones

Conclusiones

Firewall e IDS/IPS

99

Capítulo 5: Firewall e IDS/IPS

Las herramientas técnicas de control de seguridad tienen dos de sus estrellas en el

firewall y en las soluciones de IDS/IPS, el lector debe conocer estar soluciones, entender

su aplicabilidad como medidas técnicas para la mitigación de amenazas, y sus

principales características con el fin de poder sugerir soluciones de este tipo en las

organizaciones.

5.1 Firewall

Un firewall es un dispositivo de software que permite controlar tráfico entre redes,

se menciona que es un dispositivo de software porque varias soluciones (incluyendo

algunas comerciales) permiten que se instale el firewall en equipo de cómputo que no

fabrica el mismo fabricante o desarrollador del software, algunos otros fabricantes

venden el paquete completo, el hardware junto con el software, esta dualidad de

productos les permite optimizar el software para un hardware en particular con el fin

de conseguir mejor rendimiento en sus soluciones.

5.1.1 Arquitectura y Clasificación

La necesidad de proteger la información ha hecho evolucionar a las herramientas

que cumplen esta función, el firewall como dispositivo de protección de redes ha

evolucionado tanto en sus funcionalidades como en los modelos de arquitectura en las

cuales se instala, un firewall es básicamente un dispositivo que funciona en las capas de

internet y de transporte del modelo TCP/IP y controla el acceso a las redes basado en

reglas que permiten o que niegan el acceso basado en las direcciones IP origen o destino

y en los protocolos origen y destino, parte de este control se puede realizar sobre los

dispositivos de enrutamiento por medio de ACL’s “Listas de Control de Acceso” sin

100

embargo la necesidad de un equipo independiente que realiza estas funciones de

manera más eficiente ha sido la razón de ser de grandes fabricantes que han

evolucionado sus productos para mantenerlos vigentes y cubrir las necesidades de

seguridad de las organizaciones modernas.

Los primeros firewalls básicamente realizaban su trabajo con la filosofía de filtrar los

paquetes de acuerdo con las reglas definidas, los paquetes que cumplían con alguna de

las reglas eran permitidos y los demás eran descartados.

Ilustración 14: Arquitecturas usuales de Firewalls

Tomada de: http://searchsecurity.techtarget.com/tip/Choosing-the-right-firewall-topology-

Bastion-host-screened-subnet-or-dual-firewalls

En la ilustración catorce (14) se observan las arquitecturas usuales de firewall, en la

A, Bastion Host, el firewall sirve para controlar el tráfico entre internet y la intranet, en

la B Screened Subnet ya existe el concepto de zona desmilitarizada, en donde se ubican

101

los servidores que tienen algún servicio expuesto sobre internet, en C Dual Firewall ya

tenemos el concepto de doble firewall y en medio de ellos la DMZ lo que ayuda a

reforzar la seguridad del esquema dado que un intruso para llegar a la red interna debe

pasar por esta doble barrera de firewall, el firewall de la red interna debe tener zonas

separadas para granjas de servidores internos, bases de datos y zonas para usuarios de

los servicios lo que ayuda a incrementar los controles, pero aumenta el tema de la

administración.

La posibilidad de tener más de un firewall es muy interesante, pero tenía

implicaciones de costos y de administración bastante complejas, sin embargo dentro de

las evoluciones de los firewall, la posibilidad de definir firewall virtuales es una

característica ya soportada por los principales fabricantes de soluciones de firewall, con

ello, usando la misma infraestructura física se pueden usar dos, tres y más firewall

virtuales, suficientes para cubrir las necesidades de seguridad de grandes

organizaciones y generar arquitecturas más complejas de protección de las redes.

5.1.2 Tipos de Firewall

Al ser las soluciones de firewall un punto crítico de control de seguridad, usualmente

se suelen instalar en alta disponibilidad, es decir en lugar de un solo appliance, se suelen

comprar dos e instalarlos de manera tal que, si uno de ellos tiene algún fallo físico, el

otro pueda asumir todas las reglas y servicios que tenía inicialmente configurados la

solución, esto con el fin de garantizar la disponibilidad de la solución.

Aunadas a estas características, los fabricantes de firewall ya incluyen con sus

soluciones servicios como proxy de navegación web, firewall de aplicaciones web “Web

Application Firewall”, servicio de IDS/IPS, sandbox o soluciones de análisis de

amenazas basados en análisis de comportamiento de malware sobre varios sistemas

102

operativos “virtualizados para este análisis”, además de esto las soluciones son capaces

de abrir y revisar el tráfico para hacer un análisis más profundo

Todas estas nuevas funcionalidades incluidas en las soluciones de firewall modernas,

las hacen soluciones multipropósito, las funcionalidades añadidas están basadas en las

capacidades de la solución de realizarlas basados en que tiene el tráfico y la capacidad

para realizar el análisis, sin embargo hay una discusión acerca de la efectividad de estas

funcionalidades añadidas, dado que no son la especialidad de los fabricantes de firewall,

sin embargo han añadido socios de negocio o comprado compañías especializadas en

este tipo de soluciones para poderlas incluir

Los firewall’s de nueva generación NGFW han evolucionado de os firewalls

tradicionales, el control de acceso a las aplicaciones de manera tradicional basados en

direcciones y en puertos ya no es un control efectivo para la multiplicidad de

aplicaciones, los controles de acceso a los recursos deben estar asociadas a las

necesidades del negocio y con la digitalización de la sociedad y la necesidad de que

nuestros clientes y usuarios accedan a nuestros servicios a través de múltiples

plataformas generan la necesidad de cambiar la filosófica de control tradicional y

utilizar herramientas que nos ayuden a generar políticas de seguridad en donde la

prioridad sea las actividades claves del negocio.

Los NGFW tienen entre sus características la posibilidad de identificar la data

generada por aplicaciones y clasificarla para permitir el acceso o la negación del tráfico

por aplicaciones, teniendo en cuenta que hoy en día una aplicación puede tener un

cliente de escritorio y uno diferente para celulares y/o tabletas, esto facilita dar

permisos por aplicaciones y grupos de usuarios que las utilizan, independientemente

del dispositivo con el que se realice la gestión, la posibilidad de que un usuario use SSL

o SSH para encapsular y cifrar el tráfico de cualquier aplicación y vulnerar los controles

103

de seguridad, genera que los firewalls tenga la necesidad de revisar el tráfico que pasa

cifrado por la red.

La integración de las soluciones de firewalls con repositorios de autenticación

empresarial como directorio activo de Microsoft perite la gestión de identidad de

usuarios de manera centralizada y asociar esta identidad a las aplicaciones que tiene

autorizadas, esta característica es mucho mejor que solo realizar controles por

direcciones IP y por los puertos que usan las aplicaciones.

Ilustración 15: Cuadrante Gartner Firewall’s Multifuncionales

104

Tomada de: http://searchsecurity.techtarget.com/tip/Choosing-the-right-firewall-topology-

Bastion-host-screened-subnet-or-dual-firewalls

En la ilustración quince (15) observamos el cuadrante mágico de Gartner para

soluciones de firewall multipropósito, se observa dos fabricantes Fortinet y Checkpoint

en el cuadrante de líderes en este tipo de soluciones

Como parte del proceso de evolución de los firewall’s, las consolas de administración

tienen versiones web, con componentes gráficos que facilitan la interpretación de la

información más relevantes de sus múltiples componentes y con multitud de informe

predefinidos y herramientas que fácilmente permiten el ajuste de los mismos a las

necesidades de la empresa, al igual que herramientas que permiten el análisis de una

cantidad cada vez más crecientes de logs con eventos que requieren la alerta de los

administradores de las herramientas, adicional a estas características, la posibilidad de

implementar de manera virtualizada varios firewall’s complementan estas

características.

Los firewall’s de aplicaciones web WAF son una variante de firewall que surgió con

el propósito de proteger las aplicaciones web, estos firewall, realizan un proceso de

aprendizaje por algunas semanas, luego de ello sugieren la aplicaciones de ciertos

controles basados en el tráfico que analizaron en su modo de aprendizaje y en las

características técnicas de la aplicación, una vez se aplican estos controles el WAF

notifica y bloquea y/o alerta cuando existe un comportamiento inusual del tráfico que

pasa para la aplicación.

5.1.3 Implementación de Firewall

La implementación de firewall como soluciones de seguridad debe realizarse

basados en las condiciones de la red de la entidad, la presunción más simple es usarlo

105

el firewall en modo bastión, dadas las múltiples capacidades de las soluciones

modernas como vimos anteriormente usarlo solo como bastión implica desaprovechar

muchas de las características de las soluciones modernas, para utilizar estas nuevas

funcionalidades la arquitectura más adecuadas para la mayoría de los casos es

implementarlo como dual firewall “ver ilustración catorce (14)”, en donde se deja una

DMZ protegida por un primer firewall y se tiene un segundo firewall protegiendo el

resto de la infraestructura, en donde se sugiere colocar separados por VLAN’s los demás

segmentos de la red interna con el fin de dejarlos doblemente protegidos, se puede

también sugerir que se implementen soluciones de diferentes fabricantes, lo que mitiga

el riesgo de las amenazas asociadas a las vulnerabilidades de un solo fabricante, pero

esto implicaría costos más elevados y labores de administración sobre diferentes

plataformas lo que genera mayor complejidad.

Ilustración 16: Diseño genérico implementación de firewall

Larrahondo, A. (2017). Elaboración modulo virtual Seguridad en Redes Telemáticas

En la ilustración dieciséis (16), el lector puede observar la propuesta genérica de una

solución de doble firewall, en el firewall perimetral se deja conectado el router que nos

106

trae el servicio de Internet, y se declara una vlan para la DMZ en donde se dejan los

servidores con servicios accesibles a través de internet que son públicos.

En el Firewall de core o interno, se deja el acceso de las redes de sucursales a través

de MPLS “Multiprotocol Label Switching” o enlaces dedicados que entrega el proveedor

generalmente sobre el mismo router, y las vlan internas que considere la organización,

incluyendo una vlan de servidores internos, una vlan para impresoras, vlan para voz IP,

vlan para cámaras y uno o varias vlan para la zona LAN que correspondería a los

usuarios de las áreas, este nivel de segregación permite un control muy estricto de los

servicios que se protegen en cada vlan.

La idea de dejar vlan para servicios como VoIP o cámaras, es para separar estos

tráficos y poder realizar controles más estrictos o general reglas de calidad de servicio

tal como las necesarias para garantizar que el tráfico de VoIP tenga la prioridad

necesaria para garantizar que el servicio funcione de manera correcta y no se presente

robotización o retrasos en el servicio que perjudiquen su calidad.

5.2 IDS/IPS

Las soluciones de IDS/IPS “Intrusion Detection System e Intrusion Prevention

System” o sistema de detección de Intrusos y sistema de prevención de intrusos, son

soluciones de seguridad avanzada en redes, revisaremos algunos conceptos, uno de

ellos es intrusión, una intrusión es básicamente un acceso ilícito a un sistema,

generalmente los métodos utilizados son ilegales a la luz de leyes como la ley de delitos

informáticos de Colombia y leyes similares en varios países, una detección de intrusión

entonces será técnicamente cualquier método que nos habilite para describir y/o

evidenciar si alguien ha penetrado o intentado realizar una intrusión en nuestra red,

servidores o servicios.

107

5.2.1 Tipos y características

Un IDS/IPS es un dispositivo o grupo de dispositivos que buscan patrones específicos

de tráfico en la red con el propósito de detectar intentos no autorizados de acceso, la

diferencia básicamente entre un IDS y un IPS es que el IPS está dotado de características

adicionales que le permite tomar acciones ante las intrusiones detectadas permitiendo

una reacción proactivo deteniendo los ataques o intrusiones antes de que sean exitosas,

mientas que el IDS solo las reporta y las acciones se toman basados en el análisis de sus

reportes y/o alertas.

Ilustración 17: Topología IDS/IPS en linea

Tomada de: https://www.pcihispano.com/controles-tecnicos-de-pci-dss-parte-v-sistemas-

de-deteccionprevencion-de-intrusiones-idsips

En la ilustración diecisiete (17) el lector puede observar la topología general para la

ubicación de una solución de IDS/IPS, en esta topología la solución usualmente se

coloca detrás del firewall, en razón a que el tráfico a revisar ya está depurado con lo que

108

las reglas del firewall autorizan a pasar, si bien la carga de trabajo es alta analizando

esta cantidad de tráfico es menor que colocando el IDS/IPS en frente del firewall.

En esta posición el IDS/IPS claramente está en modo activo ya que por el pasa todo

el tráfico una vez filtrado inicialmente lo que permite que se monitoree de forma más

eficiente y se tomen acciones directas sobre los hallazgos del monitoreo

Ilustración 18: Topología IDS/IPS en modo pasivo

Tomada de: https://www.pcihispano.com/controles-tecnicos-de-pci-dss-parte-v-sistemas-

de-deteccionprevencion-de-intrusiones-idsips/

En la ilustración dieciocho (18) el lector puede observar la topología de IDS/IPS en

modo pasivo, en este modo el tráfico que debe revisar la solución debe ser “copiado”

por medio de un puerto espejo a la interface en la cual este escuchando la solución, en

esta topología las acciones reactivas deben ser cuidadosamente4 planificadas uy

probadas con el fin de evidenciar que efectivamente cumplan con los requerimientos

109

5.2.2 Componentes de los IDS/IPS

El referente más importante para este tipo de soluciones es Snort, este proyecto que

está en http://www.snort.org fue lanzado en el año 1998, está basado en la librería

libpcap que es una interfaz para la captura de paquetes que se creó como parte de la

aplicación tcpdump con la diferencia de que Snort permite revisar el payload del

paquete lo que le permite detectar con rapidez una gran cantidad de tráfico hostil, como

buffer overflows, escaneos de puertos, escaneos e intentos de explotación de

vulnerabilidades entre otros, la solución tiene actualmente más de 400000 usuarios

registrados y más de 4 millones de descargas.

110

Ilustración 19: Componentes Snort

Tomada de:

http://bibing.us.es/proyectos/abreproy/12077/fichero/memoria%252Fpor_capitulos%252F

04.snort.pdf

En la ilustración diecinueve (19) el estudio observa los principales componentes de

Snort, incluyendo la librería DAQ “Data Acquisition” que reemplazo las llamadas

directas a la librería libpcap por una capa abstracta que facilita las consultas de manera

independiente al hardware y al software, los componentes tienen las funciones

siguientes:

Packet Decode Engine: Motor de decodificación de paquetes, esta actividad se realiza

luego que el DAQ envía el paquete al Snort, allí básicamente se almacena toda la

información de cada paquete para su posterior procesamiento.

Preprocesor: Permiten ampliar las funcionalidades de la herramienta mediante

módulos o plugins, sus funciones básicas son generar alertas, y clasificar o descartar los

paquetes antes de enviarlos al motor de detección, los plugins extienden estas

funcionalidades hasta el punto de modificar los paquetes si es necesario

Detection Engine: Motor de detección, es el corazón de la solución y se encarga de

inspeccionar el contenido del paquete, comparando el campo de datos de cada uno con

el conjunto de reglas del IDS, si alguno de los paquetes coincide es enviado al módulo

de output para que se genere la salida en el formato definido

Output: Salida del Snort envía las alertas en el formato establecido en los archivos de

configuración cuando el tráfico coincide con uno de los patrones de las firmas o cuando

un pluging lo solicite.

111

Para algunas otras soluciones los componentes varían, pero en esencia hacen uso de

estos mismos componentes conceptualmente hablando, es conocido además en la

industria que muchos de los fabricantes comerciales de soluciones, lo que hacen es

apropiar partes de las soluciones Open Source, modificarlas o integrarlas en sus

soluciones, por lo que en el fondo su core está basado en estas o en otras soluciones de

open source

5.2.3 Detección de intrusos en la capa de enlace del protocolo 802.11

El estándar 802.11 define las características y por ende el funcionamiento que deben

tener las capas inferiores del modelo OSI (Físico y enlace de red), en específico el

funcionamiento de la WLAN o “Wireless Local Area Network” a la que comúnmente nos

referimos como redes WI-Fi

112

Ilustración 20: Estándares 802.11

Tomada de: http://www.mwrf.com/active-components/what-s-difference-between-ieee-

80211af-and-80211ah

La detección de intrusos en este protocolo o conjunto de protocolos tiene unos retos

especiales desde el tema de seguridad, la flexibilidad y la comodidad de las redes

inalámbricas las hacen extremadamente populares, la facilidad de brindar conexión a

la red a equipos sin la necesidad de tender cableado es una característica muy

importante donde la agilidad en proveer estas conexiones y a veces la imposibilidad

física de acometer obras de infraestructura como en museos, edificios históricos, y otros

son determinantes, sin embargo la consideración de la seguridad es crítica para estas

conexiones dado que la información está viajando por el aire, y literalmente puede ser

accedida por cualquiera en el radio de alcance de la señal lo que incrementa los

problemas de seguridad de manera dramática, en especial para las compañías y/o

usuarios que las usan para conectarse a servicios que requieren garantizar los niveles

de confidencialidad de la información que es la característica de seguridad más

amenazada.

Algunos de los mecanismos de seguridad implementados en las WLAN’s son el

ocultamiento del identificador de la red, el filtrado de direcciones MAC, algoritmos de

cifrado como WAP, WEP y WPA2, otro mecanismo son la implementación de redes

privadas virtuales e implementación de RADIUS entre los más usuales. Sin embargo las

técnicas de vulneración de estas medidas también han evolucionado, por lo que tener

un sistema de detección de intrusos verificando la sanidad del tráfico de este tipo de

redes en muy recomendable, al igual que en las redes cableadas un sistema de detección

de intrusos para redes inalámbricas, basa su funcionamiento en el análisis de tráfico y

su comparación contra los parámetros de las firmas en donde están los ataques ya

conocidos, entre las falencias de los IDS’s de WLAN están que no pueden detectar

ataques desconocidos, las firmas deben ser actualizadas de manera constante.

113

Ilustración 21: Wireless MAC Protocols

Tomada de: bdigital.reduniv.edu.cu/fetch.php? data=1599&type=pdf&id=1604&db=2

Se observa en la ilustración veintiuno (21), se observa la clasificación de los

protocolos MAC “Media Access Control” Control de Acceso al Medio, que básicamente

controlan el acceso de manera aleatoria, con acceso garantizado, y un acceso hibrido,

luego de varias propuestas para 802.11 se implementó DFWMAC Distributed

Foundation Wireless Medium Access Control, que proporciona un mecanismo de

control de acceso al medio de acceso distribuido con un control centralizado opcional

Las soluciones de WIDS además de evaluar el tráfico que recibe de las

vulnerabilidades asociadas a los protocolos normales, además deben fijarse en las

amenazas de seguridad de los protocolos de cifrado utilizados y las del formato y

tramas MAC. Algunas de estas soluciones son Cisco Adaptative Wireless IPS, Fluke

Networks AirMagnet Enterprise, Aruba RFProtect y HP Mobility Security IDS/IPS.

114

5.3 Ejemplos

Como ejemplo de herramientas de seguridad para soluciones de firewall debemos

mencionar la solución incluida en Linux iptables, que es una sencilla solución de filtrado

de paquetes que viene incluido con el kernel de Linux y que algunos proyectos han

ampliado para agregarle interfaces de administración y monitoreo y que se puede

integrar de manera nativa con algunas soluciones de IDS/IPS con el fin de potenciar sus

funcionalidades.

Como segundo ejemplo y dentro de las soluciones de IPS/IDS se puede mencionar a

Snort que es una solución open source para detección de intrusos, esta solución es

desarrollada por SourceFire quien también vende planes comerciales de uso de la

solución y actualizan las reglas de menara constante, esta solución también se puede

integrar con otras para extender su funcionalidad, dentro de la integración de estas

herramientas, Iptables y Snort se pueden integrar con el fin de conseguir que si el Snort

identifica una fuente de ataque, el firewall genere una regla que no acepte ni siquiera la

conexión desde la IP o segmento en donde se detectó el ataque.

5.4 Reflexiones

La utilización de las herramientas de seguridad Firewall e IDS/IPS se pueden

considerar como recursos mínimos de seguridad en una organización, de hecho, las

soluciones de IDS/IPS suelen encontrarse ya integradas con las soluciones de firewall

con el fin de ayudar a controlar la seguridad y a mejorar los procesos de aseguramiento

de las comunicaciones.

El fortalecimiento de la seguridad de las redes con soluciones de IDS/IPS nos ayuda

a monitorear en tiempo real el tráfico y a detectar comportamientos anómalos en la red,

estas herramientas requieren sin embargo supervisión con el fin de que sean efectivas,

115

cualquier implementación de seguridad requiere unos afinamientos y un monitoreo

constante para que sea efectiva.

5.5 Conclusiones

El aseguramiento de las comunicaciones y las redes mediante la utilización de

herramientas de seguridad como firewall e IDS/IPS es una de las primeras barreras a

utilizar en la protección de las comunicaciones y en el control de tráfico entre redes,

estos controles debes quedar bien implementados e integrados para favorecer el

monitoreo y la correcta visibilidad de los eventos de seguridad.

Las herramientas técnicas nos ayudan a mejorar los procesos de seguridad de la

información, sin embargo, el conocimiento de las necesidades del negocio es el factor

más importante que permite determinar como la implementación de estas

herramientas ayudará al negocio a cumplir con sus objetivos estratégicos, en la

selección de herramientas claramente los aspectos técnicos tienen una valoración muy

alta, pero es sin embargo el valor agregado que esta o estas herramientas le pueden

aportar a la organización, es el factor que determinara su utilización dentro de la

misma, dentro de este proceso de evaluación e integración estratégica de las

herramientas con la seguridad de la información de la organización, dentro de estos

procesos de selección es común encontrar que una misma solución que en una

organización es muy buena para otra organización sea pésima.

117

Capítulo VI

Vu

lner

abili

dad

esConcepto de

Vulnerabilidad

Tipos de Vulnerabilidades

Herramientas de Análisis de Vulnerabilidades

Organizaciones que Publicas las

Vulnerabilidades

Organizaciones que Publicas las

Vulnerabilidades

Ejemplos

Reflexiones

Conclusiones

Vulnerabilidades

119

Capítulo 6: Vulnerabilidades

La dependencia de los servicios soportados por tecnología aumenta cada día más, es

difícil imaginar algún producto o servicio que no tenga un soporte de sistemas de

información y todo lo que esto significa en hardware, software y comunicaciones, esta

misma dependencia genera que la indisponibilidad de estos servicios se convierta en

un factor crítico para los resultados financieros de quien los provee, y también para

quien los utiliza, la vida de las personas puede correr peligro en servicios de

infraestructura critica soportados por sistemas de información, caso servicios públicos,

hospitales, transporte, y otros, entre más sensible sea el servicio seguramente más

componentes tecnológicos tiene su soporte, para contextualizar aún más al lector se

puede asegurar que ningún sistema de información es exento de vulnerabilidades, con

lo cual sistemas de información que controlan desde plantas nucleares hasta un

inofensivo juego para un celular tienen vulnerabilidades, el impacto de su explotación

depende de muchas variables y sus consecuencias también.

6.1 Concepto de Vulnerabilidad

Las diferentes divisiones de seguridad informática, implementan medidas

preventivas y correctivas a través de soluciones técnicas con el fin de detectar, prevenir

o mitigar el impacto generado por la explotación exitosa de una vulnerabilidad, la

definición de vulnerabilidad entonces esta expresada en el contexto de

vulnerabilidades en sistemas de información, podemos decir entonces que una

vulnerabilidad es una falla o debilidad en el diseño, implementación o gestión de un

sistema, que puede ser explotada con el fin de conseguir acceso no autorizado al sistema

o a alguno de sus componentes.

120

Esto implica que en sistemas donde los componentes de software son de diversos

fabricantes, como es el caso de un computador personal, en donde el sistema operativo

puede ser de un fabricante, la suite de herramientas de oficina de otro y que además

tienen diferentes tipos de sistemas de información, el número de vulnerabilidades

tiende a crecer, y un componente puede afectar o exponer a vulnerabilidades a varios

tipos de software diferentes, este caso sería el de los componentes del sistema

operativo, si el sistema operativo tienen una vulnerabilidad, la seguridad de todos los

demás sistemas de información queda automáticamente comprometida.

La explotación exitosa o no de la vulnerabilidad se considera un incidente de

seguridad, si este incidente se puede catalogar como intencional, pasamos a hablar de

un ataque, aquí hay que tener clara la diferencia entre ataque y amenaza, una amenaza

es una acción o hecho que puede inferir o producir un daño sobre un bien o activo y que

son de naturaleza lógicas o físicas, tal como se vio en el capítulo uno numeral 2.2

Amenazas en seguridad de la información.

121

Ilustración 22: Vulnerabilidades

Tomada de: https://nvd.nist.gov/vuln/search/statistics

En la Ilustración 22, el lector puede observar la estadística de las vulnerabilidades

reportadas a la National Vulnerability Database de los Estados Unidos, en donde es

clara la tendencia creciente en el número de vulnerabilidades, el impacto en la

explotación de estas vulnerabilidades es cada vez mayor.

Un ejemplo reciente de una explotación exitosa de una vulnerabilidad que tuvo un

gran impacto, es el caso de Equifax que se considera como el robo de información

crediticia más importante de los últimos años, se comprometió la información de 143

millones de usuarios, dentro de la información comprometida de los usuarios se

encuentran nombres completos, direcciones, números telefónicos, historial crediticio,

números de tarjetas de crédito, fechas de nacimiento, números de seguridad y hasta

números de licencias de conducir de clientes de Estados Unidos, Canadá y Reino Unido.

El robo se realizó mediante la explotación de una vulnerabilidad en su aplicación web

del componente Apache Struts identificada con el CVE-2017-5638 de marzo de 2017

que la Apache Software Fundation parcho el mismo día que se anunció por lo que

podemos concluir que la explotación se debió a no haber instalado las actualizaciones

en el momento adecuado dado que estas estuvieron disponibles desde marzo y el

incidente se desarrolló entre mayo y julio de 2017.

6.2 Tipos de Vulnerabilidades

A continuación, las vulnerabilidades clasificadas por el tipo de sistema al que afecta,

que serían las siguientes:

Vulnerabilidades de Bajo Nivel y Software Malicioso, en este apartado quedan

clasificadas las vulnerabilidades que afectan a los diferentes sistemas operativos y

https://nvd.nist.gov/vuln/search/statistics

122

vulnerabilidades como Buffer Overflow y el software malicioso del que se despende

todo el malware conocido hoy en día.

Vulnerabilidades de red, son las vulnerabilidades que afectan los protocolos,

componentes y software de la red.

Vulnerabilidades en aplicaciones Web, al estar buena parte de la información

disponible para consumir vía web, estas vulnerabilidades son las más populares y

comúnmente explotadas, razón para tener especial cuidado con las aplicaciones web

que habilitamos, incluyen SQL injection, Cross Site Scriting, y otras.

Vulnerabilidades de Ingeniería Social, estas vulnerabilidades están asociadas al

elemento humano y a las fallas que se pueden introducir a través de él, como son spam,

phishing y otras.

Existen por supuesto otras clasificaciones de vulnerabilidades o aproximaciones a su

entendimiento, algunas de ellas más académicas y otras más practicas por ejemplo se

pueden intentar clasificar por su impacto a la confidencialidad, integridad y

disponibilidad o atendiendo al vector de acceso de la mismas, a los métodos de

autenticación que abordan o requieren

El FIRST “Forum of Incident Response and Security Teams” https://www.first.org

que nació en 1990 como respuesta a los cambios necesarios en las respuestas a

incidentes y equipos de seguridad, luego de varios de los primeros ataques masivos,

crearon el sistema conocido como CVSS “Common Vulnerability Scoring System” con el

fin de proveer una manera de obtener las principales características de una

vulnerabilidad y producir un indicador numérico que refleje su severidad, este

indicador numérico se puede convertir en una representación cualitativa como bajo,

medio, alto y critica con el fin de ayudar a las organizaciones a priorizar su proceso de

gestión de vulnerabilidades.

123

Ilustración 23: Esquema métricas de vulnerabilidades de CVSS

Tomada de: https://www.first.org/cvss/v1/guide

En la ilustración veintitrés (23) el lector puede observar de manera general como

son establecidas las métricas de vulnerabilidades, el valor se calcula con base en tres

áreas separadas, un grupo base, un grupo temporal y un grupo del entorno, en cada uno

de estos grupos, se usan unos criterios específicos para valorar la vulnerabilidad.

124

6.3 Herramientas de Análisis de Vulnerabilidades

Las herramientas que facilitan el análisis de vulnerabilidades básicamente funcionan

ejecutando los siguientes pasos:

1. Revisar si el host destino está disponible: La primera acción es identificar si el

host objetivo del análisis de vulnerabilidades esta “vivo” o disponible, esta

verificación la realizan con varias tecnologías como pruebas de ICMP con varios

parámetros diferentes, probando la respuesta a servicios ampliamente

conocidos, si el host responde se continua con los demás pasos.

2. Detección de protección de Firewall, la segunda acción es identificar si el host

está protegido por reglas de firewall y permite recopilar más información al

escáner.

3. Escaneo de puertos TCP/UDP, en este paso se ejecutan escaneos de puertos TCP

y UDP para identificar servicios corriendo sobre el host destino.

4. Detección de SO, en este punto el escáner intenta determinar qué sistema

operativo hay en el host basado en la respuesta a los escaners anteriores.

5. Servicio de descubrimiento TCP/UDP, en este paso la herramienta intenta

determinar qué servicios específicos con versiones y fabricante ejecuta el host en

los puertos que respondieron al escaneo.

6. Evaluación de vulnerabilidades basadas en servicios, en este punto el sistema

intenta detectar las vulnerabilidades para los servicios ya identificados,

basándose en sus versiones específicas, esta actividad la realiza de manera no

intrusiva con el fin de no explotar efectivamente la vulnerabilidad y afectar los

servicios.

Dentro del grupo de herramientas existen unas con mayores funcionalidades que

otras, o herramientas que son especializadas en algunos puntos específicos de todo el

proceso, pero en términos generales las herramientas que podemos utilizar para

realizar este trabajo son:

125

NMAP: Herramienta open source multiplataforma disponible en https://nmap.org

especializada en escaneo de puertos, que incluye una interface gráfica de usuario

(zenmap), herramientas de transferencia de datos, redirección y debug (Ncat), un

utilitario de comparación de resultados (Ndiff), un generador de paquetes y

herramienta de análisis de respuestas (Nping) y además cuenta con un motor de

scripting (NSE) que permite al usuario automatizar muchas de las tareas

OpenVAS: Open Vulnerability Assessment System herramienta open source

http://www.openvas.org se autodefine como un framework con varios servicios y

herramientas que ofrecen un comprensible y poderoso escaner y gestor de

vulnerabilidades

126

Ilustración 24: Arquitectura OpenVAS

Tomada de: http://www.openvas.org/about.html

En la ilustración veinticuatro (24) el lector puede observar los principales

componentes de la arquitectura de la solución de OpenVAS, que tiene tres servicios, un

administrador, un manager y un servicio de scanner que es el que se encarga de realizar

los análisis de vulnerabilidades, el cliente usa la herramienta a través de una interface

web desde donde se configura la solución y se entregan los informes y se presentan los

resultados, esta es una solución muy robusta que se puede configurar para atender

varios OpenVAS managers en diferentes puntos de nuestra red.

Existen algunas otras soluciones como Nessus que tiene una versión “home” y una

versión comercial, fabricantes como Qualys www.qualys.com ofrecen herramientas

127

especializadas (appliances) e inclusive versiones free limitadas de sus herramientas de

software para que los usuarios las utilicen.

6.4 Organizaciones que Publicas las Vulnerabilidades

Tal como se observó con CVSS, existen algunas organizaciones creadas con el ánimo

de ayudar a organizar y centralizar la información referente a las vulnerabilidades en

los sistemas, veamos las más relevantes.

Mitre Corporation mantiene una lista de vulnerabilidades descubiertas en un sistema

llamado CVE “Common Vulnerabilities and Exposures” donde las vulnerabilidades son

evaluadas usando el sistema CVSS https://cve.mitre.org normalmente los grandes

fabricantes de software e investigadores de vulnerabilidades se unen a la CVE para

reportar sus propias vulnerabilidades con el fin de que sean clasificadas y valoradas.

El “National Institute of Standars and Technology” de los Estados Unidos mantiene

la base de datos nacional de vulnerabilidades “National Vulnerability Database” que es

un repositorio del gobierno para facilitar la gestión de vulnerabilidades mediante el

protocolo SCAP “Security Content Automation Protocol” el sitio también incluye bases

de datos con listas de chequeo para comprobaciones de seguridad, configuraciones

erróneas, métricas de impacto y otros datos útiles en el proceso de gestión.

128

Ilustración 25: NVD Dashboard

Tomada de: https://nvd.nist.gov/general/nvd-dashboard

En la ilustración veinticinco (25) el lector puede observar el dashboard de la NVD,

allí también se muestran las ultimas 20 vulnerabilidades con su número de indicador

de CVE, fecha, hora y clasificación CVSS, con el fin de facilitar su interpretación.

Otro sitio con excelentes recursos es https://www.cvedetails.com en donde puedes

encontrar información detallada de cada CVE, como su CVSS y unos comentarios breves

pero descriptivos de su impacto en confidencialidad, en integridad y en disponibilidad,

al igual que su complejidad de acceso en donde explican que tan complejo puede ser

realiza la explotación de la vulnerabilidad, muestran si te da acceso al recurso que posee

la vulnerabilidad, el tipo de la misma, y el identificador CWE, al igual que enlaces con el

análisis detallado de la vulnerabilidad, y enlace al exploit si está disponible

129

Ilustración 26: Dashboard CVEdetails

Tomada de: https://www.cvedetails.com/index.php

En la ilustración veintiseis (26) se observa de la página principal de cvedetails, un

par de gráficas, una con la distribución de todas las vulnerabilidades por el score CVSS

con su respectiva grafica de barras a la derecha.

Otro excelente recurso es la base de datos de exploits https://www.exploit-db.com

un exploit es el código que permite realizar la explotación efectiva de la vulnerabilidad,

y en este sitio se mantiene como su nombre lo indica un repositorio de exploits con más

de 37900 exploits, este sitio es mantenido por Offensive Security quienes desarrollan

Kali Linux (La más popular distribución de pentesting), los exploits que se pueden

consultar están divididos en varias categorías que son:

Remote Exploits

Web Application Exploits

Local & Privilege Escalations Exploits

Denial of Service & proff of Concept Exploits

Exploit Shellcode Archive

Archived Security Papers

130

Ilustración 27: Local & Privilege Escalation Exploits

Tomada de: https://www.exploit-db.com/

En la ilustración veintisiete (27) se observa la lista de exploits para Local & Privilege

Escalation Exploits, en la columna D se observa el enlace para la descarga del exploit

que puede venir en varios formatos como son código en C, scripts en Python o módulos

para Metasploit, en la columna A se observa el enlace para descargar la aplicación que

es vulnerable, esta opción es interesante para la investigación dado que la mayoría de

las aplicaciones solo dejan disponible un par de versiones y las versiones antiguas no

son fáciles de conseguir, muchas de estas aplicaciones si son comerciales por temas de

derechos de autor no tienen este enlace, en la columna marcada con la V se indica si el

exploit ha sido verificado en su funcionamiento.

6.5 Ejemplos

La gestión efectiva de vulnerabilidades en los activos de información de una

organización no las elimina del todo siempre quedara la posibilidad de que existan

vulnerabilidades de día cero, pero si minimiza la posibilidad de la explotación de una

vulnerabilidad ya conocida, el descubrimiento de vulnerabilidades de día cero es un

trabajo de tiempo completo para muchos investigadores de seguridad y muchas de ellas

son vendidas en el mercado negro o implementadas en herramientas que se ponen en

131

subasta al mejor postor con fines evidentemente legales, la ZDI Zero Day Initiative

busca recompensar a los investigadores que de manera responsable descubran y

reporten vulnerabilidades con el fin de disminuir el mercado negro de las mismas.

El National Institute Of Standards and Technology NIST tiene en su publicación

especial su documento “Technical Guide to Information Security Testing and

Assessment” publicación especial SP 800-115 que es un documento de 80 páginas con

una metodología de prueba y evaluación de vulnerabilidades que nos puede servir de

ejemplo para implementar de manera exitosa este proceso de gestión al interior de

nuestra organización.

6.6 Reflexión

El proceso de gestión de vulnerabilidades es un pilar importante de la gestión de

seguridad en una organización, y ha demostrado que su descuido ha sido aprovechado

por varios de los últimos ataques que han afectado a muchos países como fue el caso de

WannaCry, por lo que este proceso debe realizarse de manera efectiva y con la seriedad

que amerita.

Para proteger las aplicaciones, sistemas operativos y redes de la organización

además de la aplicación de actualizaciones y revisión y mitigación de vulnerabilidades

debe acompañarse de medidas de control adicionales como acceso basados en la

necesidad de conocer, manejo de roles y perfiles y la utilización de los servicios

mínimos y necesarios sobre toda la infraestructura de TI de la organización, con estos

controles de ayuda a mitigar la posible existencia de vulnerabilidades de día cero que

puedan ser explotadas por intrusos que busquen acceder de manera ilegítima a los

recursos de nuestra organización

132

6.7 Conclusiones

Los procesos de aseguramiento de las plataformas con el uso de herramientas de

seguridad se deben acompañar de ejercicios juiciosos de análisis de vulnerabilidades

que permitan detectar y corregir puntos de exposición de fallas de seguridad. La

atención, mitigación y/o remediación de estas vulnerabilidades detectadas en nuestras

infraestructuras de computo, redes y telecomunicaciones es vital para prevenir las

posibles explotaciones de las mismas y garantizar una gestión adecuada del ciclo de

vida de las soluciones de la organización.

El acompañamiento de estas soluciones técnicas debe ir acompañado de un análisis

juicioso de las vulnerabilidades de los diferentes elementos que componen nuestros

sistemas, no solo de los sistemas core del negocio, sino de los sistemas de apoyo que

soportan la realización de todas las actividades de una organización y que a veces son

utilizados como punto de entrada para vulnerar la seguridad del resto de nuestra

plataforma, razón por la cual el análisis de vulnerabilidades debe cubrir toda la

superficie de sistemas de información que posea la organización y contar con un

proceso formal de evaluación, y remediación a las mismas, proceso que debe estar

articulado dentro del control de cambios y que debe contar con el aval de la alta

gerencia para que se realice de manera adecuada y oportuna.

133

Capítulo VII

Segu

rid

ad e

n R

edes

In

alám

bri

cas

y C

ifra

do

de

Dat

os Elementos de Seguridad

Wi-Fi

Amenazas y Riesgos en Redes Móviles y en los

Dispositivos

Ejemplos

Reflexiones

Conclusiones

Seguridad en Redes Inalámbricas y Cifrado de Datos

135

Capítulo 7: Seguridad en Redes

Inalámbricas y Cifrado de Datos

Las redes inalámbricas han aumentado de manera rápida y constante su

implementación, la facilidad que le permite al usuario conectarse con unos pocos pasos,

más la comodidad de permitir el desplazamiento del mismo dentro de áreas en donde

se tenga cobertura, las hicieron muy populares dentro de las organizaciones, por otro

lado el tema de la seguridad ha ido evolucionando para proteger los datos de estas

redes, en este capítulo el lector revisara los elementos de seguridad en una red Wi-Fi y

las amenazas y riesgos en redes móviles y en los dispositivos.

Las redes inalámbricas se han popularizado dado el bajo costo la infraestructura

necesaria para ponerlas a funcionar y a los usuarios principalmente del hogar que se

han dado cuenta de sus potenciales y de los beneficios relacionados con la movilidad,

potro factor que ayudo mucho a su masificación fue la predominancia de los equipos

portátiles y los equipos móviles como tabletas y celulares inteligentes en reemplazo de

los equipos de escritorio en muchas organizaciones, sin embargo, las condiciones de

seguridad en su implementación y uso se deben revisar con más detalle, en especial en

las organizaciones donde a través de este medio se puede ver expuesta información de

carácter confidencial.

La necesidad de proteger la transmisión de la información para su envió y/o

recepción a través de redes de datos, algunas de ellas de uso público como Internet,

potencio el uso de la criptografía como ciencia utilizada en el diseño e implementación

de algoritmos de seguridad que a su vez faciliten garantizar el cifrado de la información

y con ello su seguridad bajo la premisa de que cualquier medio de trasmisión es

inseguro

136

La realización de pentest web o test de penetración a aplicaciones web nos provee

con información detallada de fallos de seguridad, con el fin de que tomemos las acciones

correctivas necesarias a nivel de desarrollo y/o configuración de la aplicación y de los

elementos de protección asociados a la mimas como pueden ser ajustes en el firewall,

en el web application firewall o en la configuración del servidor web.

7.1 Elementos de Seguridad Wi-Fi

Las redes inalámbricas pueden funcionar en dos modos distintos, el modo Ad-Hoc

que es básicamente un modo sin un punto de acceso que se encargue de la gestión de

red, permitiendo compartir la información entre los nodos participantes, pero también

compartiendo el ancho de banda, y el modo infraestructura, en donde la gestión se

realiza de manera centralizada por un punto de acceso.

Una de las características en la que debemos ser más fuertes desde el punto de vista

de seguridad en las redes wi-fi es la fortaleza del nivel de cifrado, además de las

vulnerabilidades existentes en las otras capas del protocolo TCP/IP y de las cuales es

necesario también ocuparse desde el punto de vista de seguridad, por ello una de las

consideraciones más importantes es la selección del protocolo de encripción con el que

configuraremos nuestra red, para ello revisaremos los algoritmos de cifrado más

comunes.

WEP: Wired Equivalent Privacidad, o privacidad equivalente a red cableada, fue

introducido en 1999 como parte del estándar IEEE 802.11, está basado en el algoritmo

de encripción RC4 y usa una clave secreta de 40 o de 104 bits, combinada con un vector

de iniciación (IV) de 24 bits, el mensaje encriptado “C” se determina utilizando la

siguiente formula:

137

C=[M || ICV(M)]+[RC4(K||IV)]

En esta fórmula el mensaje de texto es “M” y su checksum el ICV (Integrity Check

Value), || es un operador de concatenación y + es un operador XOR, el IV es la clave de

seguridad WEP y se aplica a cada paquete, pero desafortunadamente es transmitido en

texto claro, estas vulnerabilidades fueron aprovechadas por implementaciones de

herramientas de auditoria de redes inalámbricas como AirSnort, que al realizar análisis

de tráfico con un suficiente número de paquetes permitía descifrar la clave WEP

empleada. Otras herramientas como Aircrack pueden extraer una clave WEP de 128

bits en menos de 10 minutos, tiempos que han ido disminuyendo en la medida en que

se afinan las herramientas y se aumenta la capacidad de computo de los procesadores

modernos, la seguridad WEP no se recomienda para ninguna red inalámbrica y hoy en

día aunque es soportado por retro-compatibilidad de muchos fabricantes solo se utiliza

en entornos académicos para realizar pruebas sencillas de auditoria de seguridad en

redes inalámbricas.

Cronología de la muerte de WEP

Fecha Descripción

sep-95 Vulnerabilidad RC4 (Wagner)

oct-00 Análisis de encapsulación WEP (Walker)

may-01 Ataque contra WEP/WEP2 DE Arbaugh

jul-01

Ataque CRC bit Flipping - Intercepting Mobile Communications - The insecure

of 802.11 (Borisovv, Goldberg, Wagner)

ago-01

Ataque FMS - Debilidades e el algoritmo de programación RC4 (Fluhrer,

Mantin, Shamir)

ago-01 Publicación AirSnort

feb-02 Ataques FMS optimizados por H1kari

ago-04 Ataques KoreK (IV's únicos) Publicación de chopchop y chopper

ago-04

Publicación Aircrack (Devine) y WebLab (Sánchez), poniendo en práctica los

ataques Korek

Tabla 1: Cronología de la muerte de WEP


138

802.11i: En enero de 2001 la IEEE creo el grupo de trabajo para mejorar la seguridad en

los procesos de autenticación y cifrado de datos de las redes inalámbricas a la vez que

se preocupó por la seguridad de las mismas en los entornos empresariales, en junio de

2004 se adoptó la versión final del estándar 802.11i recibiendo el nombre comercial de

WPA2, entre sus cambios más importantes están la separación de los procesos de

autenticación de usuario de la integridad y privacidad.

La Wi-Fi Alliance llamo a la versión que permite pre-compartir la clave como WAP

Personal y WPA2 Personal y a la versión que usa autenticación 802.1X/EAP como WPA

Enterprise y WPA2 Enterprise.

Ilustración 1: Fases operacionales de 802.11i

Tomada de: http://www.hsc.fr/ressources/articles/hakin9_wifi/hakin9_wifi_ES.pdf

En la ilustración uno (1) se observa el funcionamiento operacional del protocolo

802.11i o WPA Empresarial, ala derecha de la ilustración se observa el servidor de

Radius, está compuesto básicamente de cuatro fases.

139

Acuerdo sobre la política de seguridad: En esta fase los participantes del proceso de

comunicación se ponen de acuerdo sobre las políticas de seguridad que se usaran en el

proceso de comunicación.

Autenticación 802.1X: En esta fase se usa EAP “Extensible Authentication Protocol” con

certificados digitales TLS “Transport Layer Security” lo que requiere una

infraestructura de llaves publicas

Jerarquía y Distribución de claves: RSN “Robust Security Network” utiliza autenticación

802.1X y solo acepta maquinas que soporten este protocolo, por lo que IEEE creo TSN

“Transitional Security Network” en esta arquitectura pueden intervenir sistemas RSN

y WEP, bajo estas dos arquitecturas se realiza la jerarquía y distribución de claves

Confidencialidad e integridad de datos: Utiliza las claves generadas en las fases

anteriores en los protocolos de cifrado para garantizar la confidencialidad e integridad

de datos como:

TKIP Temporal Key Hash

WRAP Wireless Robust Authenticated Protocol

CCMP Counter Mode Cipher Block Chaining Message Authentication Code Protocol

Una de las pocas vulnerabilidades de WPA/WPA2 es en su utilización personal por

medio de PSK, y consiste en ataques de fuerza bruta o ataques de diccionario, que no

son muy eficientes, pero que han mejorado mucho al optimizar el poder de computo

actual o funcionan en paralelo para aumentar su rendimiento.

El SSID “Service Set IDentifier” o el identificador de paquetes de servicio, es el

nombre que identifica una red inalámbrica y que está incluido en los paquetes de datos

de la misma, es de máximo 32 caracteres ASCII “American Standard Code For

140

Information Interchange”, se puede ocultar como una medida de seguridad por

oscuridad

La dirección MAC “Media Access Control” es la dirección de hardware de la tarjeta de

red y está conformada por 48 bits representados en hexadecimal, de los cuales 24 bits

representan de manera inequívoca al fabricante de la tarjeta y los otros 24 bits

identifican a la tarjeta es si, con esta dirección física es que se realiza en última instancia

la entrega de paquetes de red.

7.2 Amenazas y Riesgos en Redes Móviles y en los Dispositivos

Además de las debilidades en los protocolos de cifrado y en los diferentes protocolos

de TCP/IP, uno de los riesgos más usuales debido a la arquitectura de las soluciones

inalámbricas son el Rogue Access point o Evil Twin, que es un Access point que se coloca

en la red sin permisos de parte del administrador de la misma y que sirve para dar

acceso no autorizado a la infraestructura de la misma, la configuración del rouge Access

point puede facilitar que cualquier cliente se conecte al usar el mismo SSID u otro muy

similar, para que los usuarios descuidados se conecten con él. En otra modalidad el

rouge access point no está conectado físicamente a la red cableada de la organización,

pero al tener un SSID idéntico o parecido logra quedarse con gran parte del tráfico que

obtendría un Access point legitimo

141

Ilustración 2: Rouge Access Point

Tomada de: http://www.i4shop.net/cz/iobchod/2005/html/ap4000/helpfiles/chapter4.htm

Otro par de modalidades que puede ser utilizadas, una de ellas es compartir el acceso

a la red inalámbrica de parte de un cliente que esta legítimamente conectado a la misma,

esta modalidad se puede evitar si se controlan los permisos administrativos de los

clientes para que no puedan activar esta opción. La otra modalidad es la habilitación de

la tarjeta inalámbrica de un equipo que está conectado a la red por medio de cable.

Para los accesos a redes domiciliarias como son las que proveen los ISP a los hogares,

desde hace ya varios años, como parte de la entrega del servicio, el proveedor entrega

un router con servicio de red inalámbrica, una vez estos servicios se fueron

popularizando y empezaron a revisar las condiciones de seguridad de las mismas,

fueron surgiendo los grandes problemas de los mismos.

Aunados a los fallos ya conocidos y debilidades de algoritmos de cifrado, la falta de

sentido común y debido cuidado de las áreas que realizaron las instalaciones e

implementaciones de los mismos demostraron que cientos de routers se habían

instalado sin modificar la clave de administración que los routers traían de fábrica,

142

routers de marcas como Zytel, ZTE, FiberHome, Thomson, y algunas otras expusieron

debido a esta falta de buen cuidado la información de miles de usuarios, al permitir que

se accediera a su configuración, exponiendo la información de los usuarios, su

privacidad y facilitando así mismo que a través de sus redes se enviara tráfico malicioso

como spam.

La proliferación de aplicaciones de Android para análisis de seguridad de redes wi-fi

genera que cualquier persona con un teléfono celular y unos minutos de acceso al área

de la red pueda intentar conseguir con alguna de estas aplicaciones la clave de acceso y

vulnere la seguridad de la misma.

Otro control adicional para el acceso a estas redes wi-fi, es generar permisos de

acceso con la dirección MAC de los dispositivos incluyendo estas direcciones en una

lista blanca, o en una lista para negarles el acceso, estas listas suelen estar en el software

de administración del dispositivo, usualmente a través de la consola de administración

web de la misma.

Otra faceta de la inseguridad de las redes inalámbricas es el Wardriving que es una

técnica donde el intruso conduce a través de la calle y con un portátil y una antena de

gran capacidad, ubica las redes inalámbricas a su alcance y hace test de seguridad para

acceder de manera ilegal a estas redes.

Según el CSIRT “Computer Security Incident Response Team de los estados unidos

las amenazas a las redes inalámbricas son básicamente las siguientes:

Hidden or Rouge Access points - Access point ocultos o ilegales

Misconfigured AP’s - Errores de configuración en los Access point

Banned Devices - Dispositivos no permitidos

Client Mis-association - Errores de asociación de clientes

143

Rouge Clients - Clientes Ilegales

El Natonal Istitute of Standars and Technology NIST de los estados unidos en su

publicación especial 800-153 Guidelines for Securing Wireless Local Area Networks

(WLANs) hace una serie de recomendaciones de seguridad entre las que tenemos:

Separar las Wlan’s de usuarios externos de las de usuarios internos

No tener dispositivos conectados a redes inalámbricas y alámbricas

simultáneamente

Inhabilitar de manera administrativa las interfaces de red no autorizadas

En lo posible deshabilitar el bridging (pasar tráfico entre redes)

Habilitar en el BIOS que una WLAN termine cuando se conecta la red cableada

Monitorear la seguridad de la red, tanto de ataques pasivos como de ataques

activos

Implementar soluciones de WIDPS.

Denro de las recomendaciones de monitoreo continuo, solicita que las compañías

consideren dentro del monitoreo herramientas que tengan al menos las siguientes

capacidades de detección:

Dispositivos WLAN no autorizados

Dispositivos WLAN con problemas y/o errores de configuración

Scanners de WLAN (Como war driving tools)

Condiciones de ataques como DDoS

Ataques de impersonalización y hombre en el medio

De las recomendaciones anteriores podemos ver que las herramientas de control y

la monitorización sugerida es bastante amplia, por lo que, si no es absolutamente

necesaria la creación de una red inalámbrica, es probable que no valga la pena su

144

implementación sopesada contra las necesidades de seguridad que son requeridas para

mantener los niveles de confidencialidad, integridad y disponibilidad del servicio.

7.3 Ejemplos

Como ejemplo de los aspectos vistos en este capítulo podemos mencionar las fallas

de seguridad reportadas desde hace tiempo en dispositivos como los Routers de acceso

a internet que tenemos la gran mayoría de nosotros en nuestros hogares para los

servicios de salida a internet hogar que venden los diferentes proveedores, investigares

en seguridad han demostrado que muchos de ellos se dejan con las claves de fábrica y

que las configuraciones de seguridad dejan mucho que desear, facilitando el acceso a

estos equipos de manera remota, con lo que se puede capturar todo el tráfico desde y

hacia internet de los usuarios del servicio.

Como protocolos de seguridad utilizados en las redes inalámbricas WEP se dejó de

utilizar hace cerca de dos años, aunque en algunos usuarios aún está en uso, los

protocolos más utilizados son WPA y WPA2, en octubre de 2017 se descubrieron

vulnerabilidades en el protocolo que permitían algunos ataques nada triviales al

protocolo, sin embargo fue noticia y se expandió la preocupación de manera amplia

entre los usuarios de redes inalámbricas por el impacto que la noticia podía causar en

el ámbito empresarial, las contramedidas para estas vulnerabilidades eran instalar los

parches respectivos según el fabricante tampoco como estuvieran disponibles, una de

las plataformas más afectadas, fue el ecosistema de Andriod, ya que aunque Google

saque el parche, el proceso de llevarlo a los terminales de los usuarios telefónicos, debe

pasar primero por los fabricantes de los dispositivos y luego de ellos con los operadores

de telefonía.

7.4 Reflexiones

Una de las reflexiones más importantes al implementar servicios de acceso de

manera inalámbrica sería verificar que los riesgos residuales (luego de aplicar los

145

controles respectivos) asociados a la implementación del servicio sean aceptables para

la organización, no debemos habilitar servicios que ponen en riesgo la seguridad de la

información de la organización, solo porque son servicios populares en otras

organizaciones

Los datos y aplicaciones críticas de un negocio, no deberían ser accedidos por medio

de redes inalámbricas de no ser absolutamente necesario y si así es se deben tener

implementados los controles sufrientes y necesarios para poder atender de manera

eficiente los incidentes de seguridad sobre estos tipos de redes.

7.5 Conclusiones

El acceso a la información se realiza hoy en día a través de una amplia gama de

dispositivos móviles, lo que ocasiono el cambio de los tradicionales paradigmas de

seguridad uy obligo a repensar como deberían ser los controles de seguridad para

controlar estos nuevos ecosistemas donde el celular se está convirtiendo en el

dispositivo por excelencia de acceso a los recursos de información.

Las tecnologías de acceso inalámbricas de apoyan de protocolos de seguridad que

facilitan el cifrado de la información, pero no soy invulnerables, lo que genera nuevas

preocupaciones para los miembros de los departamentos de IT en las organizaciones,

en las redes inalámbricas no deberían existir accesos a recursos del core del negocio sin

una evaluación de los riesgos, herramientas para mitigarlos y las ventajas

147

Capítulo VIII

Cri

pto

graf

ía

Conceptos

Princípios de Criptografía

Firma Electrónica y Certificados Digitales

Ejemplos

Reflexiones

Conclusiones

Criptografía

148

Capítulo 8: Criptografía

La confidencialidad de la información es una preocupación que tiene siglos entre

nosotros, la criptografía es la ciencia que se estudia las técnicas o métodos diseñados

para proteger la información mediante la aplicación de técnicas que la hacen

ininteligible a personas no autorizadas durante el almacenamiento o transporte de la

misma

8.1 Conceptos

La criptografía hace parte de la criptología que además comprende el criptoanálisis y

la esteganografía, para ocultar el significado de un mensaje se pueden tomar dos

caminos cifrar un mensaje que oculta la información basándose en la sintaxis, o

codificarlo que oculta la información alterando la semántica del mismo.

Ilustración 3: Proceso criptográfico


La información resultante del proceso de cifrado se llama criptograma

149

El criptoanálisis es la ciencia que hace análisis del texto cifrado para obtener la

información original sin conocer la clave de cifrado por lo que es complementaria pero

contraria a la criptografía. La esteganografía estudia como ocultar un mensaje en el

interior de otro, para que solo pueda ser recuperado y entendido por el receptor que

sabe que allí hay un mensaje oculto.

8.2 Principios de Criptografía

La clasificación del cifrado se hace atendiendo tres factores que son los siguientes:

1. Según sus claves

Cifrado Simétrico

Cifrado Asimétrico

2. Según sus algoritmos

Cifrado en flujo

Cifrado por bloques

3. Según sus propiedades

Cifrado con Umbral

Cifrado basado en Identidad

Cifrado seguro hacia adelante

Cifrado con clave aislada

Cifrado maleable

Cifrado negable

Cifrado Simétrico: En este tipo de cifrado se utiliza una única llave tanto para cifrar

como para descifrar la información, precisamente en esta clave reside su punto débil,

ya que tanto emisor como receptor deben conocerla, y para ello se la deben

150

intercambiar en algún momento, la seguridad de este tipo de cifrado recae sobre la

clave y no sobe el algoritmo. Este es claramente un método que tiene problemas cuando

aumenta el número de receptores de la información, dado que cada uno de ellos debe

conocer la clave, haciendo inseguro el proceso, como ya se había comentado la

capacidad de computo moderna permite optimizar la búsqueda de claves al probar

miles de combinaciones posibles durante cortos periodos de tiempo, razón por la cual

la longitud de las claves debe ser lo suficientemente grande como para volver complejo

este tipo de técnicas de fuerza bruta

Key Size Combinaciones posibles

1 Bit 2

2 Bits 4

4 Bits 16

8 Bits 256

16 Bits 65536

32 Bits 4.2 X 10^9

56 Bits

(DES) 7.2 X 10^11

64 Bits 1.8 X 10^19

128 Bits

(AES) 3.4 X 10^38

192 Bits

(AES) 6.2 X 10^57

256 Bits

(AES) 1.1 X 10^77

Tabla 2: Permutaciones según longitud de clave


151

En la tabla número dos (2), el lector puede observar, el cálculo de combinaciones

posibles para la longitud de claves, debido a la computación distribuida y la potencia de

los procesadores de hoy en día, algoritmos con claves de menos de 2048 como TLS que

usa algoritmos RSA de menos de 2048 Bits ya no son recomendadas, sin embargo,

longitudes mayores pueden impactar en el rendimiento del proceso al complejizar los

cálculos necesarios para el servicio implementado.

Estos cálculos de rompimiento de claves usando el poder de computo actual y

respetando la ley de Moore, no contemplan avances como la computación cuántica, si

los computadores cuánticos se pueden conseguir para el público común, la capacidad

de computo de estos equipos pondría en serio riesgo la seguridad de las

implementaciones actuales de los algoritmos al tener la capacidad de romper las claves

en mucho menos tiempo que el calculado actualmente.

Algunos de los algoritmos que usan cifrado simétricos son:

DES: Data Encryption Estándar del año 1976, usado con una longitud de clave de 56

bits que como vemos en la tabla dos, no es muy grande, en la actualidad ya está

depreciado dado que se puede lograr comprometer la clave en menos de 24 horas.

RC2: Diseñado para reemplazar a DES, su tamaño de clave varía entre 64 y 128 bits, con

bloques de 64 bits y es de dos a tres veces más veloz que DES.

IDEA: International Data Encription Algorithm, usa clave de 128 bits, en bloques de

datos de 64 bits, está considerado como seguro aún

AES: Advanced Encryption Standard conocido también como Rijndael, las claves de

cifrado pueden ser de 128, 192 y 256 bits, con un tamaño de bloque de 128 bits

152

Blowfish: Fue creado por Bruce Schneier autor del libro Applied Criptografhy, es un

codificador que usa bloques de 64 bits y claves de hasta 448 bits

Twofish: Usa cifrado por bloques de tipo AES, con tamaño de bloques de 128 bits y

tamaño de llave que puede llegar a los 256 bits

Cifrado Asimétrico: Llamado también criptografía de clave pública, usa un par de claves,

una publica que se puede entregar a cualquiera con la que se cifra la información y una

clave privada que debe retener el destinatario de la información y que sirve solo para

descifrar la información que se ha cifrado con su llave publica, los métodos utilizados

de criptografía garantizan que el par de claves generada solo se genere una vez, con lo

que se hace improbable que un mismo par de claves se genera más de una vez, este tipo

de criptografía resuelve el tema engorroso del intercambio de claves del cifrado

simétrico

Ilustración 4: Esquema de cifrado asimétrico

153

Tomada de:

http://www.dma.fi.upm.es/recursos/aplicaciones/matematica_discreta/web/aritmet

ica_modular/rsa2.html

Uno de los principales retos de este método es la distribución e intercambio de

llaves, para eso existen dos esquemas para su implementación, el esquema centralizado

donde una sola entidad valida y expide las llaves, este esquema es propenso a ataques

del tipo DDoS, el otro esquema es el descentralizado que a su vez sufre de problemas

de falsificación de llaves aprovechando que es más difícil asegurar e integrar varios

puntos. Algunos de los algoritmos de este tipo son:

El Gamal: Propuesto en 1984 por Taher ElGamal como un esquema de clave publica

basado en la exponenciación discreta calculado en el grupo multiplicativo de un cuerpo

finito Z(p), este algoritmo está bajo licencia de uso libre, está compuesto por tres

componentes el generador de claves, el algoritmo de cifrado y el de descifrado, las

firmas que produce son más largas que las de RSA y su tiempo de computo es superior.

RSA: Debe su nombre a los apellidos de sus inventores Ronald Rivest, Adi Shamiy y

Leonard Adleman desarrollado en 1977, sobre el resultado del producto de dos

números primos bastantes grandes, se utiliza tanto para cifrar el mensaje como para

autenticarlo

DSA: Digital Signature Algorithm, es un algoritmo del gobierno federal de los Estados

Unidos, diseñado para firmar digitalmente, no para cifrar, tiene tres etapas, generación

de claves, firma y verificación, es más demorado.

http://www.dma.fi.upm.es/recursos/aplicaciones/matematica_discreta/web/aritmetica_modular/rsa2.html

http://www.dma.fi.upm.es/recursos/aplicaciones/matematica_discreta/web/aritmetica_modular/rsa2.html

154

8.3 Firma Electrónica y Certificados Digitales

El concepto de firma electrónica y firma digital son conceptos muy parecidos y que,

dentro del ámbito jurídico particular de Colombia, está definida en la ley 527 de 1999

en su artículo dos (2) en donde dice textualmente “Firma Digital. Se entenderá como un

valor numérico que se adhiere a un mensaje de datos y que, utilizando un

procedimiento matemático conocido, vinculado a la clave del iniciador y al texto del

mensaje permite determinar que este valor se ha obtenido exclusivamente con la clave

del iniciador y que el mensaje inicial no ha sido modificado después de efectuada la

transformación” Ley 527 de 1999 tomado de www.mintic.gov.co

La firma electrónica según la esta ley hace referencia a aquel mecanismo técnico que

permite identificar a una persona ante un sistema de información, siempre y cuando

dicho mecanismo sea confiable y apropiado. Según la evaluación del portal de Colombia

Digital, los dos mecanismos pueden producir efectos jurídicos, pero la diferencia entre

ambos (firma digital y firma electrónica) es la carga probatoria de los atributos de

seguridad de cada uno de estos modelos, en la firma digital al tener un tercero en el

medio que hace las veces de ente certificador (entidad certificadora) le da mayor peso

jurídico a la firma digital como mecanismo en donde se elimina la discusión de la valides

de sus atributos jurídicos con lo cual no es necesario que exista un acuerdo entre las

partes para su utilización.

En Colombia con la expedición de la resolución # 00070 del 3 de noviembre de 2016,

que define la firma electrónica como la combinación de una identidad electrónica y un

código electrónico que sirve para el cumplimiento de deberes formales y tareas

electrónicas en los servicios electrónicos de la DIAN “Dirección de Impuestos

Nacionales”, según el portal de la DIAN los beneficios son los siguientes:

Se eliminan los incidentes de configuración y compatibilidad con máquina

virtual de java y el navegador internet

Se ahorra costo y tiempo en la configuración del equipo de computo

http://www.mintic.gov.co/

155

Desaparece el riesgo de pérdida de la Firma, pues el cliente ya no tendrá que

conservar ningún tipo de archivo, solo deberá recordar su contraseña para

firmar

Se evitan los costos de desplazamiento a los puntos de contacto para renovar el

mecanismo por olvido de la contraseña o daño del archivo .epf

Facilita el cumplimiento de obligaciones formales a través de la autogestión

Mediante la resolución 12761 del 9 de diciembre de 2011 se establecen los

contribuyentes, responsables, agentes de retención y usuarios obligados a presentar las

declaraciones y diligenciar los recibos de pago.

La infraestructura de llave publica o PKI Public Key Infraestructure está compuesta

de los siguientes componentes:

La autoridad certificadora (CA) que es la entidad de confianza encargada de

emitir y/o revocar los certificados digitales.

La autoridad de registro (RA) se encarga de controlar la generación de los

certificados, verificando la relación entre los certificados y su autor

La autoridad de validación (VA) es el componente que se encarga de verificar la

validez de los certificados digitales

Además de estos componentes, las PKI tienen repositorios especiales donde se

almacenan los certificados emitidos y los certificados revocados

156

Ilustración 5: Funcionamiento de una PKI

Tomada de: https://infosegur.wordpress.com/unidad-4/pki-public-key-

infrastructure/

En la ilustración cinco (5) el lector puede observar el funcionamiento de una PKI, las

principales vulnerabilidades de este esquema es el daño del baúl de certificados del

usuario final y el compromiso de la autoridad certificadora.

8.4 Ejemplos

Uno de los ejemplos más populares de un servicio que tiene un protocolo de

seguridad, son los sitios que tienen páginas web seguras (https) dado que el sitio hace

uso del protocolo TLS que es la evolución del protocolo SSL, hay millones de sitios web

seguros y los usuarios los utilizan sin mayor conocimiento técnico de como el protocolo

funciona.

https://infosegur.wordpress.com/unidad-4/pki-public-key-infrastructure/

https://infosegur.wordpress.com/unidad-4/pki-public-key-infrastructure/

157

En los procesos de validación y autenticación de los usuarios sobre una red de

Windows, se utiliza Kerberos como protocolo y servicios de PKI para la expedición,

entrega y revocación de tickets que son los artefactos que se utilizan para validar los

ingresos a los recursos definidos.

8.5 Reflexiones

La utilización de la ciencia de la criptografía para apoyar a la informática en temas

de seguridad de la información ha permitido la definición, implementación y uso de

servicios que soportan su seguridad en técnicas criptografías, al aumentar la capacidad

de computo de manera exponencial se pondrán en riesgo la mayoría de los algoritmos

de seguridad y será necesario repensar estas técnicas criptográficas.

A medida que aumente la digitalización de los servicios que usamos con las

diferentes entidades privadas y públicas, los servicios como el de la firma digital serán

absolutamente necesarios para interactuar con las organizaciones, y su seguridad

depende de los protocolos de seguridad implementados y de su validez a través del

tiempo, a medida que surgen nuevas vulnerabilidades y mejoran las capacidades de

computo algunos de estos protocolos se van dejando de lado como inseguros y surgen

nuevos protocolos que es necesario que se implementen en los servicios que usamos

en el día a día.

8.7 Conclusiones

Los principales servicios de tecnología con los que intercambiamos datos están hoy

en día en la nube y basan su seguridad en la implementación de protocolos de seguridad

que usan la criptografía con el fin de garantizar la autenticidad, privacidad, integridad

y no repudio de la información que pasa por sus servicios, entre estos servicios el del

comercio electrónico es uno que mueve miles de millones de dólares cada minuto a

nivel mundial, por lo que la garantía de la seguridad es uno de sus preocupaciones más

fuertes.

158

La criptografía como elemento potenciador de la seguridad es indispensable, sin

embargo no podemos olvidar que hay dos factores adicionales que se deben considerar

como parte de toda la ecuación y son el incorrecto diseño de los sistemas y los

debilidades del factor humano, estos dos elementos pueden echar abajo cualquier

algoritmo de seguridad apoyado en criptografía, por lo que siempre debemos pensar en

estos elementos y trabajar para capacitar al usuario y realizar buenos diseños de

sistemas.

159

Capítulo IX

Intr

od

ucc

ión

al P

en

test

We

b

Etapas de un Pentesting

Entornos Web Vulnerables

Tecnologías Empleadas en el Servidor Web

Medidas de Protección contra el Malware

Ingenieria Social

Ejemplos

Reflexiones

Conclusiones

Introducción al Pentest Web

161

Capítulo 9: Introducción al Pentest

Web

Un pentest es una prueba de penetración o auditoría realizada de manera acordada

con el propietario del sistema, utilizando una metodología en busca de la identificación

de las vulnerabilidades explotables de un sistema web, se puede realizar también para

diferentes tipos de sistemas, bases de datos, sistemas operativos o redes, la

metodología de realización busca también identificar la falta de controles y las brechas

en los controles de seguridad establecidos.

Existen varias metodologías para la realización de este tipo de pruebas, dos de las

más conocidas son OSSTMM “Open Source Security Test Methodoly Manual” y la ora es

OWASP “Open Web Application Security Project”.

9.1 Etapas de un Pentesting

Antes de ver las etapas generales del proceso de pentest vamos a revisar las

modalidades de realización del mismo, estas son:

Pentest o auditoria de Caja Blanca: En esta aproximación el ejercicio se realiza con

información del obje+tivo que provee el dueño del mismo y facilita la realización del

ejercicio, entre esta información suele estar la versión del servidor web, el lenguaje de

desarrollo, una estructura de los servicios publicados, usuarios y claves para ingreso a

sus principales funcionalidades, etc.

Pentest o auditoria de caja negra: En esta aproximación el ejercicio de pentest se

realiza sin ningún conocimiento previo especial de la aplicación a evaluar, únicamente

tenemos la URL (para el caso de las aplicaciones web)

162

Pentest o auditoria de caja gris: En esta aproximación el ejercicio se realiza con algunos

datos del sistema objetivo, por ejemplo, un usuario y una clave para uno de sus servicios

o a partir de allí se intenta evaluar la seguridad del mismo

En términos generales las etapas para la realización de un ejercicio de pentest

orientado a aplicaciones web son las siguientes:

Reconocimiento: En esta etapa se identifica claramente el objetivo y se intenta recopilar

toda la información posible acerca del mismo, esta información puede ser la dirección

IP, el tipo de servidor Web, el lenguaje de desarrollo se intenta identificar si hay algún

CMS “Content Management Service” sistema de gestión de contenido, servidor web,

complementos utilizados, rutas de acceso, equipos intermedios, etc.

Escaneo: En esta fase se intentan identificar los puertos y servicios que están

disponibles o activos, con el fin de identificar posibles vectores de ataque.

Enumeración: En esta etapa se intenta recopilar la mayor cantidad posible de

información acerca de los servicios, equipos y usuarios, para lo cual se debe ingresar al

sistema y/o realizar consultas al mismo.

Acceso: Explotando las vulnerabilidades encontradas en los servicios identificados se

hace acceso exitoso al sistema y/o sus componentes

Mantener el Acceso: En esta última etapa la idea es preservar el acceso obtenido en la

fase anterior por la mayor cantidad de tiempo.

Existen muchas herramientas que buscan ayudar en la realización del pentest,

algunas de ellas son distribuciones completas de Linux, enfocadas en seguridad, de ellas

una de las más completas es Kali Linux www.kali.org

http://www.kali.org/

163

Ilustración 6: Kali Linux


En la ilustración seis (6) el lector puede observar el menú de herramientas con

catorce (14) categorías, en donde además de servicios del sistema y herramientas de

reportes, las demás son categorías de herramientas que facilitan la realización de

pentest, con un total de más de mil herramientas listas para utilizar.

Además de esta herramienta en software libre contamos con muchas otras

herramientas de seguridad como metasploit, tails, backbox, Caine, y otras.

164

9.2 Entornos Web Vulnerables

Una de las iniciativas más respetadas de seguridad en aplicaciones web es OWASP

“Open Web Application Security Project” que es una organización sin ánimo de lucro de

categoría mundial que se enfoca en seguridad de software web, de la que hacen parte

los grandes desarrolladores de software, y cientos de organizaciones interesadas en

contribuir y beneficiarse de la seguridad, según el proyecto OWASP para el año 2017 la

lista del top 10 de los riesgos en aplicaciones web son los siguientes:

A1 Injection

A2 Broken Authentication and Session Management

A3 Cross-Site Scripting (XSS)

A4 Broken Access Control (As it was in 2004)

A5 Security Misconfiguration

A6 Sensitive Data Exposure

A7 Insufficient Attack Protection (NEW)

A8 Cross-Site Request Forgery (CSRF)

A9 Using Components with Known Vulnerabilities

A10 Underprotected APIs (NEW)

Este top en este momento está siendo reevaluado y ajustado con base en una serie

de encuestas, para poder entender los entornos web vulnerables, es necesario

comprender técnicamente estos riesgos.

A1 Injection: Este riesgo está asociado a la capacidad de un intruso de introducir código

que ejecute acciones no esperadas sobre la base de datos, el sistema operativo o el

LDAP, aprovechándose de las debilidades en la validación y tratamiento de las entradas

de datos.

A2 Broken Authentication and Session Management: En este riesgo las funciones

relacionadas con los procesos de autenticación y gestión de sesiones tienen debilidades

165

y explotándolas los atacantes pueden comprometer contraseñas, claves, tokens, y

terminar suplantando la identidad de otro usuario.

A3 Cross-Site Scripting (XSS) el riesgo de secuencia de comandos en sitios cruzados

hace referencia a cuando una aplicación toma datos no confiables y los envía al

navegador web sin una validación y codificación adecuada, este riesgo permite ejecutar

secuencias de comandos en el browser de la víctima para secuestrar sesiones de

usuario, atacar al sitio web o redirigir el usuario a otros sitios con fines maliciosos.

A4 Broken Access Control, Control de acceso insuficiente, los permisos a los usuarios y

a sus operaciones no se hacen cumplir correctamente lo que permite explotar estas

fallas para acceder a las cuentas de otros usuarios.

A5 Security Misconfiguration, configuración de seguridad incorrecta, a nivel de

aplicación, servidor web, servidor de aplicación, base de datos, y en algunos otros

componentes un error puede poner en riesgo toda la plataforma.

A6 Sensitive Data exposure, exposición de datos sensibles, una de las debilidades más

usuales es simplemente no cifrar los datos sensibles, uso de algoritmos débiles o

técnicas débiles de hashing de contraseñas.

A7 Insufficient Attack Protection, Protección insuficiente de ataques, parchado eficiente

de vulnerabilidades, y detección y bloqueo de ataques manuales y automáticos son

necesarios para mantener la seguridad del sitio.

A8 Cross-Site Request Forgery (CSRF), falsificación de direcciones en sitios cruzados, e

este ataque se obliga al navegador de la víctima a enviar una petición http falsificada

incluyendo la sesión del usuario y cualquier otra información de autenticación incluida

automáticamente a una aplicación web vulnerable.

166

A9 Using components with know vulnerabilities, uso de componentes con

vulnerabilidades conocidas, el uso de componentes como librerías, frameworks y

algunos módulos de software funcionan con privilegios de acceso alto al sistema, si

alguno de estos componentes tiene alguna vulnerabilidad está facilitaría el compromiso

de toda la aplicación.

A10 Underprotected APIs, Apis desprotegidas, la utilización de API (Application

Programming Interface) que pueden ser vulnerables a un amplio rango de ataques,

estas APIs son difíciles de analizar de manera automática y manualmente requiere

mucha destreza técnica.

Como el lector observa, todos los riesgos tratados por OWASP son independientes de

cualquiera de los múltiples componentes de la plataforma, por lo que cualquier

aplicación web debe ser revisada basándose en estos riesgos y por ende todas las

plataformas en mayor o menor grado son vulnerables a los mismos, Además de esto los

lenguajes de desarrollo que se utilicen como php, java, ruby, etc, todos ellos tienen

algunas vulnerabilidades y pueden presentarlas cuando se utilizan algunas de sus

funciones o se implementan de manera correcta llamadas a sus funciones.

9.3 Tecnologías Empleadas en el Servidor Web

Las implementaciones de las aplicaciones web pasan por varias capas, una de ellas

es el servidor web, que es el servicio que se encarga de realizar la publicación de la

aplicación web utilizando para ello el protocolo http “Hipertext Transfer Protocol”

(puerto 80) o el protocolo https (puerto 443), el servidor procesa la petición y da

respuesta al cliente, algunas porciones de la solicitud las puede gestionar el cliente

directamente, dependiendo de la tecnología y arquitectura de la solución

167

Ilustración 7: Esquema funcional servidor Web Tomado de:

http://www.ub.edu/stat/docencia/bioinformatica/introbiocomputacio/ServidoresWeb/Serv

idoresWeb-Concepto_Configuracion_Uso.pdf

En la ilustración siete (7) se observa la estructura de un servidor web con sus

principales funciones, que son interpretar las solicitudes http o https del cliente, hacer

puente con el motor de base de datos para atender las solicitudes realizadas por los

clientes, acceder al sistema operativo para utilizar recursos como video y sonido,

ejecutar applets de java y otras funciones

http://www.ub.edu/stat/docencia/bioinformatica/introbiocomputacio/ServidoresWeb/ServidoresWeb-Concepto_Configuracion_Uso.pdf

http://www.ub.edu/stat/docencia/bioinformatica/introbiocomputacio/ServidoresWeb/ServidoresWeb-Concepto_Configuracion_Uso.pdf

168

Ilustración 8: Esquema funcional servidor Web

Tomado de: http://computerperformancebydesign.com/web-application-trace-

explorer/web-page-composition-sequence-diagram/

En la ilustración ocho (8) el lector puede observar el diagrama con los eventos entre

el cliente web y el servidor para la composición de una página web, para este ejemplo

el ambiente es Windows tanto en el cliente como en el servidor, en el paso número uno

el web browser del cliente hace una solicitud HTTP Get que referencia una URL,

asociado con el evento Windows,unload dentro del navegador web, este requerimiento

es pasado por la pila del protocolo TCP/IP y a través del servicio de DNS se resuelve la

dirección IP del recurso y se establece una conexión TCP con el a través de la red.

En el paso dos (2) el servidor web procesa la solicitud en el driver de modo kernel

http.sys y enruta este requerimiento a la cola del proceso ASP.NET quien lo procesa con

el ejecutable w3wp.exe en modo usuario generando la respuesta apropiada, esta

respuesta es pasada en el paso cuatro (4) al driver de modo kernel httpserver.sys,

http://computerperformancebydesign.com/web-application-trace-explorer/web-page-composition-sequence-diagram/

http://computerperformancebydesign.com/web-application-trace-explorer/web-page-composition-sequence-diagram/

169

finalmente el servidor http pasa a través del sistema operativo al protocolo TCP/IP en

el paso cinco (5), quien lo empaqueta y lo pasa por los protocolos necesarios para

enviarlo al solicitante conformando el paso seis (6), para este ejemplo el cliente

continua con esta misma secuencia de pasos hasta obtener todos los recursos

necesarios de la página web solicitados en el requerimiento inicial.

Ilustración 9: Estadísticas de uso de servidores web

Tomado de: https://trends.builtwith.com/web-server

Como se observa en la ilustración Nueve (9) los servidores web más populares son

en su orden nginx con el 31%, apache con el 29% e IIS con el 14%.

Nginx: Desarrollo Open Source, que se caracteriza por ser in servidor web de alto

rendimiento que soporta Linux, Unix, Windows MAC, Solaris y BSD.

https://trends.builtwith.com/web-server

170

Apache: Desarrollo Open Source mantenido por la Apache Software Foundation

www.apache.org lanzado originalmente en 1995, tiene versiones para Linux, Unix y

Windows.

IIS: Internet Information Server es el servidor web de Microsoft, incluido es sus

servidores Windows.

9.4 Medidas de Protección contra el Malware

Los sitios web, al estar alojados en servidores son propensos a los mismos riesgos y

amenazas que cualquier otro aplicativo, adicional a estos existen varios riesgos como el

de almacenar archivos con malware para el uso desde enlaces provenientes de otros

sitios web o servir de plataforma para desde allí lanzar o contribuir con ataques de

DDoS “ataque de negación de servicio distribuido”, los riesgos pueden ser entonces

asociados al propio sitio web o asociados a terceros, dado que el servicio web esta

ejecutándose sobre un sistema operativo de servidor de alguna de las muchas

plataformas, las condiciones de seguridad deben pasar por las recomendaciones del

fabricante para cada plataforma en particular, más el hardening (endurecimiento) que

se debe realizar a estas plataformas para proteger el servicio web.

La idea del proceso de hardening es disminuir al mínimo la superficie de ataque para

concentrase en reforzar la seguridad en unos pocos puntos y ser más eficiente, algunas

de las recomendaciones generarles son:

El servidor web, en lo posible debe dedicarse única y exclusivamente al servicio

web.

Se deben instalar única y exclusivamente el software, los servicios y los

protocolos necesarios para el correcto funcionamiento del servidor

Se debe mantener el servidor debidamente actualizado en sus parches de

sistema operativo y del software de terceros.

http://www.apache.org/

171

Se deben utilizar y mantener correctamente configurados los procesos de

autenticación del servidor y los controles de seguridad que este provea.

Por lo demás cada fabricante tiene guías de hardening de sus propios sistemas

operativos, el NIST “National Institute of Standars and Technology” dentro de sus

publicaciones especiales tiene la guía NIST SP 800-123 Guide to general server security,

que contiene una serie de recomendaciones generales para la seguridad en servidores,

este mismo instituto tiene en la url https://nvd.nist.gov/ncp/repository el National

Checklist Program Repository mantiene un repositorio público con los checklist de

seguridad para más de 470 productos de software que van desde guías para sistemas

operativos de escritorio como Windows 10 hasta sistemas operativos de teléfonos

móviles, pasando por motores de bases de datos, sistemas operativos de virtualización

y claro por servidores web.

Una de las mejores herramientas de protecci´pon para una aplicación o sitio web, es

un Web Application Firewall p WAF, que es básicamente una solución de firewall

enfocada en la protección de los recursos web, un firewall tradicional funciona

autorizando o negando el tráfico entre redes, pero básicamente hablando de las

solicitudes a un sitio web, un firewall solo puede autorizar o negar el acceso basado en

sus reglas, dichas reglas típicamente autorizaran el tráfico por el puerto 80 (http) o por

el puerto 443 (https), sin mayor análisis del contenido de los paquetes de tráfico, un

WAF funcionará algunos días en modo de aprendizaje y estará enfocado a implementar

controles alineados con OWASP y revisara el trafico ya filtrado por el firewall normal

en busca de parones que le indiquen que las solicitudes son inusuales o abiertamente

ataques a la aplicación web, en este sentido el WAF puede detectar ataques de XSS, SQL

Injection, Command Execution y muchos otros

https://nvd.nist.gov/ncp/repository

172

Ilustración 10: Diagrama conceptual WAF


Como observa el lector en la ilustración diez (10) el firewall filtra las peticiones

basados en la red destino y los puertos autorizados, para este ejemplo autoriza

únicamente el tráfico a los puertos 80 (http) y 443 (https) y el WAF revisa todo el tráfico

y es capaz de detectar y eliminar las solicitudes que llevan inmersos ataques de SLQ

Injection, o XSS, y muchas otras, basados en el comportamiento del tráfico normal

durante un periodo de aprendizaje para el sitio web.

9.5 Ingeniería Social

La ingeniería social es el arte de manipular a las personas con el fin de obtener

información confidencial o lograr que ejecuten acciones que pongan en riesgo o

vulneren los controles de seguridad establecidos, este arte está compuesto de varias

técnicas, muchas de ellas en funcionamiento desde antes de la era digital, con el

advenimiento y formalización de conceptos de la seguridad de la información se han

formalizado muchas de estas técnicas con el fin de identificarlas, explicarlas y

prevenirlas.

173

Sus métodos o técnicas aprovechan el comportamiento predecible de las personas

ante determinadas circunstancias y su razonamiento es que es mucho más sencillo

obtener un usuario y una contraseña por este método que intentando vulnerar las

medidas de seguridad de una red o de un aplicativo en particular. El uso intensivo de

computadoras para la realización de las actividades comunes expone a un grupo mucho

más amplio de usuarios a este tipo de técnicas, con lo cual es más complejo su

prevención, la tendencia del ser humano a ser sociable, es uno de los pilares del buen

funcionamiento de estas técnicas, por lo que estas técnicas tienen un algo componente

de psicología involucrado usando desde la influencia, la sugestión o la persuasión entre

sus recursos más comunes.

Algunos de los recursos más utilizados según Kevin Minnick son:

Todos queremos ayudar

El primer acercamiento siempre es el de generar confianza en el otro

No nos gusta decir “No”

A todos nos gusta que nos alaben

Algunos otros principios de psicología que se usan son

Rasgos de un rol: Determina el comportamiento ante personas con ciertas

características socialmente reconocidas

Credibilidad: Concepto que usa una persona para valorar los hechos de los que

es testigo

Que el objetivo adopte un rol: Hacer que el objetivo adopte un rol de

colaboración (por ejemplo)

Desviar la atención del pensamiento sistemático: Evitar que el objetivo piense

de manera racional y con detenimiento

El impulso de la conformidad: Grado en el que cambiamos nuestro

comportamiento para agradar a otros

Atribución: Forma de explicar nuestra propia conducta y la de los demás

174

Ganarse la simpatía: Sentimiento de afecto hacia otra persona generalmente

instintivo

Miedo: Sentimiento de angustia ante un peligro real o imaginario

Reactancia: Reacción negativa cuando perdemos capacidad de elección

No importa la cantidad de herramientas de seguridad que posea una organización ni

su calidad, si no se capacita a sus miembros para elevar la seguridad con que las

personas manejan la información, la componente humano siempre será el componente

más débil de toda la cadena de seguridad, la capacidad de manipular a las personas es

un riesgo que se debe tener en cuenta y para el cual debemos tener implementadas

contramedidas, la sensibilización y la capacitación para atender situaciones en donde

la ingeniería social es utilizada como un arma contra la organización deben estar entre

los planes de cualquier organización, el acceso a la información basada en el rol y en la

necesidad de conocer dicha información de parte de cada uno de los miembros es uno

de los factores más importante para limitar el daño ante una posible brecha generada

con ingeniería social.

Los ejemplos de este tipo de ataque van desde la clásica llamada de alguien

haciéndose pasar por el soporte técnico de la empresa con el fin de obtener el usuario

y el password de un usuario, pasando por la charla casual de una persona en un bar en

donde después de generar simpatía y tomar algunas copas de más, la información

confidencial de la organización fluye, hasta la visita de un consultor que hablando en

otro idioma, logra acceder hasta las oficinas del presidente de una compañía y extraer

de ella información vital para el negocio, amparado en el desconocimiento del idioma

de parte de las personas encargadas de atenderlo mientras lo recibía el alto ejecutivo,

los casos documentados son muchos y la efectividad de las técnicas contrasta con su

complejidad, en muchos de los casos, entre más “sencilla” fue la técnica que se utilizó,

mayores fueron sus frutos, las connotaciones psicológicas que se explotan en la mayoría

175

de ellas son tan eficientes como simples, lo que da un mayor nivel a los riesgos que se

explotan usando este tipo de técnicas

9.6 Ejemplos

La revisión del código dinámico y estático de las aplicaciones web, para poder

asegurarnos que cumplen con unos estándares mínimos de seguridad se pueden

realizar con herramientas de software libre, herramientas comerciales y servicios en

línea, los ejercicios de ethical hacking y de pentest sobre estas aplicaciones deben

exponer los puntos débiles en seguridad para permitir que basados en esos hallazgos,

se ajusten las configuraciones o se reescriba el código con el fin de que sea más seguro,

la distribución de seguridad Kali Linux dispone de un conjunto muy completo de

soluciones open source que nos pueden ayudar a realizar esta tarea de manera eficiente

y a bajo costo.

La explotación de vulnerabilidades como SQL inyección, expone toda la base de datos y

la información que en ella reside, permitiendo la fabricación, modificación y

eliminación de registros no solo vulnerando su confidencialidad sino su integridad y

disponibilidad, en un ejemplo reciente Equifax empresa de los estados unidos que

procesa información de tarjetas de crédito fue atacada mediante una vulnerabilidad de

SQL Injection que no parcho de manera correcta y sufrió el robo de información de

cerca de 145 millones de clientes

9.6 Reflexiones

El proceso de verificación de la seguridad mínima de las aplicaciones web debería

ser un paso indispensable antes de colocarlas en entornos de producción, usar de

referencia herramientas tales como el top 10 de OWASP nos permite entender cuáles

son los riesgos más explotados, con el fin de verificar que estemos cumpliendo los

176

controles mínimos, aunque la seguridad debe estar contemplada en todas las partes del

proyecto de desarrollo del sitio web, un análisis de seguridad final antes de salir a

producción es la mejor práctica y debería ser obligatorio para la firma del paso a

producción.

El factor humano es el más fácil de atacar con el uso de la ingeniería social, la

implementación de herramientas de seguridad sin el concurso de los usuarios que son

los que usan los servicios de IT es sencillamente impensable, razón por la cual se debe

educar permanentemente a los usuarios en las técnicas más recientes de ataques y sus

contramedidas.

9.7 Conclusiones

La capacitación constante en las medidas de seguridad a los usuarios finales de la

organización es una consideración importante para poder realizar de manera exitosa la

implementación de los controles técnicos, sin la participación activa de los usuarios, la

seguridad de la información sería imposible.

La comprensión de los conceptos técnicos subyacentes a las actividades necesarias

para la ejecución de pentest web y el manejo de algunas de las herramientas incluidas

en las distribuciones de seguridad como Kali Linux permiten que se realicen de manera

eficiente las pruebas de seguridad buscando con ellas evidenciar las posibles falencias,

que una vez remediadas ayuden a mejorar la seguridad de la información que se va a

gestionar con ellas.

177

Capítulo X

SGSI

, Au

dit

ori

a y

Pla

n d

e co

nti

nu

idad

de

Neg

oci

oEl Sistema de Gestión de

Seguridad de la Información

El Estándar ISO/IEC 27001:2013

Análisis de Riesgos y las Metodologías

Integración del SGSI (ISO 27001) e ISO 9001 – 14000

Ejemplos

Reflexiones

Conclusiones

SGSI, Auditoria y Plan de continuidad de Negocio

179

Capítulo 10: SGSI, Auditoria y Plan de

continuidad de Negocio

10.1 El Sistema de Gestión de Seguridad de la Información

En el capítulo uno, ya se había dejado en claro la diferencia entre seguridad

informática y seguridad de la información, en este capítulo vamos a tratar todo el

Sistema de Gestión de Seguridad de la Información y vamos a ver la importancia del

análisis de riesgo, como actividad que nos permite determinar los riesgos a los que está

sometida una organización dentro del contexto en el que se desenvuelve, el apetito de

riesgo de la misma y los controles que se deben implementar para mitigar los riesgos

que se consideren críticos.

10.1.1 Implementación del SGSI

La seguridad es un proceso que debe ser continuo en el tiempo y evolucionar en

primera instancia con las necesidades de la organización y como efecto de la evolución

propia tanto de las amenazas como de la madurez de los controles implementados para

mitigarlos, la necesidad de tener disponibilidad inmediata a la información a través de

múltiples dispositivos y desde diferentes entornos, tendencias como cloud Computing

y teletrabajo, desfiguran los límites claros por los cuales pasa la información y que

facilitaban la comprensión de las medidas de control necesarias para protegerla, esas

fronteras se han ido desdibujando y la necesidad de tener un proceso de gestión de

seguridad de la información es más fuerte que nunca.

Contar con algunos elementos de seguridad como un firewall, una solución de

antivirus, un sistema centralizado de validación de usuarios como LDAP, control por

180

roles de usuarios en aplicaciones y algunos otros elementos no significa que estemos

gestionando la seguridad de la información, estos elementos básicos de seguridad los

podemos encontrar en cualquier organización moderna, el proceso de gestión de la

seguridad de la información involucra la articulación de todos estos elementos con los

objetivos del negocio para buscar agregar valor al mismo, cumpliendo una serie de

recomendaciones basadas en marcos de trabajo internacionalmente conocidos, que

permitan identificar y tratar de manera eficiente los riesgos y que faciliten al negocio

cumplir con sus objetivos estratégicos.

Las actividades primarias que deben estar contempladas son el diseño, el desarrollo,

y la integración de los controles de seguridad de la información

Para realizar la gestión teniendo en cuenta los elementos necesarios nos podemos

apoyar en la norma ISO/IEC 27001 que trata de los requisitos para la gestión de la

seguridad de la información en su última versión que es del año 2013 y la norma

ISO/IEC 27002 que trata del código de practica para controles de seguridad de la

información, en ella se encuentran 39 objetivos de control, 133 controles agrupados en

11 dominios diferentes, estas dos normas son complementarias y de ellas solo la

ISO/IEC 27001 es certificable, en este grupo de normas encontramos también la ISO

27003 que es un manual para la implementación del sistema de gestión de seguridad

de la información, la ISO 27004 en donde se especifican las técnicas de medida y las

métricas aplicables para poder determinar la eficacia de un SGSI, la ISO 27005 que trata

sobre gestión de los riesgos de seguridad de la información, la ISO 27006 que trata los

requisitos para lograr la acreditación de las entidades de auditoria y certificación de

SGSI.

Un SGSI es un sistema de gestión que comprende la política, estructura organizativa,

procedimientos, procesos y recursos necesarios para implantar la gestión de la

seguridad de la información, la implementación de un SGSI tiene entre otros ls

181

beneficios de mantener una visión común de la seguridad apoyados en un estándar

internacional que además es certificable, da herramientas a la organización para que

defina la estructura organizativa necesaria para cubrir las funciones de seguridad

necesarias para cumplir con los objetivos planteados del SGSI, permite en este mismo

sentido ubicar los recursos y optimizarlos para sacar mayor provecho de los mismos, la

norma está basado en el ciclo PHVA que tiene implícito un proceso de mejora continua

que garantiza que se incorporen las lecciones aprendidas.

10.2 El Estándar ISO/IEC 27001:2013

La ISO “International Organization of Standardization” se creó en el año 1947,

representa más de 160 países y tiene su sede principal en Ginebra Suiza, es la entidad

que más desarrolla y publica estándares de diferente tipo en el mundo, la sigla IEC que

acompaña es de “International Electrotechnical Commission”, las normas relacionadas

con seguridad son llevadas por el comité técnico de tecnologías de la información

(JTC1) en el subcomité número veintisiete.

La serie 27000 describe los pasos para el establecimiento, monitoreo,

mantenimiento, mejora y auditoria de las normas de seguridad, basadas en las normas

del British Standard (BS) que en 1995 publico la norma BS 7799 con el objetivo de

proporcionar una guía de buenas prácticas para la gestión de la seguridad de la

información, luego el BS publica en 1998 la segunda parte de la norma que contenía las

especificaciones de un SGSI y que ya era una norma que podía ser certificable, las dos

partes de esta norma se revisaron el en año 1999 y la primera parte de la misma fue

adoptada por ISO sin mayores cambios como la ISO 17799 en el año 2000, en el año

2002 se revisó la parte dos de la norma conocida ya como BS 7799-2 para adaptarla a

los sistemas de gestión que llevaba la ISO para sus demás normas, en el año 2005 se

publica con algunos cambios la norma BS 7799-2 como ISO 27001:2005 actualmente la

182

versión disponible es la ISO/IEC 27001:2013 su última modificación fue en diciembre

de 2015 con ajustes en la declaración de aplicabilidad.

ISO continúa trabajando con las normas de la serie 27000 que incluyen las siguientes:

27001 Requisitos del sistema de gestión de seguridad de la información

27002 Código de practica para controles de seguridad de la información

27003 Aspectos críticos para el diseño e implementación de un SGSI

27004 Métricas y técnicas de medida aplicables para determinar la eficiencia de un SGSI

27005 Directrices para la gestión de riesgo en la seguridad de la información

27006 Requisitos para la acreditación de entidades de auditoria y certificación del SGSI

27007 Guía de auditoria de un SGSI.

27008 Guía de auditoria de los controles seleccionado en el marco de la

implementación de un SGSI.

27009 Requisitos para el uso de la norma ISO 27001 en cualquier sector

27010 Guía para la gestión de seguridad de la información cuando se comparte entre

organizaciones o sectores.

27011 Guía de interpretación de la implementación y gestión de la seguridad de la

información en organizaciones del sector de las telecomunicaciones basada en la

ISO/IEC 27002.

27013 Guía de implementación integrada de ISO/IEC 27001:2005 y de ISO/IEC 2000-1

Gestión de servicios de TI.

27014: Guia para el gobierno corporativo de la seguridad de la información.

27031 Guía de apoyo para la adecuación de las tecnologías de la información y

comunicación (TIC) de una organización para la continuidad del negocio.

27032 Da orientación para la mejora del estado de seguridad cibernética.

27034 Seguridad en aplicaciones informáticas.

183

27035 Gestión de incidentes de seguridad de la información.

27036 Seguridad en las relaciones con proveedores.

27037 Directrices para las actividades de identificación, recopilación, consolidación y

preservación de evidencia digital en dispositivos móviles.

La norma ISO/IEC 27001 está dividida en 10 numerales que son los siguientes:

1. Objeto y campo de aplicación

2. Referencias normativas

3. Términos y definiciones

4. Contexto de la Organización

5. Liderazgo

6. Planificación

7. Soporte

8. Operación

9. Evaluación del desempeño

10. Mejora

Existen algunas otras, pero las anteriores eran las más representativas, como se puede

observar tiene cubiertos una gran cantidad de campos de acción. La norma se puede

enmarcar dentro del ciclo de Deming o ciclo PHVA (Planear, hacer, verificar y actuar o

en Ingles ciclo PDCA Plan, Do, Check, Act) y dentro de este ciclo se pueden enmarcar los

númerales más representativos de la norma

184

Ilustración 1: Ciclo PHVA ISO/IEC 27001

Tomada de: https://www.arconsultor.es/anexo-sl/

Como se observa en la ilustración uno (1), se ubican los numerales de la norma en el

ciclo de Deming, el mayor número de numerales están asociados a la actividad de

planeación, para las otras actividades del ciclo se define solo un numeral de la norma

para cada una de ellas.

El entendimiento del contexto en el cual se desenvuelve la organización, junto con el

entendimiento de los requerimientos y expectativas de las partes interesadas es vital

para la fase de planeación del SGSI, esta información permite clarificar el alcance del

sistema, alcance que en un inicio la organización debe tener ya contemplado, dado que

esta norma es certificable las organizaciones deberían definir el alcance para cubrir sus

procesos core del negocio más el proceso de tecnología (en los pocos casos en los cuales

la tecnología no forme parte del core del negocio), sin embargo en algunas

organizaciones se define un alcance más puntual y no tan ligado a los procesos core del

negocio.

185

Es un error muy común en la interpretación de la norma, incluso de algunos

auditores de la misma, pensar que el alcance del SGSI debe contemplar un proceso

completo y que este debe ser un proceso core de la organización, dado que la

organización es la que establece el alcance, se puede establecer de manera muy acotada

para un subproceso y para un conjunto muy limitado de actividades no relacionadas

con el objetivo de la organización y este alcance será válido, aunque no haga mayor

sentido, esta práctica la usan algunas organizaciones para poder promocionar que

cuentan con la certificación en ISO/IEC 27001 aunque cuando se detalle el alcance, este

sea para un subproceso que no tiene nada que ver con el objeto social de la organización

10.3 Análisis de Riesgos y las Metodologías

Dentro del SGSI el análisis de riesgos es uno de los procesos más importantes por

tanto permite identificar los riesgos del mismo proceso del SGSI como de los activos de

la información que están involucrados en los procesos definidos para el alcance,

alineados específicamente con el numeral “6.1 Acciones para tratar riesgos y

oportunidades”, y dentro de este numeral con los numerales “6.1.2 Valoración de

riesgos de la seguridad de la información” y el numeral “6.1.3 Tratamiento de

riesgos de la seguridad de la información”.

Específicamente en el numeral 6.1.2 se solicita a la organización definir y aplicar un

proceso de valoración de riesgos de la seguridad de la información que permita

establecer los criterios de valoración y de aceptación, para el análisis y la evaluación de

los riesgos. En el numeral 6.1.3 se solicita a la organización definir y aplicar un proceso

de tratamiento de los riesgos de la seguridad de la información que permita seleccionar

las opciones de tratamiento de los riesgos, determinar los controles para los mismos,

comparar los controles definidos con los sugeridos en el anexo A (ISO/IEC 27002),

producir una declaración de aplicabilidad con la justificación de las exclusiones de

186

controles, y tener aprobación del plan de tratamiento de los riesgos de parte de los

dueños de los mismos.

Como puede observar el lector, los numerales nos dicen que hacer, pero no dicen el

cómo, para este análisis de riesgos existe la norma ISO 31000 Gestión de riesgos, que

nos muestra los aspectos a tener en cuenta para el establecimiento de un sistema de

gestión de riesgos eficiente, sin embargo allí tampoco nos aclaran el cómo,

afortunadamente las metodologías de gestión de riesgos existen y están lo bastante

maduras como para utilizarlas con toda confianza en nuestro ejercicio de identificación

y valoración de los riesgos a los que está sometida una organización, dos de las más

populares metodologías de análisis y gestión de riesgos son Magerit del gobierno

español y la metodología NIST Special Publication 800-30 del National Institute Of

Standards and Technology, que es la agencia de administración de tecnología del

departamento de comercio de los Estados Unidos

Ilustración 2: Elementos del análisis de riesgo

Portal de Administración Electrónica (2017). Magerit V.3: Obtenida en:

https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Mageri

t.html#.WRnyjIiGO00

187

La metodología Magerit, la desarrollo el consejo superior de administración

electrónica de España y su última actualización es de diciembre de 2012 en su versión

3, el lector puede observar en la ilustración dos (2), los elementos del análisis de riesgos

de la metodología Magerit versión 3, como metodología Magerit está dividida en tres

libros

1. Libro 1. Método

2. Libro II. Catálogo de elementos

3. Libro III. Guía de técnicas

La metodología es bastante detallada y proporciona las herramientas necesarias

para implementar el método de análisis y evaluación del riesgo con el apoyo del libro

uno “Método” en el libro dos “Catálogo de Elementos” se encuentra la información

suficiente para realizar el levantamiento de la información de los activos, dimensiones

de la valoración, criterios, amenazas y controles con un gran nivel de detalle, en el libro

tres “Guía de Técnicas”, tratan el método de análisis de riesgos, su proceso de gestión,

y el plan de seguridad y proporcionan orientación acerca del uso de técnicas como

análisis mediante tablas, análisis algorítmico, arboles de ataque y técnicas graficas

como histogramas, diagramas de Pareto entre otras

Los pasos a seguir para en el método de análisis de riesgos son los siguientes:

1. Determinar los activos que son relevantes para la organización

2. Determinar las amenazas a que están expuestos dichos activos

3. Determinar los controles (salvaguardas) existentes y su eficacia frente a los riesgos

4. Estimar el impacto (daño sobre al activo al materializar una amenaza)

5. Estimar los riesgos (Impacto ponderado con la tasa de ocurrencia de la amenaza)

188

Ilustración 3: Decisiones de tratamiento de riesgos

Magerit V.3: Metodología de análisis y Gestión de riesgos de los sistemas de

información. Obtenida en: https://administracionelectronica.gob.es

En la ilustración tres, el lector puede observar las decisiones en el tratamiento de

riesgos, en el punto de decisión los riesgos se aceptan, se tratan, se estudian mejor

desde el punto de vista de costo / beneficio o se tratan, para el tratamiento entonces se

tienen las tres opciones, evitar, mitigar o compartir que aquí hace referencia al concepto

tradicional de transferir el riesgo, y menciona que existen dos formas de compartir el

riesgo que es el riesgo cualitativo que se comparte por medio de externalización de

componentes del sistema y riesgo cualitativo que se comparte por medio de la

contratación de seguros y habla de una forma de tratamiento llamada financiación, en

donde la organización provisiona unos fondos que se usaran para cuando el riesgo se

materialice el riesgo y se deba responder por las consecuencias ocasionadas.

189

La otra metodología que revisaremos es la del NIST Special Publications 800-30 este

documento es una publicación especial dentro de la serie de documentos del NIST que

presenta una propuesta de metodología “Guide for conducting risk assessments” y esta

originalmente pensada para aplicar en organizaciones y sistemas del gobierno de los

Estados Unidos, esta propuesta esta denro de la serie 800 del NIST que se refiere al

tema de Computer Security

Ilustración 4: Proceso de evaluación de riesgos

NIST (2017). SP 800-30 R1: Guide for conducting risk assessment. Obtenida en:

http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30r1.pdf

El primer paso del proceso es realizar la preparación para la evaluación de riesgo,

que propone la guía este dividido en las siguientes actividades:

Identificar el propósito de la evaluación

Identificar el alcance de la evaluación

190

Identificar los supuestos y limitaciones asociadas con la evaluación

Identificar las fuentes de información que se usaran como insumo para la

evaluación

Identificar el modelo de riesgo y los enfoques analíticos (es decir enfoques de

análisis) que se emplearan durante la evaluación.

Para el segundo paso que es realizar la evaluación los pasos sugeridos por la guía son

los siguientes:

Identificar las fuentes de amenazas y eventos de amenazas relevantes para la

organización

Identificar las vulnerabilidades que podrían ser explotadas por fuentes de

amenazas a través de eventos y las condiciones que predispondrían la

explotación exitosa

Determinar la probabilidad de ocurrencia de los eventos

Determinar los impactos adversos a las operaciones y activos de la

organización, a los individuos y a su entorno como resultado de la explotación

de las vulnerabilidades

Determinar los riesgos de seguridad de la información como una combinación

de probabilidad de amenaza de explotación de vulnerabilidades con su

respectivo impacto.

Para el paso tres comunicar y compartir la evaluación de riesgos, el objetivo de este

paso es asegurar que las personas que toman las decisiones en la organización tengan

la información necesaria relacionada con los riesgos para informar y tomar decisiones,

las dos actividades sugeridas por la guía son:

Comunicar los resultados de la evaluación de riesgos.

Compartir la información desarrollada durante la ejecución de la evaluación

para apoyar otras actividades de gestión de riesgos.

191

Para el paso cuarto mantener la evaluación, el objetivo es mantener debidamente

actualizado el conocimiento específico de los riesgos en que puede incurrir la

organización, para este paso la guía sugiere dos actividades:

Monitorear los factores de riesgo identificados en las evaluaciones de manera

continua y comprender los cambios subsiguientes.

Actualizar los componentes de las evaluaciones de riesgos para que reflejen las

actividades de la organización.

Otra de las metodologías que se pueden utilizar para la evaluación y gestión del

riesgo es la norma ISO 31000:2009, el propósito de esta norma de gestión del riesgo, es

proporcionar unos principios que se deben satisfacer para que la gestión del riesgo sea

eficaz, la norma es genérica, es decir no es especifica de un industria o sector concreto,

y aunque proporciona directrices genéricas su objetivo no es promover la uniformidad

en la gestión del riesgo, y acota que el diseño y la implementación de planes y marcos

de trabajo de gestión del riesgo necesitarán tener en cuenta las diversas necesidades de

una organización específica, sus objetivos particulares, su contexto, su estructura, sus

operaciones, sus procesos, sus funciones, sus proyectos, sus productos, sus servicios o

sus activos y practicas especificas utilizadas.

192

Ilustración 5: Proceso de Gestión del Riesgo ISO 31000

ISOTools (2015). ISO 31000: La norma para gestionar los riesgos en su organización. Obtenida

en: https://www.isotools.org/2015/03/25/iso-31000-norma-gestionar-riesgos-organizacion

Para esta norma internacional se utilizan dos expresiones “gestión de Riesgo” y

“gestionar el riesgo” la primera se refiere a la arquitectura (principios, marco de trabajo

y proceso) y “gestionar el riesgo” hace referencia a la aplicación de la arquitectura

sugerida para los riesgos particulares de la organización.

La definición de riesgo que introduce esta norma es “Efecto de la incertidumbre

sobre la consecución de los objetivos” que es una nueva vista sobre la clásica vista de

ver el riesgo como una combinación entre las probabilidades de ocurrencia y sus

consecuencias.

En cuanto al marco de trabajo de la gestión del riesgo, la norma lo trata como un

conjunto de elementos que proporcionan los fundamentos y las disposiciones de la

organización para el diseño, la implantación, el seguimiento, la revisión y la mejora

continua de la gestión del riesgo en toda la organización.

193

Uno de los beneficios más importantes de usar esta norma está en la apropiación del

concepto de la incertidumbre en la gestión de los riesgos, la introducción de este

concepto cambia completamente el entendimiento de los riesgos y su gestión y facilita

a la organización un punto de vista diferente acerca de estos procesos.

10.4 Integración del SGSI (ISO 27001) e ISO 9001 – 14000

La adopción de varias normas ISO como referentes en sus diferentes procesos para

una organización, nos lleva a preguntarnos como afrontar la implementación para

tratar de optimizar los recursos y no duplicar los esfuerzos requeridos que no son

pocos, si se analizan de cerca las normas, nos podemos dar cuenta que, gracias a su

homogeneidad, hay factores comunes que se pueden trabajar de manera transversal

para las diferentes normas, algunos de ellos son los siguientes:

Contexto de la Organización

Partes interesadas y requisitos

Responsables y niveles de autoridad

Comunicación, sensibilización

Control documental

Auditorías al sistema

Con estos elementos definidos de manera común o sirviendo de apoyo, se ahorran

esfuerzos y se mantiene la uniformidad de la información que se presenta en cada

sistema, la utilización además de un software para el registro, consulta y

almacenamiento de evidencias de las diferentes normas, puede ayudar también en gran

medida a no duplicar los esfuerzos en temas de documentación y generación de

evidencias a la vez que facilita su integración y consulta a las partes interesadas.

194

10.5 Ejemplos

Como ejemplo para este capítulo podemos mencionar el esfuerzo de MinTic con su

documento “Modelo de seguridad y privacidad de la Información”, en este documento

MinTic, tuvo en cuenta los aspectos legales que son de obligatorio cumplimiento y

genero este documento que está enfocado en las organizaciones del sector gobierno,

donde recoge las buenas prácticas de la industria en cuanto a los modelos de gestión de

seguridad de la información, el documento también contempla la ley de transparencia

de datos, por lo que el documento nos puede servir de guía para los proceso de

implementación de estándares de seguridad en organizaciones tanto públicas como

privadas.

Otro documento de ejemplo que es muy interesante es la guía también de MinTic

titulada “Guía de gestión de riesgos”, esta guía está integrada con el modelo de

seguridad y privacidad de la información y a su vez apoyada en la guía de gestión de

riesgos del DAFP “Departamento Administrativo de la Función Pública” y contempla

elementos de otros modelos de gestión como el del Modelo Estándar de Control Interno.

10.6 Reflexiones

El inventario de los activos de información de una organización, debe ser una

actividad que se realice sobre los activos de los procesos de core o misionales del

negocio y debe realizarse con la compañía de una persona del proceso, con el fin de

determinar si los diferentes instrumentos reportados si forman parte de los activos de

información relevantes del área es son solamente colecciones de data que si bien

necesitan algún nivel de protección no se constituyen en activos de seguridad de la

información a proteger por la organización.

La integración de diferentes normas ISO es común en las organizaciones que quieren

certificar varias de sus actividades, se debe revisar en detalle con las áreas a cargo de

cada una de estas certificaciones con el fin de aunar esfuerzos y no duplicar ni la

195

información ni los esfuerzos que se deben realizar para la implementación de las

diferentes normas, por lo contrario, se deben ubicar los puntos comunes entre las

normas para optimizar los recursos asignados a las actividades.

10.7 Conclusiones

La implementación de un sistema de gestión de seguridad de la información, es un

gran proyecto, que hace sentido si la organización tiene interiorizados los conceptos de

seguridad y estos están adaptados a su cultura organizativa, la certificación de la

conformidad de parte de un ente externo da a la organización la tranquilidad de tener

madurez en sus procesos de seguridad y visibilidad ante los terceros de que esta

ejecutando las labores de gestión del sistema de seguridad de la información

incluyendo las acciones de mejora necesarias para madurar y mejorar su sistema de

gestión.

El seguimiento de un estándar internacional ampliamente conocido para la gestión

de seguridad de la información y el de sus controles sugeridos brinda la confianza de

aplicar de manera uniforme las mejores prácticas de seguridad, usualmente con las

mismas herramientas técnicas con las que las aplica la competencia, razón para intentar

generar factores diferenciales en la implementación del modelo de gestión.

197

Capítulo XI

Au

dit

ori

a d

e Se

guri

dad

de

la

Info

rmac

ión

Auditorías Internas

Metodología para Auditoria del SGSI

Técnicas e Instrumentos para Auditoria

Auditoria de Certificación

Ejemplos

Reflexiones

Conclusiones

Auditoria de Seguridad de la Información

199

Capítulo 11: Auditoria de Seguridad

de la Información

Una auditoria es un proceso formal, independiente, sistemático y documentado que

permite obtener evidencias cuantitativas y cualitativas con el fin de evaluar de manera

objetiva un proceso para determinar si cumple con unos criterios de referencia. Los

procesos de auditoria de seguridad de la información formales se realizan utilizando

como guía la norma ISO 19011:2011 norma preparada por el comité técnico ISO7TC

176, Gestión Aseguramiento de la Calidad y el subcomité SC 3 Tecnologías de Apoyo,

para la versión del 2011 que actualizo la versión del 2002 las principales diferencias

fueron las siguientes:

Se amplió el alcance de auditoria de sistemas de gestión de calidad y ambiental

a la auditoria de cualquier sistema de gestión

Se aclaró la relación entre la ISO 19011 y la ISO/IEC 17021

Se introdujeron métodos remotos de auditoria y el concepto de riesgo

Se adiciono la confidencialidad como principio de auditoria

Se reorganizaron las cláusulas 5,6 y 7

Se fortalecieron los procesos de determinación de competencias y de evaluación

Se incluyeron ejemplos de conocimiento específico de disciplina y de otras

habilidades en el nuevo anexo A.

11.1 Auditorías Internas

Existen varios conceptos que es necesario tener claros dentro del proceso de

auditoría, y uno de los más importantes es comprender los tipos de auditoria que

existen y como cada una de ellas puede ser realizada, lo mismo que las personas que

intervienen en la misma.

200

Auditoria Interna Auditoria Externa

Auditoria a terceros Auditoria de 3ra Parte

A veces llamada auditoria de

primera parte, son auditorías

realizadas por o en nombre de la

organización

Llamada auditoria de segunda

parte que se realiza a terceros

como proveedores la desarrolla la

propia empresa o contrata a

alguien en su nombre

Auditoria para propósitos legales

y similares, realizadas por

auditores independientes de la

organización que pueden

certificar que un sistema cumple

con los criterios de referencia

La ISO 19011:2011 no establece requisitos, provee una guía para el manejo del

programa de auditoria propuesto en los aspectos de planeación y realización de la

misma, así como a la competencia del equipo auditor.

11.2 Metodología para Auditoria del SGSI

La norma ISO 19011:2011 tiene en términos generales la siguiente estructura

1. Alcance

2. Referencias Normativas

3. Términos y condiciones

4. Principios de auditoria

5. Gestión de un programa de auditoria

6. Realización de la Auditoria

7. Competencias y evaluación de auditores

El conocimiento de los diferentes numerales es un factor clave para emprender un

ejercicio de este tipo, aunque regularmente este tipo de trabajos los hacen equipos de

auditores con demostradas competencias, y conocimientos profundos, el auditor junior

suelen acompañar este ejercicio como observadores con el fin de ir adquiriendo las

competencias necesarias con miras a llegar a ser auditor líder

201

Ilustración 6: Diagrama de flujo del Proceso de Gestión de una Auditoria

Obtenida en: https://www.slideshare.net/williblack/ntc-iso-19011

En la ilustración seis (6) el lector puede observar a los lados, las fases del ciclo de

Deming asociado a las diferentes numerales de la norma, con lo cual queda también

diagramada en esta imagen la aplicación de la metodología Planificar – Hacer – Verificar

y Actuar en donde los números hacen referencia a los diferentes capítulos de la norma

El seguimiento de los diferentes numerales es clave para el éxito de la auditoria del

SGSI, sin embargo existen algunos numerales que vamos a revisar, en el numeral “5.2

Establecer los objetivos del programa de auditoria” se recomienda basar estos objetivos

202

en las prioridades de la gerencia, las intenciones comerciales, las características de los

productos y proyectos, los requisitos legales y contractuales y el cumplimiento de las

expectativas con terceros, riesgos y resultados de auditorías previas entre las

principales.

En el numeral “5.3.3 Establecer el alcance del programa de auditoria” este alcance

puede variar dependiendo del sistema de gestión a auditar y de la organización en la

cual este implementado el sistema

Algunas otras consideraciones a tener en cuenta son el objetivo, alcance y duración

de cada auditoria a realizar, el número, complejidad y ubicación geográfica de las

actividades a auditar, los criterios que se van a aplicar, conclusiones y/o informes de

las auditorias previas, temas de idioma y culturales, disponibilidad de la información,

posibilidad de uso de métodos de auditoria remotos, incidentes de salud, seguridad, y

otros.

En el numeral “5.5 Monitoreo del programa de auditoria” se mencionan las

necesidades de evaluar la conformidad con los programas de auditoria, cronogramas y

objetivos de la auditoria, lo mismo que de la necesidad de evaluar el desempeño del

equipo auditor, y de evaluar la retroalimentación dada por parte de la alta gerencia,

auditados, auditores y otras partes interesadas

En el numeral “5.4.7 Gestión y mantenimiento de registro del programa de auditoria”

se solicita que la persona que gestione la auditoria asegure que se gestionen y

mantengan los registros que permitan demostrar la implementación del programa de

auditoria, algunos de los registros deberían ser:

Registros relacionados con el programa de auditoria como, objetivos y alcance del

programa, aquellos que tratan los riesgos del programa de auditoria, revisiones de la

efectividad del programa de auditoria, registros relacionados con cada auditoria

individual como planes y reportes de auditoria, reportes de no conformidad, reportes

de acciones correctivas y preventivas, reportes de auditorías de seguimiento si son

aplicables, los últimos tipos de recursos son los relacionados con personal de auditoria

203

que cubren temas como competencia y evaluación del equipo auditor, selección de

equipos de auditoria, y mantenimiento y mejora de la competencia.

En el numeral “5.5 Monitoreo del programa de auditoria” las labores de monitoreo

hacen referencia al monitoreo de los factores que nos pueden indicar la necesidad de

modificar el programa de auditoria, algunos de estos factores pueden ser los hallazgos

de la auditoria, cambios en el sistema de gestión, cambios en requisitos normativos,

cambios en requisitos contractuales.

En el numeral “5.6 Revisión y mejora del programa de auditoria” se deben revisar

entre otros temas los siguientes, resultados y tendencias del monitoreo del programa

de auditoria, necesidades y expectativas de las partes interesadas, métodos alternativos

o nuevos de auditoria.

En el numeral “6 Realización de la auditoria” tenemos las generalidades de la

realización de la auditoria y en los numerales siguientes los pasos en la ejecución de la

misma como podemos observar en la ilustración siguiente

204

Ilustración 7: Diagrama de flujo del Proceso de Gestión de una Auditoria

Obtenida de la Norma ISO 19011:2011

En la ilustración siete (7) se observa la estructura de las actividades típicas de la

realización de la auditoria, vamos a revisar las recomendaciones más relevantes para

cada uno de los numerales

205

En el numeral “6.2 Inicio de la Auditoria” se tratan temas acerca de establecer

contacto de manera inicial con el auditado de parte del auditor líder, para establecer

entre otros la autorización del inicio de la auditoria, proveer información acerca de los

objetivos, alcance y métodos de la auditoria, composición del equipo auditor,

programar las fechas, establecer requisitos, y esclarecer las dudas del auditado en

relación con la ejecución de la auditoria.

En el numeral “6.3 Preparación de actividades de auditoria” de hace referencia al

proceso de preparación de las actividades de la auditoria, entre los que están la revisión

de la documentación de la auditoria, la preparación del plan de la auditoria, asignación

de trabajo al equipo auditor, preparación de los documentos de trabajo, los registros

obtenidos durante la realización de la auditoria deben ser resguardados al menos hasta

que termine la misma.

En el numeral “6.4 Realización de actividades de auditoria” trata temas acerca de la

realización de reunión de apertura, que no es solo un ejercicio de presentación del

equipo auditor y el plan general de la auditoria, sino que tiene muchos otros

componentes adicionales como la presentación de idioma a utilizar, métodos,

condiciones de seguridad requeridas, métodos de gestión de riesgos, condiciones en las

cuales se finaliza la auditoria, mecanismos de retroalimentación al auditado entre otras,

la revisión documental durante la auditoria tiene su propio numeral, lo mismo que el

proceso de comunicaciones durante la auditoria, luego de ello trata la asignación de

roles y responsabilidades para las personas con la función de guías y observadores de

la auditoria, de la recolección y verificación de la información.

206

Ilustración 8: Proceso de recolección y verificación de la información

Obtenida de la Norma ISO 19011:2011

Luego de realizar el proceso de recolección y verificación de la información, se evalúa

la evidencia recolectada y se comienza a realizar la generación de los hallazgos de la

auditoria junto con algunas recomendaciones para el manejo de las mismas y para la

preparación de las conclusiones de la auditoria, luego de ello se trata el tema de la

reunión de cierre y de los aspectos a tener en cuenta en esta reunión, entre los que se

cuentan el método de reporte, la presentación de los hallazgos y conclusiones para que

sean comprendidos por la audiencia presente en la reunión, que generalmente está

compuesta por la alta dirección del auditado y que puede tener problemas

interpretando algunos de los hallazgos.

207

En él numeral “6.5 Preparación y distribución del reporte de auditoria” la norma nos

ayuda a comprender los elementos a tener en cuenta para la preparación del reporte

de auditoria, su distribución a los miembros acordados, la formalización de la

terminación de la auditoria, y la realización de seguimiento a la misma una vez

terminada.

En el numeral “7 Competencia y evaluación de Auditores” se mencionan las

generalidades de este apartado, se menciona la determinación de las competencias

necesarias para satisfacer las necesidades del programa de auditoria, las normas de

comportamiento personal que deben seguir los auditores, los conocimientos y

habilidades que debe tener el equipo, aspectos en la realización de la evaluación del

auditor y en el mantenimiento y mejora de la competencia del mismo.

11.3 Técnicas e Instrumentos para Auditoria

La auditoría se realiza para conseguir pruebas con el fin de evidenciar el

cumplimiento de la organización con respecto a los requisitos establecidos en la norma,

las técnicas e instrumentos para la realización de la auditoria pueden ser varias, ente

las más usuales están la revisión de la documentación, las entrevistas, las visitas a las

instalaciones de la organización para realizar inspección visual de la operación habitual

que allí se realiza e inclusive la realización de pruebas técnicas de ser necesarias para

evidenciar los niveles de cumplimiento de los requisitos.

Revisión Documental: Las preguntas más importantes que debe responder la

documentación del SGSI para el auditor son:

¿Existe documentación que describa el SGSI?

¿Se han establecido procedimientos adecuados para el control de la documentación del

sistema?

208

¿Los documentos poseen las condiciones y el formato adecuado?

¿El sistema documentado responde a la norma?

¿Los procedimientos describen lo que sucede en la organización?

¿La documentación está correctamente controlada?

¿Existe evidencia objetiva de que los procedimientos son respetados?

Para responder estas preguntas la documentación debe incluir registros de las

decisiones de gestión, garantizar que las acciones sean rastreables a las decisiones y

políticas de gestión, y además debe garantizar que los resultados registrados sean

reproducibles.

La revisión de la documentación debe realzarse teniendo en cuanta el tamaño de la

organización, su naturaleza y su complejidad, así como los objetivos y el alcance de la

auditoria, y esta revisión le debe permitir al auditor debe identificar los principales

riesgos del negocio, usarla para evaluar si los procesos definidos por el auditado son los

adecuados de acuerdo con el alcance definido, para la preparación de la auditoria, en

general el auditor debe recopilar la información suficiente y necesaria del alcance del

SGSI, de los procesos, las ubicaciones de la organización, así como del contexto en

cuanto a los aspectos legales y reglamentarios asociados al cumplimiento como los

aspectos de calidad, ambientales, y sus riesgos asociados. Revisando la documentación

de las auditorias anteriores, el auditor puede evaluar si las auditorías internas y la

revisión por l dirección se planifican y realizan y le debe permitir determinar si el SGSI

de la organización está preparado para una auditoria de certificación.

Algunos de los documentos y registros típicos que se deben solicitar y revisar son los

siguientes:

Procedimientos de riesgos de la seguridad de la información

Lista de riesgos identificados

209

Criterios para la evaluación de riesgos

Registros de las medidas de control y seguimiento de riesgos

Requisitos legales y normativos

Lista de requisitos legales y normativos aplicables a la organización

Instrucciones de cumplimiento adecuadas

Evidencias de comunicación de cambios legales y normativos

Objetivos y programas de Seguridad de la Información

Evidencias del desarrollo y/o establecimiento de los objetivos

Listas de objetivos y metas

Planes de acción relacionados

Estructura y responsabilidad

Descripción de los puestos de trabajo

Organigrama

Capacitación en Concienciación y competencia

Lista y/o matriz de necesidades de capacitación

Listas de asistencia a los eventos

Registro de evaluación de retroalimentación realizadas

Consultas y Comunicación

Registros de comunicación entre dirección y empleados

Instrucciones a los empleados, contratistas y visitantes acerca de seguridad de

la Información

Control de Documentos

Documentos

210

Evidencias de la modificación y autorización de los mismos

Sistema de versionamiento de los documentos del Sistema

Control Operativo

Lista / matriz de operaciones con sus aspectos críticos

Instrucciones específicas relacionadas con el SGSI dentro de los manuales

operativos

Políticas de seguridad que tienen relación con proveedores y contratistas

Preparación y respuesta ante emergencias

Planes y protocolos de emergencia

Resultados de prácticas y simulacros

Seguimiento y medición

Objetivos y metas con relación a los planes de acción

Procedimientos e instrucciones de trabajo específicos

Registros de la información recopilada a través del seguimiento y medición

No conformidades, acciones correctivas e Incidentes

Informes de accidentes

Informes de acciones correctivas

Evidencias de debates y seguimientos

Registros

Registros

Auditoria del SGSI

Procedimientos de auditoria, listas de verificación y formularios específicos

Actas y documentos de trabajo de la auditoria del SGSI

211

Informes de auditoría del SGSI

Revisión por la Dirección

Actas de reuniones y lisas de asistencia

Evidencias de acciones de Seguimiento

Entrevistas: Las entrevistas deben realizarse de manera concertada con el auditado y

deben ser tanto a las personas que hacen parte del organigrama del SGSI como a las

personas que ejecutan los procesos a los cuales les aplican las políticas o controles de

seguridad que están siendo aplicados y que forman parte del alcancen del SGSI, se

pueden realizar en ellas cuestionarios abiertos o cerrados, las preguntan no deben ser

conducidas, es decir que obliguen al auditado a contestar de cual o tal manera, las

preguntas buscan información específica de un empleado de la organización, las

preguntas abiertas en las entrevistas son una de las mejores fuentes de información,

algunas de las preguntas típicas son:

¡Qué busca la política del SGSI y que significa para usted?

¿Cómo se comunicó la implementación del SGSI al interior de la organización?

¿Qué capacitación ha recibido del SGSI?

¿Qué hace ante la no conformidad de un procedimiento?

¿Cuáles son los riesgos asociados a su proceso?

¿Cuáles son sus responsabilidades en relación con las actividades de control?

Es muy importante realizar las preguntas adecuadas, para ello se pueden emplear

preguntas abiertas, preguntas cerradas, o preguntas inductivas, además se pueden

realizar preguntas hipotéticas para ver como las responde el auditado.

212

Visitas a las Instalaciones del auditado: Estas visitas son importantes para el

levantamiento de la evidencia de la conformidad con la norma, las visitas se deben

realizar de acuerdo con el alcance de la auditoria y debe observar los cuidados

industriales, físicos y culturales que exija el auditado, si el número de ubicaciones físicas

a visitar es importante, esto puede requerir un aumento del equipo auditor y una

planeación más estricta en cuanto a la optimización de los recursos disponibles, en la

ISO 27006:2013 existe una tabla que permite calcular el número de días hombre para

la realización de una auditoria basados en el número de empleados de una

organización, con este estimado se puede definir el tamaño del equipo auditor.

Pruebas técnicas: Para la realización de las pruebas técnicas, el equipo de auditoria

puede contar con el apoyo de un experto técnico con el conocimiento necesario para la

realización de las pruebas técnicas adecuadas con el fin de verificar la aplicación de

ciertos controles, esta persona solo realiza su labor de manera profesional y no realiza

ningún aporte adicional a los demás aspectos de la auditoria, no es un auditor, es solo

un experto técnico que apoya a la auditoria.

11.4 Auditoria de Certificación

La auditoría de certificación la debe realizar un ente acreditado, para el caso de

Colombia el organismo que acredita a las entidades en ENAC “Entidad Nacional de

Acreditación”, en otros países operan entidades como UKAS Gran Bretaña o COFRAC

Francia, las organizaciones que deseen ofrecer servicios de certificación deben cumplir

con los requisitos de la norma ISO/IEC 17021, esta norma recopila los requisitos de

imparcialidad, competencia y proceso que debe tener el ente auditor y con ello se busca

garantizar la idoneidad de los entes que prestan estos servicios, lo mismo que la

homogeneidad del servicio prestado y las cualidades profesionales y éticas de los

auditores de las mismas.

213

En términos generales, si el proceso lo realiza la organización por primera vez, lo que

debe hacer es buscar una de estas auditoras acreditadas, y solicitar la cotización de este

servicio profesional, aquí como en otros servicios, el detalle de la cotización y los

valores agregados que el solicitante le vea a la propuesta será el factor determinante

para la toma de decisión, las recomendaciones de otras organizaciones o las

experiencias previas de los integrantes del equipo que diseño e implemento el SGSI

servirán para filtrar en primera instancia a los proponentes.

Una vez seleccionada la oferta según los criterios que para llevar a cabo este proceso

tengan definidos en la organización y cerrar los aspectos contractuales y económicos

necesarios, la entidad certificadora seleccionada deberá entregar un plan de auditoria

que consiste en la presentación del equipo auditor, los procesos del alcance, las fechas

propuestas, los recursos y la metodología con la que se realizara la auditoria. Para

facilitar la auditoria, regularmente se acuerda entre las partes realizar una

preauditoría, o es común que las organizaciones que se van a enfrentar a este tipo de

auditorías por primera vez, contraten primero una preauditoría con el fin de evaluar el

estado del SGSI y de sus controles antes de realizar la auditoria de certificación, esta

preauditoría se realiza con el fin de practicar la auditoria de certificación y permite

conocer las acciones de mejora del sistema con el fin de ajustarlas y/o afinarlas con

miras a la auditoria de certificación.

Para la realización de la auditoria de certificación se usan dos fases, en la primera

fase, el equipo auditor analiza la documentación mínima requerida del SGSI de la

organización, y sobre este análisis se resaltan los posibles puntos de mejorar y/o

incumplimiento del estándar, y estos puntos se tendrán muy en cuenta para su revisión

en la fase siguiente, los tiempos entre la primera fase y la segunda son de entre 2 a 6

meses, tempos que se pueden acordar entre las partes y que serán definidos de acuerdo

a los resultados del análisis realizado a la documentación solicitada por el equipo

auditor en cabeza del auditor líder.

214

En la segunda fase, se realiza la reunión de apertura de la auditoria que debe incluir

la presentación del equipo de auditoria, el objetivo de la misma, los alcances, los

procesos objetivos, la metodología de realización, las condiciones de seguridad

industrial, de la información, de salud en el trabajo y las demás consideraciones

necesarias para llevar la auditoria a buen término, se debe presentar la agenda de la

auditoria, los recursos necesarios de parte del auditado, las técnicas de auditoria a

utilizar, presentar y acordar los canales oficiales de comunicación.

Luego de la realización del proceso de auditoría, el equipo auditor se reúne consolida

el informe de la auditoria y se realiza la reunión de cierre en donde se presentan las

conclusiones de las mismas, las observaciones y las no conformidades menores y

mayores con la norma si las hubiera, se explican al auditado y se dan los tiempos para

la remediación de las no conformidades con el fin de que el auditado pueda definir un

plan de acción a las mismas. Luego de surtido ese proceso, el ente certificador expedirá

un informe en donde recomienda o no a la organización para que sea certificada en la

norma.

La certificación tiene una caducidad de tres años, dentro de los cuales se debe

realizar cada año auditorias de mantenimiento, auditorias que se realizan a partes

especificas del sistema con la finalidad de realizar mejoras continuas al mismo, al

finalizar los tres años, se debe realizar auditoria de recertificación que implica auditoria

a todo el sistema como si fuera la primera vez.

11.5 Ejemplos

Un ejemplo por considerar dentro de las realizaciones de las auditorias de seguridad

en una organización es la independencia de las áreas de seguridad de las áreas de TI,

dependiendo de la madurez de la organización el área de seguridad depende de IT o

215

está por fuera de IT, si el área de seguridad sigue adentro de los procesos de IT, la

evaluación de la efectividad de los controles técnicas y de las herramientas de seguridad

será más sesgado lo que disminuirá la efectividad de la auditoria.

El MinTic dentro de sus documentos cuenta con uno titulado “Controles de seguridad

y Privacidad de la Información” en este documento el MinTic prácticamente presenta el

estándar 27002 con su lista de controles sugeridos y las observaciones para poder

entender que es lo que se espera del control.

11.6 Reflexiones

El proceso de certificación la norma de gestión del sistema de seguridad de la

información ayuda a la compañía a mostrar ante sus clientes, proveedores y

competencia que está gestionando de manera adecuada la seguridad de la información,

sin embargo, al ser la auditoria un ejercicio de muestreo siempre es posible que se

mejore ese proceso de gestión, por lo que el mejoramiento continuo debe ser no solo

una actividad sino una filosofía de trabajo.

El análisis de riesgo debe centrarse en los activos que dan valor a la ejecución de los

procesos misionales de la organización, su valoración y sus controles propuestos deben

estar balanceados costo / beneficio con el fin de que se puedan adoptar para proteger

esos activos identificados.

11.7 Conclusiones

El ejercicio de implementar un sistema de gestión de seguridad de la información y

sus controles asociados para poder evidenciar la gestión es un ejercicio fuerte y

dependiendo el tamaño de la organización es una tarea de varios meses, el proceso de

certificar el sistema mostrando conformidad contra la norma ISO 27001:2013 afianza

216

la confianza sobre el sistema de gestión y sirve para evidenciar la importancia que la

seguridad de la información tiene para la organización.

El punto culminante de todo el proceso de seguridad más allá de los temas técnicos,

es poder certificar un sistema de gestión de seguridad de la información con todos sus

elementos y usando como base la norma ISO 27001, este debería ser el objetivo final de

todas las organizaciones que deseen formalizar y evidenciar la madurez de sus SGSI,

antes de realizar este importante paso además de las acciones procedimentales y

técnicas previas necesarias, es conveniente que la organización apropie el sentimiento

de la seguridad de la información en su quehacer diario con la participación de los

clientes internos como eje fundamental del sistema de gestión y con miras a que todo

el SGSI ayude a la organización a cumplir sus objetivos estratégicos.

217

Capítulo XII

DR

P\P

lan

de

Co

nti

nu

idad

del

N

ego

cio

Conceptualización

Plan de Respuesta a Incidentes

DRP

Ejemplos

Reflexiones

Conclusiones

DRP\Plan de Continuidad del Negocio

219

Capítulo 12: DRP\Plan de Continuidad

del Negocio

El plan de recuperación de desastres (Disaster Recovery Plan) es un ejercicio

enfocado en la recuperación de los recursos tecnológicos de la organización (hardware

y software, con el objetivo de recuperar la capacidad de gestionar la información), ante

la ocurrencia de un desastre (natural o provocado), no debe confundirse con un plan de

continuidad del negocio (Business Continuity Plan BCP) este es un plan que integra

abarca tanto el DRP como los planes necesarios para llevar la continuidad del negocio

ante la ausencia de los recursos humanos, técnicos o de infraestructura, es decir los

demás aspectos operativos requeridos.

12.1 Conceptualización

La gestión y respuesta a incidentes es la parte operativa en la gestión del riesgo, es

importante que el lector entienda que existen diferentes planes para tratar con las

amenazas y sus riesgos que surgen en una organización, el plan de continuidad del

negocio es el llamado a integrar los diferentes tipos de respuestas.

Algunos de los conceptos más importantes son los siguientes:

Ventana de Interrupción: Tiempo máximo que una organización puede

permitirse entre la ocurrencia del incidente y la restauración de los servicios y/o

aplicaciones críticas para el negocio, luego de este tiempo la supervivencia d ela

organización entra en riesgo, ya sea por condiciones normales del mercado o por

temas regulatorios.

RPO: Recovery Point Objetive, el último punto de datos validos que puede usar

la compañía para su proceso de recuperación, está definido por la frecuencia de

220

los backups de la organización, entre menos frecuente sean los backups, más

lejos en el tiempo se necesitará ir para restaurar la data, y por lo tanto más

información se perderá.

RTO: Recovery Time Objetive, tiempo entre el inicio del incidente o evento y el

momento en que el proceso debe en un nivel de servicio suficiente para limitar

los impactos financieros y operativos a un nivel razonable.

SDO Service Delivery Objetive, objetivos de entrega del servicio, nivel de los

servicios que deben ser soportados mientras se trabaja en modo alterno

Ilustración 9: Plan de continuidad del negocio

Tomado de https://www.welivesecurity.com/la-es/2014/10/14/plan-de-recuperacion-ante-

desastres/

En la imagen número nueve (9) se observan los diferentes componentes del BCP, uno

de ellos el DRP que es de responsabilidad del área de tecnología, uno de los principales

puntos a considerar es que cuando se determina y evalúan los planes de acción debe

quedar claro que no todos los tratamientos de incidentes terminan con la declaración

del DRP, y que para los incidentes comunes la organización debería tener

procedimientos ciertos y documentados acerca de cómo atender y resolver los

incidentes más usuales dentro de la organización, y que la activación del DRP se debería

dar luego de confirmar que es una situación excepcional y que los procedimientos

221

normales no son adecuados para atenderla basados en el tiempo, el costo o el impacto

que el incidente pudiera tener sobre los objetivos estratégicos del negocio. Todos los

planes observados en la ilustración nueve (9) son diferentes, pero complementarios,

por ejemplo, con en el plan de gestión de incidentes se evita que los incidentes se

transformen en problemas y que estos se transformen en desastres.

Es muy importante que daca uno de estos planes este claramente definido y que su

alcance y responsabilidades sean claras para todas las personas que intervienen en

ellos, debe ser absolutamente claro cuando un incidente se vuelve un problema, y

cuando la incapacidad de tratar este problema de manera adecuada puede derivar en

una declaración de desastre, estas delgadas líneas no pueden ser definidas en medio de

la gestión del incidente porque se puede perder tiempo valioso aclarando la situación,

se debe establecer quien estará a cargo de cada tipo de plan y tener criterios claros de

gravedad y de declaración, estos criterios y sus responsables, deben ser claramente

socializados al interior de la organización para asegurar consistencia en el momento en

que se presenten los eventos y sea necesario activar uno de estos planes.

Antes de implementar un BCP es necesaria la realización de un BIA “Business Impact

Analisys” o análisis de impacto al negocio, en este ejercicio que se realiza sobre las áreas

misionales de la organización se intenta determinar el impacto de perder los diferentes

sistemas que apoyan las labores en la organización y con ello se definen los RTO’s

“Recovery Time Objective“ Tiempo Objetivo de Recuperación, que sean apropiados

según las áreas del negocio, estos datos a su vez nos proporcionan los insumos para con

ellos definir las estrategias de recuperación y/o contingencia, las herramientas

tecnológicas necesarias para cumplir con los RTO´s que requiera la organización y los

demás recursos necesarios para poder en marcha la estrategia definida.

En cuanto a los sitios de recuperación, las alternativas más apropiadas deben ser

seleccionadas basándose en la probabilidad que tenga la ocurrencia de interrupciones,

222

su naturaleza y el impacto que tenga sobre los procesos del negocio, existen los

siguientes sitios de recuperación.

Hot Sites: Son ubicaciones que están configuradas y listas para ser utilizadas por la

organización en caso de presentarse algún incidente importante, la idea es que la gente

llegue allí y continúe con su trabajo de manera normal.

Warm Site: Esta ubicación tiene la infraestructura completa pero no está

completamente configurada, por lo que habrá que realizar algunos ajustes antes de que

sea completamente operativo.

Cold Site: El Cold Site no ofrece ningún componente en el sitio antes de que se presente

la necesidad de su uso, la puesta en producción puede requerir incluso semanas, solo

es recomendable para organizaciones donde los tiempos de interrupción son muy altos.

Adicional a estos sitios, en caso de que la organización por temas de negocio o

regulatorios necesite alta disponibilidad y cero tiempos de interrupción lo

recomendable es tener un Mirror Site.

Mirror Site: Es un sitio copia del sitio principal de manera tal que cuando el sitio

principal se vea afectado, el tráfico se redireccione a este sitio espejo y todo el trabajo

continúe de manera normal, este tipo de sitios requiere de soluciones robustas de

replicación de aplicaciones y de data además de redundancia en los canales de

comunicaciones.

Otra de las alternativas que se usan en varios sectores, es la de acuerdos recíprocos,

en ella una organización que trabaja en el mismo sector económico que otra, ofrece sus

recursos para apoyar a otra en caso de un incidente mayor, dado que el uso de recursos

de tecnología no suele tener mayor desperdicio, esta estrategia es la que más tiende a

fallar.

223

12.2 Plan de Respuesta a Incidentes

Dado el hecho de que la probabilidad de que se presente un incidente en la

organización es muy alta, no olvidemos que con el tiempo y los recursos necesarios se

puede vulnerar la seguridad del sistema más protegido, tarde o temprano en la

organización se verán en la necesidad de enfrentar un incidente de seguridad, la

creación, documentación y pruebas de un plan que cuente con los elementos necesarios

para coordinar las acciones a ejecutar para su atención y mitigación es deseable dentro

de cualquier organización, en términos generales las actividades minimas que deben

contemplar este plan son las siguientes:

Detección del Incidente

Contención del Incidente.

Restauración de servicios/recursos afectados

Investigación del incidente

Lecciones aprendidas

A continuación, se puede observar cada paso sugerido:

Detección del Incidente: Este paso es muy importante porque no podemos seguir con

los demás pasos si no podemos garantizar que tenemos las competencias mínimas y

necesarias o las herramientas mínimas/necesarias para poder detectar los incidentes

al interior de nuestra organización.

Contención del Incidente: Para poder realizar esta acción, es necesario entender el

incidente, como este está afectando nuestros servicios o recursos de TI con el fin de

ejecutar las acciones suficientes para poder detenerlo sin afectar de manera adicional

los recursos inicialmente comprometidos.

224

Restauración de servicios/recursos afectados: En este paso una vez realizada la

contención se debe proceder con las acciones necesarias buscando la restauración de

los servicios o recursos afectados, con el fin de volver a la normalidad, en este punto el

proceso de restauración dependerá de la afectación de los recursos y puede ser

necesario activar el DRP o e BCP si los servicios o recursos quedaron afectados de forma

grave.

Investigación del Incidente: El paso siguiente es el de investigar el incidente, este paso

es importante porque nos permite comprender cuál fue el vector de ataque, los recursos

inicialmente ente comprometidos, las técnicas de ataque utilizadas, los fallas en el

comportamiento de las herramientas de seguridad si las hubo y muchos otros factores

que nos permiten evaluar, el porqué, como, donde y el para qué del ataque.

Lecciones aprendidas: Basados en la información del incidente, en este punto se

deben revisar las acciones a futuro para evitar que un incidente de este tipo se vuela a

presentar, este último punto debe incluir el reporte del incidente a los organismos

definidos para ello, como las fuerzas militares, civiles, el gobierno, sectores

empresariales, etc.

Para poner este plan en funcionamiento debemos contemplar también los recursos

técnicos y humanos para atender estos incidentes, entre los que pueden estar, gente

debidamente capacitada, software, hardware, procedimientos, niveles de toma de

decisiones, roles y perfiles de los recursos humanos necesarios y demás documentos

que faciliten la atención del incidente.

En u plan de respuesta de incidentes ya maduro se deben contemplar las relaciones

con nuestras partes interesadas como clientes, proveedores y público en general, en

cuanto a la manera, medios a utilizar y cantidad de información que se entregará del

incidente mientas este está en curso o una vez se realice la contención, este plan de

225

atención y comunicación con los medios es importante, dado que una mala

comunicaciones expondrá a la organización a perdidas reputacionales que pueden ser

peores que las perdidas dejadas por el incidente.

12.3 DRP

Una de las iniciativas más respetadas de seguridad en aplicaciones web es OWASP

“Open Web Application Security Project” que es una organización sin ánimo de lucro de

categoría mundial que se enfoca en seguridad de software web, de la que hacen parte

los grandes desarrolladores de software, y cientos de organizaciones interesadas en

contribuir y beneficiarse de la seguridad, según el proyecto OWASP para el año 2017 la

lista del top 10 de los riesgos en aplicaciones web son los siguientes:

A1 Injection

A2 Broken Authentication and Session Management

A3 Cross-Site Scripting (XSS)

A4 Broken Access Control (As it was in 2004)

A5 Security Misconfiguration

A6 Sensitive Data Exposure

A7 Insufficient Attack Protection (NEW)

A8 Cross-Site Request Forgery (CSRF)

A9 Using Components with Known Vulnerabilities

A10 Underprotected APIs (NEW)

Este top en este momento está siendo reevaluado y ajustado con base en una serie

de encuestas, para poder entender los entornos web vulnerables, es necesario

comprender técnicamente estos riesgos.

A1 Injection: Este riesgo está asociado a la capacidad de un intruso de introducir código

que ejecute acciones no esperadas sobre la base de datos, el sistema operativo o el

226

LDAP, aprovechándose de las debilidades en la validación y tratamiento de las entradas

de datos.

A2 Broken Authentication and Session Management: En este riesgo las funciones

relacionadas con los procesos de autenticación y gestión de sesiones tienen debilidades

y explotándolas los atacantes pueden comprometer contraseñas, claves, tokens, y

terminar suplantando la identidad de otro usuario.

A3 Cross-Site Scripting (XSS) el riesgo de secuencia de comandos en sitios cruzados

hace referencia a cuando una aplicación toma datos no confiables y los envía al

navegador web sin una validación y codificación adecuada, este riesgo permite ejecutar

secuencias de comandos en el browser de la víctima para secuestrar sesiones de

usuario, atacar al sitio web o redirigir el usuario a otros sitios con fines maliciosos.

A4 Broken Access Control, Control de acceso insuficiente, los permisos a los usuarios y

a sus operaciones no se hacen cumplir correctamente lo que permite explotar estas

fallas para acceder a las cuentas de otros usuarios.

A5 Security Misconfiguration, configuración de seguridad incorrecta, a nivel de

aplicación, servidor web, servidor de aplicación, base de datos, y en algunos otros

componentes un error puede poner en riesgo toda la plataforma.

A6 Sensitive Data exposure, exposición de datos sensibles, una de las debilidades más

usuales es simplemente no cifrar los datos sensibles, uso de algoritmos débiles o

técnicas débiles de hashing de contraseñas.

A7 Insufficient Attack Protection, Protección insuficiente de ataques, parchado eficiente

de vulnerabilidades, y detección y bloqueo de ataques manuales y automáticos son

necesarios para mantener la seguridad del sitio.

227

A8 Cross-Site Request Forgery (CSRF), falsificación de direcciones en sitios cruzados, e

este ataque se obliga al navegador de la víctima a enviar una petición http falsificada

incluyendo la sesión del usuario y cualquier otra información de autenticación incluida

automáticamente a una aplicación web vulnerable.

A9 Using components with know vulnerabilities, uso de componentes con

vulnerabilidades conocidas, el uso de componentes como librerías, frameworks y

algunos módulos de software funcionan con privilegios de acceso alto al sistema, si

alguno de estos componentes tiene alguna vulnerabilidad está facilitaría el compromiso

de toda la aplicación.

A10 Underprotected APIs, Apis desprotegidas, la utilización de API (Application

Programming Interface) que pueden ser vulnerables a un amplio rango de ataques,

estas APIs son difíciles de analizar de manera automática y manualmente requiere

mucha destreza técnica.

Como el lector observa, todos los riesgos tratados por OWASP son independientes de

cualquiera de los múltiples componentes de la plataforma, por lo que cualquier

aplicación web debe ser revisada basándose en estos riesgos y por ende todas las

plataformas en mayor o menor grado son vulnerables a los mismos, Además de esto los

lenguajes de desarrollo que se utilicen como php, java, ruby, etc, todos ellos tienen

algunas vulnerabilidades y pueden presentarlas cuando se utilizan algunas de sus

funciones o se implementan de manera correcta llamadas a sus funciones.

12.4 Ejemplos

Uno de los ejemplos más dicientes en cuanto a la necesidad de contemplar un plan

de continuidad del negocio, es el de las torres gemelas en Estados Unidos, si bien varias

de estas compañías tenían los BCP debidamente definidos, comunicados y probados,

228

varias de estas compañías los tenían contratados sobre la otra torre, al momento de

suceder el ataque y desplomarse los edificios, se vieron afectados sus CPD “Centro de

Procesamiento de Datos” principales y secundarios, con lo que algunas de estas

compañías perdieron toda la información de su negocio.

Para la continuidad del negocio podemos usar de ejemplo el documento de MinTic

titulado “Guía para la preparación de las TIC para la continuidad del negocio” esta guía

está desarrollada para el sector público, pero se puede utilizar en el sector privado,

busca minimizar las situaciones disruptivas mediante la sugerencia de algunas

actividades y la retroalimentación de las mismas en el proceso de mejora.

12.5 Reflexiones

Los planes de DRP y de Continuidad del negocio, son de obligatorio cumplimiento en

algunas industrias, y por supuesto se deben contemplar como parte del sistema de

gestión de seguridad de la información, sin embargo, la principal obligatoriedad está

relacionada con soportar al negocio y su continuidad en caso de que se vea afectado por

algún evento.

Los planes de DRP que están asociados a la tecnología son responsabilidad del área

de IT y deben contemplar los servicios que soportan los procesos estratégicos de la

organización, los planes de BCP son más integrales en el sentido que deben contemplar

todos los recursos que necesita una organización, no solo los tecnológicos, con el fin de

soportar un evento.

12.6 Conclusiones

La definición, implementación, pruebas y mejora continua de los planes de DRP y del

BCP dan a la organización la confianza suficiente para afrontar eventos que son

229

imposibles de prevenir o de mitigar y facilitan el actuar en caso de que sea necesario

seguirlos, razón por la cual se deben probar de manera esporádica y al menos una vez

al año, o cuando un gran cambio en la infraestructura y/o servicios de la organización

se realice, con el fin de garantizar que estos planes se mantienen al día y han

contemplado estos nuevos servicios.

230

13. Bibliografía

Barjacoba, T., & Diego, J. (2013). Seguridad en red con software libre. Cevallos, P. (2011). Estudio de técnicas de seguridad en redes. Certicamara. (2015). La forma electrónica y la firma digital: Mitos y realidades.

Recuperado de https://colombiadigital.net/opinion/columnistas/certicamara/item/8078-la-firma-electronica-y-la-firma-digital-mitos-y-realidades.html

Congreso de Colombia. (2012). Ley 527 de 1999.

Discovery Wi Fi. (2017). Security WIFI Alliance. Recuperado de https://www.wi-

fi.org/discover-wi-fi/security Evans, C. (2016). Testing Is a Vital Part Of Any Disaster Recovery Plan. Computer

Weekly, 23. Exploit Database. (2017). Offensive Security’s Exploit Database Archive.

Fernández Barcell, M. (2014). Seguridad en las redes Francisco Javier, V., & Mauricio, O. (2017). Metodología para la implementación de

un Sistema de Gestión de Seguridad de la Información basado en la familia de normas ISO/IEC 27000 / A methodology for implementing an information security management system based on the family of ISO/IEC 27000 standards. RISTI - Revista Ibérica De Sistemas E Tecnologias De Informação, (22), 73. doi:10.17013/risti.22.73-88

Gómez Fernández, L. (2012). Guía de aplicación de la Norma UNE-ISO/IEC 27001

sobre seguridad en sistemas de información para pymes. [N.p.]: AENOR - Asociación Española de Normalización y Certificación.

Guía de Auditoria – MinTIC (2017). Recuperado de

https://www.mintic.gov.co/gestionti/615/articles-5482_G15_Auditoria.pdf INTERNATIONAL STANDARD ISO / IEC Information technology — Security

techniques — Information security management systems — Overview and. (2014), 2014.

231

ISACA. (9 de 10 de 2017). https://www.isaca.org. Obtenido de ISACA: https://www.isaca.org/Pages/Glossary.aspx?utm_referrer=

ISO. (11 de 10 de 2017). https://www.iso.org. Obtenido de

https://www.iso.org/isoiec-27001-information-security.html Iso27000.es. (n.d.). Sistema de Gestión de la Seguridad de la Información, 14.

Retrieved from http://www.iso27000.es/download/doc_sgsi_all.pdf Javier Valencia-Duque, F., & Orozco-Alzate, M. (2017). Metodología para la

implementación de un Sistema de Gestión de Seguridad de la Información basado en la familia de normas ISO/IEC 27000. RISTI (Revista Iberica De Sistemas E Tecnologias De Informacao), (22), 73. doi:10.17013/risti.22.73-88

Kurtz, G. (2010). Hackers 6 [electronic resource] : Secretos y soluciones de

seguridad en redes. México: McGraw-Hill Interamericana. Mcafee. (10 de 11 de 2017). Mcafee. Obtenido de

https://www.mcafee.com/es/products/total-protection-for-data-loss-prevention.aspx

Mallery, M. (2015). Technology Disaster Response and Recovery Planning: A LITA

Guide. Chicago: ALA TechSource. Propuesta de implementación de una metodología de auditoría de seguridad

informática. (2015). Recuperado de http://proxy.umb.edu.co:2048/login?url=http://search.ebscohost.com/login.aspx?direct=true&db=edsbas&AN=edsbas.10486.668900&lang=es&site=eds-live&scope=site

Red Hat, Inc. (2005). Red Hat Enterprise Linux 4: Capítulo 20. Protocolo SSH.

Ribera. G. (2017). PKI: Public Key Infraestructure. Rodríguez, N. R., Sánchez Torres, H. A., & Quiroga, G. A. (2012). Análisis de la

seguridad en redes locales. Snedaker, S., & Rima, C. (2014). Business Continuity and Disaster Recovery Planning for IT Professionals. Waltham, MA: Syngress Tarazona T., C. H. (n.d.). Amenazas Informáticas y Seguridad de la Información,

137–146.

https://www.iso.org/isoiec-27001-information-security.html

http://proxy.umb.edu.co:2048/login?url=http://search.ebscohost.com/login.aspx?direct=true&db=edsbas&AN=edsbas.10486.668900&lang=es&site=eds-live&scope=site



232

Tecnología de la información: técnicas de seguridad: sistemas de gestión de la seguridad de la información: requisitos. (2013). Bogotá: Instituto Colombiano de Normas Técnicas y Certificación. ICONTEC, 2013

TICPORTAL. (25 de 10 de 2017). Ticportal. Obtenido de

https://www.ticportal.es/temas/enterprise-resource-planning/que-es-sistema-erp

Valencia-Duque, F. J., & Bermon-Angarita, L. (2018). La administracion de sistemas

informáticos, una alternativa a la formación del profesional en tecnologias de informacion y comunicaciones. Revista Educación En Ingenieria, (25), 44. doi:10.26507/rei.v13n25.796

Wireless Networking Security. (2017).

236

978-958-5467-19-4

Editorial Universidad Manuela Beltrán...Juan Carlos Tafur Herrera Autoridades Académicas Rectora...

Documents

Transcript of Editorial Universidad Manuela Beltrán...Juan Carlos Tafur Herrera Autoridades Académicas Rectora...