editorial universidad manuela beltrán...juan carlos tafur herrera autoridades académicas rectora...
TRANSCRIPT
Editorial Universidad Manuela Beltrán
Seguridad en Redes Telemáticas
2018
Seguridad en Redes Telemáticas
Autores
Alexander Larrahondo Núñez
Manuel Antonio Sierra Rodríguez
Henry Leonardo Avendaño Delgado
Carlos Augusto Sánchez Martelo
Carlos Andrés Collazos Morales
Domingo Alirio Montaño Arias
Breed Yeet Alfonso Corredor
José Daniel Rodríguez Munca
Edición
Editorial Universidad Manuela Beltrán
Autores
Alexander Larrahondo Núñez
Ingeniero de sistemas,
especialista en seguridad de
redes, maestría en seguridad de
las TIC. CISM, Auditor Líder
ISO 27001, Auditor Líder ISO
31000, Auditor Líder ISO
22301
Carlos Augusto Sánchez
Martelo
Dr. (c) en Pensamiento
Complejo, Maestría en Diseño,
Gestión y Dirección de
Proyectos, Ingeniero de
sistemas, Certificado
Internacionalmente en ITIL Foundation v3,
Procesos en Desarrollo de Software y TIC
Henry Leonardo Avendaño
Delgado
Dr. (c) en Educación línea de
investigación Tecnologías de
la Información y
Comunicación para la
inclusión, Magister en
Educación, Especialista en Gerencia de
Telecomunicaciones, Ingeniero Electrónico.
Manuel Antonio Sierra
Rodríguez
Dr. (c) en Proyectos en la línea
de investigación en Tecnologías
de la Información y
Comunicación, Magíster en
Software Libre, Especialista en
Seguridad en Redes, Ingeniero
de Sistemas, Consultor en Seguridad de la
Información y Comunicaciones.
Domingo Alirio Montaño Arias
Dr. En Genética, Magister en
Biología, Biólogo, Investigador
Asociado, Universidad Manuela
Beltrán, BSc, MSc, PhD
Intereses de investigación en
Neurociencias, Genética y TIC
Aplicadas a la Educación.
Miembro comité editorial revista Journal of Science
Educations. Miembro fundador de la Sociedad
Iberoamericana de Biología Evolutiva.
Carlos Andrés Collazos
Morales
Postdoctorado en Ciencia y
Tecnología Avanzada, Dr. en
Ciencias, Magister en
Ingeniería Electrónica y
Computadores, Físico.
Breed Yeet Alfonso Corredor
Dr. (c) en Proyectos, Magister
en Educación, Especialista en
Desarrollo e Implementación de
Herramientas Telemáticas,
Ingeniera Electrónica, Directora
Académica y Calidad,
Consultora Nacional e Internacional Académica de
Educación Superior.
José Daniel Rodríguez Munca
Magister en Ciencias de la
Educación, Master en
Estrategias y Tecnologías para
el Desarrollo, Especialista en
docencia mediada por las TIC
e Ingeniero Electrónico.
Daniela Suarez Porras
Corrección de estilo (Editor secundario)
Diagramación: Cesar Augusto Ricautre
Diseño de portada: Cesar Augusto Ricautre
Publicado en Diciembre de 2018
Formato digital PDF (Portable Document Format)
Editorial Universidad Manuela Beltrán
Avenida Circunvalar Nº 60-00
Bogotá – Colombia
Tel. (57-1) 5460600
Seguridad en Redes Telemáticas. / Alexander Larrahondo Núñez… (y
otros 7) - Bogotá: Universidad Manuela Beltrán, 2018.
236 p.: ilustraciones, gráficas, tablas ; [versión electrónica]
Incluye bibliografía
ISBN: 978-958-5467-19-4
1. Seguridad en computadores 2. Protección de datos 3. Criptografía. i.
Avendaño Delgado, Henry Leonardo ii. Sánchez Martelo, Carlos Augusto. iii.
Sierra Rodríguez, Manuel Antonio iv. Collazos Morales, Carlos Andrés v.
Montaño Arias, Domingo Alirio. vi. Alfonso Corredor, Breed Yeet. vii.
Rodríguez Munca, José Daniel.
005.8 cd 23 ed.
CO-BoFUM
Catalogación en la Publicación – Universidad Manuela Beltrán
Alexander Larrahondo Núñez, Henry Leonardo Avendaño Delgado,
Carlos Augusto Sánchez Martelo, Manuel Antonio Sierra
Rodríguez, Carlos Andrés Collazos Morales, Domingo Alirio
Montaño Arias, Breed Yeet Alfonso Corredor, José Daniel
Rodríguez Munca
Seguridad en Redes Telemáticas, Bogotá, UMB
© Alexander Larrahondo Núñez, Henry Leonardo Avendaño
Delgado, Carlos Augusto Sánchez Martelo, Manuel Antonio Sierra
Rodríguez, Carlos Andrés Collazos Morales, Domingo Alirio
Montaño Arias, Breed Yeet Alfonso Corredor, José Daniel
Rodríguez Munca
© Universidad Manuela Beltrán
Bogotá, Colombia
http:// www.umb.edu.co
Queda prohibida la reproducción total o parcial de este libro por
cualquier proceso gráfico o fónico, particularmente por fotocopia,
Ley 23 de 1982
Autoridades Administrativas
Gerente
Juan Carlos Beltrán Gómez
Secretario General
Juan Carlos Tafur Herrera
Autoridades Académicas
Rectora
Alejandra Acosta Henríquez
Vicerrectoría de Investigaciones
Fredy Alberto Sanz Ramírez
Vicerrectoría Académica
Claudia Milena Combita López
Vicerrectoría de Calidad
Hugo Malaver Guzman
ISBN: 978-958-5467-19-4
13
TABLA DE CONTENIDO
Tabla de contenido TABLA DE CONTENIDO ...................................................................................................................... 13
Introducción ..................................................................................................................................... 17
GLOSARIO ...................................................................................................................................... 19
Capítulo 1: Introducción a la Seguridad de la Información ...................................................... 25
1.1 Conceptualización ............................................................................................................. 25
1.2 Pilares de la Seguridad de la Información .................................................................. 28
1.3 Activos de Información .................................................................................................... 30
1.4 Tópicos de la Seguridad Informática ........................................................................... 32
1.5 Contexto legal de la seguridad de la información .................................................... 34
1.6 Ejemplos .............................................................................................................................. 40
1.7 Reflexiones .......................................................................................................................... 40
1.8 Conclusiones ...................................................................................................................... 41
Capítulo 2: Ataque más comunes en las redes ......................................................................... 45
2.1 Elementos atacantes ........................................................................................................ 48
2.2 Amenazas de seguridad en la información ................................................................ 49
2.3 Seguridad en la Nube ....................................................................................................... 52
2.4 Ejemplos .............................................................................................................................. 57
2.5 Reflexiones .......................................................................................................................... 58
2.6 Conclusiones ...................................................................................................................... 58
Capítulo 3: Técnicas de Protección ............................................................................................. 63
3.1 Protocolos de seguridad ................................................................................................. 63
3.2 Políticas de Seguridad ..................................................................................................... 67
3.3 Defensa en profundidad .................................................................................................. 71
3.4 Endurecimiento de la seguridad física ........................................................................ 72
3.5 Ejemplos .............................................................................................................................. 74
3.6 Reflexiones .......................................................................................................................... 75
3.7 Conclusiones ...................................................................................................................... 75
Capítulo 4: Diagnóstico y Prospectiva de TIC ........................................................................... 79
4.1 Aseguramiento de las comunicaciones ...................................................................... 80
4.2 Funcionamiento del protocolo TCP/IP ......................................................................... 80
14
4.2.1 TWH ................................................................................................................... 85
4.2.2 FWH ................................................................................................................... 86
4.3 Seguridad en Redes Privadas Virtuales VPN ............................................................. 87
4.4 Protocolo IPSec ................................................................................................................. 89
4.5 Protocolo SSL, TLS y SSH ............................................................................................. 92
4.6 Ejemplos .............................................................................................................................. 94
4.7 Reflexiones .......................................................................................................................... 94
4.8 Conclusiones ...................................................................................................................... 95
Capítulo 5: Firewall e IDS/IPS ...................................................................................................... 99
5.1 Firewall ................................................................................................................................. 99
5.1.1 Arquitectura y Clasificación ....................................................................... 99
5.1.2 Tipos de Firewall .......................................................................................... 101
5.1.3 Implementación de Firewall ...................................................................... 104
5.2 IDS/IPS ................................................................................................................................ 106
5.2.1 Tipos y características ............................................................................... 107
5.2.2 Componentes de los IDS/IPS ................................................................... 109
5.2.3 Detección de intrusos en la capa de enlace del protocolo 802.11 . 111
5.3 Ejemplos ............................................................................................................................ 114
5.4 Reflexiones ........................................................................................................................ 114
5.5 Conclusiones .................................................................................................................... 115
Capítulo 6: Vulnerabilidades ....................................................................................................... 119
6.1 Concepto de Vulnerabilidad ......................................................................................... 119
6.2 Tipos de Vulnerabilidades ............................................................................................. 121
6.3 Herramientas de Análisis de Vulnerabilidades ........................................................ 124
6.4 Organizaciones que Publicas las Vulnerabilidades ............................................... 127
6.5 Ejemplos ............................................................................................................................ 130
6.6 Reflexión ............................................................................................................................ 131
6.7 Conclusiones .................................................................................................................... 132
Capítulo 7: Seguridad en Redes Inalámbricas y Cifrado de Datos ...................................... 135
7.1 Elementos de Seguridad Wi-Fi ..................................................................................... 136
7.2 Amenazas y Riesgos en Redes Móviles y en los Dispositivos ........................... 140
7.3 Ejemplos ............................................................................................................................ 144
7.4 Reflexiones ........................................................................................................................ 144
15
7.5 Conclusiones .................................................................................................................... 145
Capítulo 8: Criptografía ............................................................................................................... 148
8.1 Conceptos ......................................................................................................................... 148
8.2 Principios de Criptografía ................................................................................................... 149
8.3 Firma Electrónica y Certificados Digitales ............................................................... 154
8.4 Ejemplos ............................................................................................................................ 156
8.5 Reflexiones ........................................................................................................................ 157
8.7 Conclusiones .................................................................................................................... 157
Capítulo 9: Introducción al Pentest Web .................................................................................. 161
9.1 Etapas de un Pentesting ................................................................................................ 161
9.2 Entornos Web Vulnerables ........................................................................................... 164
9.3 Tecnologías Empleadas en el Servidor Web ............................................................ 166
9.4 Medidas de Protección contra el Malware ................................................................ 170
9.5 Ingeniería Social .............................................................................................................. 172
9.6 Ejemplos ............................................................................................................................ 175
9.6 Reflexiones .......................................................................................................................... 175
9.7 Conclusiones ........................................................................................................................ 176
Capítulo 10: SGSI, Auditoria y Plan de continuidad de Negocio .......................................... 179
10.1 El Sistema de Gestión de Seguridad de la Información ..................................... 179
10.1.1 Implementación del SGSI ........................................................................ 179
10.2 El Estándar ISO/IEC 27001:2013 ................................................................................ 181
10.3 Análisis de Riesgos y las Metodologías ................................................................. 185
10.4 Integración del SGSI (ISO 27001) e ISO 9001 – 14000 ......................................... 193
10.5 Ejemplos .......................................................................................................................... 194
10.6 Reflexiones ..................................................................................................................... 194
10.7 Conclusiones .................................................................................................................. 195
Capítulo 11: Auditoria de Seguridad de la Información .......................................................... 199
11.1 Auditorías Internas........................................................................................................ 199
11.2 Metodología para Auditoria del SGSI ....................................................................... 200
11.3 Técnicas e Instrumentos para Auditoria ................................................................. 207
11.4 Auditoria de Certificación ........................................................................................... 212
11.5 Ejemplos .......................................................................................................................... 214
11.6 Reflexiones ..................................................................................................................... 215
16
11.7 Conclusiones .................................................................................................................. 215
Capítulo 12: DRP\Plan de Continuidad del Negocio............................................................... 219
12.1 Conceptualización ......................................................................................................... 219
12.2 Plan de Respuesta a Incidentes ................................................................................ 223
12.3 DRP ................................................................................................................................... 225
12.4 Ejemplos .......................................................................................................................... 227
12.5 Reflexiones ..................................................................................................................... 228
12.6 Conclusiones .................................................................................................................. 228
13. Bibliografía .............................................................................................................................. 230
17
Introducción
Telemática proviene de las palabras Telecomunicaciones (que son comunicaciones a
distancia) e informática (que se encarga del estudio del procesamiento y trasmisión de
información y datos) y el termino actualmente engloba el activo más valioso de la gran
mayoría de las compañías del siglo XXI es la información, la seguridad en su recolección,
procesamiento, consulta, transmisión y almacenamiento es uno de los principales retos
que traen las tecnologías que utilizamos hoy en día y las que utilizaremos en el futuro.
Los procesos de generación, transmisión, consulta y almacenamiento de la
información que soporta el negocio se hacen haciendo uso de las facilidades y
características de las redes telemáticas, por lo que su seguridad es uno de los puntos de
vital importancia con el fin de garantizar las características mínimas de seguridad,
conocidas como la triada de seguridad CID “Confidencialidad, Integridad y
Disponibilidad”.
18
19
GLOSARIO
BIA: Business Impact Analysis, análisis de impacto al negocio es un proceso que ayuda
a evaluar la criticidad y sensibilidad de los activos de información, determinando el
impacto de no poder ejecutar algún proceso de la organización, determina los recursos
mínimos necesarios para la recuperación y prioriza los procesos a recuperar y el
sistema de soporte de los mismos (ISACA, 2017)
CERT: Computer Emergency Response Team, equipo de respuesta a emergencias de
computador, equipo integrado con líneas claras de informes y responsabilidades para
la repuesta a emergencias relacionadas con los sistemas de información (ISACA, 2017).
CMMI: “Capability Maturity Model Integration” Integración de Modelos de Madurez o
Capacidades, modelo que detalla los atributos necesarios que caracterizan a una
organización que está en determinado estado de madurez (Institute, 2017).
CIO: “Chief Information Officer” (comunidad.iebschool.com, 2016).
COBIT: “Control Objetives for Information and Related Technology) marco de
referencia que proporciona directrices y mejores prácticas para la gestión de procesos
de IT (ISACA, 2017).
Cold Site: Sitio alterno para procesasmiento de información que aún no está equipado
para prestar sus servicios y que se equipara en el momento de darse su necesidad
(ISACA, 2017).
DLP: “Data Loss Prevention” software que permite la implementación de controles que
buscan la prevención de perdida de datos (Mcafee, 2017).
20
DRP: Disaster Recovery Plan, conjunto de recursos humanos, técnicos y de
procedimientos para recuperar, dentro de un tiempo y costo definido, una actividad
interrumpida por una emergencia o un desastre (ISACA, 2017).
ERP: Acrónimo del inglés Enterprise Resource Planning o Planificación de recursos
empresariales (ticportal, 2017).
Hot Site: Instalación de procesamiento de datos externa totalmente operativa y
equipada con hardware y software de sistema para usarse en caso de desastre (ISACA,
2017).
ISO/IEC 38500: Norma internacional que proporciona un marco de principios sobre
gestión de IT (ISO, 2017).
ISO/IEC 27001: Norma internacional que proporciona un marco de referencia para la
implementación de un Sistemas de Gestión de Seguridad de la Información (SGSI).
(ISO, 2017).
IaaS: Infraestructure As A Service, infraestructura como servicio, modalidad de
contratación de infraestructura e la nube (ISACA, 2017).
Políticas: Conjunto de normas de conocimiento dentro de la organización que rigen de
manera estricta los principios, usos y/o características habilitadas en los procesos de la
misma definiendo las condiciones bajo las cuales estos usos son permitidos (ISACA,
2017).
PYME: Acrónimo de Pequeña Y Mediana Empresa, que hace referencia a organizaciones
pequeñas que componen un porcentaje importante del sector económico de cualquier
país (Wikipedia, 2017).
21
RPO: Recovery Point Objective, perdida de datos aceptable en caso de una interrupción
de las operaciones, indica el punto más temprano en el tiempo que es aceptable para
recuperar los datos (ISACA, 2017).
RTO: Recovery Time Objective, cantidad de tiempo permitido para la recuperación de
una función de negocio o recurso después de un evento (ISACA, 2017).
SaaS: Software As A Service, Software como Servicio, son oferta de productos de
software listos para usar para las organizaciones(Wikipedia, 2017).
TIC: Sigla de Tecnología de la Información y las Comunicaciones (enticconfio, 2017).
Warm Site: Similar a un Hot Site pero no completamente equipado con todo el
hardware necesario para la recuperación (ISACA, 2017).
22
23
Capítulo I
Intr
od
ucc
ión
a la
Seg
uri
dad
de
la In
form
ació
n
Conceptualización
Pilares de la Seguridad de la Información
Activos de Información
Tópicos de la Seguridad Informática
Contexto legal de la seguridad de la
información
Ejemplos
Reflexiones
Conclusiones
Introducción a la Seguridad de la Información
24
25
Capítulo 1: Introducción a la
Seguridad de la Información
Este capítulo tiene por objeto que el lector comprenda y apropie los conceptos básicos
de la seguridad de la información, que apropie los conceptos que le permitan
diferenciar seguridad informática versus seguridad de la información, que comprenda
los aspectos legales que soportan la seguridad de la información y sus implicaciones y
que conozca el contexto nacional e internacional a través de una breve revisión de los
estándares y/o normas más representativas.
En el segundo capítulo trataremos los ataques más comunes a las redes, elementos
atacantes, amenazas de seguridad en la información y por último seguridad en la nube
y en el último capítulo podemos identificar las técnicas de protección, protocolos de
seguridad, políticas, defensa en profundidad y endurecimiento de la seguridad.
La comprensión y apropiación de todos estos conceptos es muy importante para la
formación profesional y su correcta aplicación ayudará a las organizaciones a proteger
su información en la búsqueda de cumplir con sus objetivos estratégicos y es de vital
importancia para proteger la información que circula por las diferentes redes en una
sociedad digital como la nuestra.
1.1 Conceptualización
El concepto de seguridad de la información es bastante amplio y engloba los
controles o medidas tanto preventivas como correctivas que resguardan tanto los
26
recursos tecnológicos como los procesos que gestionan la información buscando
proteger la confidencialidad, integridad y disponibilidad de la misma.
La información se puede definir como una colección o conjunto de datos que
constituyen un mensaje que tiene sentido para el receptor y que modifica su nivel de
conocimiento, la información se puede encontrar en diferentes formas como escrita,
oral, visual, digital, etc, y dentro de sus características más importantes resaltan el
valor, vigencia e importancia, la sociedad moderna genera enormes cantidades de
información que los individuos o empresas gestionan e interpretan para apoyar sus
procesos de toma de decisiones.
Tabla 1: Unidades de almacenamiento
Larrahondo, A. (2017) Elaboración modulo virtual Seguridad en Redes Telemáticas. Construcción propia
basado en una gráfica obtenida en: http://www.aventurine.com/the-3-vs-of-big-data-why-they-matter-to-
you/
Para poder dimensional la cantidad de información que producimos hoy en día,
debemos tener claras las escalas de medición de la misma, teniendo en cuenta que las
computadoras funcionan con el sistema binario (unos y ceros) o presencia y ausencia
de voltaje, la menor unidad de información sería un Bit que representaría un cero o un
Factor Binario
1 Byte (B) 8 Bits 2^0= 1 Byte
1 Kilobyte (Kb) 1024 B 2^10=1.024 Bytes
1 Megabyte (Mb) 1024 Kb 2^20=1.048.576 Bytes
1 Gigabyte (Gb) 1024 Mb 2^30=1.073.741.824 Bytes
1 Terabyte (Tb) 1024 Gb 2^40=1.099.511.627.776 Bytes
1 Petabyte (Pb) 1024 Tb 2^50=1.125.899.906.842.624 Bytes
1 Exabyte (Eb) 1024 Pb 2^60=1.152.921.504.606.846.976 Bytes
1 Zettabyte (Zb) 1024 Eb 2^70=1.180.591.620.717.411.303.424 Bytes
1 Yottabyte (Yb) 1024 Zb 2^80=1.208.925.819.614.629.174.706.176 Bytes
1 Brontobyte (Bb) 1024 Yb 2^90=1.237.940.039.285.380.274.899.124.224 Bytes
1 Geopbyte (Gb) 1024 Bb 2^100=1.267.650.600.228.229.401.496.703.205.376 Bytes
Unidad de almacenamiento
27
uno, a partir de allí las escalas aumentan basadas en los factores binarios como se
observa en la tabla uno (1).
El increíble aumento de las velocidades de procesamiento que se ha conseguido
desde los inicios de la computación, facilitan enormemente la gestión de cantidades
desorbitantes de información, la conexión a internet a su vez facilita su búsqueda,
consulta y descarga desde muchas fuentes diferentes contribuye en gran medida a este
aumento en la generación de información, la información en formato multimedial
aumenta de manera considerable la cantidad de bytes que esta información representa
y que se transmite y consume de parte de los usuarios
Tabla 2: Estimado de Exabytes por mes
Larrahondo, A. (2017) Elaboración modulo virtual Seguridad en Redes Telemáticas. Construcción propia
basado en una gráfica obtenida en: http://www.cisco.com/c/en/us/solutions/collateral/service-
provider/visual-networking-index-vni/vni-hyperconnectivity-wp.pdf
Según la tabla dos (2) tomada del documento “The Zettabyte Era: Trends and Analysis”
del fabricante CISCO, en el 2016 se transmitieron mensualmente 96 exabytes de
96
122
151
186
228
278
0
50
100
150
200
250
300
2016 2017 2018 2019 2020 2021
Exabytes por Mes
28
información y este número aumentara de manera gradual hasta llegar a 278 exabytes
mensuales en el año 2021.
Otro concepto que hay que dejar claro es la diferencia entre seguridad informática y
seguridad de la información, la seguridad informática se enfoca en proteger la
infraestructura sobre la cual se gestiona la información (Pc’s, portátiles, servidores,
redes, etc) o dicho de otro modo la seguridad informática se ocupa de la seguridad de
la información pero dentro de las fronteras del dominio de la tecnología generalmente
desde el rol de custodios de la misma, recordemos que IT no es dueño ni de la
información ni de los sistemas solo es un facilitador de la utilización de los mismos en
la organización, mientras que la seguridad de la información se encarga de velar por el
cumplimiento de la triada de la seguridad sin importar el medio en que la información
se gestione o se encuentre (oral, escrita, impresa, digital), por lo que la seguridad de la
información contendría a la seguridad informática, por lo que la seguridad informática
se puede ver como la línea táctica y operacional de la seguridad, mientras que la
seguridad de la información se puede ver como la línea estratégica, teniendo clara esta
distinción debemos aclarar cuáles son los elementos que queremos proteger.
1.2 Pilares de la Seguridad de la Información
El aumento de la información que generamos y consumimos no solo requiere
constantes mejoras en la infraestructura que soporta la transmisión procesamiento y
almacenamiento, sino que requiere de medidas de resguardo y aseguramiento de los
diferentes elementos tecnológicos y computaciones que intervienen en los procesos en
los cuales esta información es gestionada, para ello la seguridad de la información
cuenta con sus conocidos pilares que son confidencialidad, integridad y disponibilidad
29
Confidencialidad: Medida en la cual la información debe ser solo accedida por quienes
tengan derecho legítimo. Este concepto es importante en sectores como el sector salud,
el sector financiero y otros
Integridad: Medida en la cual la información debe permanecer inalterada en sus
procesos de almacenamiento, transmisión y consulta de la misma. Este concepto es
importante para sectores de la economía en donde la exactitud de la información es
vital, algunos ejemplos pueden ser el sector financiero, el sector salud, el sector
aeronáutico, el e-commerce, etc.
Disponibilidad: Medida en la cual la información debe estar disponible para su uso en
el momento en que se requiera. Este concepto es importante para la información de
sectores como la banca, las ventas on line, los servicios de salud, y en general sectores
en donde el acceso a la información en el momento requerido es una característica vital
Existen otros conceptos o dimensiones adicionales a estos y que tienen inclusive
contextos legales:
Autenticidad y no repudio: Este concepto trata sobre la garantía de la identidad del
usuario que realiza determinada acción y la condición de que esta acción no pueda ser
negada por el usuario que la realiza.
Trazabilidad: Este concepto trata de la necesidad de poder reconstruir las acciones
realizadas sobre un sistema y el autor de las mismas.
30
1.3 Activos de Información
Para poder aplicar los criterios de seguridad de la información una de las principales
actividades es identificar la lista de activos de información con las que cuenta la
organización y con esta lista priorizar los activos que se encuentran directamente
relacionados con el cumplimiento de los objetivos estratégicos de la organización, y a
ellos realizarles el análisis de riesgos que a su vez ayudará a la determinación de los
controles a aplicar a cada uno de ellos, controles que se deben aplicar con el objetivo de
minimizar los riesgos a los que están expuestos.
Un activo es aquello que tiene un valor para la organización y los activos de
información, serán los recursos tangibles o intangibles con los que una organización
gestiona la información que usa para cumplir los objetivos de negocio, dentro de los
activos de la información relacionados con IT tenemos los archivos, bases de datos,
software, hardware (pc’s, portátiles, servidores, impresoras, telefonía), archivo físico,
equipos de telecomunicaciones, equipos de seguridad, etc.
En términos generales los activos de información será cualquier activo que este
directamente involucrado en la generación, trasmisión, procesamiento y
almacenamiento de información física y/o digital e incluyen las personas e
instalaciones.
Para cada uno de estos activos, el inventario debe tener la mayor cantidad útil de
información posible con el fin de facilitar su ubicación de manera inequívoca en la
organización e identificación de sus propietarios y/o responsables (Identificación, tipo,
descripción, área, serial, proceso, responsable, proveedor, etc), usuarios, derechos de
acceso, dirección IP, dirección MAC, etc.
31
Estos datos acerca de los activos de información facilitaran su valoración, los análisis
de riesgos a realizar sobre los activos y la estimación de su impacto sobre los procesos
del negocio en caso de perdida y/o indisponibilidad del activo.
Los activos por analizar se pueden clasificar en los siguientes tipos:
Físicos: En esta categoría estaría todo el hardware como los pc’s, los portátiles,
servidores, impresoras, routers, switches, teléfonos, etc.
Lógicos: Aquí estarían los elementos de software de la organización, sistemas
operativos, aplicaciones del mercado, desarrollos internos, etc.
Infraestructura: Aquí están los elementos de infraestructura que soportan la
operación de la organización como edificios, cableados eléctricos y de datos, UPS’s, etc.
Personal: Son las personas que componen la organización desde el punto de vista de
los perfiles que conforma la estructura de personal de la misma, usuarios,
administradores de sistemas, DBA’s, administradores de seguridad, etc.
Intangibles: Son los activos que no son físicos, pero son representativos para la
organización como la imagen corporativa y el know how.
Todos los activos deben poder valorarse para efectos contables y de valoraciones de
riesgo, por ello hay varios tipos de valores para los diferentes tipos de activos, el valor
de reposición, el valor de uso y el valor de perdida de oportunidad
32
1.4 Tópicos de la Seguridad Informática
Para muchas de las organizaciones modernas la información no es solo un insumo
que ayuda en sus procesos para conseguir los objetivos estratégicos, en la economía
digital de hoy en día, para muchas de las organizaciones la información es su principal
activo y su core de negocios, la necesidad de contar con elementos, políticas y
estrategias de seguridad para la información es tan o más importante que contar con
estos mismos elementos para otros procesos vitales de la organización, la evolución de
los conceptos de seguridad muestran que los encargados de estos procesos tienen
visibilidad de la alta dirección y en organizaciones donde la información es el core del
negocio los responsables de la seguridad de la información ya pertenecen a las altas
esferas de la organización.
Una vez clara la diferencia entre seguridad información y seguridad informática,
aunque la evaluación de amenazas hace parte del proceso de evaluación de riesgos y es
común ver que se utilizan como si fueran sinónimos, una amenaza es diferente a un
riesgo, se puede decir en términos generales que una amenaza es una acción o hecho
que puede inferir o producir un daño sobre un bien o activo y que son de naturaleza
lógicas o físicas, y también que según su origen las amenazas se pueden dar clasificar
en:
Amenazas naturales: Terremotos, incendios, inundaciones
Amenazas externas: Sabotaje, hacker’s, estafas, robos
Amenazas Internas: Empleados descontentos, decisiones corporativas erróneas,
etc.
Las amenazas se pueden agrupar según el factor de seguridad que pueden
comprometer se clasifican en:
Interrupción
33
Modificación
Fabricación
Interceptación
Ilustración 1: Ataques a la seguridad de la Información
Larrahondo, A. (2017). Diseño del módulo virtual para la asignatura Seguridad en redes
Telemáticas
En la ilustración dos (2) podemos observar el flujo de información como un
proceso normal entre un emisor y un receptor y se evidencia un intruso.
Para el caso de la interceptación, es posible reconocer que, si bien se mantiene
el flujo de la información entre el emisor y el receptor, el intruso logra
interceptar la comunicación y quedarse con copia de la información, de la triada
de la seguridad se pierde la confidencialidad de la información, el caso más usual
es la de software snnifer de trafico.
34
Para el caso de la modificación, el intruso no solo intercepta el tráfico, sino
que está en capacidad de modificarlo, alterando la información que le llega al
receptor, en este caso de la triada se pierde la confidencialidad, y la integridad,
una técnica que usa este tipo de ataque es “man in the Middle”.
Para el caso de interrupción, el intruso consigue interrumpir el flujo de la
información impidiendo que el receptor reciba la comunicación, en este caso se
pierde la disponibilidad de la información, una técnica que usa este tipo de
ataque es “DoS” (Denegación de servicio).
Para el caso de la fabricación de la información, el intruso consigue agregar
tráfico al flujo normal de datos entre emisor y receptor, en este caso de la triada
se pierde la integridad de la información, dado que la información que le llega al
receptor no es la que origina el receptor, una técnica que usa este tipo de ataque
es “Inyección de SQL”.
Algunos de los tópicos en los cuales se hace más énfasis en la seguridad informática en
las organizaciones son:
Seguridad del protocolo TCP/IP
Seguridad de Bases de Datos
Seguridad de aplicaciones
Seguridad en la Nube
Cada uno de estos tópicos está completamente integrado con los demás y en
cada uno de ellos se puede hablar de sus respectivas contramedidas
1.5 Contexto legal de la seguridad de la información
La importancia del proceso de aseguramiento ha generado que a lo largo de las últimas
décadas se desarrollen marcos de trabajo y/o normativas que definen los elementos
35
necesarios para la implementación de procesos de aseguramiento de la información, la
primera entidad normalizadora a nivel mundial fue BSI British Standards Institution)
que en el año 1995 gestiono seguridad de la información para las empresas británicas
con la norma BS-7799 que tenía dos partes la BS-7799-1 Guía de buenas prácticas, que
no era certificable y la BS-7799-2 que estableció el SGSI (Sistema de Gestión de
Seguridad de la Información) como una entidad independiente para ser certificable, en
el año 1999 fueron revisadas y en el 2000 la norma BS-7799-1 se adoptó casi sin
cambios como norma ISO 17799, para el 2005 la norma BS-7799-2 se publicó con
algunos cambios como la norma ISO 27001.
Ilustración 2: Estándares y marcos vigentes
Larrahondo, A. (2017). Diseño del módulo virtual para la asignatura Seguridad en redes Telemáticas
En la ilustración uno se pueden observar los estándares y marcos vigentes para
trabajar seguridad de la información, descendiendo desde los marcos regulatorios más
36
generales, pasando por los marcos de gobierno corporativo y los objetivos de control y
por último los controles como su punto de vista más específico, la implementación de
estos marcos regulatorios se han dado por la necesidad de establecer controles para
proteger a las organizaciones y a sus partes interesadas de los problemas relacionados
con los manejos incorrectos de la información, uno de los casos más sonados es el de
SOX “Sarbanes-Oxley Acto f 2002” que nace en los Estados Unidos como una ley que
reforma la contabilidad pública de las empresas y que se motivó principalmente por el
caso de Enron “Enron Creditors Recovery Corporation” esta compañía llego a estar en
el top 10 de las compañías de los Estados Unidos, el escándalo por manejos indebidos
de fondos y ocultamiento de información la llevo a la quiebra en 2001 y de paso causo
la disolución de Arthur Andersen que era una de las más prestigiosas firmas de
auditoría y contabilidad, la quiebra de Enron afecto a miles de accionistas que
perdieron cerca de 11 mil millones de dólares, SOX implemento nuevas
responsabilidades por alterar, crear o destruir información con el fin de inducir a los
accionistas a errores.
Las demás regulaciones de la ilustración uno, tiene también como objeto reforzar los
controles que el gobierno tiene sobre la información financiera y de auditoria de las
firmas que cotizan en bolsa con el fin de proteger a los accionistas, HIPAA por ejemplo
es la Ley de responsabilidad y transferencia de seguros médicos “Health Insurance
Pottability and Accountability Act” que contempla la protección de las coberturas
médicas para los ciudadanos de los Estados Unidos cuando estos cambian o pierden su
trabajo, en su componente de privacidad esta ley, limita el uso y la divulgación de
información relacionada con el registro medico a su mínimo indispensable. FISMA por
su parte es el acrónimo del inglés de la ley federal de administración de la Seguridad de
la Información “Federal Information Security Management Act”.
Las regulaciones aplican dependiendo el país en el que la organización realice sus
actividades o en donde tenga contactos comerciales, para casi cada sector existen
37
regulaciones que aplican, entre más importante sea la información con las que se
realizan los objetivos de las organizaciones, mayor será el control de los entes
regulatorios y por lo mismo la regulación aplicable, es probable también que una
organización esté sujeta a varias de estas regulaciones, lo que complica su panorama
regulatorio y obliga a la formalidad con todos los procesos que generan, modifica,
consultan o transmiten información.
Por otro lado COSO es un marco de referencia para la gestión del sistema de control
interno, apoya la gestión de riesgos y la disuasión del fraude como parte de su principal
objetivo, el modelo de OCEG propone un sistema de estándares que buscan ayudar a los
profesionales a mejorar las capacidades de GRC (Gestión Riesgo y Cumplimiento), estos
marcos generales de gobierno corporativo al ser generales son independientes del
sector al que pertenezca la compañía y buscan generar herramientas de gobierno
apoyadas en mejores prácticas de la industria que sean aplicables a organizaciones de
todos los sectores.
Descendiendo a lo más específico nos encontramos con los objetivos de control como
COBIT acrónimo en inglés de (Objetivos de Control para Información y Tecnologías
relacionadas “Control Objetives for Information and related Technology” que se define
como un marco de trabajo con las mejores prácticas para el control y supervisión de
tecnologías de la información, al ser este componente uno de los más importantes en
las organizaciones del siglo XXI ese marco de trabajo facilita la implementación de
buenas prácticas en organizaciones de múltiples sectores, ITIL acrónimo de “IT
Infraestructure Library” es un marco que describe las mejores prácticas para la
administración, gestión y entrega de servicios de IT, está fundamentado en ocho libros
cada uno de ellos enfocado en un tema específico de gestión de IT, CMM “Capability
Maturity Model” o modelo de madurez de capacidades, fue desarrollado originalmente
por la universidad Carnie-Mellon para el Software Engineering Institute.
38
En cuanto al conjunto de normas ISO/IEC 20000 son propuestas por el “International
Organization for Standardization” e IEC “International Electrotechnical Commission” y
es básicamente la serie de estándares para gestión de servicios de IT, basados a su vez
en los estándares de la BSI “British Standards Institution.
Bajando en especificidad nos encontramos entonces con los documentos, normas,
estándares o marcos de trabajo que sugieren los controles específicos orientados a
seguridad de la información, aquí encontramos la norma ISO/IEC 27002 es una guía de
buenas prácticas para la implementación de los controles de seguridad que apoyan la
implementación y gestión del SGSI (ISO/IEC 27001), dividida en 14 dominios con 114
controles en total, de los cuales no es obligatorio implementar ninguno, de hecho una
organización puede definir sus propios controles e implementarlos y con ello garantizar
la seguridad de la información, sin embargo la guía de la norma ISO/IEC 27002 es
indispensable para la definición e implementación de los controles.
Como se puede observar observar la industria cuenta con los marcos de trabajo
suficientes y necesarios para el aseguramiento de la información que es un requisito
regulatorio para casi todas las industrias en todos los países hoy en día y se cuentan con
las herramientas necesarias para desarrollar el gobierno y la gestión necesaria para
asegurar este cumplimiento regulatorio, también el lector puede observar que son
varias las opciones a considerar para su implementación considerando que
dependiente del sector de la industria existirán marcos de obligatorio cumplimiento, el
ambiente se vuelve más complejo cuando es necesario cumplir dos o más de estos
marcos o buenas prácticas, y es allí donde el gobierno de estas iniciativas debe estar
soportado de manera suficiente por la alta gerencia y tener sus objetivos claros con el
fin de optimizar el uso de recursos y herramientas para no perder de vista el fin últimos
de los mismos que es proteger la información de la organización.
39
Dentro del marco normativo colombiano, es necesario que el lector conozca varias
leyes, una de las más importantes es la ley 1273 del 2009 “Por medio de la cual se
modifica el código penal, se crea un nuevo bien jurídico tutelado – denominado “de la
protección de la información y de los datos” y se preservan integralmente los sistemas
que utilicen las tecnologías de la información y las comunicaciones, entre otras
disposiciones”. La ley está dividida en dos capítulo, en el primer capítulo están definidos
los artículos que tratan de los atentados contra la confidencialidad, integridad y la
disponibilidad de los datos y de los sistemas informáticos, el segundo capítulo trata de
los atentados informáticos y otras infracciones
Capitulo Primero
Artículo 269 A: Acceso abusivo a un sistema informático
Artículo 269 B: Obstaculización ilegitima de sistema informático o red de
telecomunicación
Artículo 269 C: Interceptación de datos informáticos
Artículo 269 D: Daño informático
Artículo 269 E: Uso de software malicioso
Artículo 269 F: Violación de datos personales
Artículo 269 G: Suplantación de sitios web para capturar datos personales
Artículo 269 H: Circunstancias de agravación punitiva
Capitulo Segundo
Articulo 269 I: Hurto por medios informáticos y semejantes
Articulo 269 J: Transferencia no consentida de activos
Para la mayoría de los artículos se contemplan penas económicas que pueden llegar
a 1500 SMLMV y de prisión que pueden llegar a los 120 meses, la implementación de
esta ley sin embargo ha encontrado que algunos de los jueces de nuestra república no
tienen un conocimiento muy fuerte en TIC y en el manejo de evidencia digital, además
40
la realización de actividades ilegales a través de internet, tiene la complejidad adicional
de ubicar físicamente al infractor, la realización de este tipo de infracciones además es
transnacional, lo que complica desde el punto de vista jurídico la aplicación exacta de
la ley.
1.6 Ejemplos
El gobierno de Colombia a través de la guía número cinco (5) entrego la “Guía para
la Gestión y clasificación de Activos de Información” este documento que se encuentra
disponible en el sitio web de MinTic, basando se en normativa colombiana como la Ley
de Transparencia, y en la norma ISO 27005 es una excelente guía para tomar de ejemplo
en cuanto a la gestión y clasificación de activos.
Otro excelente documento que nos puede aportar como ejemplo, es el del “Modelo
de Seguridad y Privacidad de la Información”, en este documento se hace una
descripción detallada del modelo de operación de seguridad y privacidad, incluye
además de las fases de planificación e implementación, las fases de evaluación del
desempeño y mejora continua.
1.7 Reflexiones
La apropiación y aplicación de los conceptos de seguridad de la información es
determinante en la protección de la información con la que las organizaciones
gestionan sus procesos, la correcta aplicación de los pilares de la seguridad ayuda a la
organización a determinar los controles que deberá aplicar para su protección.
La necesidad de proteger de manera adecuada la información ha generado la
aparición de distintos modelos de seguridad y privacidad, varios de ellos son lo
41
suficientemente maduros para que los utilicemos al interior de nuestras organizaciones
para que se adapten a nuestro estilo de gestión interno
1.8 Conclusiones
En las organizaciones de la era digital el principal activo es la información, los
esfuerzos que estas realicen para protegerla deben ser los adecuados y pertinentes de
acuerdo a sus características, los entes regulatorios y los usuarios finales son consiente
del valor de la información y exigirán cada vez con mayor fuerza que se apliquen los
controles necesarios para tenerla debidamente resguardada.
Los ataques a la información y a la infraestructura que soporta su generación,
procesamiento, transmisión y almacenamiento son cada vez más frecuentes, las
correctas valoraciones de las técnicas de protección permiten que las organizaciones
seleccionen las medidas apropiadas de protección dentro de un abanico cada vez más
grande de solución con múltiples características.
42
43
Capítulo II
Ata
qu
es M
as C
om
un
es e
n la
s R
edes
Elementos Atacantes
Amenazas deSeguridad en la Información
Seguridad en la Nube
Ejemplos
Reflexiones
Conclusiones
Ataques más Comunes en las Redes
44
45
Capítulo 2: Ataque más comunes en
las redes
Para la revisión de los ataques más comunes a las redes, el lector debe conocer las
bases de la comunicación de las mismas, para ello revisaremos el más popular, no el
único de protocolos de comunicación en redes de datos, TCP/IP y para ello se hace
necesario que mencionemos un poco de historia del mismo, como parte de un plan de
contingencia ante un ataque a sus redes, en la década de los años 60’s enmarcados por
la guerra fría, la agencia de proyectos de investigación avanzada del departamento de
defensa de los Estados Unidos (DARPA) se dio a la tarea de desarrollar una red que
fuera completamente distribuida, para ello se rompió el paradigma de la comunicación
de redes a través de conmutación de circuitos que básicamente solicitaba el
establecimiento de una conexión dedicada entre dos redes, algo que por esa época era
extremadamente difícil técnicamente hablando y costoso, entonces surgió la idea de
realizar conmutación de paquetes, basado en este concepto se desarrolló la red
ARPANET, de carácter experimental y con la finalidad de ser tolerante a los fallos, a
mediados de los 70’s se trabajó en la interconexión de distintas redes, y en 1974 se
establecieron las bases de desarrollo de la familia de protocolos TCP/IP que sigue
vigente hoy en día.
Tal como se observa en la ilustración número tres (3), esta familia de protocolos se
divide en cuatro capas cada una de las cuales tiene una funcionalidad especifica
Capa de Red: En esta capa se gestionan las comunicaciones usando el medio físico de
transmisión que puede ser dedicado (redes punto a punto) o compartido (redes
Ethernet y redes inalámbricas
46
Capa de Internet: O capa de Internetworking es la capa que homogeniza la conexión
de los diferentes equipos a la red, sin importar el medio físico que usaron para esta
conexión, sus principales funciones son el manejo de las direcciones y el
encaminamiento (enrutamiento) de los paquetes de datos
Ilustración 3: Modelo TCP/IP
Larrahondo, A. (2017). Diseño del módulo virtual para la asignatura Seguridad en redes Telemáticas
Capa de Transporte: Esta capa da fiabilidad a la red mediante el manejo del control de
flujo, esta capa esta implementada en los equipos finales, los enrutadores o routers no
la implementan.
Capa de aplicación: Capa en la cual están las aplicaciones que consumen la data que
transporta el conjunto de protocolos TCP/IP, esta capa solo se implementa en equipos
de usuario final
47
Para cada una de las capas anteriores tenemos implementaciones de protocolos
distintos que soportan diferentes servicios, y existen también debilidades de diseño que
implican vulnerabilidades en los mismos, la coexistencia entre los protocolos existentes
en cada una de estas capas, más las vulnerabilidades de las aplicaciones y sistemas
operativos que sustentan los puntos de usuario final, generan un entorno con
demasiadas variables que se deben controlar y monitorear, siendo esta una tarea de
bastante complejidad para lo cual lo más óptimo es usar herramientas de seguridad
especializadas.
Las vulnerabilidades más comunes en la capa de red están asociadas a adulteraciones
de los medios de transmisión, cortes de los mismos, desvíos o dispositivos de
bifurcación y/o copia del tráfico que pasa por ellos, en la capa de internet es vulnerable
a ataques que afecten los datagramas IP algunas técnicas son Sniffing, suplantación,
denegación y otras, en la capa de transporte es vulnerable a ataques que afecten la
autenticación, integridad y a la confidencialidad, en la capa de aplicación las
vulnerabilidades están asociadas a los protocolos propios de esta capa, y en términos
generales son vulnerabilidades más específicas de las aplicaciones y de sus procesos de
autenticación, gestión, transporte y almacenamiento de datos, aunque existen
vulnerabilidades especificas en las implementaciones de cada uno de los protocolos
como http, smtp, dns, dhcp, etc o vulnerabilidades de diseño que los pueden afectar sin
importar que fabricante puntual realizo la implementación.
48
Ilustración 4: Algunos protocolos del modelo TCP/IP
Larrahondo, A. (2017). Diseño del módulo virtual para la asignatura Seguridad en redes Telemáticas
En la ilustración cuatro (4), el estudio puede observar algunos de los protocolos más
significativos del modelo TCP/IP en cada una de sus capas, esta ilustración no pretende
ser una recopilación exhaustiva de los protocolos por capa, pretende srvir de base para
mostrar solo algunos de ellos.
2.1 Elementos atacantes
En la ilustración uno (1) ya habíamos mostrado las amenazas según el factor de
información que pueden comprometer, es este apartado se le mostrara al lector las
definiciones de los diferentes tipos de atacantes, cabe anotar que estas definiciones van
creciendo y apareciendo nuevas en la medida que los desarrollos tecnológicos muestras
tendencias sobre nuevas destrezas en nuevas tecnologías
49
Hackers: Son normalmente personas con fuerte conocimiento de informática,
lenguajes de desarrollo, no tienen motivación económica, lo hacen solamente por
superar las barreras de seguridad de los sistemas y demostrar que tienen o adquieren
el conocimiento para burlas estas medidas de seguridad, saben usar las herramientas
de auditoria de seguridad, pero también pueden crear las suyas propias o adaptarlas
Crackers: Son personas que burlan las medidas de seguridad con intención de hacer
daño, robar y/o vender la información de los sistemas, tienen también profundos
conocimientos técnicos y su motivación principal es la obtención de beneficios
económicos.
Lammers: Son personas con conocimiento informático mejor que el promedio, con
capacidad para usar algunas herramientas de seguridad informática, pero sin conocer
el detalle técnico de su funcionamiento, serían incapaces de crear sus propias
herramientas
Newbie: Son básicamente principiantes en el arte de la seguridad, pero con las
inquietudes suficientes para lograr causar daño intentando usar herramientas de
auditoria
Ciberterroristas: Son personas o equipos de especialista en seguridad que trabajan
para organizaciones o gobiernos que buscar generar el terror con la interrupción, robo,
filtración, modificación y/o eliminación de datos de sistemas críticos con el fin de
desestabilizar gobiernos u organizaciones.
2.2 Amenazas de seguridad en la información
Para la revisión de este tópico existen varias versiones de clasificación de amenazas, la
exposición frecuenta de los sistemas de información a los variados tipos de amenazas,
50
expone la información a diversos riesgos y a potenciales pérdidas financieras derivadas de
los mismos que desafortunadamente no son fáciles de estimar y que aún después de sufrido
el daño son complicadas de cuantificar, temas como perdidas reputacionales son imposibles
de cuantificar con exactitud y daños a largo plazo pueden hacer quebrar cualquier compañía
La taxonomía para la clasificación de las amenazas obliga a la consideración de algunos
principios con el fin de que el resultado de la misma sea exacto, estos principios son los
siguientes:
Exhaustivo: Este principio infiere que las categorías de la clasificación contemplan
todas las posibilidades.
Mutuamente exclusivo: Este principio busca que no existan categorías traslapadas o
con elementos que pertenezcan a dos o más categorías.
Inequívoco: Este principio busca que todas las categorías sean claras.
Repetible: Este principio busca que la aplicación de la clasificación de el mismo
resultado con las mismas categorías.
Aceptación: Este principio busca que las todas las categorías sean lógicas, intuitivas y
prácticas.
Útil: Este principio busca que las categorías y el resultado general de la clasificación
sea útil.
Haciendo uso de estos principios de taxonomía para la clasificación, se puede
encontrar propuestas de clasificación de las amenazas que contemplan los métodos en
los cuales se basan las técnicas de ataques, y algunos otros en que se usa el impacto de
51
las amenazas para realizar su clasificación, el lector debe poder revisar las diferentes
clasificaciones y reconocer en ellas, que si se aplican correctamente los principios
anteriores, estas clasificaciones también son válidas, anotando que el constante avance
en la tecnologías y el ambiente cambiante de las amenazas pueden modificar las
diferentes clasificaciones agregando o eliminado elementos a las mismas.
Ilustración 5: Clasificación amenazas seguridad de la información
Larrahondo, A. (2017). Diseño del módulo virtual para la asignatura Seguridad en redes Telemáticas
Algunos modelos adicionales intentan contemplar más características como
motivaciones e intenciones, pero esto complejiza el ejercicio y los resultados si bien son
interesantes, pasan por ser más académicos y de investigación que prácticos. Dado que
las amenazas se pueden clasificar por varios criterios y no existe una única vista de la
clasificación, vamos a revisar una vista desde el tipo de amenazas como se puede
observar abajo en la ilustración cinco (5), en donde dividen a las amenazas en internas
y externas, y luego en humanas, ambientales y tecnológicas, luego las dividen en
maliciosas o no maliciosas y por último en intencionales y no intencionales.
52
Se puede observar también que, para las amenazas tecnológicas y ambientales, no
existe conexión con la clasificación de maliciosas, dado que estas amenazas son no
maliciosas, el lector recuerda que la tecnología no tiene intencionalidad, la
intencionalidad la dan las personas que utilizan la tecnología para propósitos mal
intencionados.
2.3 Seguridad en la Nube
La búsqueda constante de la aplicación de los avances en la industria a la vez que se
busca la optimización en la utilización de los recursos, junto con la expansión de
internet, genera que desde hace ya varios años, los servicios en la nube sean una
propuesta más que la gerencia de IT deba considerar, al trasladar la complejidad de la
infraestructura que genera estos servicios trae probados beneficios a las
organizaciones modernas, el concepto de la nube es básicamente implementar
cualquier servicio y/o producto y/o aplicación sobre internet, esto ha generado
diferentes tendencias como son:
Software como servicio “SaaS” Software As A Service, que nació hace muchos años con
uno de los primeros y más populares servicios “gratis” en internet que fue el servicio
de correo electrónico y que a hoy a evolucionado hasta el punto de que casi cualquier
software comercial se presta bajo esta modalidad, ejemplos muy conocidos son Office
365, SalesForce, etc.
Infraestructura como servicio “IaaS” Infraestructure As A Service, en esta modalidad de
servicio se pueden tener soluciones de infraestructura como servicios, inicialmente
servicios como servidores (memoria, procesador y disco) virtuales, pero ha
evolucionado hasta prestar servicios de telecomunicaciones (Infraestructura de
comunicaciones de datos y voz).
53
Plataforma como Servicio “PaaS” Plaform As A Service, en esta modalidad el proveedor
ofrece una plataforma para que los desarrolladores se ocupen solo del desarrollo de las
aplicaciones y los servicios asociados a ellas sin preocuparse por la complejidad de los
recursos necesarios para que esta funcione.
Ilustración 6: Modelo de servicios Cloud
Larrahondo, A. (2017). Diseño del módulo virtual para la asignatura Seguridad en redes Telemáticas
En la ilustración seis (6), se puede identificar el modelo de servicios en nube, en
donde se observan las responsabilidades del cliente y las del proveedor de los servicios,
dada la posibilidad de mezclar modelos y el trabajo de facilitar el consumo de los
mismos de parte de los proveedores, esta ilustración está basada en las condiciones
generales de cada una de las tendencias, pero se pueden modificar según los deseos de
los clientes, se observa que la seguridad es un componente importante no solo desde el
punto de vista del modelo seleccionado sino que tenemos que tenerla en cuenta desde
el interior de nuestra organización, dado que al tener nuestros servicios en la nube los
54
estamos exponiendo aún más a las brechas de seguridad y debido a que consumimos
estos servicios debemos proveedor enlaces de calidad y debidamente asegurados para
el consumo de los servicios desde nuestra organización, la seguridad además debe
prever que tenemos expuestos estos servicios por lo que las consideraciones de
seguridad del acceso a los mismos deben ser iguales aún más cuidadosas y fuertes que
cuando los servicios estaban al interior de la organización.
Dentro de los beneficios de estas tendencias esta la disponibilidad que la garantiza
el proveedor y que en algunos casos llega a los cuatro nueves (99.99%), la facilidad de
manejar los aspectos financieros al retirar de las organizaciones las necesidades de
justificar presupuestos de compras de tecnología que son manejadas como inversiones
con cálculos complejos de retornos de inversión, depreciación, etc y permitirles pagar
estos como servicios mensuales, mejorando los flujos de caja de las organizaciones, otra
ventaja puede ser la reducción del personal de TI necesarios para atender toda la
complejidad de los temas locales.
Pero la seguridad de la nube pasa a tomar un papel protagónico en la ecuación, el no
tener el control físico de la infraestructura y no conocer el detalle técnico de quien,
cuando y como pueden acceder a los datos que están allí almacenados genera nuevos
riesgos, además de temas regulatorios de algunos países en el tipo de información que
puede o no salir de los países de origen junto con regulaciones en donde el usuario final
debe autorizar este tipo de traslado de información, generar un ambiente complejo no
solo técnicamente sino legalmente.
Según la CSA (Cloud Security Alliance) existen 12 amenazas a la seguridad en la nube
que se deben considerar y son las siguientes:
Data Breaches: Dada la cantidad de data de las organizaciones expuesta en la nube, el
potencial del daño depende de la sensibilidad de la información expuesta a la infracción
55
o brechas “breach”, los proveedores desarrollan e implementan controles para proteger
la data de las organizaciones, pero es absolutamente claro que la responsabilidad sobre
la información sigue siendo de la organización.
Compromised credentials and broken authentication: Las brechas en los datos son
el resultado de los ataques son regularmente originados por pobres políticas de
contraseñas de usuarios o por no remover los permisos de usuarios que han cambiado
de rol, al tener los procesos de autenticación de usuarios federados en servicios de la
nube, se hacen unos objetivos extremadamente valiosos para los atacantes, en razón de
ello las organizaciones deben estudiar la implementación de procesos de doble factor
de autenticación cuando esta se realiza desde fuera de la red corporativa.
Hacked Interfaces and APIs: Todos los servicios de nube ofrecen interfaces de
conexión y API’s “Application Program Interfaces” que permiten consumir los recursos
contratados y que tienen entre otras funciones aprovisionar servicios, administrarlos,
monitorearlos u orquestarlos, estas interfaces para poder funcionar exponen.
componentes en la nube y aunque requieran procesos de autenticación y validación
para su uso están expuestas y por ende deben ser correctamente protegidas y
monitoreas con el fin de evitar que sean víctimas de ataques
Exploid system vulnerabilities: Los bug’s en las aplicaciones son usuales, no son
deseados, pero existen y existirán en las aplicaciones, pero en los ambientes de nube
este facto puede afectar los servicios y crear nuevas superficies de ataque, los procesos
de parchado y/o actualización de aplicaciones se deben realizar de manera normal con
los servicios en nube y se debe contemplar un proceso de actualización de emergencia
en conjunto con el proveedor.
Account hijacking: La segregación de funciones de los usuarios y la protección
adecuada de las cuentas de los mismos, debe ser una prioridad, debido a la naturaleza
56
de los mismos servicios en la nube, el compromiso de una cuenta no solo afecta los
permisos que tenga la misma, sino que puede hacer que los servicios en la nube sirvan
para el lanzamiento de otros ataques.
Malicious insiders: Las amenazas al interior de una organización pueden provenir de
cualquier rol, administrador, contratista, empleado, se sugiere control estricto de las
cuentas y control de las llaves de encripción y procesos centralizados que se puedan
ver afectados, las posibilidades de mover datos de manera sencilla entre servidores o
servicios son útiles si se realizan con la debida diligencia o ser factores altos de riesgos
si no se realizan con las precauciones del caso.
The APT parasite: Las amenazas persistentes avanzadas “Advanced Persistent
Threats” son llamadas por la Cloud Security Alliance como formas parasitas de
ataques, ya que se infiltran y si se logran establecer en el sistema, a partir de allí,
filtran de manera furtiva datos, por lo que la organización debe contar con controles
de seguridad, procesos de gestión de incidentes y entrenamiento adecuado de sus
usuarios para evitar ser víctimas de APT’s
Permanet Data Loss: A medida que los servicios en la nube maduran, es más extraño
encontrar reportes de perdida de datos atribuibles a los proveedores, sin embargo la
responsabilidad de la información siempre será del cliente, razón por la cual se sugiere
distribuir geográficamente los servicios, con el fin de evitar indisponibilidad de los
mismos a un determinado centro de datos tener problemas de disponibilidad (que
siempre pueden ocurrir), procesos probados y eficientes de copias de respaldo siempre
son y serán necesarios para proteger la información de la organización.
Inadequate diligence: El debido cuidado está asociado al análisis que la organización
debió realizar cuando se planteó la posibilidad de migrar parte o todos sus datos a la
nube, bajo cualquiera de los esquemas existentes el análisis de riesgos legales,
57
comérciales, técnicos, fiñaneros y de cumplimiento regulatorio debe ser el punto de
partida antes de tomar cualquier decisión.
Cloud Service Abuse: Los servicios en la nube pueden ser usados como recursos para
romper llaves de encripción, lanzar ataques de denegación de servicio distribuido DDoS
enviar spam, phishing y otros malwares, los proveedores deben poner herramientas de
monitoreo de la salud de los servicios para sus clientes con el fin de detectar este tipo
de actividades.
DoS attacks: Los ataques de denegación de servicios que afectan la disponibilidad de
los sistemas pueden encaminarse hacia los servicios de la nube, los proveedores deben
poder identificar, controlar y monitorear este tipo de ataques y facilitar el acceso a estas
herramientas para que los clientes las puedan utilizar
Shared Technology, shared dangers: Los servicios en la nube son susceptibles a
brechas de seguridad causadas por las vulnerabilidades, al estar los servicios,
infraestructura, plataformas y aplicaciones compartidos las vulnerabilidades o errores
de configuración pueden tener un impacto significativo que afecto a varios o todos los
clientes de estos servicios. La CSA recomienda la estrategia de defensa en profundidad,
incluir autenticación de múltiple factor, IDS, NIDS, aplicar el concepto del mínimo
privilegio, segmentación de red y un programa muy exacto de parchado de recursos.
2.4 Ejemplos
En mayo de 2017 el mundo sufrió uno de sus más recientes ataques de ransomware
(cibersecuestro) que infecto a más de 300000 computadoras en todo el mundo,
secuestrando la información, mediante un proceso de cifrado que la dejaba
completamente inaccesible, el objetivo era obtener cerca de 300 Dólares por medio del
pago con la divisa virtual del Bitcoin (Moneda virtual difícil de rastrear), el nombre que
58
se le dio al virus utilizado para afectar los equipos fue WannCry y los equipos se
afectaban a través de los puertos que regularmente se utilizan para compartir archivos.
En febrero de 2017 un bug en la plataforma de servicios en la nube CloudFlare, que
soporta servicios para una gran lista de servicios web, dejaba de manera aleatoria
expuesta información sin cifrar de los usuarios de sus servicios, dado que CloudFlare
presta servicios de CDN (Content Delivery Netword), los sitios de muchos servicios que
lo usan como proveedor resultaron afectados.
2.5 Reflexiones
La frecuencia y complejidad de los ataques a las redes de datos es cada vez más alta,
los ataques pasaron a ser generados por mafias aparentemente muy bien organizadas
que se lucran con el resultado de estas actividades, si los usuarios finales y las
organizaciones no mejoran sus esquemas de defensa de la información en algún
momento serán victimas de uno de estos ataques.
El movimiento de servicios hacia la nube permite a las organizaciones dedicarse a
sus objetivos de negocios trasladando las responsabilidades de IT a proveedores que
ofrecen una amplia gama de servicios y unos altos índices de disponibilidad, pero no
debemos olvidar que la seguridad de la información sigue siendo responsabilidad de la
organización y no de sus proveedores.
2.6 Conclusiones
Los conocimientos en las principales técnicas de ataque ayudaran a las
organizaciones en el proceso de la identificación más eficiente de las mismas,
permitiéndoles también trabajar en la correcta selección de las herramientas que les
permitan mitigarlas y/o monitorearlas.
59
Dado el aumento de las amenazas a la seguridad de la información, el traslado de
nuestros servicios, infraestructura y/o aplicaciones a la nube de mano de proveedores
de talla mundial como Microsoft, Amazon y otros, no nos exime de la responsabilidad
de la protección de esta información, el uso de herramientas y/o servicios facilitan a las
organizaciones su trabajo pero no modifican ni disminuyen las obligaciones
contractuales que estas adquieren con los clientes ni con la información de los mismos.
60
61
Capítulo III
Técn
icas
de
Pro
tecc
ión
Protocolos de Seguridad
Políticas de Seguridad
Defensa en Profundidad
Endurecimiento de la Capa Física
Ejemplos
Reflexiones
Conclusiones
Técnicas de Protección
62
63
Capítulo 3: Técnicas de Protección
Las técnicas de protección han evolucionado a la par de las diferentes amenazas
identificadas, y pasan por soluciones técnicas o procedimentales, es usual pensar en
soluciones del tipo técnicas para todos los problemas de seguridad pero puede ser un
concepto erróneo, si hay un riesgo y su mitigación con un control técnico es compleja o
costosa, la mejor opción puede ser revisar el proceso y rediseñarlo de manera que se
elimine el riesgo o que controles técnicos o procedimentales sirvan de mejor manera
que antes de rediseñar el proceso, eliminar el riesgo que genera el problema no siempre
es factible pero es una opción a considerar, sobre todo en entornos donde los recursos
técnicos, humanos y/o financieros son limitados.
Las herramientas técnicas que nos ayudan con la implementación de las políticas
definidas han ido evolucionando, cubriendo las nuevas necesidades que surgen de las
evoluciones normales de las tecnologías ya existentes a las que les prestan sus servicios
de protección y nuevas herramientas han ido surgiendo cuando nuevos servicios son
desarrollados e implementados, en esta evolución natural tanto de las amenazas como
de las herramientas de protección.
3.1 Protocolos de seguridad
Un protocolo es un conjunto de reglas que se establecen y se respetan por dos o más
partes para facilitar su interacción y que definen que hacer y que decisiones tomar
dependiendo de las interacciones entre los miembros que usan el protocolo,
específicamente hablando de protocolos de seguridad establecen las reglas que
gobiernan los procesos de transmisión de datos con el fin de garantizar la
confidencialidad, integridad, disponibilidad y no repudio de los mismos, un protocolo
busca que se puedan implementar los servicios de seguridad. Para contextualizar al
64
lector acerca de los protocolos de seguridad, revisaremos los más comunes y
explicaremos su utilización.
Las matemáticas tienen un papel determinante dentro de los protocolos de
seguridad y una de sus ramas, la criptografía que hace uso de métodos matemáticos con
el objetivo de facilitar cifrar un mensaje o archivo por medio del uso de algoritmos,
generando diferentes criptosistemas que permiten garantizar al menos dos aspectos de
la seguridad de la información que son la confidencialidad y la integridad, la criptografía
sin dudas es la rama más compleja relacionada con aspectos de la seguridad, se usan
también modelos matemáticos con el finde detectar, evaluar y gestionar amenazas de
seguridad, los retos son trabajar con la potencia de computo actual, para generar
basados en funciones de la criptografía como las curvas elípticas, o calculo con números
primos, unas llaves lo suficientemente grandes para que sirvan para proteger la
información pero de una manera óptima usando comúnmente funciones de una sola
via, es decir funciones como el múltiplo de dos números primos muy grandes, de
manera tal que teniendo el número resultante sea casi imposible o complejamente
dispendioso desde el punto de vista computacional conseguir los números primos
originales
Una de las preocupaciones de los avances tecnológicos ante la criptografía es la
computación cuántica que está en pleno desarrollo actualmente, cuando los
computadores cuánticos sean accesibles, la velocidad y capacidad de cálculo de estos
nuevos computadores, amenazaran todos los protocolos de seguridad creados hasta el
momento, ya que con estas nuevas capacidades de cálculo será relativamente sencillo
romper los algoritmos matemáticas usados para cifrar cualquier información
La navegación sobre internet se basa en el protocolo http, el protocolo permite la
carga eficiente de información desde los sitios web hasta los navegadores de los
usuarios, es un protocolo que ha sufrido varias actualizaciones y que incluye
65
funcionalidades para el despliegue de componentes multimediales, sin embargo es un
protocolo que no es cifrado, por lo que un intruso lo puede interceptar y quedarse con
el tráfico, esta característica lo hace bastante inseguro, para servicios en donde la
seguridad de la información es importante se debe trabajar con un protocolo que cifre
la información entre el emisor y el receptor, de otro lado los protocolos de seguridad
más utilizados son aquellos que se pueden implementar de manera masiva sin
demasiada intervención del usuario final, esto asegurara en parte el éxito de su
implementación, https (Hipertext Transfer Protocol Secure) protocolo seguro de
transferencia de hipertexto es uno de los mejores ejemplos, permitiendo el cifrado del
tráfico entre el servidor y el cliente, de manera casi imperceptible para el cliente
La implementación de este protocolo requiere de una autorizada certificadora
externa, que valida el certificado que tienen el servidor web y que garantiza que entre
el servidor web y el cliente se establezca una sesión cifrada de intercambio de
información, dada la preocupación por los temas de privacidad de la información de los
servicios de internet, este servicio de seguridad se recomienda que se utilice en todos
los sitios web
Ilustración 7: Como trabaja https
66
Tomada de https://www.webscreationsdesign.com/encryption-is-not-the-same-as-
security-please-take-note/
En la ilustración siete (7) vemos cómo funciona de manera conceptual la utilización
del protocolo https en la navegación a un sitio web, en este caso de ejemplo el sitio es
el de la red social Facebook. Actualmente varios de los navegadores generan alertas si
el sitio a visitar si este no cuenta con HTTPS
Otro de los protocolos utilizados en seguridad es Kerberos que se utiliza dentro de la
implementación del servicio de directorio en Windows, el protocolo implementado es
LDAP (Lightweight Directory Access Protocol) que permitía sesiones anónimas y
autenticación mediante texto en claro por lo que Microsoft implemento Kerberos, que
fue creado inicialmente por el MIT y que usa criptografía de claves simétricas, para
validar los usuarios con los diferentes servicios de red, evitando tener que enviar
contraseñas a través de la red, esto se realiza a través de un proceso de expedición de
tickets
Ilustración 8: Kerberos
67
Tomada de
https://www.cisco.com/c/en/us/td/docs/security/nac/appliance/configuration_guide/412
/cas/412_cas_book/s_adsso.html
Existen muchos otros protocolos seguros que se utilizan dentro de las redes para la
entrega de servicios de manera segura, la criptografía es el común denominador de
estos protocolos y parte de su éxito es esconder la complejidad subyacente a los
usuarios finales y administradores, mientras hacen su trabajo, la estandarización de
muchos de estos protocolos le permite a los diferentes fabricantes hacer sus propias
implementaciones a la vez que garantiza que los diferentes fabricantes sean
compatibles entre si con sus diferentes versiones de los mismos protocolos, en la era
de la digitalización de la información e Internet, la mayoría de los protocolos que se
usan en internet tienen su correspondiente versión segura.
3.2 Políticas de Seguridad
La disponibilidad de protocolos seguros y la implementación de servicios de
computo basados en los mismos no garantizan de por si la seguridad de la información,
es necesaria la definición e implementación de políticas de seguridad que reflejen los
objetivos de la alta gerencia, que aseguren que mediante su cumplimiento se consigue
proteger la información la organización genera, procesa, almacena y transporta en
cumplimiento de sus objetivos estratégicos, la seguridad de la información debe apoyar
los objetivo de la organización para que le genere valor a la misma, en términos
generales las políticas deben representar la intención, expectativas y directrices de la
gerencia, el desarrollo de las políticas apoyara la estructura de la estrategia que buscara
conseguir los objetivos de seguridad planteados por la organización
68
Política: Es típicamente un documento que describe requisitos específicos o reglas que
deben cumplirse para alguna situación en particular, deben ser expedidas y/o
respaldadas por un ente de jerarquía dentro de la organización.
Ilustración 9: Estructura documental
Larrahondo, A. (2017). Diseño del módulo virtual para la asignatura Seguridad en Redes Telemáticas
En la ilustración nueve (9(, el lector puede ver la pirámide documental en donde está
en primer lugar la política, seguida de los procedimientos y por último los instructivos
o manuales
Los atributos recomendables para las políticas a definir incluyen entre otros los
siguientes:
Las políticas deben ser una articulación de la estrategia de seguridad y deben
considerar las expectativas, intención y directrices de la gerencia.
Cada política debe establecer un mandato de seguridad
69
Las políticas deben ser claras y fáciles de comprender para todas las partes
interesadas
Las políticas deben ser concisas y no deben exceder más de un par de líneas o
un párrafo
El número de políticas no debería exceder la veintena
Entre las políticas que debería tener una organización deberían estar las siguientes:
Asignación clara de roles y responsabilidades, se deben definir claramente y se
deben asignar formalmente con el fin de dejar claras y garantizar la
determinación de la responsabilidad
Identificación y clasificación de los activos de información, con su
correspondiente asignación de responsabilidad, con el fin de poder determinar
su valor para el negocio con base e su criticidad y sensibilidad
Diseñar, implementar y mantener controles efectivos, administrando tanto el
impacto como el riesgo, contemplando un balance correcto de costo beneficio en
los controles implementados
Políticas que soliciten contar con procesos de monitoreo eficaces, todas las
actividades representativas de control de riesgos, aseguramiento y de seguridad
deben contar con procesos de monitoreo de acuerdo con su temporalidad, que
busquen garantizar el cumplimiento de sus objetivos de control
70
Políticas que busquen procesos eficaces de cumplimiento y su exigencia,
buscando que se cumpla las políticas de seguridad y que con ello se alcancen los
objetivos de control definidos
Políticas que definan procesos de respuesta ante incidentes y que contemplen la
respuesta ante emergencias, buscando mitigar el impacto de eventos no
contemplados y garantizando que la organización siga operando ante ellos.
Políticas que definan y establezcan, planes de continuidad de negocios y plan de
recuperación de desastres, buscando garantizar la capacidad de la organización
bajo cualquier condición.
Para poder identificar claramente las políticas necesarias para las organizaciones
existen marcos de trabajo que facilitan esta labor, uno de ellos es CMM (Capability
Maturity Model) Modelo de madurez de capacidades, que evalúa los procesos de una
organización y ayuda a identificar el estadio en que se encuentra la organización y
basado en ello sugiere los conjuntos de políticas a aplicar para conseguir madurar en
los niveles definidos por este arco de trabajo. Adicional a este existen oros marcos de
trabajo o metodologías que se pueden usar para identificar cuáles son las políticas que
la organización debería tener implementadas, con ello se pude revisar su mejora o
implementarlas de ser necesario
Las políticas de seguridad están asociadas inevitablemente al cumplimiento de temas
regulatorios en las organizaciones, estos cumplimientos deber esta contemplados
dentro de las políticas dado que son temas de obligatorio cumplimiento, las exigencias
regulatorias varían de industria en industria y las regulaciones acerca de la protección
de la información de los clientes y la protección de la información personal son fuertes
en todas las industrias.
71
3.3 Defensa en profundidad
El concepto de defensa en profundidad es un concepto que busca proteger un recurso
con la aplicación de controles de seguridad en varios niveles, con el fin de conseguir un
mayor nivel de protección del recurso, ya que este queda protegido por más de un
control de seguridad, al aplicar diferentes barreras de protección en varios niveles se
hace más complejo para el atacante y sus técnicas romper las diferentes barreras de
seguridad, favoreciendo la protección buscada como objetivo de esta estrategia
Ilustración 10: Defensa en profundidad
Tomada de: http://blog.segu-info.com.ar/2010/11/defensa-en-profundidad.html
72
En la ilustración diez (10) se pueden evidenciar los diferentes niveles propuestos en
la estrategia y los controles y/o herramientas propuestas para la protección de cada
uno de ellos, esta imagen puede servir de guía en cuanto a los controles sugeridos por
cada uno de los diferentes niveles, no necesariamente se deben implementar todos los
controles, la selección de los mismos debe obedecer a una evaluación juiciosas de los
requerimientos de controles de cada organización y de su evaluación en cuanto a costo
beneficio.
Los controles se pueden dividir en:
Controles Disuasivos
Controles Preventivos
Controles Correctivos
Controles detectivos
El nivel más interior es el de datos y debe ser el nivel que tiene más protección, dado
que, para llegar a él, se debe pasar por todos los niveles anteriores, en cada uno de estos
niveles existen soluciones técnicas que deberían existir en todas las organizaciones, y
no todas ellas son técnicas, se pueden observar varias soluciones que son políticas,
auditorias,
Cabe recordar que el análisis de costo beneficio de los controles a aplicar debe
regirse por el principio de que los controles de seguridad del activo no deben costar ni
igual ni más que el activo.
3.4 Endurecimiento de la seguridad física
La seguridad física asociada a la seguridad de la información es un factor
determinante, ninguna política, o control técnico puede funcionar adecuadamente sin
estar acompañado de medidas de seguridad física adecuadas, los controles físicos
73
además tienen el atenuante de que si fallan pueden terminar afectando la vida de las
personas que son parte de los procesos, el debido ingreso a las instalaciones, el ingreso
a los centros de datos, a los sitios de procesamiento de la información, deben ser
cuidadosamente cuidados, registrados y monitoreados, si en el centro de datos tenemos
todos nuestros controles adecuados y no cuidamos el acceso físico, un intruso puede
apagar un servidor o un empleado de la limpieza puede apagar todo un centro de datos
accidentalmente, ocasionando fallas en varios servicios, o pueden sustraer un disco
duro, no solo afectando los servicios sino robando información vital para la compañía.
Existen múltiples medidas a implementar los cuidados normales pueden pasar por
el registro y autorización del acceso de las personas a sitios restringidos, pasando por
los debidos cuidados en la parte de suministro de energía eléctrica, ups’s, uso correcto
de sistemas de aire acondicionado, accesos a los centros de cableado, ubicación de los
servidores y equipos de comunicaciones en diferentes rack como medida preventiva,
ubicación geográfica de centros de datos y de sitios de contingencia, evaluación de
situaciones ambientales que puedan afectar los servicios, temas como clima, ubicación
de ríos, edificios sismo resistentes, sistemas de aguas lluvias, aguas negras, etc.
En organizaciones con un número elevado de usuarios, el mantenimiento de las
computadoras asignadas requiere considerar también la compra de modelos que
puedan tener un nivel de seguridad física como un candado que permita el control del
hardware, este control asociado a una herramienta de inventario y monitoreo de
estaciones de trabajo que permita el inventario tanto de software como de hardware,
facilita el seguimiento a cambios no autorizados en el hardware o en el software, lo que
sirve de medida disuasoria para evitar pérdidas constantes en el hardware o
modificaciones que afecten la seguridad de la organización.
El acceso al sistema de arranque de las computadoras de la organización también
debe prevenirse, si un usuario logra ingresar al BIOS de uno de los equipos o iniciar con
74
un Live Cd con alguna herramienta es factible que los controles de seguridad de nuestra
organización no sean efectivos, un usuario sobre una red, pero con un sistema operativo
del cual no tenemos registro ni control puede ser más peligroso que un intruso desde
la calle con un acceso limitado a aplicaciones expuestas públicamente en internet, no se
debe demeritar ninguno de los vectores de riesgo y el ataque interno es uno de los más
usuales en las organizaciones modernas.
En los servidores se deben tener estos mismos controles sobre el acceso física y la
inhabilitación del inicio desde el BIOS, independientemente si el servidor está en la
organización o está en data center de terceros se debe implementar o solicitar que se
expliquen las medidas de acceso físico a los mismos,
Cuando una organización depende de servicios en la nube o sus servicios de comercio
electrónico son el core de la organización, debe contar con enlaces de contingencia para
el acceso a internet, no solo con diferentes proveedores sino llegando en lo posible a
dispositivos de comunicaciones independientes, para no generar puntos únicos de falla
en los servicios, esta característica se debe implementar en lo posible en todos los
servicios core del negocio.
3.5 Ejemplos
Como ejemplos para este capítulo se puede observar la implementación del
protocolo de seguridad TLS/SSL sobre la mayoría de los sitios web de manera tal que
surgió la iniciativa HTTPS Everywhere, en donde por medio de plugins o extensiones
sobre los navegadores se garantiza que el tráfico entre el servidor y el cliente vaya
debidamente cifrado mediante el uso de certificados, esto claro esta para aquellos sitios
que no lo posean de manera natural.
75
Otro ejemplo es la utilización de clientes VPN Clientless, que es básicamente la
utilización de conexiones cifradas a recursos corporativos sobre canales de internet sin
la utilización de un cliente, este cliente de manera regular requiere la instalación y
configuración de un software con determinada parametrización, con esta modalidad,
básicamente el usuario cargo una página web (TLS/SSL) y en ella hace su proceso de
autenticación quedando conectado de manera segura a los recursos de la organización.
3.6 Reflexiones
La utilización de protocolos de seguridad debe estar justificado en las políticas de
seguridad respectivas, los servicios que deben tener controles especiales de seguridad
deben estar claramente identificados, monitoreados y obedecer a los objetivos de la
organización
Los conceptos asociados a la seguridad en profundidad deben ser revisados para
que cumplan los lineamientos del concepto, no se trata de acumular varias soluciones
de seguridad para puntos de riesgos común, sino de hacer inversiones en seguridad
justificadas y que estas le aporten valor al negocio
3.7 Conclusiones
Uno de los activos más importantes es la información, su protección demanda de las
organizaciones el establecimiento de políticas de seguridad adecuadas a la gestión que
con esa información se realiza, para poder materializar estas políticas se deben aplicar
herramientas que utilizan a su vez protocolos de seguridad, todo este escenario debe
ser correctamente comprendido para optimizar la relación entre los componentes.
La aplicación correcta de técnicas de protección como la de defensa en profundidad
requiere el correcto uso de las herramientas y la comprensión de los controles de
76
seguridad involucrados en la protección de los activos de la información con el objetivo
de optimizar el uso de los recursos y maximizar la aplicación del concepto.
77
Capítulo IV
Dia
gnó
stic
o y
Pro
spe
ctiv
a d
e
TIC
Aseguramiento de las Comunicaciones
Funcionamiento del Protocolo TCP/IP
Seguridad en Redes Privadas Virtuales - VPN
Protocolo IPSec
Protocolos SSl, TTL y SSH
Ejemplos
Reflexiones
Conclusiones
Diagnóstico y Prospectiva de TIC
78
79
Capítulo 4: Diagnóstico y Prospectiva
de TIC
En este capítulo, se tratará el tema de aseguramiento de las comunicaciones, en
términos generales el proceso de aseguramiento de las comunicaciones lleva implícito
el detalle técnico del set de protocolos TCP/IP que es base en la comunicación en
Internet y la herramienta de seguridad por excelencia para el control del tráfico entre
redes en el firewall, el control que se realiza parte de la estructura de la revisión y
autorización del trafico basado en el comportamiento de los protocolos de este set,
luego de ello se trabajara con las soluciones de detección y prevención de intrusos que
nos ayudan a controlar lo que pasa en nuestras redes, más allá del tradicional control
del firewall y por ultimo trataremos el tema de las vulnerabilidades que están implícitas
en todos los niveles de la comunicación, desde los diferentes protocolos, los servicios
que soportan, y las aplicaciones que hacen uso de ellos.
Este capítulo contempla las bases técnicas y las principales herramientas de control
de acceso a las redes, y da las bases para la comprensión de las funcionalidades y
beneficios de las herramientas de seguridad y conceptos que se tratan en este y en los
capítulos siguientes.
80
4.1 Aseguramiento de las comunicaciones
El proceso de transporte o comunicación entre los sistemas de la información con
fines de procesamiento, almacenamiento y/o consulta apalancados en la
popularización y los grandes beneficios de las redes de datos, generan múltiples y
nuevas amenazas a la confidencialidad, integridad y disponibilidad de la información,
por lo que es necesario revisar las bases del proceso de comunicación con el fin de
entender su funcionamiento y comprender como mitigar los riesgos a los que se ve
expuesta en estos procesos.
4.2 Funcionamiento del protocolo TCP/IP
El set de protocolos TCP/IP versión 4, Transport Control Protocol / Internet
Protocol, es un realidad un conjunto amplio de protocolos dividido en cuatro capas, tal
como el lector observo en las ilustraciones 3 y 4 del capítulo uno, las capas de red,
internet, transporte y aplicación, y en cada una de las capas encontramos varios
protocolos que permiten el transporte de la data y que sirve de enlace entre la capa
anterior y la siguiente, el objetivo de esta parte es revisar el detalle del funcionamiento
de los protocolos más significativos en este proceso, en razón a ello vamos a revisar de
la capa de transporte como se realiza la comunicación de la data a través de los procesos
de Three Way Handshake y Four Way Handshake, para ello hay que mencionar que el
proceso de comunicación se puede realizar con dos orientaciones, orientado a conexión
y no orientado a conexión, el protocolo TCP es orientado a conexión, y el protocolo UDP
es no orientado a conexión.
Para revisar cómo se dan los procesos de TWH y FWH y con el fin de entender cómo
se articula todo el proceso de transferencia de comunicación entre los elementos más
importantes de los diferentes protocolos de las diferentes capas es importante conocer
los headers o encabezados de los protocolos TCP, IP, UDP e ICMP, este conocimiento
nos dará la información necesaria para comprender la complejidad técnica del proceso
81
de intercomunicación entre protocolos y para entender como las vulnerabilidades y las
amenazas generan los riesgos que debemos tener en cuenta para la definición de los
controles en cada una de las etapas.
Ilustración 1: TCP Header
Tomada de: https://nmap.org/book/tcpip-ref.html
Dado que TCP “Transport Control Protocol” es un protocolo orientado a conexión,
sus funciones más importantes son garantizar siempre basados en el mejor esfuerzo
que la data se entregue sin errores, y en la secuencia correcta en razón a ello algunos
de sus campos más importantes son, puerto origen “Source Port” y puerto destino
“Destination Port” que le permiten determinar el puerto origen y el puerto destino de
la comunicación, numero de secuencia “Sequence Number”, que le permite ordenar los
paquetes que gestiona, y solicitar la retransmisión de los paquetes que se pierdan de
ser el caso, número de acuse de recibo “acknowledgment number” indica el número de
82
secuencia del paquete que espera recibir al tiempo que confirma que el anterior se
recibió, banderas TCP “TCP Flags” ayudan a establecer condiciones especiales dentro
del paquete son “U” Urgent, “A” Ack, “P” Push, “R” Reset, “S” Syn, “F” Fin, “CRW”
Congestion Windows Reduce y “ECN” Echo aparecen reservadas, Suma de verificación
“Checksum” aquí se aplican algoritmos con el fin de cerciorar la integridad del paquete
de datos que se recibe, Urgente “Urgent” indica que el paquete tiene prioridad sobre los
demás
Ilustración 2: IP Header
Tomada de: https://nmap.org/book/tcpip-ref.html
Para el encabezado IP algunos de los campos más representativos son los siguientes:
Versión “versión” indica que el paquete es IPV4, tiempo de vida “Time to Live” contador
que disminuye en uno cada vez que el paquete pasa por un host y que cuando llega a 0,
83
genera que el paquete sea descartado, Protocolo “Protocol” indica que protocolo de alto
nivel es el que creo el contenido, código verificador de la cabecera “header checksum”
valor calculado por el host y que se calcula nuevamente al recibir el paquete para
garantizar su integridad, dirección de origen “source IP Address” dirección IP de origen
del paquete de datos, dirección IP destino “Destination IP Address” dirección IP de
destino del paquete, Longitud Total “Total Length” en este campo se indica la longitud
total del datagrama que no puede exceder 65535 bytes, este campo genera una
condición de seguridad que es la fragmentación cuando el campo contiene más data de
la permitida se habilita fragmentación del paquete que indica que la data viene en
varios paquetes de datos y que tiene varias amenazas conocidas sobre el protocolo.
Ilustración 3: UDP Header
Tomada de: https://nmap.org/book/tcpip-ref.html
User Datagram Protocol (UDP), es un protocolo de la capa de transporte no orientado
a conexión, solo usa el puerto para referir la data a la aplicación correspondiente, sus
campos más representativos son:
Puerto de Origen “Source port” indica el puerto usado por host que envía la
comunicación, puerto destino “Destination Port” indica el puerto de destino de la
comunicación, longitud “Length” indica la longitud total del paquete, Código de
84
verificación “Checksum” valor calculado por el host y que se calcula nuevamente al
recibir el paquete para garantizar su integridad.
Ilustración 4: ICMP Header
Tomada de: https://nmap.org/book/tcpip-ref.html
Para el protocolo ICMP “Internet Control Message Control” que es uno de los
protocolos más usados para las pruebas de conectividad entre redes y uno de los
protocolos que más información nos puede brindar si lo sabemos usar, con el uso de la
función ping que lo usa, los campos más comunes de su encabezado son: Tipo “type”
especifica el tipo de mensaje, Codigo “code” permite que se precise el motivo por el cual
el destino no es alcanzable, es decir cuando el tipo de mensaje es tres (3), código de
verificación “Checksum” valor calculado por el host y que se calcula nuevamente al
recibir el paquete para garantizar su integridad.
Con el fin de poder identificar los procesos que debe recibir los datos, con el
protocolo de TCP se definió el campo de puerto, que es un enero de 16 bits es decir
85
existen 65536 puertos, creado como un identificador que permite a los protocolos entre
nodos identificar los protocolos de alto nivel que envían y reciben la data, los puertos
fueron definidos por la IANA “Internet Assigned Numbers Authority” y se reservaron
los primeros 1023 que se conocen como puertos reservados para servicios claramente
identificados y del 49152 al 65535 son definidos como dinámicos o privados.
4.2.1 TWH El procedimiento de establecimiento de conexión (TCP) se conoce como Three Way
Handshake, o proceso de establecimiento de conexión de tres vías, y se efectúa siempre
que dos hosts establecen comunicación mediante TCP.
Ilustración 5: TCP THW
Tomada de: https://commons.wikimedia.org/wiki/File:Tcp-handshake.png
En la ilustración cinco (5) se observa gráficamente el proceso, el cliente que genera
la solicitud de conexión envía un paquete con la bandera Syn, el servidor envía un
paquete Syn, más el Ack de confirmación del paquete que había enviado el cliente,
posteriormente el cliente envía al servidor un paquete con la bandera Ack, y luego de
que la conexión está establecida, envía la data, este proceso se puede evidenciar
claramente con un analizador de tráfico, filtrando el tráfico como se observa en la
imagen siguiente
86
Ilustración 6: Ejemplo TCP TWH
Larrahondo, A. (2017) Elaboración modulo virtual Seguridad en Redes Telemáticas
En la ilustración seis (6) observamos una captura de tráfico en donde se observa
claramente el proceso de TWH, entre la estación 192.168.15.163 y el servidor
72.21.81.200, proceso que termina exitosamente y que continua con el uso del
protocolo TLS V 1.2.
4.2.2 FWH
El procedimiento de terminación normal de conexión TCP se conoce con el nombre
de FWH Four Way Handshake
Ilustración 7: TCP FWH
Tomado de: http://c-kurity.blogspot.com
Para este proceso el host que desea terminar normalmente la conexión envía un paquete
con las banderas FIN/ACK, el host envía un ACK de que recibió la petición y acto seguido envía
87
un paquete con las banderas FIN/ACK confirmando la propuesta de cerrar normalmente la
conexión, en respuesta a ello el host que inicio la petición envía un ACK y con ello se da por
cerrada la conexión.
Ilustración 8: Ejemplo TCP FWH
Larrahondo, A. (2017) Elaboración modulo virtual Seguridad en Redes Telemáticas
En la ilustración ocho (8) se puede observar un ejemplo de TCP FWH, en los
paquetes 9479, 9483, 9484, y 9488, se observa que el host que desea terminar
normalmente la conexión 192.168.15.163 envía un paquete con las banderas FIN y ACK
al servidor 23.32.202.208, luego el servidor envía un ACK de que recibió este paquete y
acto seguido el servidor envía al cliente un paquete con las banderas FIN y ACK al
cliente, quien responde con un ACK y se da por terminada normalmente la conexión.
4.3 Seguridad en Redes Privadas Virtuales VPN
La disponibilidad de servicios para empleados y/o terceros como contratistas es una
necesidad a cubrir hoy en día para las organizaciones, la confidencialidad de la
información es muy importante, al determinar publicar servicios o dejarlos disponibles
sobre internet la seguridad es una cuestión primordial, para facilitar tanto el consumo
de servicios de la organización en condiciones seguras, se utiliza el concepto de VPN
“Virtual Private Network” o red privada virtual, este concepto es básicamente proveer
un acceso público cifrado por medio del cual se puedan consumir los servicios de una
organización a través de internet.
88
Su funcionamiento es simple, el cliente a través de internet usa un software o no para
conectarse de manera segura a los servicios, estableciendo un túnel por donde la
información viaja de manera cifrada garantizando que a pesar que viaje por Internet
viaja de manera segura.
Ilustración 9: Grafico conceptual de una VPN
Tomada de: https://www.techhive.com/article/3158192/privacy/howand-whyyou-should-
use-a-vpn-any-time-you-hop-on-the-internet.html
La ilustración nueve (9) muestra una laptop usando el túnel cifrado a través de una
conexión publica para consumir un recurso de manera segura a través de Internet. La
conexión se puede establecer con un software, lo que implica el descargue, la
configuración y el uso de un aplicativo para establecer esta comunicación, o se puede
usar un portal web, estos servicios suelen llamarse clientless lo que permite mayor
flexibilidad para el usuario final, ya que no debe instalar ni configurar ninguna software
adicional, únicamente recordar la URL de un sitio web público y obviamente las
credenciales de uso, para muchas de estas soluciones se recomienda el uso de doble
89
factor de autenticación, como un token de hardware, o en soluciones más recientes, el
envió de un código a un número de celular o a un correo corporativo que el usuario
pude consultar por vía web, o por vía teléfono celular, el esquema a seleccionar
dependerá de la complejidad de seguridad que se quiera a utilizar, que debería ser
proporcional a la sensibilidad o criticidad de los servicios a consumir.
Los protocolos utilizados para este tipo de servicios son IPSec y en el caso de los
clientless se utiliza https, combinado con soluciones de doble factor de autenticación
que permiten garantizar la autenticidad del usuario que está requiriendo el servicio.
4.4 Protocolo IPSec
IPSec “Internet Protocol Security” es un realidad un conjunto de protocolos que
aseguran el protocolo IP autenticando y cifrando cada paquete IP del flujo de datos,
usando funciones de criptografía, este protocolo actúa sobre la capa de red del modelo
de referencia OSI, lo que hace muy flexible ya que puede proteger los protocolos de la
capa cuatro (UDP, TCP entre otros) sin realizar cambios a nivel de las aplicaciones,
contrario a protocolos que operan en otras capas como https o TLS que implican
cambios en los aplicativos para ponerlos a funcionar. Para garantizar la compatibilidad
definió que se dejan soportar algoritmos de cifrado como DES y 3DES y MD5 y SHA-1
como funciones de hash.
Dentro de IPSec podemos identificar varios componentes importantes como son IP
Authentication Header (AH) e IP Encapsulating Security Payload (ESP) que son
protocolos de seguridad e Internet Key Exchange (IKE) que es un protocolo de gestión
que permite negociar las claves junto con los parámetros requeridos con el fin de
establecer la conexión.
90
Ilustración 10: Funcionamiento Protocolo AH
Tomada de: http://www.frlp.utn.edu.ar/materias/internetworking/apuntes/IPSec/ipsec.pdf
Tal como se observa en la ilustración diez (10), el emisor hace calcula una pequeña
cadena de caracteres llamada extracto, basado en la información original aplicando un
algoritmo de hash, este extracto se copia en uno de los campos de la cabecera AH, el
receptor recibe el mensaje y vuelve y aplica el algoritmo de hash y el extracto resultante
lo compara con el que recibió, si son iguales se tiene la seguridad de que la información
no fue alterada durante el transporte
91
Ilustración 11: Funcionamiento Protocolo ESP
Tomada de: http://www.frlp.utn.edu.ar/materias/internetworking/apuntes/IPSec/ipsec.pdf
En la ilustración once (11) observamos el funcionamiento del algoritmo ESP, el
emisor toma el mensaje original y lo cifra con un algoritmo criptográfico utilizando una
clave, y añade esta información cifrada como los datos del paquete, el receptor toma el
mensaje cifrado y con el algoritmo criptográfico y la clave lo descifra, como es claro del
proceso la seguridad radica en la clave y en su distribución entre emisor y receptor
IPSec permite dos modos, modo túnel y modo transporte, el protocolo IKE hace las
veces de protocolo de control y se encarga de especificar la lógica con la que se establece
la comunicación, su principal función es establecer la conexión cifrada y autenticada
entre los dos extremos, de manera práctica se suele realizar con una clave pre
compartida que se usa para iniciar el proceso de conexión luego usando los mismos
conjuntos de protocolos y de longitud de las llaves de los mismos de manera automática
se genera el resto del proceso, cuando la tarea es establecer enlaces entre muchos
nodos, ya no se puede realizar usando claves pre-compartidas, porque la complejidad
de la tarea lo hace imposible de administrar, aquí se usa IPSec apoyados con una PKI
(Public Key Infraestructure) Infraestructura de llave pública.
92
4.5 Protocolo SSL, TLS y SSH
El protocolo SSL Secure Socket Layer fue desarrollado por Netscape para
proporcionar privacidad e integridad en las conexiones entre os clientes y los
servidores web, el funcionamiento general de este protocolo es el siguiente
Ilustración 12: Funcionamiento Protocolo SSL
Tomada de: https://publib.boulder.ibm.com/tividd/td/TRM/SC23-4822-
00/es_ES/HTML/user277.htm
93
Como se observa en la ilustración doce (12) una vez se establece la conexión cifrada,
todo el tráfico queda protegido ante amenazas de confidencialidad e integridad, algunos
navegadores ponen en verde la barra de dirección del sitio web para facilitar que el
usuario identifique que la conexión se estableció de manera segura
El protocolo TLS Transport Layer Security nace con la versión 1.0 en el RFC 2246
siendo una actualización de SSL versión 3.0, por lo que se puede usar indiferentemente
los nombres SSL/TLS sin embargo técnicamente TLS es la evolución de SSL, la IEFT
deprecio las versiones de SSL 2.0 y 3.0 en 2011 y en 2015 respectivamente, se añade
seguridad con la utilización de TLS sobre otros protocolos que no son seguros por
definición, por ejemplo sobre HTTP lo convierte en HTTPS, SSH también lo utiliza,
NNTP, POP3, IMAP4 y SMTP pueden operar de manera segura haciendo uso de TLS.
En cuanto al protocolo SSH Secure Shell que se utiliza para realizar conexiones
administrativas a servidores de manera segura, en reemplazo de otros protocolos como
Telnet o FTP que transmiten sus datos e texto claro, y que al ser labores administrativas
permitían que un intruso se quedara con las credenciales de acceso administrativos a
los servidores y a sus servicios.
Ilustración 13: Funcionamiento Protocolo SSH
Tomada de: https://pressroom.hostalia.com/white-papers/configurar-protocolo-ssh
94
En la ilustración trece (13) observamos el proceso de establecimiento de conexión
usando SSH y su intercambio de llaves
4.6 Ejemplos
Como ejemplos de la importancia del aseguramiento de las comunicaciones
podemos mencionar la necesidad de cifrar el tráfico entre el cliente y los servidores que
proveen los servicios, para el caso del protocolo HTTPS, que usa a TLS/SSL como
protocolo de seguridad para cifrar la información, cualquiera de las páginas web que
cuente con un servicio en donde la seguridad de la información sea un elemento que
considerar, deberá tener implementado su página de manera segura.
En esta misma línea y teniendo como ejemplo el cifrado de las páginas web, las
conexiones a redes privadas virtuales (VPN) que se realizan sobre internet, hacen uso
de IPSec y de TLS/SSL con el fin de asegurar el cifrado de la información que es
transmitida por medio de estos circuitos virtuales, las técnicas de cifrado son las
técnicas de mayor uso en los procesos de aseguramiento de las comunicaciones,
impulsadas por políticas como el teletrabajo y la necesidad de dar acceso seguro a los
recursos empresariales a los clientes internos
4.7 Reflexiones
Una de las líneas más importantes en la defensa de la seguridad de la información es
el proceso de aseguramiento de las comunicaciones, la implementación exitosa de
servicios sobre esta base, se realiza haciendo uso de los protocolos de seguridad, aun
así, la última línea de defensa es el usuario quien debe utilizar de manera segura y
responsable estos servicios.
95
La posibilidad de realizar el uso de servicios sin cifrar o haciendo uso de versión con
cifrados obsoletos es una de las fallas más recurrentes en las organizaciones, el uso de
servicios debe realizarse siempre con las últimas versiones de los mismos, con las
opciones de cifrado y con las más recientes características de seguridad habilitadas con
el fin de garantizar la seguridad de los mismos.
4.8 Conclusiones
La comprensión de los aspectos técnicos de los procesos de comunicaciones y en
especial del funcionamiento del set de protocolo TCP/IP sentara bases vitales para
comprender el detalle de su funcionamiento y entender como las soluciones técnicas
apoyan los objetivos de la seguridad de la información definidos por la organización, la
correcta apropiación e interiorización de estos conceptos ayudaran al lector a entender
la complejidad técnica subyacente en los procesos de implementación de las soluciones
técnicas y en valorar las funcionalidades que cada herramienta puede aportar al
proceso general de la seguridad.
Las comunicaciones entre los clientes y los servidores que proveen los diferentes
servicios a través de los canales de comunicación, tanto internos como sobre Internet
deben hacerse haciendo uso de las mejores condiciones de seguridad y aprovechando
los protocolos definidos para facilitar estas comunicaciones, no hay que correr riesgos
en cuanto a los niveles de protección de la información.
La utilización de protocolos seguros para garantizar la seguridad de la información en
tránsito por nuestras redes es una obligatoriedad para garantizar el mínimo necesario
de información, la utilización de mecanismos adicionales como autenticación de doble
factor y el uso de biometría, ayudan a blindar los procesos de autenticación y
verificación de usuarios, el acceso a través de internet de manera fácil y segura a los
96
recursos empresariales es indispensable para varios de los actores de una organización
moderna y es un servicio que deben brindar los departamentos de IT.
97
Capítulo V
Fire
wal
l e ID
S/IP
S Firewall
IDS/IPS
Ejemplos
Reflexiones
Conclusiones
Firewall e IDS/IPS
98
99
Capítulo 5: Firewall e IDS/IPS
Las herramientas técnicas de control de seguridad tienen dos de sus estrellas en el
firewall y en las soluciones de IDS/IPS, el lector debe conocer estar soluciones, entender
su aplicabilidad como medidas técnicas para la mitigación de amenazas, y sus
principales características con el fin de poder sugerir soluciones de este tipo en las
organizaciones.
5.1 Firewall
Un firewall es un dispositivo de software que permite controlar tráfico entre redes,
se menciona que es un dispositivo de software porque varias soluciones (incluyendo
algunas comerciales) permiten que se instale el firewall en equipo de cómputo que no
fabrica el mismo fabricante o desarrollador del software, algunos otros fabricantes
venden el paquete completo, el hardware junto con el software, esta dualidad de
productos les permite optimizar el software para un hardware en particular con el fin
de conseguir mejor rendimiento en sus soluciones.
5.1.1 Arquitectura y Clasificación
La necesidad de proteger la información ha hecho evolucionar a las herramientas
que cumplen esta función, el firewall como dispositivo de protección de redes ha
evolucionado tanto en sus funcionalidades como en los modelos de arquitectura en las
cuales se instala, un firewall es básicamente un dispositivo que funciona en las capas de
internet y de transporte del modelo TCP/IP y controla el acceso a las redes basado en
reglas que permiten o que niegan el acceso basado en las direcciones IP origen o destino
y en los protocolos origen y destino, parte de este control se puede realizar sobre los
dispositivos de enrutamiento por medio de ACL’s “Listas de Control de Acceso” sin
100
embargo la necesidad de un equipo independiente que realiza estas funciones de
manera más eficiente ha sido la razón de ser de grandes fabricantes que han
evolucionado sus productos para mantenerlos vigentes y cubrir las necesidades de
seguridad de las organizaciones modernas.
Los primeros firewalls básicamente realizaban su trabajo con la filosofía de filtrar los
paquetes de acuerdo con las reglas definidas, los paquetes que cumplían con alguna de
las reglas eran permitidos y los demás eran descartados.
Ilustración 14: Arquitecturas usuales de Firewalls
Tomada de: http://searchsecurity.techtarget.com/tip/Choosing-the-right-firewall-topology-
Bastion-host-screened-subnet-or-dual-firewalls
En la ilustración catorce (14) se observan las arquitecturas usuales de firewall, en la
A, Bastion Host, el firewall sirve para controlar el tráfico entre internet y la intranet, en
la B Screened Subnet ya existe el concepto de zona desmilitarizada, en donde se ubican
101
los servidores que tienen algún servicio expuesto sobre internet, en C Dual Firewall ya
tenemos el concepto de doble firewall y en medio de ellos la DMZ lo que ayuda a
reforzar la seguridad del esquema dado que un intruso para llegar a la red interna debe
pasar por esta doble barrera de firewall, el firewall de la red interna debe tener zonas
separadas para granjas de servidores internos, bases de datos y zonas para usuarios de
los servicios lo que ayuda a incrementar los controles, pero aumenta el tema de la
administración.
La posibilidad de tener más de un firewall es muy interesante, pero tenía
implicaciones de costos y de administración bastante complejas, sin embargo dentro de
las evoluciones de los firewall, la posibilidad de definir firewall virtuales es una
característica ya soportada por los principales fabricantes de soluciones de firewall, con
ello, usando la misma infraestructura física se pueden usar dos, tres y más firewall
virtuales, suficientes para cubrir las necesidades de seguridad de grandes
organizaciones y generar arquitecturas más complejas de protección de las redes.
5.1.2 Tipos de Firewall
Al ser las soluciones de firewall un punto crítico de control de seguridad, usualmente
se suelen instalar en alta disponibilidad, es decir en lugar de un solo appliance, se suelen
comprar dos e instalarlos de manera tal que, si uno de ellos tiene algún fallo físico, el
otro pueda asumir todas las reglas y servicios que tenía inicialmente configurados la
solución, esto con el fin de garantizar la disponibilidad de la solución.
Aunadas a estas características, los fabricantes de firewall ya incluyen con sus
soluciones servicios como proxy de navegación web, firewall de aplicaciones web “Web
Application Firewall”, servicio de IDS/IPS, sandbox o soluciones de análisis de
amenazas basados en análisis de comportamiento de malware sobre varios sistemas
102
operativos “virtualizados para este análisis”, además de esto las soluciones son capaces
de abrir y revisar el tráfico para hacer un análisis más profundo
Todas estas nuevas funcionalidades incluidas en las soluciones de firewall modernas,
las hacen soluciones multipropósito, las funcionalidades añadidas están basadas en las
capacidades de la solución de realizarlas basados en que tiene el tráfico y la capacidad
para realizar el análisis, sin embargo hay una discusión acerca de la efectividad de estas
funcionalidades añadidas, dado que no son la especialidad de los fabricantes de firewall,
sin embargo han añadido socios de negocio o comprado compañías especializadas en
este tipo de soluciones para poderlas incluir
Los firewall’s de nueva generación NGFW han evolucionado de os firewalls
tradicionales, el control de acceso a las aplicaciones de manera tradicional basados en
direcciones y en puertos ya no es un control efectivo para la multiplicidad de
aplicaciones, los controles de acceso a los recursos deben estar asociadas a las
necesidades del negocio y con la digitalización de la sociedad y la necesidad de que
nuestros clientes y usuarios accedan a nuestros servicios a través de múltiples
plataformas generan la necesidad de cambiar la filosófica de control tradicional y
utilizar herramientas que nos ayuden a generar políticas de seguridad en donde la
prioridad sea las actividades claves del negocio.
Los NGFW tienen entre sus características la posibilidad de identificar la data
generada por aplicaciones y clasificarla para permitir el acceso o la negación del tráfico
por aplicaciones, teniendo en cuenta que hoy en día una aplicación puede tener un
cliente de escritorio y uno diferente para celulares y/o tabletas, esto facilita dar
permisos por aplicaciones y grupos de usuarios que las utilizan, independientemente
del dispositivo con el que se realice la gestión, la posibilidad de que un usuario use SSL
o SSH para encapsular y cifrar el tráfico de cualquier aplicación y vulnerar los controles
103
de seguridad, genera que los firewalls tenga la necesidad de revisar el tráfico que pasa
cifrado por la red.
La integración de las soluciones de firewalls con repositorios de autenticación
empresarial como directorio activo de Microsoft perite la gestión de identidad de
usuarios de manera centralizada y asociar esta identidad a las aplicaciones que tiene
autorizadas, esta característica es mucho mejor que solo realizar controles por
direcciones IP y por los puertos que usan las aplicaciones.
Ilustración 15: Cuadrante Gartner Firewall’s Multifuncionales
104
Tomada de: http://searchsecurity.techtarget.com/tip/Choosing-the-right-firewall-topology-
Bastion-host-screened-subnet-or-dual-firewalls
En la ilustración quince (15) observamos el cuadrante mágico de Gartner para
soluciones de firewall multipropósito, se observa dos fabricantes Fortinet y Checkpoint
en el cuadrante de líderes en este tipo de soluciones
Como parte del proceso de evolución de los firewall’s, las consolas de administración
tienen versiones web, con componentes gráficos que facilitan la interpretación de la
información más relevantes de sus múltiples componentes y con multitud de informe
predefinidos y herramientas que fácilmente permiten el ajuste de los mismos a las
necesidades de la empresa, al igual que herramientas que permiten el análisis de una
cantidad cada vez más crecientes de logs con eventos que requieren la alerta de los
administradores de las herramientas, adicional a estas características, la posibilidad de
implementar de manera virtualizada varios firewall’s complementan estas
características.
Los firewall’s de aplicaciones web WAF son una variante de firewall que surgió con
el propósito de proteger las aplicaciones web, estos firewall, realizan un proceso de
aprendizaje por algunas semanas, luego de ello sugieren la aplicaciones de ciertos
controles basados en el tráfico que analizaron en su modo de aprendizaje y en las
características técnicas de la aplicación, una vez se aplican estos controles el WAF
notifica y bloquea y/o alerta cuando existe un comportamiento inusual del tráfico que
pasa para la aplicación.
5.1.3 Implementación de Firewall
La implementación de firewall como soluciones de seguridad debe realizarse
basados en las condiciones de la red de la entidad, la presunción más simple es usarlo
105
el firewall en modo bastión, dadas las múltiples capacidades de las soluciones
modernas como vimos anteriormente usarlo solo como bastión implica desaprovechar
muchas de las características de las soluciones modernas, para utilizar estas nuevas
funcionalidades la arquitectura más adecuadas para la mayoría de los casos es
implementarlo como dual firewall “ver ilustración catorce (14)”, en donde se deja una
DMZ protegida por un primer firewall y se tiene un segundo firewall protegiendo el
resto de la infraestructura, en donde se sugiere colocar separados por VLAN’s los demás
segmentos de la red interna con el fin de dejarlos doblemente protegidos, se puede
también sugerir que se implementen soluciones de diferentes fabricantes, lo que mitiga
el riesgo de las amenazas asociadas a las vulnerabilidades de un solo fabricante, pero
esto implicaría costos más elevados y labores de administración sobre diferentes
plataformas lo que genera mayor complejidad.
Ilustración 16: Diseño genérico implementación de firewall
Larrahondo, A. (2017). Elaboración modulo virtual Seguridad en Redes Telemáticas
En la ilustración dieciséis (16), el lector puede observar la propuesta genérica de una
solución de doble firewall, en el firewall perimetral se deja conectado el router que nos
106
trae el servicio de Internet, y se declara una vlan para la DMZ en donde se dejan los
servidores con servicios accesibles a través de internet que son públicos.
En el Firewall de core o interno, se deja el acceso de las redes de sucursales a través
de MPLS “Multiprotocol Label Switching” o enlaces dedicados que entrega el proveedor
generalmente sobre el mismo router, y las vlan internas que considere la organización,
incluyendo una vlan de servidores internos, una vlan para impresoras, vlan para voz IP,
vlan para cámaras y uno o varias vlan para la zona LAN que correspondería a los
usuarios de las áreas, este nivel de segregación permite un control muy estricto de los
servicios que se protegen en cada vlan.
La idea de dejar vlan para servicios como VoIP o cámaras, es para separar estos
tráficos y poder realizar controles más estrictos o general reglas de calidad de servicio
tal como las necesarias para garantizar que el tráfico de VoIP tenga la prioridad
necesaria para garantizar que el servicio funcione de manera correcta y no se presente
robotización o retrasos en el servicio que perjudiquen su calidad.
5.2 IDS/IPS
Las soluciones de IDS/IPS “Intrusion Detection System e Intrusion Prevention
System” o sistema de detección de Intrusos y sistema de prevención de intrusos, son
soluciones de seguridad avanzada en redes, revisaremos algunos conceptos, uno de
ellos es intrusión, una intrusión es básicamente un acceso ilícito a un sistema,
generalmente los métodos utilizados son ilegales a la luz de leyes como la ley de delitos
informáticos de Colombia y leyes similares en varios países, una detección de intrusión
entonces será técnicamente cualquier método que nos habilite para describir y/o
evidenciar si alguien ha penetrado o intentado realizar una intrusión en nuestra red,
servidores o servicios.
107
5.2.1 Tipos y características
Un IDS/IPS es un dispositivo o grupo de dispositivos que buscan patrones específicos
de tráfico en la red con el propósito de detectar intentos no autorizados de acceso, la
diferencia básicamente entre un IDS y un IPS es que el IPS está dotado de características
adicionales que le permite tomar acciones ante las intrusiones detectadas permitiendo
una reacción proactivo deteniendo los ataques o intrusiones antes de que sean exitosas,
mientas que el IDS solo las reporta y las acciones se toman basados en el análisis de sus
reportes y/o alertas.
Ilustración 17: Topología IDS/IPS en linea
Tomada de: https://www.pcihispano.com/controles-tecnicos-de-pci-dss-parte-v-sistemas-
de-deteccionprevencion-de-intrusiones-idsips
En la ilustración diecisiete (17) el lector puede observar la topología general para la
ubicación de una solución de IDS/IPS, en esta topología la solución usualmente se
coloca detrás del firewall, en razón a que el tráfico a revisar ya está depurado con lo que
108
las reglas del firewall autorizan a pasar, si bien la carga de trabajo es alta analizando
esta cantidad de tráfico es menor que colocando el IDS/IPS en frente del firewall.
En esta posición el IDS/IPS claramente está en modo activo ya que por el pasa todo
el tráfico una vez filtrado inicialmente lo que permite que se monitoree de forma más
eficiente y se tomen acciones directas sobre los hallazgos del monitoreo
Ilustración 18: Topología IDS/IPS en modo pasivo
Tomada de: https://www.pcihispano.com/controles-tecnicos-de-pci-dss-parte-v-sistemas-
de-deteccionprevencion-de-intrusiones-idsips/
En la ilustración dieciocho (18) el lector puede observar la topología de IDS/IPS en
modo pasivo, en este modo el tráfico que debe revisar la solución debe ser “copiado”
por medio de un puerto espejo a la interface en la cual este escuchando la solución, en
esta topología las acciones reactivas deben ser cuidadosamente4 planificadas uy
probadas con el fin de evidenciar que efectivamente cumplan con los requerimientos
109
5.2.2 Componentes de los IDS/IPS
El referente más importante para este tipo de soluciones es Snort, este proyecto que
está en http://www.snort.org fue lanzado en el año 1998, está basado en la librería
libpcap que es una interfaz para la captura de paquetes que se creó como parte de la
aplicación tcpdump con la diferencia de que Snort permite revisar el payload del
paquete lo que le permite detectar con rapidez una gran cantidad de tráfico hostil, como
buffer overflows, escaneos de puertos, escaneos e intentos de explotación de
vulnerabilidades entre otros, la solución tiene actualmente más de 400000 usuarios
registrados y más de 4 millones de descargas.
110
Ilustración 19: Componentes Snort
Tomada de:
http://bibing.us.es/proyectos/abreproy/12077/fichero/memoria%252Fpor_capitulos%252F
04.snort.pdf
En la ilustración diecinueve (19) el estudio observa los principales componentes de
Snort, incluyendo la librería DAQ “Data Acquisition” que reemplazo las llamadas
directas a la librería libpcap por una capa abstracta que facilita las consultas de manera
independiente al hardware y al software, los componentes tienen las funciones
siguientes:
Packet Decode Engine: Motor de decodificación de paquetes, esta actividad se realiza
luego que el DAQ envía el paquete al Snort, allí básicamente se almacena toda la
información de cada paquete para su posterior procesamiento.
Preprocesor: Permiten ampliar las funcionalidades de la herramienta mediante
módulos o plugins, sus funciones básicas son generar alertas, y clasificar o descartar los
paquetes antes de enviarlos al motor de detección, los plugins extienden estas
funcionalidades hasta el punto de modificar los paquetes si es necesario
Detection Engine: Motor de detección, es el corazón de la solución y se encarga de
inspeccionar el contenido del paquete, comparando el campo de datos de cada uno con
el conjunto de reglas del IDS, si alguno de los paquetes coincide es enviado al módulo
de output para que se genere la salida en el formato definido
Output: Salida del Snort envía las alertas en el formato establecido en los archivos de
configuración cuando el tráfico coincide con uno de los patrones de las firmas o cuando
un pluging lo solicite.
111
Para algunas otras soluciones los componentes varían, pero en esencia hacen uso de
estos mismos componentes conceptualmente hablando, es conocido además en la
industria que muchos de los fabricantes comerciales de soluciones, lo que hacen es
apropiar partes de las soluciones Open Source, modificarlas o integrarlas en sus
soluciones, por lo que en el fondo su core está basado en estas o en otras soluciones de
open source
5.2.3 Detección de intrusos en la capa de enlace del protocolo 802.11
El estándar 802.11 define las características y por ende el funcionamiento que deben
tener las capas inferiores del modelo OSI (Físico y enlace de red), en específico el
funcionamiento de la WLAN o “Wireless Local Area Network” a la que comúnmente nos
referimos como redes WI-Fi
112
Ilustración 20: Estándares 802.11
Tomada de: http://www.mwrf.com/active-components/what-s-difference-between-ieee-
80211af-and-80211ah
La detección de intrusos en este protocolo o conjunto de protocolos tiene unos retos
especiales desde el tema de seguridad, la flexibilidad y la comodidad de las redes
inalámbricas las hacen extremadamente populares, la facilidad de brindar conexión a
la red a equipos sin la necesidad de tender cableado es una característica muy
importante donde la agilidad en proveer estas conexiones y a veces la imposibilidad
física de acometer obras de infraestructura como en museos, edificios históricos, y otros
son determinantes, sin embargo la consideración de la seguridad es crítica para estas
conexiones dado que la información está viajando por el aire, y literalmente puede ser
accedida por cualquiera en el radio de alcance de la señal lo que incrementa los
problemas de seguridad de manera dramática, en especial para las compañías y/o
usuarios que las usan para conectarse a servicios que requieren garantizar los niveles
de confidencialidad de la información que es la característica de seguridad más
amenazada.
Algunos de los mecanismos de seguridad implementados en las WLAN’s son el
ocultamiento del identificador de la red, el filtrado de direcciones MAC, algoritmos de
cifrado como WAP, WEP y WPA2, otro mecanismo son la implementación de redes
privadas virtuales e implementación de RADIUS entre los más usuales. Sin embargo las
técnicas de vulneración de estas medidas también han evolucionado, por lo que tener
un sistema de detección de intrusos verificando la sanidad del tráfico de este tipo de
redes en muy recomendable, al igual que en las redes cableadas un sistema de detección
de intrusos para redes inalámbricas, basa su funcionamiento en el análisis de tráfico y
su comparación contra los parámetros de las firmas en donde están los ataques ya
conocidos, entre las falencias de los IDS’s de WLAN están que no pueden detectar
ataques desconocidos, las firmas deben ser actualizadas de manera constante.
113
Ilustración 21: Wireless MAC Protocols
Tomada de: bdigital.reduniv.edu.cu/fetch.php? data=1599&type=pdf&id=1604&db=2
Se observa en la ilustración veintiuno (21), se observa la clasificación de los
protocolos MAC “Media Access Control” Control de Acceso al Medio, que básicamente
controlan el acceso de manera aleatoria, con acceso garantizado, y un acceso hibrido,
luego de varias propuestas para 802.11 se implementó DFWMAC Distributed
Foundation Wireless Medium Access Control, que proporciona un mecanismo de
control de acceso al medio de acceso distribuido con un control centralizado opcional
Las soluciones de WIDS además de evaluar el tráfico que recibe de las
vulnerabilidades asociadas a los protocolos normales, además deben fijarse en las
amenazas de seguridad de los protocolos de cifrado utilizados y las del formato y
tramas MAC. Algunas de estas soluciones son Cisco Adaptative Wireless IPS, Fluke
Networks AirMagnet Enterprise, Aruba RFProtect y HP Mobility Security IDS/IPS.
114
5.3 Ejemplos
Como ejemplo de herramientas de seguridad para soluciones de firewall debemos
mencionar la solución incluida en Linux iptables, que es una sencilla solución de filtrado
de paquetes que viene incluido con el kernel de Linux y que algunos proyectos han
ampliado para agregarle interfaces de administración y monitoreo y que se puede
integrar de manera nativa con algunas soluciones de IDS/IPS con el fin de potenciar sus
funcionalidades.
Como segundo ejemplo y dentro de las soluciones de IPS/IDS se puede mencionar a
Snort que es una solución open source para detección de intrusos, esta solución es
desarrollada por SourceFire quien también vende planes comerciales de uso de la
solución y actualizan las reglas de menara constante, esta solución también se puede
integrar con otras para extender su funcionalidad, dentro de la integración de estas
herramientas, Iptables y Snort se pueden integrar con el fin de conseguir que si el Snort
identifica una fuente de ataque, el firewall genere una regla que no acepte ni siquiera la
conexión desde la IP o segmento en donde se detectó el ataque.
5.4 Reflexiones
La utilización de las herramientas de seguridad Firewall e IDS/IPS se pueden
considerar como recursos mínimos de seguridad en una organización, de hecho, las
soluciones de IDS/IPS suelen encontrarse ya integradas con las soluciones de firewall
con el fin de ayudar a controlar la seguridad y a mejorar los procesos de aseguramiento
de las comunicaciones.
El fortalecimiento de la seguridad de las redes con soluciones de IDS/IPS nos ayuda
a monitorear en tiempo real el tráfico y a detectar comportamientos anómalos en la red,
estas herramientas requieren sin embargo supervisión con el fin de que sean efectivas,
115
cualquier implementación de seguridad requiere unos afinamientos y un monitoreo
constante para que sea efectiva.
5.5 Conclusiones
El aseguramiento de las comunicaciones y las redes mediante la utilización de
herramientas de seguridad como firewall e IDS/IPS es una de las primeras barreras a
utilizar en la protección de las comunicaciones y en el control de tráfico entre redes,
estos controles debes quedar bien implementados e integrados para favorecer el
monitoreo y la correcta visibilidad de los eventos de seguridad.
Las herramientas técnicas nos ayudan a mejorar los procesos de seguridad de la
información, sin embargo, el conocimiento de las necesidades del negocio es el factor
más importante que permite determinar como la implementación de estas
herramientas ayudará al negocio a cumplir con sus objetivos estratégicos, en la
selección de herramientas claramente los aspectos técnicos tienen una valoración muy
alta, pero es sin embargo el valor agregado que esta o estas herramientas le pueden
aportar a la organización, es el factor que determinara su utilización dentro de la
misma, dentro de este proceso de evaluación e integración estratégica de las
herramientas con la seguridad de la información de la organización, dentro de estos
procesos de selección es común encontrar que una misma solución que en una
organización es muy buena para otra organización sea pésima.
116
117
Capítulo VI
Vu
lner
abili
dad
esConcepto de
Vulnerabilidad
Tipos de Vulnerabilidades
Herramientas de Análisis de Vulnerabilidades
Organizaciones que Publicas las
Vulnerabilidades
Organizaciones que Publicas las
Vulnerabilidades
Ejemplos
Reflexiones
Conclusiones
Vulnerabilidades
118
119
Capítulo 6: Vulnerabilidades
La dependencia de los servicios soportados por tecnología aumenta cada día más, es
difícil imaginar algún producto o servicio que no tenga un soporte de sistemas de
información y todo lo que esto significa en hardware, software y comunicaciones, esta
misma dependencia genera que la indisponibilidad de estos servicios se convierta en
un factor crítico para los resultados financieros de quien los provee, y también para
quien los utiliza, la vida de las personas puede correr peligro en servicios de
infraestructura critica soportados por sistemas de información, caso servicios públicos,
hospitales, transporte, y otros, entre más sensible sea el servicio seguramente más
componentes tecnológicos tiene su soporte, para contextualizar aún más al lector se
puede asegurar que ningún sistema de información es exento de vulnerabilidades, con
lo cual sistemas de información que controlan desde plantas nucleares hasta un
inofensivo juego para un celular tienen vulnerabilidades, el impacto de su explotación
depende de muchas variables y sus consecuencias también.
6.1 Concepto de Vulnerabilidad
Las diferentes divisiones de seguridad informática, implementan medidas
preventivas y correctivas a través de soluciones técnicas con el fin de detectar, prevenir
o mitigar el impacto generado por la explotación exitosa de una vulnerabilidad, la
definición de vulnerabilidad entonces esta expresada en el contexto de
vulnerabilidades en sistemas de información, podemos decir entonces que una
vulnerabilidad es una falla o debilidad en el diseño, implementación o gestión de un
sistema, que puede ser explotada con el fin de conseguir acceso no autorizado al sistema
o a alguno de sus componentes.
120
Esto implica que en sistemas donde los componentes de software son de diversos
fabricantes, como es el caso de un computador personal, en donde el sistema operativo
puede ser de un fabricante, la suite de herramientas de oficina de otro y que además
tienen diferentes tipos de sistemas de información, el número de vulnerabilidades
tiende a crecer, y un componente puede afectar o exponer a vulnerabilidades a varios
tipos de software diferentes, este caso sería el de los componentes del sistema
operativo, si el sistema operativo tienen una vulnerabilidad, la seguridad de todos los
demás sistemas de información queda automáticamente comprometida.
La explotación exitosa o no de la vulnerabilidad se considera un incidente de
seguridad, si este incidente se puede catalogar como intencional, pasamos a hablar de
un ataque, aquí hay que tener clara la diferencia entre ataque y amenaza, una amenaza
es una acción o hecho que puede inferir o producir un daño sobre un bien o activo y que
son de naturaleza lógicas o físicas, tal como se vio en el capítulo uno numeral 2.2
Amenazas en seguridad de la información.
121
Ilustración 22: Vulnerabilidades
Tomada de: https://nvd.nist.gov/vuln/search/statistics
En la Ilustración 22, el lector puede observar la estadística de las vulnerabilidades
reportadas a la National Vulnerability Database de los Estados Unidos, en donde es
clara la tendencia creciente en el número de vulnerabilidades, el impacto en la
explotación de estas vulnerabilidades es cada vez mayor.
Un ejemplo reciente de una explotación exitosa de una vulnerabilidad que tuvo un
gran impacto, es el caso de Equifax que se considera como el robo de información
crediticia más importante de los últimos años, se comprometió la información de 143
millones de usuarios, dentro de la información comprometida de los usuarios se
encuentran nombres completos, direcciones, números telefónicos, historial crediticio,
números de tarjetas de crédito, fechas de nacimiento, números de seguridad y hasta
números de licencias de conducir de clientes de Estados Unidos, Canadá y Reino Unido.
El robo se realizó mediante la explotación de una vulnerabilidad en su aplicación web
del componente Apache Struts identificada con el CVE-2017-5638 de marzo de 2017
que la Apache Software Fundation parcho el mismo día que se anunció por lo que
podemos concluir que la explotación se debió a no haber instalado las actualizaciones
en el momento adecuado dado que estas estuvieron disponibles desde marzo y el
incidente se desarrolló entre mayo y julio de 2017.
6.2 Tipos de Vulnerabilidades
A continuación, las vulnerabilidades clasificadas por el tipo de sistema al que afecta,
que serían las siguientes:
Vulnerabilidades de Bajo Nivel y Software Malicioso, en este apartado quedan
clasificadas las vulnerabilidades que afectan a los diferentes sistemas operativos y
122
vulnerabilidades como Buffer Overflow y el software malicioso del que se despende
todo el malware conocido hoy en día.
Vulnerabilidades de red, son las vulnerabilidades que afectan los protocolos,
componentes y software de la red.
Vulnerabilidades en aplicaciones Web, al estar buena parte de la información
disponible para consumir vía web, estas vulnerabilidades son las más populares y
comúnmente explotadas, razón para tener especial cuidado con las aplicaciones web
que habilitamos, incluyen SQL injection, Cross Site Scriting, y otras.
Vulnerabilidades de Ingeniería Social, estas vulnerabilidades están asociadas al
elemento humano y a las fallas que se pueden introducir a través de él, como son spam,
phishing y otras.
Existen por supuesto otras clasificaciones de vulnerabilidades o aproximaciones a su
entendimiento, algunas de ellas más académicas y otras más practicas por ejemplo se
pueden intentar clasificar por su impacto a la confidencialidad, integridad y
disponibilidad o atendiendo al vector de acceso de la mismas, a los métodos de
autenticación que abordan o requieren
El FIRST “Forum of Incident Response and Security Teams” https://www.first.org
que nació en 1990 como respuesta a los cambios necesarios en las respuestas a
incidentes y equipos de seguridad, luego de varios de los primeros ataques masivos,
crearon el sistema conocido como CVSS “Common Vulnerability Scoring System” con el
fin de proveer una manera de obtener las principales características de una
vulnerabilidad y producir un indicador numérico que refleje su severidad, este
indicador numérico se puede convertir en una representación cualitativa como bajo,
medio, alto y critica con el fin de ayudar a las organizaciones a priorizar su proceso de
gestión de vulnerabilidades.
123
Ilustración 23: Esquema métricas de vulnerabilidades de CVSS
Tomada de: https://www.first.org/cvss/v1/guide
En la ilustración veintitrés (23) el lector puede observar de manera general como
son establecidas las métricas de vulnerabilidades, el valor se calcula con base en tres
áreas separadas, un grupo base, un grupo temporal y un grupo del entorno, en cada uno
de estos grupos, se usan unos criterios específicos para valorar la vulnerabilidad.
124
6.3 Herramientas de Análisis de Vulnerabilidades
Las herramientas que facilitan el análisis de vulnerabilidades básicamente funcionan
ejecutando los siguientes pasos:
1. Revisar si el host destino está disponible: La primera acción es identificar si el
host objetivo del análisis de vulnerabilidades esta “vivo” o disponible, esta
verificación la realizan con varias tecnologías como pruebas de ICMP con varios
parámetros diferentes, probando la respuesta a servicios ampliamente
conocidos, si el host responde se continua con los demás pasos.
2. Detección de protección de Firewall, la segunda acción es identificar si el host
está protegido por reglas de firewall y permite recopilar más información al
escáner.
3. Escaneo de puertos TCP/UDP, en este paso se ejecutan escaneos de puertos TCP
y UDP para identificar servicios corriendo sobre el host destino.
4. Detección de SO, en este punto el escáner intenta determinar qué sistema
operativo hay en el host basado en la respuesta a los escaners anteriores.
5. Servicio de descubrimiento TCP/UDP, en este paso la herramienta intenta
determinar qué servicios específicos con versiones y fabricante ejecuta el host en
los puertos que respondieron al escaneo.
6. Evaluación de vulnerabilidades basadas en servicios, en este punto el sistema
intenta detectar las vulnerabilidades para los servicios ya identificados,
basándose en sus versiones específicas, esta actividad la realiza de manera no
intrusiva con el fin de no explotar efectivamente la vulnerabilidad y afectar los
servicios.
Dentro del grupo de herramientas existen unas con mayores funcionalidades que
otras, o herramientas que son especializadas en algunos puntos específicos de todo el
proceso, pero en términos generales las herramientas que podemos utilizar para
realizar este trabajo son:
125
NMAP: Herramienta open source multiplataforma disponible en https://nmap.org
especializada en escaneo de puertos, que incluye una interface gráfica de usuario
(zenmap), herramientas de transferencia de datos, redirección y debug (Ncat), un
utilitario de comparación de resultados (Ndiff), un generador de paquetes y
herramienta de análisis de respuestas (Nping) y además cuenta con un motor de
scripting (NSE) que permite al usuario automatizar muchas de las tareas
OpenVAS: Open Vulnerability Assessment System herramienta open source
http://www.openvas.org se autodefine como un framework con varios servicios y
herramientas que ofrecen un comprensible y poderoso escaner y gestor de
vulnerabilidades
126
Ilustración 24: Arquitectura OpenVAS
Tomada de: http://www.openvas.org/about.html
En la ilustración veinticuatro (24) el lector puede observar los principales
componentes de la arquitectura de la solución de OpenVAS, que tiene tres servicios, un
administrador, un manager y un servicio de scanner que es el que se encarga de realizar
los análisis de vulnerabilidades, el cliente usa la herramienta a través de una interface
web desde donde se configura la solución y se entregan los informes y se presentan los
resultados, esta es una solución muy robusta que se puede configurar para atender
varios OpenVAS managers en diferentes puntos de nuestra red.
Existen algunas otras soluciones como Nessus que tiene una versión “home” y una
versión comercial, fabricantes como Qualys www.qualys.com ofrecen herramientas
127
especializadas (appliances) e inclusive versiones free limitadas de sus herramientas de
software para que los usuarios las utilicen.
6.4 Organizaciones que Publicas las Vulnerabilidades
Tal como se observó con CVSS, existen algunas organizaciones creadas con el ánimo
de ayudar a organizar y centralizar la información referente a las vulnerabilidades en
los sistemas, veamos las más relevantes.
Mitre Corporation mantiene una lista de vulnerabilidades descubiertas en un sistema
llamado CVE “Common Vulnerabilities and Exposures” donde las vulnerabilidades son
evaluadas usando el sistema CVSS https://cve.mitre.org normalmente los grandes
fabricantes de software e investigadores de vulnerabilidades se unen a la CVE para
reportar sus propias vulnerabilidades con el fin de que sean clasificadas y valoradas.
El “National Institute of Standars and Technology” de los Estados Unidos mantiene
la base de datos nacional de vulnerabilidades “National Vulnerability Database” que es
un repositorio del gobierno para facilitar la gestión de vulnerabilidades mediante el
protocolo SCAP “Security Content Automation Protocol” el sitio también incluye bases
de datos con listas de chequeo para comprobaciones de seguridad, configuraciones
erróneas, métricas de impacto y otros datos útiles en el proceso de gestión.
128
Ilustración 25: NVD Dashboard
Tomada de: https://nvd.nist.gov/general/nvd-dashboard
En la ilustración veinticinco (25) el lector puede observar el dashboard de la NVD,
allí también se muestran las ultimas 20 vulnerabilidades con su número de indicador
de CVE, fecha, hora y clasificación CVSS, con el fin de facilitar su interpretación.
Otro sitio con excelentes recursos es https://www.cvedetails.com en donde puedes
encontrar información detallada de cada CVE, como su CVSS y unos comentarios breves
pero descriptivos de su impacto en confidencialidad, en integridad y en disponibilidad,
al igual que su complejidad de acceso en donde explican que tan complejo puede ser
realiza la explotación de la vulnerabilidad, muestran si te da acceso al recurso que posee
la vulnerabilidad, el tipo de la misma, y el identificador CWE, al igual que enlaces con el
análisis detallado de la vulnerabilidad, y enlace al exploit si está disponible
129
Ilustración 26: Dashboard CVEdetails
Tomada de: https://www.cvedetails.com/index.php
En la ilustración veintiseis (26) se observa de la página principal de cvedetails, un
par de gráficas, una con la distribución de todas las vulnerabilidades por el score CVSS
con su respectiva grafica de barras a la derecha.
Otro excelente recurso es la base de datos de exploits https://www.exploit-db.com
un exploit es el código que permite realizar la explotación efectiva de la vulnerabilidad,
y en este sitio se mantiene como su nombre lo indica un repositorio de exploits con más
de 37900 exploits, este sitio es mantenido por Offensive Security quienes desarrollan
Kali Linux (La más popular distribución de pentesting), los exploits que se pueden
consultar están divididos en varias categorías que son:
Remote Exploits
Web Application Exploits
Local & Privilege Escalations Exploits
Denial of Service & proff of Concept Exploits
Exploit Shellcode Archive
Archived Security Papers
130
Ilustración 27: Local & Privilege Escalation Exploits
Tomada de: https://www.exploit-db.com/
En la ilustración veintisiete (27) se observa la lista de exploits para Local & Privilege
Escalation Exploits, en la columna D se observa el enlace para la descarga del exploit
que puede venir en varios formatos como son código en C, scripts en Python o módulos
para Metasploit, en la columna A se observa el enlace para descargar la aplicación que
es vulnerable, esta opción es interesante para la investigación dado que la mayoría de
las aplicaciones solo dejan disponible un par de versiones y las versiones antiguas no
son fáciles de conseguir, muchas de estas aplicaciones si son comerciales por temas de
derechos de autor no tienen este enlace, en la columna marcada con la V se indica si el
exploit ha sido verificado en su funcionamiento.
6.5 Ejemplos
La gestión efectiva de vulnerabilidades en los activos de información de una
organización no las elimina del todo siempre quedara la posibilidad de que existan
vulnerabilidades de día cero, pero si minimiza la posibilidad de la explotación de una
vulnerabilidad ya conocida, el descubrimiento de vulnerabilidades de día cero es un
trabajo de tiempo completo para muchos investigadores de seguridad y muchas de ellas
son vendidas en el mercado negro o implementadas en herramientas que se ponen en
131
subasta al mejor postor con fines evidentemente legales, la ZDI Zero Day Initiative
busca recompensar a los investigadores que de manera responsable descubran y
reporten vulnerabilidades con el fin de disminuir el mercado negro de las mismas.
El National Institute Of Standards and Technology NIST tiene en su publicación
especial su documento “Technical Guide to Information Security Testing and
Assessment” publicación especial SP 800-115 que es un documento de 80 páginas con
una metodología de prueba y evaluación de vulnerabilidades que nos puede servir de
ejemplo para implementar de manera exitosa este proceso de gestión al interior de
nuestra organización.
6.6 Reflexión
El proceso de gestión de vulnerabilidades es un pilar importante de la gestión de
seguridad en una organización, y ha demostrado que su descuido ha sido aprovechado
por varios de los últimos ataques que han afectado a muchos países como fue el caso de
WannaCry, por lo que este proceso debe realizarse de manera efectiva y con la seriedad
que amerita.
Para proteger las aplicaciones, sistemas operativos y redes de la organización
además de la aplicación de actualizaciones y revisión y mitigación de vulnerabilidades
debe acompañarse de medidas de control adicionales como acceso basados en la
necesidad de conocer, manejo de roles y perfiles y la utilización de los servicios
mínimos y necesarios sobre toda la infraestructura de TI de la organización, con estos
controles de ayuda a mitigar la posible existencia de vulnerabilidades de día cero que
puedan ser explotadas por intrusos que busquen acceder de manera ilegítima a los
recursos de nuestra organización
132
6.7 Conclusiones
Los procesos de aseguramiento de las plataformas con el uso de herramientas de
seguridad se deben acompañar de ejercicios juiciosos de análisis de vulnerabilidades
que permitan detectar y corregir puntos de exposición de fallas de seguridad. La
atención, mitigación y/o remediación de estas vulnerabilidades detectadas en nuestras
infraestructuras de computo, redes y telecomunicaciones es vital para prevenir las
posibles explotaciones de las mismas y garantizar una gestión adecuada del ciclo de
vida de las soluciones de la organización.
El acompañamiento de estas soluciones técnicas debe ir acompañado de un análisis
juicioso de las vulnerabilidades de los diferentes elementos que componen nuestros
sistemas, no solo de los sistemas core del negocio, sino de los sistemas de apoyo que
soportan la realización de todas las actividades de una organización y que a veces son
utilizados como punto de entrada para vulnerar la seguridad del resto de nuestra
plataforma, razón por la cual el análisis de vulnerabilidades debe cubrir toda la
superficie de sistemas de información que posea la organización y contar con un
proceso formal de evaluación, y remediación a las mismas, proceso que debe estar
articulado dentro del control de cambios y que debe contar con el aval de la alta
gerencia para que se realice de manera adecuada y oportuna.
133
Capítulo VII
Segu
rid
ad e
n R
edes
In
alám
bri
cas
y C
ifra
do
de
Dat
os Elementos de Seguridad
Wi-Fi
Amenazas y Riesgos en Redes Móviles y en los
Dispositivos
Ejemplos
Reflexiones
Conclusiones
Seguridad en Redes Inalámbricas y Cifrado de Datos
134
135
Capítulo 7: Seguridad en Redes
Inalámbricas y Cifrado de Datos
Las redes inalámbricas han aumentado de manera rápida y constante su
implementación, la facilidad que le permite al usuario conectarse con unos pocos pasos,
más la comodidad de permitir el desplazamiento del mismo dentro de áreas en donde
se tenga cobertura, las hicieron muy populares dentro de las organizaciones, por otro
lado el tema de la seguridad ha ido evolucionando para proteger los datos de estas
redes, en este capítulo el lector revisara los elementos de seguridad en una red Wi-Fi y
las amenazas y riesgos en redes móviles y en los dispositivos.
Las redes inalámbricas se han popularizado dado el bajo costo la infraestructura
necesaria para ponerlas a funcionar y a los usuarios principalmente del hogar que se
han dado cuenta de sus potenciales y de los beneficios relacionados con la movilidad,
potro factor que ayudo mucho a su masificación fue la predominancia de los equipos
portátiles y los equipos móviles como tabletas y celulares inteligentes en reemplazo de
los equipos de escritorio en muchas organizaciones, sin embargo, las condiciones de
seguridad en su implementación y uso se deben revisar con más detalle, en especial en
las organizaciones donde a través de este medio se puede ver expuesta información de
carácter confidencial.
La necesidad de proteger la transmisión de la información para su envió y/o
recepción a través de redes de datos, algunas de ellas de uso público como Internet,
potencio el uso de la criptografía como ciencia utilizada en el diseño e implementación
de algoritmos de seguridad que a su vez faciliten garantizar el cifrado de la información
y con ello su seguridad bajo la premisa de que cualquier medio de trasmisión es
inseguro
136
La realización de pentest web o test de penetración a aplicaciones web nos provee
con información detallada de fallos de seguridad, con el fin de que tomemos las acciones
correctivas necesarias a nivel de desarrollo y/o configuración de la aplicación y de los
elementos de protección asociados a la mimas como pueden ser ajustes en el firewall,
en el web application firewall o en la configuración del servidor web.
7.1 Elementos de Seguridad Wi-Fi
Las redes inalámbricas pueden funcionar en dos modos distintos, el modo Ad-Hoc
que es básicamente un modo sin un punto de acceso que se encargue de la gestión de
red, permitiendo compartir la información entre los nodos participantes, pero también
compartiendo el ancho de banda, y el modo infraestructura, en donde la gestión se
realiza de manera centralizada por un punto de acceso.
Una de las características en la que debemos ser más fuertes desde el punto de vista
de seguridad en las redes wi-fi es la fortaleza del nivel de cifrado, además de las
vulnerabilidades existentes en las otras capas del protocolo TCP/IP y de las cuales es
necesario también ocuparse desde el punto de vista de seguridad, por ello una de las
consideraciones más importantes es la selección del protocolo de encripción con el que
configuraremos nuestra red, para ello revisaremos los algoritmos de cifrado más
comunes.
WEP: Wired Equivalent Privacidad, o privacidad equivalente a red cableada, fue
introducido en 1999 como parte del estándar IEEE 802.11, está basado en el algoritmo
de encripción RC4 y usa una clave secreta de 40 o de 104 bits, combinada con un vector
de iniciación (IV) de 24 bits, el mensaje encriptado “C” se determina utilizando la
siguiente formula:
137
C=[M || ICV(M)]+[RC4(K||IV)]
En esta fórmula el mensaje de texto es “M” y su checksum el ICV (Integrity Check
Value), || es un operador de concatenación y + es un operador XOR, el IV es la clave de
seguridad WEP y se aplica a cada paquete, pero desafortunadamente es transmitido en
texto claro, estas vulnerabilidades fueron aprovechadas por implementaciones de
herramientas de auditoria de redes inalámbricas como AirSnort, que al realizar análisis
de tráfico con un suficiente número de paquetes permitía descifrar la clave WEP
empleada. Otras herramientas como Aircrack pueden extraer una clave WEP de 128
bits en menos de 10 minutos, tiempos que han ido disminuyendo en la medida en que
se afinan las herramientas y se aumenta la capacidad de computo de los procesadores
modernos, la seguridad WEP no se recomienda para ninguna red inalámbrica y hoy en
día aunque es soportado por retro-compatibilidad de muchos fabricantes solo se utiliza
en entornos académicos para realizar pruebas sencillas de auditoria de seguridad en
redes inalámbricas.
Cronología de la muerte de WEP
Fecha Descripción
sep-95 Vulnerabilidad RC4 (Wagner)
oct-00 Análisis de encapsulación WEP (Walker)
may-01 Ataque contra WEP/WEP2 DE Arbaugh
jul-01
Ataque CRC bit Flipping - Intercepting Mobile Communications - The insecure
of 802.11 (Borisovv, Goldberg, Wagner)
ago-01
Ataque FMS - Debilidades e el algoritmo de programación RC4 (Fluhrer,
Mantin, Shamir)
ago-01 Publicación AirSnort
feb-02 Ataques FMS optimizados por H1kari
ago-04 Ataques KoreK (IV's únicos) Publicación de chopchop y chopper
ago-04
Publicación Aircrack (Devine) y WebLab (Sánchez), poniendo en práctica los
ataques Korek
Tabla 1: Cronología de la muerte de WEP
Larrahondo, A. (2017) Elaboración modulo virtual Seguridad en Redes Telemáticas
138
802.11i: En enero de 2001 la IEEE creo el grupo de trabajo para mejorar la seguridad en
los procesos de autenticación y cifrado de datos de las redes inalámbricas a la vez que
se preocupó por la seguridad de las mismas en los entornos empresariales, en junio de
2004 se adoptó la versión final del estándar 802.11i recibiendo el nombre comercial de
WPA2, entre sus cambios más importantes están la separación de los procesos de
autenticación de usuario de la integridad y privacidad.
La Wi-Fi Alliance llamo a la versión que permite pre-compartir la clave como WAP
Personal y WPA2 Personal y a la versión que usa autenticación 802.1X/EAP como WPA
Enterprise y WPA2 Enterprise.
Ilustración 1: Fases operacionales de 802.11i
Tomada de: http://www.hsc.fr/ressources/articles/hakin9_wifi/hakin9_wifi_ES.pdf
En la ilustración uno (1) se observa el funcionamiento operacional del protocolo
802.11i o WPA Empresarial, ala derecha de la ilustración se observa el servidor de
Radius, está compuesto básicamente de cuatro fases.
139
Acuerdo sobre la política de seguridad: En esta fase los participantes del proceso de
comunicación se ponen de acuerdo sobre las políticas de seguridad que se usaran en el
proceso de comunicación.
Autenticación 802.1X: En esta fase se usa EAP “Extensible Authentication Protocol” con
certificados digitales TLS “Transport Layer Security” lo que requiere una
infraestructura de llaves publicas
Jerarquía y Distribución de claves: RSN “Robust Security Network” utiliza autenticación
802.1X y solo acepta maquinas que soporten este protocolo, por lo que IEEE creo TSN
“Transitional Security Network” en esta arquitectura pueden intervenir sistemas RSN
y WEP, bajo estas dos arquitecturas se realiza la jerarquía y distribución de claves
Confidencialidad e integridad de datos: Utiliza las claves generadas en las fases
anteriores en los protocolos de cifrado para garantizar la confidencialidad e integridad
de datos como:
TKIP Temporal Key Hash
WRAP Wireless Robust Authenticated Protocol
CCMP Counter Mode Cipher Block Chaining Message Authentication Code Protocol
Una de las pocas vulnerabilidades de WPA/WPA2 es en su utilización personal por
medio de PSK, y consiste en ataques de fuerza bruta o ataques de diccionario, que no
son muy eficientes, pero que han mejorado mucho al optimizar el poder de computo
actual o funcionan en paralelo para aumentar su rendimiento.
El SSID “Service Set IDentifier” o el identificador de paquetes de servicio, es el
nombre que identifica una red inalámbrica y que está incluido en los paquetes de datos
de la misma, es de máximo 32 caracteres ASCII “American Standard Code For
140
Information Interchange”, se puede ocultar como una medida de seguridad por
oscuridad
La dirección MAC “Media Access Control” es la dirección de hardware de la tarjeta de
red y está conformada por 48 bits representados en hexadecimal, de los cuales 24 bits
representan de manera inequívoca al fabricante de la tarjeta y los otros 24 bits
identifican a la tarjeta es si, con esta dirección física es que se realiza en última instancia
la entrega de paquetes de red.
7.2 Amenazas y Riesgos en Redes Móviles y en los Dispositivos
Además de las debilidades en los protocolos de cifrado y en los diferentes protocolos
de TCP/IP, uno de los riesgos más usuales debido a la arquitectura de las soluciones
inalámbricas son el Rogue Access point o Evil Twin, que es un Access point que se coloca
en la red sin permisos de parte del administrador de la misma y que sirve para dar
acceso no autorizado a la infraestructura de la misma, la configuración del rouge Access
point puede facilitar que cualquier cliente se conecte al usar el mismo SSID u otro muy
similar, para que los usuarios descuidados se conecten con él. En otra modalidad el
rouge access point no está conectado físicamente a la red cableada de la organización,
pero al tener un SSID idéntico o parecido logra quedarse con gran parte del tráfico que
obtendría un Access point legitimo
141
Ilustración 2: Rouge Access Point
Tomada de: http://www.i4shop.net/cz/iobchod/2005/html/ap4000/helpfiles/chapter4.htm
Otro par de modalidades que puede ser utilizadas, una de ellas es compartir el acceso
a la red inalámbrica de parte de un cliente que esta legítimamente conectado a la misma,
esta modalidad se puede evitar si se controlan los permisos administrativos de los
clientes para que no puedan activar esta opción. La otra modalidad es la habilitación de
la tarjeta inalámbrica de un equipo que está conectado a la red por medio de cable.
Para los accesos a redes domiciliarias como son las que proveen los ISP a los hogares,
desde hace ya varios años, como parte de la entrega del servicio, el proveedor entrega
un router con servicio de red inalámbrica, una vez estos servicios se fueron
popularizando y empezaron a revisar las condiciones de seguridad de las mismas,
fueron surgiendo los grandes problemas de los mismos.
Aunados a los fallos ya conocidos y debilidades de algoritmos de cifrado, la falta de
sentido común y debido cuidado de las áreas que realizaron las instalaciones e
implementaciones de los mismos demostraron que cientos de routers se habían
instalado sin modificar la clave de administración que los routers traían de fábrica,
142
routers de marcas como Zytel, ZTE, FiberHome, Thomson, y algunas otras expusieron
debido a esta falta de buen cuidado la información de miles de usuarios, al permitir que
se accediera a su configuración, exponiendo la información de los usuarios, su
privacidad y facilitando así mismo que a través de sus redes se enviara tráfico malicioso
como spam.
La proliferación de aplicaciones de Android para análisis de seguridad de redes wi-fi
genera que cualquier persona con un teléfono celular y unos minutos de acceso al área
de la red pueda intentar conseguir con alguna de estas aplicaciones la clave de acceso y
vulnere la seguridad de la misma.
Otro control adicional para el acceso a estas redes wi-fi, es generar permisos de
acceso con la dirección MAC de los dispositivos incluyendo estas direcciones en una
lista blanca, o en una lista para negarles el acceso, estas listas suelen estar en el software
de administración del dispositivo, usualmente a través de la consola de administración
web de la misma.
Otra faceta de la inseguridad de las redes inalámbricas es el Wardriving que es una
técnica donde el intruso conduce a través de la calle y con un portátil y una antena de
gran capacidad, ubica las redes inalámbricas a su alcance y hace test de seguridad para
acceder de manera ilegal a estas redes.
Según el CSIRT “Computer Security Incident Response Team de los estados unidos
las amenazas a las redes inalámbricas son básicamente las siguientes:
Hidden or Rouge Access points - Access point ocultos o ilegales
Misconfigured AP’s - Errores de configuración en los Access point
Banned Devices - Dispositivos no permitidos
Client Mis-association - Errores de asociación de clientes
143
Rouge Clients - Clientes Ilegales
El Natonal Istitute of Standars and Technology NIST de los estados unidos en su
publicación especial 800-153 Guidelines for Securing Wireless Local Area Networks
(WLANs) hace una serie de recomendaciones de seguridad entre las que tenemos:
Separar las Wlan’s de usuarios externos de las de usuarios internos
No tener dispositivos conectados a redes inalámbricas y alámbricas
simultáneamente
Inhabilitar de manera administrativa las interfaces de red no autorizadas
En lo posible deshabilitar el bridging (pasar tráfico entre redes)
Habilitar en el BIOS que una WLAN termine cuando se conecta la red cableada
Monitorear la seguridad de la red, tanto de ataques pasivos como de ataques
activos
Implementar soluciones de WIDPS.
Denro de las recomendaciones de monitoreo continuo, solicita que las compañías
consideren dentro del monitoreo herramientas que tengan al menos las siguientes
capacidades de detección:
Dispositivos WLAN no autorizados
Dispositivos WLAN con problemas y/o errores de configuración
Scanners de WLAN (Como war driving tools)
Condiciones de ataques como DDoS
Ataques de impersonalización y hombre en el medio
De las recomendaciones anteriores podemos ver que las herramientas de control y
la monitorización sugerida es bastante amplia, por lo que, si no es absolutamente
necesaria la creación de una red inalámbrica, es probable que no valga la pena su
144
implementación sopesada contra las necesidades de seguridad que son requeridas para
mantener los niveles de confidencialidad, integridad y disponibilidad del servicio.
7.3 Ejemplos
Como ejemplo de los aspectos vistos en este capítulo podemos mencionar las fallas
de seguridad reportadas desde hace tiempo en dispositivos como los Routers de acceso
a internet que tenemos la gran mayoría de nosotros en nuestros hogares para los
servicios de salida a internet hogar que venden los diferentes proveedores, investigares
en seguridad han demostrado que muchos de ellos se dejan con las claves de fábrica y
que las configuraciones de seguridad dejan mucho que desear, facilitando el acceso a
estos equipos de manera remota, con lo que se puede capturar todo el tráfico desde y
hacia internet de los usuarios del servicio.
Como protocolos de seguridad utilizados en las redes inalámbricas WEP se dejó de
utilizar hace cerca de dos años, aunque en algunos usuarios aún está en uso, los
protocolos más utilizados son WPA y WPA2, en octubre de 2017 se descubrieron
vulnerabilidades en el protocolo que permitían algunos ataques nada triviales al
protocolo, sin embargo fue noticia y se expandió la preocupación de manera amplia
entre los usuarios de redes inalámbricas por el impacto que la noticia podía causar en
el ámbito empresarial, las contramedidas para estas vulnerabilidades eran instalar los
parches respectivos según el fabricante tampoco como estuvieran disponibles, una de
las plataformas más afectadas, fue el ecosistema de Andriod, ya que aunque Google
saque el parche, el proceso de llevarlo a los terminales de los usuarios telefónicos, debe
pasar primero por los fabricantes de los dispositivos y luego de ellos con los operadores
de telefonía.
7.4 Reflexiones
Una de las reflexiones más importantes al implementar servicios de acceso de
manera inalámbrica sería verificar que los riesgos residuales (luego de aplicar los
145
controles respectivos) asociados a la implementación del servicio sean aceptables para
la organización, no debemos habilitar servicios que ponen en riesgo la seguridad de la
información de la organización, solo porque son servicios populares en otras
organizaciones
Los datos y aplicaciones críticas de un negocio, no deberían ser accedidos por medio
de redes inalámbricas de no ser absolutamente necesario y si así es se deben tener
implementados los controles sufrientes y necesarios para poder atender de manera
eficiente los incidentes de seguridad sobre estos tipos de redes.
7.5 Conclusiones
El acceso a la información se realiza hoy en día a través de una amplia gama de
dispositivos móviles, lo que ocasiono el cambio de los tradicionales paradigmas de
seguridad uy obligo a repensar como deberían ser los controles de seguridad para
controlar estos nuevos ecosistemas donde el celular se está convirtiendo en el
dispositivo por excelencia de acceso a los recursos de información.
Las tecnologías de acceso inalámbricas de apoyan de protocolos de seguridad que
facilitan el cifrado de la información, pero no soy invulnerables, lo que genera nuevas
preocupaciones para los miembros de los departamentos de IT en las organizaciones,
en las redes inalámbricas no deberían existir accesos a recursos del core del negocio sin
una evaluación de los riesgos, herramientas para mitigarlos y las ventajas
146
147
Capítulo VIII
Cri
pto
graf
ía
Conceptos
Princípios de Criptografía
Firma Electrónica y Certificados Digitales
Ejemplos
Reflexiones
Conclusiones
Criptografía
148
Capítulo 8: Criptografía
La confidencialidad de la información es una preocupación que tiene siglos entre
nosotros, la criptografía es la ciencia que se estudia las técnicas o métodos diseñados
para proteger la información mediante la aplicación de técnicas que la hacen
ininteligible a personas no autorizadas durante el almacenamiento o transporte de la
misma
8.1 Conceptos
La criptografía hace parte de la criptología que además comprende el criptoanálisis y
la esteganografía, para ocultar el significado de un mensaje se pueden tomar dos
caminos cifrar un mensaje que oculta la información basándose en la sintaxis, o
codificarlo que oculta la información alterando la semántica del mismo.
Ilustración 3: Proceso criptográfico
Larrahondo, A. (2017) Elaboración modulo virtual Seguridad en Redes Telemáticas
La información resultante del proceso de cifrado se llama criptograma
149
El criptoanálisis es la ciencia que hace análisis del texto cifrado para obtener la
información original sin conocer la clave de cifrado por lo que es complementaria pero
contraria a la criptografía. La esteganografía estudia como ocultar un mensaje en el
interior de otro, para que solo pueda ser recuperado y entendido por el receptor que
sabe que allí hay un mensaje oculto.
8.2 Principios de Criptografía
La clasificación del cifrado se hace atendiendo tres factores que son los siguientes:
1. Según sus claves
Cifrado Simétrico
Cifrado Asimétrico
2. Según sus algoritmos
Cifrado en flujo
Cifrado por bloques
3. Según sus propiedades
Cifrado con Umbral
Cifrado basado en Identidad
Cifrado seguro hacia adelante
Cifrado con clave aislada
Cifrado maleable
Cifrado negable
Cifrado Simétrico: En este tipo de cifrado se utiliza una única llave tanto para cifrar
como para descifrar la información, precisamente en esta clave reside su punto débil,
ya que tanto emisor como receptor deben conocerla, y para ello se la deben
150
intercambiar en algún momento, la seguridad de este tipo de cifrado recae sobre la
clave y no sobe el algoritmo. Este es claramente un método que tiene problemas cuando
aumenta el número de receptores de la información, dado que cada uno de ellos debe
conocer la clave, haciendo inseguro el proceso, como ya se había comentado la
capacidad de computo moderna permite optimizar la búsqueda de claves al probar
miles de combinaciones posibles durante cortos periodos de tiempo, razón por la cual
la longitud de las claves debe ser lo suficientemente grande como para volver complejo
este tipo de técnicas de fuerza bruta
Key Size Combinaciones posibles
1 Bit 2
2 Bits 4
4 Bits 16
8 Bits 256
16 Bits 65536
32 Bits 4.2 X 10^9
56 Bits
(DES) 7.2 X 10^11
64 Bits 1.8 X 10^19
128 Bits
(AES) 3.4 X 10^38
192 Bits
(AES) 6.2 X 10^57
256 Bits
(AES) 1.1 X 10^77
Tabla 2: Permutaciones según longitud de clave
Larrahondo, A. (2017) Elaboración modulo virtual Seguridad en Redes Telemáticas
151
En la tabla número dos (2), el lector puede observar, el cálculo de combinaciones
posibles para la longitud de claves, debido a la computación distribuida y la potencia de
los procesadores de hoy en día, algoritmos con claves de menos de 2048 como TLS que
usa algoritmos RSA de menos de 2048 Bits ya no son recomendadas, sin embargo,
longitudes mayores pueden impactar en el rendimiento del proceso al complejizar los
cálculos necesarios para el servicio implementado.
Estos cálculos de rompimiento de claves usando el poder de computo actual y
respetando la ley de Moore, no contemplan avances como la computación cuántica, si
los computadores cuánticos se pueden conseguir para el público común, la capacidad
de computo de estos equipos pondría en serio riesgo la seguridad de las
implementaciones actuales de los algoritmos al tener la capacidad de romper las claves
en mucho menos tiempo que el calculado actualmente.
Algunos de los algoritmos que usan cifrado simétricos son:
DES: Data Encryption Estándar del año 1976, usado con una longitud de clave de 56
bits que como vemos en la tabla dos, no es muy grande, en la actualidad ya está
depreciado dado que se puede lograr comprometer la clave en menos de 24 horas.
RC2: Diseñado para reemplazar a DES, su tamaño de clave varía entre 64 y 128 bits, con
bloques de 64 bits y es de dos a tres veces más veloz que DES.
IDEA: International Data Encription Algorithm, usa clave de 128 bits, en bloques de
datos de 64 bits, está considerado como seguro aún
AES: Advanced Encryption Standard conocido también como Rijndael, las claves de
cifrado pueden ser de 128, 192 y 256 bits, con un tamaño de bloque de 128 bits
152
Blowfish: Fue creado por Bruce Schneier autor del libro Applied Criptografhy, es un
codificador que usa bloques de 64 bits y claves de hasta 448 bits
Twofish: Usa cifrado por bloques de tipo AES, con tamaño de bloques de 128 bits y
tamaño de llave que puede llegar a los 256 bits
Cifrado Asimétrico: Llamado también criptografía de clave pública, usa un par de claves,
una publica que se puede entregar a cualquiera con la que se cifra la información y una
clave privada que debe retener el destinatario de la información y que sirve solo para
descifrar la información que se ha cifrado con su llave publica, los métodos utilizados
de criptografía garantizan que el par de claves generada solo se genere una vez, con lo
que se hace improbable que un mismo par de claves se genera más de una vez, este tipo
de criptografía resuelve el tema engorroso del intercambio de claves del cifrado
simétrico
Ilustración 4: Esquema de cifrado asimétrico
153
Tomada de:
http://www.dma.fi.upm.es/recursos/aplicaciones/matematica_discreta/web/aritmet
ica_modular/rsa2.html
Uno de los principales retos de este método es la distribución e intercambio de
llaves, para eso existen dos esquemas para su implementación, el esquema centralizado
donde una sola entidad valida y expide las llaves, este esquema es propenso a ataques
del tipo DDoS, el otro esquema es el descentralizado que a su vez sufre de problemas
de falsificación de llaves aprovechando que es más difícil asegurar e integrar varios
puntos. Algunos de los algoritmos de este tipo son:
El Gamal: Propuesto en 1984 por Taher ElGamal como un esquema de clave publica
basado en la exponenciación discreta calculado en el grupo multiplicativo de un cuerpo
finito Z(p), este algoritmo está bajo licencia de uso libre, está compuesto por tres
componentes el generador de claves, el algoritmo de cifrado y el de descifrado, las
firmas que produce son más largas que las de RSA y su tiempo de computo es superior.
RSA: Debe su nombre a los apellidos de sus inventores Ronald Rivest, Adi Shamiy y
Leonard Adleman desarrollado en 1977, sobre el resultado del producto de dos
números primos bastantes grandes, se utiliza tanto para cifrar el mensaje como para
autenticarlo
DSA: Digital Signature Algorithm, es un algoritmo del gobierno federal de los Estados
Unidos, diseñado para firmar digitalmente, no para cifrar, tiene tres etapas, generación
de claves, firma y verificación, es más demorado.
154
8.3 Firma Electrónica y Certificados Digitales
El concepto de firma electrónica y firma digital son conceptos muy parecidos y que,
dentro del ámbito jurídico particular de Colombia, está definida en la ley 527 de 1999
en su artículo dos (2) en donde dice textualmente “Firma Digital. Se entenderá como un
valor numérico que se adhiere a un mensaje de datos y que, utilizando un
procedimiento matemático conocido, vinculado a la clave del iniciador y al texto del
mensaje permite determinar que este valor se ha obtenido exclusivamente con la clave
del iniciador y que el mensaje inicial no ha sido modificado después de efectuada la
transformación” Ley 527 de 1999 tomado de www.mintic.gov.co
La firma electrónica según la esta ley hace referencia a aquel mecanismo técnico que
permite identificar a una persona ante un sistema de información, siempre y cuando
dicho mecanismo sea confiable y apropiado. Según la evaluación del portal de Colombia
Digital, los dos mecanismos pueden producir efectos jurídicos, pero la diferencia entre
ambos (firma digital y firma electrónica) es la carga probatoria de los atributos de
seguridad de cada uno de estos modelos, en la firma digital al tener un tercero en el
medio que hace las veces de ente certificador (entidad certificadora) le da mayor peso
jurídico a la firma digital como mecanismo en donde se elimina la discusión de la valides
de sus atributos jurídicos con lo cual no es necesario que exista un acuerdo entre las
partes para su utilización.
En Colombia con la expedición de la resolución # 00070 del 3 de noviembre de 2016,
que define la firma electrónica como la combinación de una identidad electrónica y un
código electrónico que sirve para el cumplimiento de deberes formales y tareas
electrónicas en los servicios electrónicos de la DIAN “Dirección de Impuestos
Nacionales”, según el portal de la DIAN los beneficios son los siguientes:
Se eliminan los incidentes de configuración y compatibilidad con máquina
virtual de java y el navegador internet
Se ahorra costo y tiempo en la configuración del equipo de computo
155
Desaparece el riesgo de pérdida de la Firma, pues el cliente ya no tendrá que
conservar ningún tipo de archivo, solo deberá recordar su contraseña para
firmar
Se evitan los costos de desplazamiento a los puntos de contacto para renovar el
mecanismo por olvido de la contraseña o daño del archivo .epf
Facilita el cumplimiento de obligaciones formales a través de la autogestión
Mediante la resolución 12761 del 9 de diciembre de 2011 se establecen los
contribuyentes, responsables, agentes de retención y usuarios obligados a presentar las
declaraciones y diligenciar los recibos de pago.
La infraestructura de llave publica o PKI Public Key Infraestructure está compuesta
de los siguientes componentes:
La autoridad certificadora (CA) que es la entidad de confianza encargada de
emitir y/o revocar los certificados digitales.
La autoridad de registro (RA) se encarga de controlar la generación de los
certificados, verificando la relación entre los certificados y su autor
La autoridad de validación (VA) es el componente que se encarga de verificar la
validez de los certificados digitales
Además de estos componentes, las PKI tienen repositorios especiales donde se
almacenan los certificados emitidos y los certificados revocados
156
Ilustración 5: Funcionamiento de una PKI
Tomada de: https://infosegur.wordpress.com/unidad-4/pki-public-key-
infrastructure/
En la ilustración cinco (5) el lector puede observar el funcionamiento de una PKI, las
principales vulnerabilidades de este esquema es el daño del baúl de certificados del
usuario final y el compromiso de la autoridad certificadora.
8.4 Ejemplos
Uno de los ejemplos más populares de un servicio que tiene un protocolo de
seguridad, son los sitios que tienen páginas web seguras (https) dado que el sitio hace
uso del protocolo TLS que es la evolución del protocolo SSL, hay millones de sitios web
seguros y los usuarios los utilizan sin mayor conocimiento técnico de como el protocolo
funciona.
157
En los procesos de validación y autenticación de los usuarios sobre una red de
Windows, se utiliza Kerberos como protocolo y servicios de PKI para la expedición,
entrega y revocación de tickets que son los artefactos que se utilizan para validar los
ingresos a los recursos definidos.
8.5 Reflexiones
La utilización de la ciencia de la criptografía para apoyar a la informática en temas
de seguridad de la información ha permitido la definición, implementación y uso de
servicios que soportan su seguridad en técnicas criptografías, al aumentar la capacidad
de computo de manera exponencial se pondrán en riesgo la mayoría de los algoritmos
de seguridad y será necesario repensar estas técnicas criptográficas.
A medida que aumente la digitalización de los servicios que usamos con las
diferentes entidades privadas y públicas, los servicios como el de la firma digital serán
absolutamente necesarios para interactuar con las organizaciones, y su seguridad
depende de los protocolos de seguridad implementados y de su validez a través del
tiempo, a medida que surgen nuevas vulnerabilidades y mejoran las capacidades de
computo algunos de estos protocolos se van dejando de lado como inseguros y surgen
nuevos protocolos que es necesario que se implementen en los servicios que usamos
en el día a día.
8.7 Conclusiones
Los principales servicios de tecnología con los que intercambiamos datos están hoy
en día en la nube y basan su seguridad en la implementación de protocolos de seguridad
que usan la criptografía con el fin de garantizar la autenticidad, privacidad, integridad
y no repudio de la información que pasa por sus servicios, entre estos servicios el del
comercio electrónico es uno que mueve miles de millones de dólares cada minuto a
nivel mundial, por lo que la garantía de la seguridad es uno de sus preocupaciones más
fuertes.
158
La criptografía como elemento potenciador de la seguridad es indispensable, sin
embargo no podemos olvidar que hay dos factores adicionales que se deben considerar
como parte de toda la ecuación y son el incorrecto diseño de los sistemas y los
debilidades del factor humano, estos dos elementos pueden echar abajo cualquier
algoritmo de seguridad apoyado en criptografía, por lo que siempre debemos pensar en
estos elementos y trabajar para capacitar al usuario y realizar buenos diseños de
sistemas.
159
Capítulo IX
Intr
od
ucc
ión
al P
en
test
We
b
Etapas de un Pentesting
Entornos Web Vulnerables
Tecnologías Empleadas en el Servidor Web
Medidas de Protección contra el Malware
Ingenieria Social
Ejemplos
Reflexiones
Conclusiones
Introducción al Pentest Web
160
161
Capítulo 9: Introducción al Pentest
Web
Un pentest es una prueba de penetración o auditoría realizada de manera acordada
con el propietario del sistema, utilizando una metodología en busca de la identificación
de las vulnerabilidades explotables de un sistema web, se puede realizar también para
diferentes tipos de sistemas, bases de datos, sistemas operativos o redes, la
metodología de realización busca también identificar la falta de controles y las brechas
en los controles de seguridad establecidos.
Existen varias metodologías para la realización de este tipo de pruebas, dos de las
más conocidas son OSSTMM “Open Source Security Test Methodoly Manual” y la ora es
OWASP “Open Web Application Security Project”.
9.1 Etapas de un Pentesting
Antes de ver las etapas generales del proceso de pentest vamos a revisar las
modalidades de realización del mismo, estas son:
Pentest o auditoria de Caja Blanca: En esta aproximación el ejercicio se realiza con
información del obje+tivo que provee el dueño del mismo y facilita la realización del
ejercicio, entre esta información suele estar la versión del servidor web, el lenguaje de
desarrollo, una estructura de los servicios publicados, usuarios y claves para ingreso a
sus principales funcionalidades, etc.
Pentest o auditoria de caja negra: En esta aproximación el ejercicio de pentest se
realiza sin ningún conocimiento previo especial de la aplicación a evaluar, únicamente
tenemos la URL (para el caso de las aplicaciones web)
162
Pentest o auditoria de caja gris: En esta aproximación el ejercicio se realiza con algunos
datos del sistema objetivo, por ejemplo, un usuario y una clave para uno de sus servicios
o a partir de allí se intenta evaluar la seguridad del mismo
En términos generales las etapas para la realización de un ejercicio de pentest
orientado a aplicaciones web son las siguientes:
Reconocimiento: En esta etapa se identifica claramente el objetivo y se intenta recopilar
toda la información posible acerca del mismo, esta información puede ser la dirección
IP, el tipo de servidor Web, el lenguaje de desarrollo se intenta identificar si hay algún
CMS “Content Management Service” sistema de gestión de contenido, servidor web,
complementos utilizados, rutas de acceso, equipos intermedios, etc.
Escaneo: En esta fase se intentan identificar los puertos y servicios que están
disponibles o activos, con el fin de identificar posibles vectores de ataque.
Enumeración: En esta etapa se intenta recopilar la mayor cantidad posible de
información acerca de los servicios, equipos y usuarios, para lo cual se debe ingresar al
sistema y/o realizar consultas al mismo.
Acceso: Explotando las vulnerabilidades encontradas en los servicios identificados se
hace acceso exitoso al sistema y/o sus componentes
Mantener el Acceso: En esta última etapa la idea es preservar el acceso obtenido en la
fase anterior por la mayor cantidad de tiempo.
Existen muchas herramientas que buscan ayudar en la realización del pentest,
algunas de ellas son distribuciones completas de Linux, enfocadas en seguridad, de ellas
una de las más completas es Kali Linux www.kali.org
163
Ilustración 6: Kali Linux
Larrahondo, A. (2017) Elaboración modulo virtual Seguridad en Redes Telemáticas
En la ilustración seis (6) el lector puede observar el menú de herramientas con
catorce (14) categorías, en donde además de servicios del sistema y herramientas de
reportes, las demás son categorías de herramientas que facilitan la realización de
pentest, con un total de más de mil herramientas listas para utilizar.
Además de esta herramienta en software libre contamos con muchas otras
herramientas de seguridad como metasploit, tails, backbox, Caine, y otras.
164
9.2 Entornos Web Vulnerables
Una de las iniciativas más respetadas de seguridad en aplicaciones web es OWASP
“Open Web Application Security Project” que es una organización sin ánimo de lucro de
categoría mundial que se enfoca en seguridad de software web, de la que hacen parte
los grandes desarrolladores de software, y cientos de organizaciones interesadas en
contribuir y beneficiarse de la seguridad, según el proyecto OWASP para el año 2017 la
lista del top 10 de los riesgos en aplicaciones web son los siguientes:
A1 Injection
A2 Broken Authentication and Session Management
A3 Cross-Site Scripting (XSS)
A4 Broken Access Control (As it was in 2004)
A5 Security Misconfiguration
A6 Sensitive Data Exposure
A7 Insufficient Attack Protection (NEW)
A8 Cross-Site Request Forgery (CSRF)
A9 Using Components with Known Vulnerabilities
A10 Underprotected APIs (NEW)
Este top en este momento está siendo reevaluado y ajustado con base en una serie
de encuestas, para poder entender los entornos web vulnerables, es necesario
comprender técnicamente estos riesgos.
A1 Injection: Este riesgo está asociado a la capacidad de un intruso de introducir código
que ejecute acciones no esperadas sobre la base de datos, el sistema operativo o el
LDAP, aprovechándose de las debilidades en la validación y tratamiento de las entradas
de datos.
A2 Broken Authentication and Session Management: En este riesgo las funciones
relacionadas con los procesos de autenticación y gestión de sesiones tienen debilidades
165
y explotándolas los atacantes pueden comprometer contraseñas, claves, tokens, y
terminar suplantando la identidad de otro usuario.
A3 Cross-Site Scripting (XSS) el riesgo de secuencia de comandos en sitios cruzados
hace referencia a cuando una aplicación toma datos no confiables y los envía al
navegador web sin una validación y codificación adecuada, este riesgo permite ejecutar
secuencias de comandos en el browser de la víctima para secuestrar sesiones de
usuario, atacar al sitio web o redirigir el usuario a otros sitios con fines maliciosos.
A4 Broken Access Control, Control de acceso insuficiente, los permisos a los usuarios y
a sus operaciones no se hacen cumplir correctamente lo que permite explotar estas
fallas para acceder a las cuentas de otros usuarios.
A5 Security Misconfiguration, configuración de seguridad incorrecta, a nivel de
aplicación, servidor web, servidor de aplicación, base de datos, y en algunos otros
componentes un error puede poner en riesgo toda la plataforma.
A6 Sensitive Data exposure, exposición de datos sensibles, una de las debilidades más
usuales es simplemente no cifrar los datos sensibles, uso de algoritmos débiles o
técnicas débiles de hashing de contraseñas.
A7 Insufficient Attack Protection, Protección insuficiente de ataques, parchado eficiente
de vulnerabilidades, y detección y bloqueo de ataques manuales y automáticos son
necesarios para mantener la seguridad del sitio.
A8 Cross-Site Request Forgery (CSRF), falsificación de direcciones en sitios cruzados, e
este ataque se obliga al navegador de la víctima a enviar una petición http falsificada
incluyendo la sesión del usuario y cualquier otra información de autenticación incluida
automáticamente a una aplicación web vulnerable.
166
A9 Using components with know vulnerabilities, uso de componentes con
vulnerabilidades conocidas, el uso de componentes como librerías, frameworks y
algunos módulos de software funcionan con privilegios de acceso alto al sistema, si
alguno de estos componentes tiene alguna vulnerabilidad está facilitaría el compromiso
de toda la aplicación.
A10 Underprotected APIs, Apis desprotegidas, la utilización de API (Application
Programming Interface) que pueden ser vulnerables a un amplio rango de ataques,
estas APIs son difíciles de analizar de manera automática y manualmente requiere
mucha destreza técnica.
Como el lector observa, todos los riesgos tratados por OWASP son independientes de
cualquiera de los múltiples componentes de la plataforma, por lo que cualquier
aplicación web debe ser revisada basándose en estos riesgos y por ende todas las
plataformas en mayor o menor grado son vulnerables a los mismos, Además de esto los
lenguajes de desarrollo que se utilicen como php, java, ruby, etc, todos ellos tienen
algunas vulnerabilidades y pueden presentarlas cuando se utilizan algunas de sus
funciones o se implementan de manera correcta llamadas a sus funciones.
9.3 Tecnologías Empleadas en el Servidor Web
Las implementaciones de las aplicaciones web pasan por varias capas, una de ellas
es el servidor web, que es el servicio que se encarga de realizar la publicación de la
aplicación web utilizando para ello el protocolo http “Hipertext Transfer Protocol”
(puerto 80) o el protocolo https (puerto 443), el servidor procesa la petición y da
respuesta al cliente, algunas porciones de la solicitud las puede gestionar el cliente
directamente, dependiendo de la tecnología y arquitectura de la solución
167
Ilustración 7: Esquema funcional servidor Web Tomado de:
http://www.ub.edu/stat/docencia/bioinformatica/introbiocomputacio/ServidoresWeb/Serv
idoresWeb-Concepto_Configuracion_Uso.pdf
En la ilustración siete (7) se observa la estructura de un servidor web con sus
principales funciones, que son interpretar las solicitudes http o https del cliente, hacer
puente con el motor de base de datos para atender las solicitudes realizadas por los
clientes, acceder al sistema operativo para utilizar recursos como video y sonido,
ejecutar applets de java y otras funciones
168
Ilustración 8: Esquema funcional servidor Web
Tomado de: http://computerperformancebydesign.com/web-application-trace-
explorer/web-page-composition-sequence-diagram/
En la ilustración ocho (8) el lector puede observar el diagrama con los eventos entre
el cliente web y el servidor para la composición de una página web, para este ejemplo
el ambiente es Windows tanto en el cliente como en el servidor, en el paso número uno
el web browser del cliente hace una solicitud HTTP Get que referencia una URL,
asociado con el evento Windows,unload dentro del navegador web, este requerimiento
es pasado por la pila del protocolo TCP/IP y a través del servicio de DNS se resuelve la
dirección IP del recurso y se establece una conexión TCP con el a través de la red.
En el paso dos (2) el servidor web procesa la solicitud en el driver de modo kernel
http.sys y enruta este requerimiento a la cola del proceso ASP.NET quien lo procesa con
el ejecutable w3wp.exe en modo usuario generando la respuesta apropiada, esta
respuesta es pasada en el paso cuatro (4) al driver de modo kernel httpserver.sys,
169
finalmente el servidor http pasa a través del sistema operativo al protocolo TCP/IP en
el paso cinco (5), quien lo empaqueta y lo pasa por los protocolos necesarios para
enviarlo al solicitante conformando el paso seis (6), para este ejemplo el cliente
continua con esta misma secuencia de pasos hasta obtener todos los recursos
necesarios de la página web solicitados en el requerimiento inicial.
Ilustración 9: Estadísticas de uso de servidores web
Tomado de: https://trends.builtwith.com/web-server
Como se observa en la ilustración Nueve (9) los servidores web más populares son
en su orden nginx con el 31%, apache con el 29% e IIS con el 14%.
Nginx: Desarrollo Open Source, que se caracteriza por ser in servidor web de alto
rendimiento que soporta Linux, Unix, Windows MAC, Solaris y BSD.
170
Apache: Desarrollo Open Source mantenido por la Apache Software Foundation
www.apache.org lanzado originalmente en 1995, tiene versiones para Linux, Unix y
Windows.
IIS: Internet Information Server es el servidor web de Microsoft, incluido es sus
servidores Windows.
9.4 Medidas de Protección contra el Malware
Los sitios web, al estar alojados en servidores son propensos a los mismos riesgos y
amenazas que cualquier otro aplicativo, adicional a estos existen varios riesgos como el
de almacenar archivos con malware para el uso desde enlaces provenientes de otros
sitios web o servir de plataforma para desde allí lanzar o contribuir con ataques de
DDoS “ataque de negación de servicio distribuido”, los riesgos pueden ser entonces
asociados al propio sitio web o asociados a terceros, dado que el servicio web esta
ejecutándose sobre un sistema operativo de servidor de alguna de las muchas
plataformas, las condiciones de seguridad deben pasar por las recomendaciones del
fabricante para cada plataforma en particular, más el hardening (endurecimiento) que
se debe realizar a estas plataformas para proteger el servicio web.
La idea del proceso de hardening es disminuir al mínimo la superficie de ataque para
concentrase en reforzar la seguridad en unos pocos puntos y ser más eficiente, algunas
de las recomendaciones generarles son:
El servidor web, en lo posible debe dedicarse única y exclusivamente al servicio
web.
Se deben instalar única y exclusivamente el software, los servicios y los
protocolos necesarios para el correcto funcionamiento del servidor
Se debe mantener el servidor debidamente actualizado en sus parches de
sistema operativo y del software de terceros.
171
Se deben utilizar y mantener correctamente configurados los procesos de
autenticación del servidor y los controles de seguridad que este provea.
Por lo demás cada fabricante tiene guías de hardening de sus propios sistemas
operativos, el NIST “National Institute of Standars and Technology” dentro de sus
publicaciones especiales tiene la guía NIST SP 800-123 Guide to general server security,
que contiene una serie de recomendaciones generales para la seguridad en servidores,
este mismo instituto tiene en la url https://nvd.nist.gov/ncp/repository el National
Checklist Program Repository mantiene un repositorio público con los checklist de
seguridad para más de 470 productos de software que van desde guías para sistemas
operativos de escritorio como Windows 10 hasta sistemas operativos de teléfonos
móviles, pasando por motores de bases de datos, sistemas operativos de virtualización
y claro por servidores web.
Una de las mejores herramientas de protecci´pon para una aplicación o sitio web, es
un Web Application Firewall p WAF, que es básicamente una solución de firewall
enfocada en la protección de los recursos web, un firewall tradicional funciona
autorizando o negando el tráfico entre redes, pero básicamente hablando de las
solicitudes a un sitio web, un firewall solo puede autorizar o negar el acceso basado en
sus reglas, dichas reglas típicamente autorizaran el tráfico por el puerto 80 (http) o por
el puerto 443 (https), sin mayor análisis del contenido de los paquetes de tráfico, un
WAF funcionará algunos días en modo de aprendizaje y estará enfocado a implementar
controles alineados con OWASP y revisara el trafico ya filtrado por el firewall normal
en busca de parones que le indiquen que las solicitudes son inusuales o abiertamente
ataques a la aplicación web, en este sentido el WAF puede detectar ataques de XSS, SQL
Injection, Command Execution y muchos otros
172
Ilustración 10: Diagrama conceptual WAF
Larrahondo, A. (2017) Elaboración modulo virtual Seguridad en Redes Telemáticas
Como observa el lector en la ilustración diez (10) el firewall filtra las peticiones
basados en la red destino y los puertos autorizados, para este ejemplo autoriza
únicamente el tráfico a los puertos 80 (http) y 443 (https) y el WAF revisa todo el tráfico
y es capaz de detectar y eliminar las solicitudes que llevan inmersos ataques de SLQ
Injection, o XSS, y muchas otras, basados en el comportamiento del tráfico normal
durante un periodo de aprendizaje para el sitio web.
9.5 Ingeniería Social
La ingeniería social es el arte de manipular a las personas con el fin de obtener
información confidencial o lograr que ejecuten acciones que pongan en riesgo o
vulneren los controles de seguridad establecidos, este arte está compuesto de varias
técnicas, muchas de ellas en funcionamiento desde antes de la era digital, con el
advenimiento y formalización de conceptos de la seguridad de la información se han
formalizado muchas de estas técnicas con el fin de identificarlas, explicarlas y
prevenirlas.
173
Sus métodos o técnicas aprovechan el comportamiento predecible de las personas
ante determinadas circunstancias y su razonamiento es que es mucho más sencillo
obtener un usuario y una contraseña por este método que intentando vulnerar las
medidas de seguridad de una red o de un aplicativo en particular. El uso intensivo de
computadoras para la realización de las actividades comunes expone a un grupo mucho
más amplio de usuarios a este tipo de técnicas, con lo cual es más complejo su
prevención, la tendencia del ser humano a ser sociable, es uno de los pilares del buen
funcionamiento de estas técnicas, por lo que estas técnicas tienen un algo componente
de psicología involucrado usando desde la influencia, la sugestión o la persuasión entre
sus recursos más comunes.
Algunos de los recursos más utilizados según Kevin Minnick son:
Todos queremos ayudar
El primer acercamiento siempre es el de generar confianza en el otro
No nos gusta decir “No”
A todos nos gusta que nos alaben
Algunos otros principios de psicología que se usan son
Rasgos de un rol: Determina el comportamiento ante personas con ciertas
características socialmente reconocidas
Credibilidad: Concepto que usa una persona para valorar los hechos de los que
es testigo
Que el objetivo adopte un rol: Hacer que el objetivo adopte un rol de
colaboración (por ejemplo)
Desviar la atención del pensamiento sistemático: Evitar que el objetivo piense
de manera racional y con detenimiento
El impulso de la conformidad: Grado en el que cambiamos nuestro
comportamiento para agradar a otros
Atribución: Forma de explicar nuestra propia conducta y la de los demás
174
Ganarse la simpatía: Sentimiento de afecto hacia otra persona generalmente
instintivo
Miedo: Sentimiento de angustia ante un peligro real o imaginario
Reactancia: Reacción negativa cuando perdemos capacidad de elección
No importa la cantidad de herramientas de seguridad que posea una organización ni
su calidad, si no se capacita a sus miembros para elevar la seguridad con que las
personas manejan la información, la componente humano siempre será el componente
más débil de toda la cadena de seguridad, la capacidad de manipular a las personas es
un riesgo que se debe tener en cuenta y para el cual debemos tener implementadas
contramedidas, la sensibilización y la capacitación para atender situaciones en donde
la ingeniería social es utilizada como un arma contra la organización deben estar entre
los planes de cualquier organización, el acceso a la información basada en el rol y en la
necesidad de conocer dicha información de parte de cada uno de los miembros es uno
de los factores más importante para limitar el daño ante una posible brecha generada
con ingeniería social.
Los ejemplos de este tipo de ataque van desde la clásica llamada de alguien
haciéndose pasar por el soporte técnico de la empresa con el fin de obtener el usuario
y el password de un usuario, pasando por la charla casual de una persona en un bar en
donde después de generar simpatía y tomar algunas copas de más, la información
confidencial de la organización fluye, hasta la visita de un consultor que hablando en
otro idioma, logra acceder hasta las oficinas del presidente de una compañía y extraer
de ella información vital para el negocio, amparado en el desconocimiento del idioma
de parte de las personas encargadas de atenderlo mientras lo recibía el alto ejecutivo,
los casos documentados son muchos y la efectividad de las técnicas contrasta con su
complejidad, en muchos de los casos, entre más “sencilla” fue la técnica que se utilizó,
mayores fueron sus frutos, las connotaciones psicológicas que se explotan en la mayoría
175
de ellas son tan eficientes como simples, lo que da un mayor nivel a los riesgos que se
explotan usando este tipo de técnicas
9.6 Ejemplos
La revisión del código dinámico y estático de las aplicaciones web, para poder
asegurarnos que cumplen con unos estándares mínimos de seguridad se pueden
realizar con herramientas de software libre, herramientas comerciales y servicios en
línea, los ejercicios de ethical hacking y de pentest sobre estas aplicaciones deben
exponer los puntos débiles en seguridad para permitir que basados en esos hallazgos,
se ajusten las configuraciones o se reescriba el código con el fin de que sea más seguro,
la distribución de seguridad Kali Linux dispone de un conjunto muy completo de
soluciones open source que nos pueden ayudar a realizar esta tarea de manera eficiente
y a bajo costo.
La explotación de vulnerabilidades como SQL inyección, expone toda la base de datos y
la información que en ella reside, permitiendo la fabricación, modificación y
eliminación de registros no solo vulnerando su confidencialidad sino su integridad y
disponibilidad, en un ejemplo reciente Equifax empresa de los estados unidos que
procesa información de tarjetas de crédito fue atacada mediante una vulnerabilidad de
SQL Injection que no parcho de manera correcta y sufrió el robo de información de
cerca de 145 millones de clientes
9.6 Reflexiones
El proceso de verificación de la seguridad mínima de las aplicaciones web debería
ser un paso indispensable antes de colocarlas en entornos de producción, usar de
referencia herramientas tales como el top 10 de OWASP nos permite entender cuáles
son los riesgos más explotados, con el fin de verificar que estemos cumpliendo los
176
controles mínimos, aunque la seguridad debe estar contemplada en todas las partes del
proyecto de desarrollo del sitio web, un análisis de seguridad final antes de salir a
producción es la mejor práctica y debería ser obligatorio para la firma del paso a
producción.
El factor humano es el más fácil de atacar con el uso de la ingeniería social, la
implementación de herramientas de seguridad sin el concurso de los usuarios que son
los que usan los servicios de IT es sencillamente impensable, razón por la cual se debe
educar permanentemente a los usuarios en las técnicas más recientes de ataques y sus
contramedidas.
9.7 Conclusiones
La capacitación constante en las medidas de seguridad a los usuarios finales de la
organización es una consideración importante para poder realizar de manera exitosa la
implementación de los controles técnicos, sin la participación activa de los usuarios, la
seguridad de la información sería imposible.
La comprensión de los conceptos técnicos subyacentes a las actividades necesarias
para la ejecución de pentest web y el manejo de algunas de las herramientas incluidas
en las distribuciones de seguridad como Kali Linux permiten que se realicen de manera
eficiente las pruebas de seguridad buscando con ellas evidenciar las posibles falencias,
que una vez remediadas ayuden a mejorar la seguridad de la información que se va a
gestionar con ellas.
177
Capítulo X
SGSI
, Au
dit
ori
a y
Pla
n d
e co
nti
nu
idad
de
Neg
oci
oEl Sistema de Gestión de
Seguridad de la Información
El Estándar ISO/IEC 27001:2013
Análisis de Riesgos y las Metodologías
Integración del SGSI (ISO 27001) e ISO 9001 – 14000
Ejemplos
Reflexiones
Conclusiones
SGSI, Auditoria y Plan de continuidad de Negocio
178
179
Capítulo 10: SGSI, Auditoria y Plan de
continuidad de Negocio
10.1 El Sistema de Gestión de Seguridad de la Información
En el capítulo uno, ya se había dejado en claro la diferencia entre seguridad
informática y seguridad de la información, en este capítulo vamos a tratar todo el
Sistema de Gestión de Seguridad de la Información y vamos a ver la importancia del
análisis de riesgo, como actividad que nos permite determinar los riesgos a los que está
sometida una organización dentro del contexto en el que se desenvuelve, el apetito de
riesgo de la misma y los controles que se deben implementar para mitigar los riesgos
que se consideren críticos.
10.1.1 Implementación del SGSI
La seguridad es un proceso que debe ser continuo en el tiempo y evolucionar en
primera instancia con las necesidades de la organización y como efecto de la evolución
propia tanto de las amenazas como de la madurez de los controles implementados para
mitigarlos, la necesidad de tener disponibilidad inmediata a la información a través de
múltiples dispositivos y desde diferentes entornos, tendencias como cloud Computing
y teletrabajo, desfiguran los límites claros por los cuales pasa la información y que
facilitaban la comprensión de las medidas de control necesarias para protegerla, esas
fronteras se han ido desdibujando y la necesidad de tener un proceso de gestión de
seguridad de la información es más fuerte que nunca.
Contar con algunos elementos de seguridad como un firewall, una solución de
antivirus, un sistema centralizado de validación de usuarios como LDAP, control por
180
roles de usuarios en aplicaciones y algunos otros elementos no significa que estemos
gestionando la seguridad de la información, estos elementos básicos de seguridad los
podemos encontrar en cualquier organización moderna, el proceso de gestión de la
seguridad de la información involucra la articulación de todos estos elementos con los
objetivos del negocio para buscar agregar valor al mismo, cumpliendo una serie de
recomendaciones basadas en marcos de trabajo internacionalmente conocidos, que
permitan identificar y tratar de manera eficiente los riesgos y que faciliten al negocio
cumplir con sus objetivos estratégicos.
Las actividades primarias que deben estar contempladas son el diseño, el desarrollo,
y la integración de los controles de seguridad de la información
Para realizar la gestión teniendo en cuenta los elementos necesarios nos podemos
apoyar en la norma ISO/IEC 27001 que trata de los requisitos para la gestión de la
seguridad de la información en su última versión que es del año 2013 y la norma
ISO/IEC 27002 que trata del código de practica para controles de seguridad de la
información, en ella se encuentran 39 objetivos de control, 133 controles agrupados en
11 dominios diferentes, estas dos normas son complementarias y de ellas solo la
ISO/IEC 27001 es certificable, en este grupo de normas encontramos también la ISO
27003 que es un manual para la implementación del sistema de gestión de seguridad
de la información, la ISO 27004 en donde se especifican las técnicas de medida y las
métricas aplicables para poder determinar la eficacia de un SGSI, la ISO 27005 que trata
sobre gestión de los riesgos de seguridad de la información, la ISO 27006 que trata los
requisitos para lograr la acreditación de las entidades de auditoria y certificación de
SGSI.
Un SGSI es un sistema de gestión que comprende la política, estructura organizativa,
procedimientos, procesos y recursos necesarios para implantar la gestión de la
seguridad de la información, la implementación de un SGSI tiene entre otros ls
181
beneficios de mantener una visión común de la seguridad apoyados en un estándar
internacional que además es certificable, da herramientas a la organización para que
defina la estructura organizativa necesaria para cubrir las funciones de seguridad
necesarias para cumplir con los objetivos planteados del SGSI, permite en este mismo
sentido ubicar los recursos y optimizarlos para sacar mayor provecho de los mismos, la
norma está basado en el ciclo PHVA que tiene implícito un proceso de mejora continua
que garantiza que se incorporen las lecciones aprendidas.
10.2 El Estándar ISO/IEC 27001:2013
La ISO “International Organization of Standardization” se creó en el año 1947,
representa más de 160 países y tiene su sede principal en Ginebra Suiza, es la entidad
que más desarrolla y publica estándares de diferente tipo en el mundo, la sigla IEC que
acompaña es de “International Electrotechnical Commission”, las normas relacionadas
con seguridad son llevadas por el comité técnico de tecnologías de la información
(JTC1) en el subcomité número veintisiete.
La serie 27000 describe los pasos para el establecimiento, monitoreo,
mantenimiento, mejora y auditoria de las normas de seguridad, basadas en las normas
del British Standard (BS) que en 1995 publico la norma BS 7799 con el objetivo de
proporcionar una guía de buenas prácticas para la gestión de la seguridad de la
información, luego el BS publica en 1998 la segunda parte de la norma que contenía las
especificaciones de un SGSI y que ya era una norma que podía ser certificable, las dos
partes de esta norma se revisaron el en año 1999 y la primera parte de la misma fue
adoptada por ISO sin mayores cambios como la ISO 17799 en el año 2000, en el año
2002 se revisó la parte dos de la norma conocida ya como BS 7799-2 para adaptarla a
los sistemas de gestión que llevaba la ISO para sus demás normas, en el año 2005 se
publica con algunos cambios la norma BS 7799-2 como ISO 27001:2005 actualmente la
182
versión disponible es la ISO/IEC 27001:2013 su última modificación fue en diciembre
de 2015 con ajustes en la declaración de aplicabilidad.
ISO continúa trabajando con las normas de la serie 27000 que incluyen las siguientes:
27001 Requisitos del sistema de gestión de seguridad de la información
27002 Código de practica para controles de seguridad de la información
27003 Aspectos críticos para el diseño e implementación de un SGSI
27004 Métricas y técnicas de medida aplicables para determinar la eficiencia de un SGSI
27005 Directrices para la gestión de riesgo en la seguridad de la información
27006 Requisitos para la acreditación de entidades de auditoria y certificación del SGSI
27007 Guía de auditoria de un SGSI.
27008 Guía de auditoria de los controles seleccionado en el marco de la
implementación de un SGSI.
27009 Requisitos para el uso de la norma ISO 27001 en cualquier sector
27010 Guía para la gestión de seguridad de la información cuando se comparte entre
organizaciones o sectores.
27011 Guía de interpretación de la implementación y gestión de la seguridad de la
información en organizaciones del sector de las telecomunicaciones basada en la
ISO/IEC 27002.
27013 Guía de implementación integrada de ISO/IEC 27001:2005 y de ISO/IEC 2000-1
Gestión de servicios de TI.
27014: Guia para el gobierno corporativo de la seguridad de la información.
27031 Guía de apoyo para la adecuación de las tecnologías de la información y
comunicación (TIC) de una organización para la continuidad del negocio.
27032 Da orientación para la mejora del estado de seguridad cibernética.
27034 Seguridad en aplicaciones informáticas.
183
27035 Gestión de incidentes de seguridad de la información.
27036 Seguridad en las relaciones con proveedores.
27037 Directrices para las actividades de identificación, recopilación, consolidación y
preservación de evidencia digital en dispositivos móviles.
La norma ISO/IEC 27001 está dividida en 10 numerales que son los siguientes:
1. Objeto y campo de aplicación
2. Referencias normativas
3. Términos y definiciones
4. Contexto de la Organización
5. Liderazgo
6. Planificación
7. Soporte
8. Operación
9. Evaluación del desempeño
10. Mejora
Existen algunas otras, pero las anteriores eran las más representativas, como se puede
observar tiene cubiertos una gran cantidad de campos de acción. La norma se puede
enmarcar dentro del ciclo de Deming o ciclo PHVA (Planear, hacer, verificar y actuar o
en Ingles ciclo PDCA Plan, Do, Check, Act) y dentro de este ciclo se pueden enmarcar los
númerales más representativos de la norma
184
Ilustración 1: Ciclo PHVA ISO/IEC 27001
Tomada de: https://www.arconsultor.es/anexo-sl/
Como se observa en la ilustración uno (1), se ubican los numerales de la norma en el
ciclo de Deming, el mayor número de numerales están asociados a la actividad de
planeación, para las otras actividades del ciclo se define solo un numeral de la norma
para cada una de ellas.
El entendimiento del contexto en el cual se desenvuelve la organización, junto con el
entendimiento de los requerimientos y expectativas de las partes interesadas es vital
para la fase de planeación del SGSI, esta información permite clarificar el alcance del
sistema, alcance que en un inicio la organización debe tener ya contemplado, dado que
esta norma es certificable las organizaciones deberían definir el alcance para cubrir sus
procesos core del negocio más el proceso de tecnología (en los pocos casos en los cuales
la tecnología no forme parte del core del negocio), sin embargo en algunas
organizaciones se define un alcance más puntual y no tan ligado a los procesos core del
negocio.
185
Es un error muy común en la interpretación de la norma, incluso de algunos
auditores de la misma, pensar que el alcance del SGSI debe contemplar un proceso
completo y que este debe ser un proceso core de la organización, dado que la
organización es la que establece el alcance, se puede establecer de manera muy acotada
para un subproceso y para un conjunto muy limitado de actividades no relacionadas
con el objetivo de la organización y este alcance será válido, aunque no haga mayor
sentido, esta práctica la usan algunas organizaciones para poder promocionar que
cuentan con la certificación en ISO/IEC 27001 aunque cuando se detalle el alcance, este
sea para un subproceso que no tiene nada que ver con el objeto social de la organización
10.3 Análisis de Riesgos y las Metodologías
Dentro del SGSI el análisis de riesgos es uno de los procesos más importantes por
tanto permite identificar los riesgos del mismo proceso del SGSI como de los activos de
la información que están involucrados en los procesos definidos para el alcance,
alineados específicamente con el numeral “6.1 Acciones para tratar riesgos y
oportunidades”, y dentro de este numeral con los numerales “6.1.2 Valoración de
riesgos de la seguridad de la información” y el numeral “6.1.3 Tratamiento de
riesgos de la seguridad de la información”.
Específicamente en el numeral 6.1.2 se solicita a la organización definir y aplicar un
proceso de valoración de riesgos de la seguridad de la información que permita
establecer los criterios de valoración y de aceptación, para el análisis y la evaluación de
los riesgos. En el numeral 6.1.3 se solicita a la organización definir y aplicar un proceso
de tratamiento de los riesgos de la seguridad de la información que permita seleccionar
las opciones de tratamiento de los riesgos, determinar los controles para los mismos,
comparar los controles definidos con los sugeridos en el anexo A (ISO/IEC 27002),
producir una declaración de aplicabilidad con la justificación de las exclusiones de
186
controles, y tener aprobación del plan de tratamiento de los riesgos de parte de los
dueños de los mismos.
Como puede observar el lector, los numerales nos dicen que hacer, pero no dicen el
cómo, para este análisis de riesgos existe la norma ISO 31000 Gestión de riesgos, que
nos muestra los aspectos a tener en cuenta para el establecimiento de un sistema de
gestión de riesgos eficiente, sin embargo allí tampoco nos aclaran el cómo,
afortunadamente las metodologías de gestión de riesgos existen y están lo bastante
maduras como para utilizarlas con toda confianza en nuestro ejercicio de identificación
y valoración de los riesgos a los que está sometida una organización, dos de las más
populares metodologías de análisis y gestión de riesgos son Magerit del gobierno
español y la metodología NIST Special Publication 800-30 del National Institute Of
Standards and Technology, que es la agencia de administración de tecnología del
departamento de comercio de los Estados Unidos
Ilustración 2: Elementos del análisis de riesgo
Portal de Administración Electrónica (2017). Magerit V.3: Obtenida en:
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Mageri
t.html#.WRnyjIiGO00
187
La metodología Magerit, la desarrollo el consejo superior de administración
electrónica de España y su última actualización es de diciembre de 2012 en su versión
3, el lector puede observar en la ilustración dos (2), los elementos del análisis de riesgos
de la metodología Magerit versión 3, como metodología Magerit está dividida en tres
libros
1. Libro 1. Método
2. Libro II. Catálogo de elementos
3. Libro III. Guía de técnicas
La metodología es bastante detallada y proporciona las herramientas necesarias
para implementar el método de análisis y evaluación del riesgo con el apoyo del libro
uno “Método” en el libro dos “Catálogo de Elementos” se encuentra la información
suficiente para realizar el levantamiento de la información de los activos, dimensiones
de la valoración, criterios, amenazas y controles con un gran nivel de detalle, en el libro
tres “Guía de Técnicas”, tratan el método de análisis de riesgos, su proceso de gestión,
y el plan de seguridad y proporcionan orientación acerca del uso de técnicas como
análisis mediante tablas, análisis algorítmico, arboles de ataque y técnicas graficas
como histogramas, diagramas de Pareto entre otras
Los pasos a seguir para en el método de análisis de riesgos son los siguientes:
1. Determinar los activos que son relevantes para la organización
2. Determinar las amenazas a que están expuestos dichos activos
3. Determinar los controles (salvaguardas) existentes y su eficacia frente a los riesgos
4. Estimar el impacto (daño sobre al activo al materializar una amenaza)
5. Estimar los riesgos (Impacto ponderado con la tasa de ocurrencia de la amenaza)
188
Ilustración 3: Decisiones de tratamiento de riesgos
Magerit V.3: Metodología de análisis y Gestión de riesgos de los sistemas de
información. Obtenida en: https://administracionelectronica.gob.es
En la ilustración tres, el lector puede observar las decisiones en el tratamiento de
riesgos, en el punto de decisión los riesgos se aceptan, se tratan, se estudian mejor
desde el punto de vista de costo / beneficio o se tratan, para el tratamiento entonces se
tienen las tres opciones, evitar, mitigar o compartir que aquí hace referencia al concepto
tradicional de transferir el riesgo, y menciona que existen dos formas de compartir el
riesgo que es el riesgo cualitativo que se comparte por medio de externalización de
componentes del sistema y riesgo cualitativo que se comparte por medio de la
contratación de seguros y habla de una forma de tratamiento llamada financiación, en
donde la organización provisiona unos fondos que se usaran para cuando el riesgo se
materialice el riesgo y se deba responder por las consecuencias ocasionadas.
189
La otra metodología que revisaremos es la del NIST Special Publications 800-30 este
documento es una publicación especial dentro de la serie de documentos del NIST que
presenta una propuesta de metodología “Guide for conducting risk assessments” y esta
originalmente pensada para aplicar en organizaciones y sistemas del gobierno de los
Estados Unidos, esta propuesta esta denro de la serie 800 del NIST que se refiere al
tema de Computer Security
Ilustración 4: Proceso de evaluación de riesgos
NIST (2017). SP 800-30 R1: Guide for conducting risk assessment. Obtenida en:
http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30r1.pdf
El primer paso del proceso es realizar la preparación para la evaluación de riesgo,
que propone la guía este dividido en las siguientes actividades:
Identificar el propósito de la evaluación
Identificar el alcance de la evaluación
190
Identificar los supuestos y limitaciones asociadas con la evaluación
Identificar las fuentes de información que se usaran como insumo para la
evaluación
Identificar el modelo de riesgo y los enfoques analíticos (es decir enfoques de
análisis) que se emplearan durante la evaluación.
Para el segundo paso que es realizar la evaluación los pasos sugeridos por la guía son
los siguientes:
Identificar las fuentes de amenazas y eventos de amenazas relevantes para la
organización
Identificar las vulnerabilidades que podrían ser explotadas por fuentes de
amenazas a través de eventos y las condiciones que predispondrían la
explotación exitosa
Determinar la probabilidad de ocurrencia de los eventos
Determinar los impactos adversos a las operaciones y activos de la
organización, a los individuos y a su entorno como resultado de la explotación
de las vulnerabilidades
Determinar los riesgos de seguridad de la información como una combinación
de probabilidad de amenaza de explotación de vulnerabilidades con su
respectivo impacto.
Para el paso tres comunicar y compartir la evaluación de riesgos, el objetivo de este
paso es asegurar que las personas que toman las decisiones en la organización tengan
la información necesaria relacionada con los riesgos para informar y tomar decisiones,
las dos actividades sugeridas por la guía son:
Comunicar los resultados de la evaluación de riesgos.
Compartir la información desarrollada durante la ejecución de la evaluación
para apoyar otras actividades de gestión de riesgos.
191
Para el paso cuarto mantener la evaluación, el objetivo es mantener debidamente
actualizado el conocimiento específico de los riesgos en que puede incurrir la
organización, para este paso la guía sugiere dos actividades:
Monitorear los factores de riesgo identificados en las evaluaciones de manera
continua y comprender los cambios subsiguientes.
Actualizar los componentes de las evaluaciones de riesgos para que reflejen las
actividades de la organización.
Otra de las metodologías que se pueden utilizar para la evaluación y gestión del
riesgo es la norma ISO 31000:2009, el propósito de esta norma de gestión del riesgo, es
proporcionar unos principios que se deben satisfacer para que la gestión del riesgo sea
eficaz, la norma es genérica, es decir no es especifica de un industria o sector concreto,
y aunque proporciona directrices genéricas su objetivo no es promover la uniformidad
en la gestión del riesgo, y acota que el diseño y la implementación de planes y marcos
de trabajo de gestión del riesgo necesitarán tener en cuenta las diversas necesidades de
una organización específica, sus objetivos particulares, su contexto, su estructura, sus
operaciones, sus procesos, sus funciones, sus proyectos, sus productos, sus servicios o
sus activos y practicas especificas utilizadas.
192
Ilustración 5: Proceso de Gestión del Riesgo ISO 31000
ISOTools (2015). ISO 31000: La norma para gestionar los riesgos en su organización. Obtenida
en: https://www.isotools.org/2015/03/25/iso-31000-norma-gestionar-riesgos-organizacion
Para esta norma internacional se utilizan dos expresiones “gestión de Riesgo” y
“gestionar el riesgo” la primera se refiere a la arquitectura (principios, marco de trabajo
y proceso) y “gestionar el riesgo” hace referencia a la aplicación de la arquitectura
sugerida para los riesgos particulares de la organización.
La definición de riesgo que introduce esta norma es “Efecto de la incertidumbre
sobre la consecución de los objetivos” que es una nueva vista sobre la clásica vista de
ver el riesgo como una combinación entre las probabilidades de ocurrencia y sus
consecuencias.
En cuanto al marco de trabajo de la gestión del riesgo, la norma lo trata como un
conjunto de elementos que proporcionan los fundamentos y las disposiciones de la
organización para el diseño, la implantación, el seguimiento, la revisión y la mejora
continua de la gestión del riesgo en toda la organización.
193
Uno de los beneficios más importantes de usar esta norma está en la apropiación del
concepto de la incertidumbre en la gestión de los riesgos, la introducción de este
concepto cambia completamente el entendimiento de los riesgos y su gestión y facilita
a la organización un punto de vista diferente acerca de estos procesos.
10.4 Integración del SGSI (ISO 27001) e ISO 9001 – 14000
La adopción de varias normas ISO como referentes en sus diferentes procesos para
una organización, nos lleva a preguntarnos como afrontar la implementación para
tratar de optimizar los recursos y no duplicar los esfuerzos requeridos que no son
pocos, si se analizan de cerca las normas, nos podemos dar cuenta que, gracias a su
homogeneidad, hay factores comunes que se pueden trabajar de manera transversal
para las diferentes normas, algunos de ellos son los siguientes:
Contexto de la Organización
Partes interesadas y requisitos
Responsables y niveles de autoridad
Comunicación, sensibilización
Control documental
Auditorías al sistema
Con estos elementos definidos de manera común o sirviendo de apoyo, se ahorran
esfuerzos y se mantiene la uniformidad de la información que se presenta en cada
sistema, la utilización además de un software para el registro, consulta y
almacenamiento de evidencias de las diferentes normas, puede ayudar también en gran
medida a no duplicar los esfuerzos en temas de documentación y generación de
evidencias a la vez que facilita su integración y consulta a las partes interesadas.
194
10.5 Ejemplos
Como ejemplo para este capítulo podemos mencionar el esfuerzo de MinTic con su
documento “Modelo de seguridad y privacidad de la Información”, en este documento
MinTic, tuvo en cuenta los aspectos legales que son de obligatorio cumplimiento y
genero este documento que está enfocado en las organizaciones del sector gobierno,
donde recoge las buenas prácticas de la industria en cuanto a los modelos de gestión de
seguridad de la información, el documento también contempla la ley de transparencia
de datos, por lo que el documento nos puede servir de guía para los proceso de
implementación de estándares de seguridad en organizaciones tanto públicas como
privadas.
Otro documento de ejemplo que es muy interesante es la guía también de MinTic
titulada “Guía de gestión de riesgos”, esta guía está integrada con el modelo de
seguridad y privacidad de la información y a su vez apoyada en la guía de gestión de
riesgos del DAFP “Departamento Administrativo de la Función Pública” y contempla
elementos de otros modelos de gestión como el del Modelo Estándar de Control Interno.
10.6 Reflexiones
El inventario de los activos de información de una organización, debe ser una
actividad que se realice sobre los activos de los procesos de core o misionales del
negocio y debe realizarse con la compañía de una persona del proceso, con el fin de
determinar si los diferentes instrumentos reportados si forman parte de los activos de
información relevantes del área es son solamente colecciones de data que si bien
necesitan algún nivel de protección no se constituyen en activos de seguridad de la
información a proteger por la organización.
La integración de diferentes normas ISO es común en las organizaciones que quieren
certificar varias de sus actividades, se debe revisar en detalle con las áreas a cargo de
cada una de estas certificaciones con el fin de aunar esfuerzos y no duplicar ni la
195
información ni los esfuerzos que se deben realizar para la implementación de las
diferentes normas, por lo contrario, se deben ubicar los puntos comunes entre las
normas para optimizar los recursos asignados a las actividades.
10.7 Conclusiones
La implementación de un sistema de gestión de seguridad de la información, es un
gran proyecto, que hace sentido si la organización tiene interiorizados los conceptos de
seguridad y estos están adaptados a su cultura organizativa, la certificación de la
conformidad de parte de un ente externo da a la organización la tranquilidad de tener
madurez en sus procesos de seguridad y visibilidad ante los terceros de que esta
ejecutando las labores de gestión del sistema de seguridad de la información
incluyendo las acciones de mejora necesarias para madurar y mejorar su sistema de
gestión.
El seguimiento de un estándar internacional ampliamente conocido para la gestión
de seguridad de la información y el de sus controles sugeridos brinda la confianza de
aplicar de manera uniforme las mejores prácticas de seguridad, usualmente con las
mismas herramientas técnicas con las que las aplica la competencia, razón para intentar
generar factores diferenciales en la implementación del modelo de gestión.
196
197
Capítulo XI
Au
dit
ori
a d
e Se
guri
dad
de
la
Info
rmac
ión
Auditorías Internas
Metodología para Auditoria del SGSI
Técnicas e Instrumentos para Auditoria
Auditoria de Certificación
Ejemplos
Reflexiones
Conclusiones
Auditoria de Seguridad de la Información
198
199
Capítulo 11: Auditoria de Seguridad
de la Información
Una auditoria es un proceso formal, independiente, sistemático y documentado que
permite obtener evidencias cuantitativas y cualitativas con el fin de evaluar de manera
objetiva un proceso para determinar si cumple con unos criterios de referencia. Los
procesos de auditoria de seguridad de la información formales se realizan utilizando
como guía la norma ISO 19011:2011 norma preparada por el comité técnico ISO7TC
176, Gestión Aseguramiento de la Calidad y el subcomité SC 3 Tecnologías de Apoyo,
para la versión del 2011 que actualizo la versión del 2002 las principales diferencias
fueron las siguientes:
Se amplió el alcance de auditoria de sistemas de gestión de calidad y ambiental
a la auditoria de cualquier sistema de gestión
Se aclaró la relación entre la ISO 19011 y la ISO/IEC 17021
Se introdujeron métodos remotos de auditoria y el concepto de riesgo
Se adiciono la confidencialidad como principio de auditoria
Se reorganizaron las cláusulas 5,6 y 7
Se fortalecieron los procesos de determinación de competencias y de evaluación
Se incluyeron ejemplos de conocimiento específico de disciplina y de otras
habilidades en el nuevo anexo A.
11.1 Auditorías Internas
Existen varios conceptos que es necesario tener claros dentro del proceso de
auditoría, y uno de los más importantes es comprender los tipos de auditoria que
existen y como cada una de ellas puede ser realizada, lo mismo que las personas que
intervienen en la misma.
200
Auditoria Interna Auditoria Externa
Auditoria a terceros Auditoria de 3ra Parte
A veces llamada auditoria de
primera parte, son auditorías
realizadas por o en nombre de la
organización
Llamada auditoria de segunda
parte que se realiza a terceros
como proveedores la desarrolla la
propia empresa o contrata a
alguien en su nombre
Auditoria para propósitos legales
y similares, realizadas por
auditores independientes de la
organización que pueden
certificar que un sistema cumple
con los criterios de referencia
La ISO 19011:2011 no establece requisitos, provee una guía para el manejo del
programa de auditoria propuesto en los aspectos de planeación y realización de la
misma, así como a la competencia del equipo auditor.
11.2 Metodología para Auditoria del SGSI
La norma ISO 19011:2011 tiene en términos generales la siguiente estructura
1. Alcance
2. Referencias Normativas
3. Términos y condiciones
4. Principios de auditoria
5. Gestión de un programa de auditoria
6. Realización de la Auditoria
7. Competencias y evaluación de auditores
El conocimiento de los diferentes numerales es un factor clave para emprender un
ejercicio de este tipo, aunque regularmente este tipo de trabajos los hacen equipos de
auditores con demostradas competencias, y conocimientos profundos, el auditor junior
suelen acompañar este ejercicio como observadores con el fin de ir adquiriendo las
competencias necesarias con miras a llegar a ser auditor líder
201
Ilustración 6: Diagrama de flujo del Proceso de Gestión de una Auditoria
Obtenida en: https://www.slideshare.net/williblack/ntc-iso-19011
En la ilustración seis (6) el lector puede observar a los lados, las fases del ciclo de
Deming asociado a las diferentes numerales de la norma, con lo cual queda también
diagramada en esta imagen la aplicación de la metodología Planificar – Hacer – Verificar
y Actuar en donde los números hacen referencia a los diferentes capítulos de la norma
El seguimiento de los diferentes numerales es clave para el éxito de la auditoria del
SGSI, sin embargo existen algunos numerales que vamos a revisar, en el numeral “5.2
Establecer los objetivos del programa de auditoria” se recomienda basar estos objetivos
202
en las prioridades de la gerencia, las intenciones comerciales, las características de los
productos y proyectos, los requisitos legales y contractuales y el cumplimiento de las
expectativas con terceros, riesgos y resultados de auditorías previas entre las
principales.
En el numeral “5.3.3 Establecer el alcance del programa de auditoria” este alcance
puede variar dependiendo del sistema de gestión a auditar y de la organización en la
cual este implementado el sistema
Algunas otras consideraciones a tener en cuenta son el objetivo, alcance y duración
de cada auditoria a realizar, el número, complejidad y ubicación geográfica de las
actividades a auditar, los criterios que se van a aplicar, conclusiones y/o informes de
las auditorias previas, temas de idioma y culturales, disponibilidad de la información,
posibilidad de uso de métodos de auditoria remotos, incidentes de salud, seguridad, y
otros.
En el numeral “5.5 Monitoreo del programa de auditoria” se mencionan las
necesidades de evaluar la conformidad con los programas de auditoria, cronogramas y
objetivos de la auditoria, lo mismo que de la necesidad de evaluar el desempeño del
equipo auditor, y de evaluar la retroalimentación dada por parte de la alta gerencia,
auditados, auditores y otras partes interesadas
En el numeral “5.4.7 Gestión y mantenimiento de registro del programa de auditoria”
se solicita que la persona que gestione la auditoria asegure que se gestionen y
mantengan los registros que permitan demostrar la implementación del programa de
auditoria, algunos de los registros deberían ser:
Registros relacionados con el programa de auditoria como, objetivos y alcance del
programa, aquellos que tratan los riesgos del programa de auditoria, revisiones de la
efectividad del programa de auditoria, registros relacionados con cada auditoria
individual como planes y reportes de auditoria, reportes de no conformidad, reportes
de acciones correctivas y preventivas, reportes de auditorías de seguimiento si son
aplicables, los últimos tipos de recursos son los relacionados con personal de auditoria
203
que cubren temas como competencia y evaluación del equipo auditor, selección de
equipos de auditoria, y mantenimiento y mejora de la competencia.
En el numeral “5.5 Monitoreo del programa de auditoria” las labores de monitoreo
hacen referencia al monitoreo de los factores que nos pueden indicar la necesidad de
modificar el programa de auditoria, algunos de estos factores pueden ser los hallazgos
de la auditoria, cambios en el sistema de gestión, cambios en requisitos normativos,
cambios en requisitos contractuales.
En el numeral “5.6 Revisión y mejora del programa de auditoria” se deben revisar
entre otros temas los siguientes, resultados y tendencias del monitoreo del programa
de auditoria, necesidades y expectativas de las partes interesadas, métodos alternativos
o nuevos de auditoria.
En el numeral “6 Realización de la auditoria” tenemos las generalidades de la
realización de la auditoria y en los numerales siguientes los pasos en la ejecución de la
misma como podemos observar en la ilustración siguiente
204
Ilustración 7: Diagrama de flujo del Proceso de Gestión de una Auditoria
Obtenida de la Norma ISO 19011:2011
En la ilustración siete (7) se observa la estructura de las actividades típicas de la
realización de la auditoria, vamos a revisar las recomendaciones más relevantes para
cada uno de los numerales
205
En el numeral “6.2 Inicio de la Auditoria” se tratan temas acerca de establecer
contacto de manera inicial con el auditado de parte del auditor líder, para establecer
entre otros la autorización del inicio de la auditoria, proveer información acerca de los
objetivos, alcance y métodos de la auditoria, composición del equipo auditor,
programar las fechas, establecer requisitos, y esclarecer las dudas del auditado en
relación con la ejecución de la auditoria.
En el numeral “6.3 Preparación de actividades de auditoria” de hace referencia al
proceso de preparación de las actividades de la auditoria, entre los que están la revisión
de la documentación de la auditoria, la preparación del plan de la auditoria, asignación
de trabajo al equipo auditor, preparación de los documentos de trabajo, los registros
obtenidos durante la realización de la auditoria deben ser resguardados al menos hasta
que termine la misma.
En el numeral “6.4 Realización de actividades de auditoria” trata temas acerca de la
realización de reunión de apertura, que no es solo un ejercicio de presentación del
equipo auditor y el plan general de la auditoria, sino que tiene muchos otros
componentes adicionales como la presentación de idioma a utilizar, métodos,
condiciones de seguridad requeridas, métodos de gestión de riesgos, condiciones en las
cuales se finaliza la auditoria, mecanismos de retroalimentación al auditado entre otras,
la revisión documental durante la auditoria tiene su propio numeral, lo mismo que el
proceso de comunicaciones durante la auditoria, luego de ello trata la asignación de
roles y responsabilidades para las personas con la función de guías y observadores de
la auditoria, de la recolección y verificación de la información.
206
Ilustración 8: Proceso de recolección y verificación de la información
Obtenida de la Norma ISO 19011:2011
Luego de realizar el proceso de recolección y verificación de la información, se evalúa
la evidencia recolectada y se comienza a realizar la generación de los hallazgos de la
auditoria junto con algunas recomendaciones para el manejo de las mismas y para la
preparación de las conclusiones de la auditoria, luego de ello se trata el tema de la
reunión de cierre y de los aspectos a tener en cuenta en esta reunión, entre los que se
cuentan el método de reporte, la presentación de los hallazgos y conclusiones para que
sean comprendidos por la audiencia presente en la reunión, que generalmente está
compuesta por la alta dirección del auditado y que puede tener problemas
interpretando algunos de los hallazgos.
207
En él numeral “6.5 Preparación y distribución del reporte de auditoria” la norma nos
ayuda a comprender los elementos a tener en cuenta para la preparación del reporte
de auditoria, su distribución a los miembros acordados, la formalización de la
terminación de la auditoria, y la realización de seguimiento a la misma una vez
terminada.
En el numeral “7 Competencia y evaluación de Auditores” se mencionan las
generalidades de este apartado, se menciona la determinación de las competencias
necesarias para satisfacer las necesidades del programa de auditoria, las normas de
comportamiento personal que deben seguir los auditores, los conocimientos y
habilidades que debe tener el equipo, aspectos en la realización de la evaluación del
auditor y en el mantenimiento y mejora de la competencia del mismo.
11.3 Técnicas e Instrumentos para Auditoria
La auditoría se realiza para conseguir pruebas con el fin de evidenciar el
cumplimiento de la organización con respecto a los requisitos establecidos en la norma,
las técnicas e instrumentos para la realización de la auditoria pueden ser varias, ente
las más usuales están la revisión de la documentación, las entrevistas, las visitas a las
instalaciones de la organización para realizar inspección visual de la operación habitual
que allí se realiza e inclusive la realización de pruebas técnicas de ser necesarias para
evidenciar los niveles de cumplimiento de los requisitos.
Revisión Documental: Las preguntas más importantes que debe responder la
documentación del SGSI para el auditor son:
¿Existe documentación que describa el SGSI?
¿Se han establecido procedimientos adecuados para el control de la documentación del
sistema?
208
¿Los documentos poseen las condiciones y el formato adecuado?
¿El sistema documentado responde a la norma?
¿Los procedimientos describen lo que sucede en la organización?
¿La documentación está correctamente controlada?
¿Existe evidencia objetiva de que los procedimientos son respetados?
Para responder estas preguntas la documentación debe incluir registros de las
decisiones de gestión, garantizar que las acciones sean rastreables a las decisiones y
políticas de gestión, y además debe garantizar que los resultados registrados sean
reproducibles.
La revisión de la documentación debe realzarse teniendo en cuanta el tamaño de la
organización, su naturaleza y su complejidad, así como los objetivos y el alcance de la
auditoria, y esta revisión le debe permitir al auditor debe identificar los principales
riesgos del negocio, usarla para evaluar si los procesos definidos por el auditado son los
adecuados de acuerdo con el alcance definido, para la preparación de la auditoria, en
general el auditor debe recopilar la información suficiente y necesaria del alcance del
SGSI, de los procesos, las ubicaciones de la organización, así como del contexto en
cuanto a los aspectos legales y reglamentarios asociados al cumplimiento como los
aspectos de calidad, ambientales, y sus riesgos asociados. Revisando la documentación
de las auditorias anteriores, el auditor puede evaluar si las auditorías internas y la
revisión por l dirección se planifican y realizan y le debe permitir determinar si el SGSI
de la organización está preparado para una auditoria de certificación.
Algunos de los documentos y registros típicos que se deben solicitar y revisar son los
siguientes:
Procedimientos de riesgos de la seguridad de la información
Lista de riesgos identificados
209
Criterios para la evaluación de riesgos
Registros de las medidas de control y seguimiento de riesgos
Requisitos legales y normativos
Lista de requisitos legales y normativos aplicables a la organización
Instrucciones de cumplimiento adecuadas
Evidencias de comunicación de cambios legales y normativos
Objetivos y programas de Seguridad de la Información
Evidencias del desarrollo y/o establecimiento de los objetivos
Listas de objetivos y metas
Planes de acción relacionados
Estructura y responsabilidad
Descripción de los puestos de trabajo
Organigrama
Capacitación en Concienciación y competencia
Lista y/o matriz de necesidades de capacitación
Listas de asistencia a los eventos
Registro de evaluación de retroalimentación realizadas
Consultas y Comunicación
Registros de comunicación entre dirección y empleados
Instrucciones a los empleados, contratistas y visitantes acerca de seguridad de
la Información
Control de Documentos
Documentos
210
Evidencias de la modificación y autorización de los mismos
Sistema de versionamiento de los documentos del Sistema
Control Operativo
Lista / matriz de operaciones con sus aspectos críticos
Instrucciones específicas relacionadas con el SGSI dentro de los manuales
operativos
Políticas de seguridad que tienen relación con proveedores y contratistas
Preparación y respuesta ante emergencias
Planes y protocolos de emergencia
Resultados de prácticas y simulacros
Seguimiento y medición
Objetivos y metas con relación a los planes de acción
Procedimientos e instrucciones de trabajo específicos
Registros de la información recopilada a través del seguimiento y medición
No conformidades, acciones correctivas e Incidentes
Informes de accidentes
Informes de acciones correctivas
Evidencias de debates y seguimientos
Registros
Registros
Auditoria del SGSI
Procedimientos de auditoria, listas de verificación y formularios específicos
Actas y documentos de trabajo de la auditoria del SGSI
211
Informes de auditoría del SGSI
Revisión por la Dirección
Actas de reuniones y lisas de asistencia
Evidencias de acciones de Seguimiento
Entrevistas: Las entrevistas deben realizarse de manera concertada con el auditado y
deben ser tanto a las personas que hacen parte del organigrama del SGSI como a las
personas que ejecutan los procesos a los cuales les aplican las políticas o controles de
seguridad que están siendo aplicados y que forman parte del alcancen del SGSI, se
pueden realizar en ellas cuestionarios abiertos o cerrados, las preguntan no deben ser
conducidas, es decir que obliguen al auditado a contestar de cual o tal manera, las
preguntas buscan información específica de un empleado de la organización, las
preguntas abiertas en las entrevistas son una de las mejores fuentes de información,
algunas de las preguntas típicas son:
¡Qué busca la política del SGSI y que significa para usted?
¿Cómo se comunicó la implementación del SGSI al interior de la organización?
¿Qué capacitación ha recibido del SGSI?
¿Qué hace ante la no conformidad de un procedimiento?
¿Cuáles son los riesgos asociados a su proceso?
¿Cuáles son sus responsabilidades en relación con las actividades de control?
Es muy importante realizar las preguntas adecuadas, para ello se pueden emplear
preguntas abiertas, preguntas cerradas, o preguntas inductivas, además se pueden
realizar preguntas hipotéticas para ver como las responde el auditado.
212
Visitas a las Instalaciones del auditado: Estas visitas son importantes para el
levantamiento de la evidencia de la conformidad con la norma, las visitas se deben
realizar de acuerdo con el alcance de la auditoria y debe observar los cuidados
industriales, físicos y culturales que exija el auditado, si el número de ubicaciones físicas
a visitar es importante, esto puede requerir un aumento del equipo auditor y una
planeación más estricta en cuanto a la optimización de los recursos disponibles, en la
ISO 27006:2013 existe una tabla que permite calcular el número de días hombre para
la realización de una auditoria basados en el número de empleados de una
organización, con este estimado se puede definir el tamaño del equipo auditor.
Pruebas técnicas: Para la realización de las pruebas técnicas, el equipo de auditoria
puede contar con el apoyo de un experto técnico con el conocimiento necesario para la
realización de las pruebas técnicas adecuadas con el fin de verificar la aplicación de
ciertos controles, esta persona solo realiza su labor de manera profesional y no realiza
ningún aporte adicional a los demás aspectos de la auditoria, no es un auditor, es solo
un experto técnico que apoya a la auditoria.
11.4 Auditoria de Certificación
La auditoría de certificación la debe realizar un ente acreditado, para el caso de
Colombia el organismo que acredita a las entidades en ENAC “Entidad Nacional de
Acreditación”, en otros países operan entidades como UKAS Gran Bretaña o COFRAC
Francia, las organizaciones que deseen ofrecer servicios de certificación deben cumplir
con los requisitos de la norma ISO/IEC 17021, esta norma recopila los requisitos de
imparcialidad, competencia y proceso que debe tener el ente auditor y con ello se busca
garantizar la idoneidad de los entes que prestan estos servicios, lo mismo que la
homogeneidad del servicio prestado y las cualidades profesionales y éticas de los
auditores de las mismas.
213
En términos generales, si el proceso lo realiza la organización por primera vez, lo que
debe hacer es buscar una de estas auditoras acreditadas, y solicitar la cotización de este
servicio profesional, aquí como en otros servicios, el detalle de la cotización y los
valores agregados que el solicitante le vea a la propuesta será el factor determinante
para la toma de decisión, las recomendaciones de otras organizaciones o las
experiencias previas de los integrantes del equipo que diseño e implemento el SGSI
servirán para filtrar en primera instancia a los proponentes.
Una vez seleccionada la oferta según los criterios que para llevar a cabo este proceso
tengan definidos en la organización y cerrar los aspectos contractuales y económicos
necesarios, la entidad certificadora seleccionada deberá entregar un plan de auditoria
que consiste en la presentación del equipo auditor, los procesos del alcance, las fechas
propuestas, los recursos y la metodología con la que se realizara la auditoria. Para
facilitar la auditoria, regularmente se acuerda entre las partes realizar una
preauditoría, o es común que las organizaciones que se van a enfrentar a este tipo de
auditorías por primera vez, contraten primero una preauditoría con el fin de evaluar el
estado del SGSI y de sus controles antes de realizar la auditoria de certificación, esta
preauditoría se realiza con el fin de practicar la auditoria de certificación y permite
conocer las acciones de mejora del sistema con el fin de ajustarlas y/o afinarlas con
miras a la auditoria de certificación.
Para la realización de la auditoria de certificación se usan dos fases, en la primera
fase, el equipo auditor analiza la documentación mínima requerida del SGSI de la
organización, y sobre este análisis se resaltan los posibles puntos de mejorar y/o
incumplimiento del estándar, y estos puntos se tendrán muy en cuenta para su revisión
en la fase siguiente, los tiempos entre la primera fase y la segunda son de entre 2 a 6
meses, tempos que se pueden acordar entre las partes y que serán definidos de acuerdo
a los resultados del análisis realizado a la documentación solicitada por el equipo
auditor en cabeza del auditor líder.
214
En la segunda fase, se realiza la reunión de apertura de la auditoria que debe incluir
la presentación del equipo de auditoria, el objetivo de la misma, los alcances, los
procesos objetivos, la metodología de realización, las condiciones de seguridad
industrial, de la información, de salud en el trabajo y las demás consideraciones
necesarias para llevar la auditoria a buen término, se debe presentar la agenda de la
auditoria, los recursos necesarios de parte del auditado, las técnicas de auditoria a
utilizar, presentar y acordar los canales oficiales de comunicación.
Luego de la realización del proceso de auditoría, el equipo auditor se reúne consolida
el informe de la auditoria y se realiza la reunión de cierre en donde se presentan las
conclusiones de las mismas, las observaciones y las no conformidades menores y
mayores con la norma si las hubiera, se explican al auditado y se dan los tiempos para
la remediación de las no conformidades con el fin de que el auditado pueda definir un
plan de acción a las mismas. Luego de surtido ese proceso, el ente certificador expedirá
un informe en donde recomienda o no a la organización para que sea certificada en la
norma.
La certificación tiene una caducidad de tres años, dentro de los cuales se debe
realizar cada año auditorias de mantenimiento, auditorias que se realizan a partes
especificas del sistema con la finalidad de realizar mejoras continuas al mismo, al
finalizar los tres años, se debe realizar auditoria de recertificación que implica auditoria
a todo el sistema como si fuera la primera vez.
11.5 Ejemplos
Un ejemplo por considerar dentro de las realizaciones de las auditorias de seguridad
en una organización es la independencia de las áreas de seguridad de las áreas de TI,
dependiendo de la madurez de la organización el área de seguridad depende de IT o
215
está por fuera de IT, si el área de seguridad sigue adentro de los procesos de IT, la
evaluación de la efectividad de los controles técnicas y de las herramientas de seguridad
será más sesgado lo que disminuirá la efectividad de la auditoria.
El MinTic dentro de sus documentos cuenta con uno titulado “Controles de seguridad
y Privacidad de la Información” en este documento el MinTic prácticamente presenta el
estándar 27002 con su lista de controles sugeridos y las observaciones para poder
entender que es lo que se espera del control.
11.6 Reflexiones
El proceso de certificación la norma de gestión del sistema de seguridad de la
información ayuda a la compañía a mostrar ante sus clientes, proveedores y
competencia que está gestionando de manera adecuada la seguridad de la información,
sin embargo, al ser la auditoria un ejercicio de muestreo siempre es posible que se
mejore ese proceso de gestión, por lo que el mejoramiento continuo debe ser no solo
una actividad sino una filosofía de trabajo.
El análisis de riesgo debe centrarse en los activos que dan valor a la ejecución de los
procesos misionales de la organización, su valoración y sus controles propuestos deben
estar balanceados costo / beneficio con el fin de que se puedan adoptar para proteger
esos activos identificados.
11.7 Conclusiones
El ejercicio de implementar un sistema de gestión de seguridad de la información y
sus controles asociados para poder evidenciar la gestión es un ejercicio fuerte y
dependiendo el tamaño de la organización es una tarea de varios meses, el proceso de
certificar el sistema mostrando conformidad contra la norma ISO 27001:2013 afianza
216
la confianza sobre el sistema de gestión y sirve para evidenciar la importancia que la
seguridad de la información tiene para la organización.
El punto culminante de todo el proceso de seguridad más allá de los temas técnicos,
es poder certificar un sistema de gestión de seguridad de la información con todos sus
elementos y usando como base la norma ISO 27001, este debería ser el objetivo final de
todas las organizaciones que deseen formalizar y evidenciar la madurez de sus SGSI,
antes de realizar este importante paso además de las acciones procedimentales y
técnicas previas necesarias, es conveniente que la organización apropie el sentimiento
de la seguridad de la información en su quehacer diario con la participación de los
clientes internos como eje fundamental del sistema de gestión y con miras a que todo
el SGSI ayude a la organización a cumplir sus objetivos estratégicos.
217
Capítulo XII
DR
P\P
lan
de
Co
nti
nu
idad
del
N
ego
cio
Conceptualización
Plan de Respuesta a Incidentes
DRP
Ejemplos
Reflexiones
Conclusiones
DRP\Plan de Continuidad del Negocio
218
219
Capítulo 12: DRP\Plan de Continuidad
del Negocio
El plan de recuperación de desastres (Disaster Recovery Plan) es un ejercicio
enfocado en la recuperación de los recursos tecnológicos de la organización (hardware
y software, con el objetivo de recuperar la capacidad de gestionar la información), ante
la ocurrencia de un desastre (natural o provocado), no debe confundirse con un plan de
continuidad del negocio (Business Continuity Plan BCP) este es un plan que integra
abarca tanto el DRP como los planes necesarios para llevar la continuidad del negocio
ante la ausencia de los recursos humanos, técnicos o de infraestructura, es decir los
demás aspectos operativos requeridos.
12.1 Conceptualización
La gestión y respuesta a incidentes es la parte operativa en la gestión del riesgo, es
importante que el lector entienda que existen diferentes planes para tratar con las
amenazas y sus riesgos que surgen en una organización, el plan de continuidad del
negocio es el llamado a integrar los diferentes tipos de respuestas.
Algunos de los conceptos más importantes son los siguientes:
Ventana de Interrupción: Tiempo máximo que una organización puede
permitirse entre la ocurrencia del incidente y la restauración de los servicios y/o
aplicaciones críticas para el negocio, luego de este tiempo la supervivencia d ela
organización entra en riesgo, ya sea por condiciones normales del mercado o por
temas regulatorios.
RPO: Recovery Point Objetive, el último punto de datos validos que puede usar
la compañía para su proceso de recuperación, está definido por la frecuencia de
220
los backups de la organización, entre menos frecuente sean los backups, más
lejos en el tiempo se necesitará ir para restaurar la data, y por lo tanto más
información se perderá.
RTO: Recovery Time Objetive, tiempo entre el inicio del incidente o evento y el
momento en que el proceso debe en un nivel de servicio suficiente para limitar
los impactos financieros y operativos a un nivel razonable.
SDO Service Delivery Objetive, objetivos de entrega del servicio, nivel de los
servicios que deben ser soportados mientras se trabaja en modo alterno
Ilustración 9: Plan de continuidad del negocio
Tomado de https://www.welivesecurity.com/la-es/2014/10/14/plan-de-recuperacion-ante-
desastres/
En la imagen número nueve (9) se observan los diferentes componentes del BCP, uno
de ellos el DRP que es de responsabilidad del área de tecnología, uno de los principales
puntos a considerar es que cuando se determina y evalúan los planes de acción debe
quedar claro que no todos los tratamientos de incidentes terminan con la declaración
del DRP, y que para los incidentes comunes la organización debería tener
procedimientos ciertos y documentados acerca de cómo atender y resolver los
incidentes más usuales dentro de la organización, y que la activación del DRP se debería
dar luego de confirmar que es una situación excepcional y que los procedimientos
221
normales no son adecuados para atenderla basados en el tiempo, el costo o el impacto
que el incidente pudiera tener sobre los objetivos estratégicos del negocio. Todos los
planes observados en la ilustración nueve (9) son diferentes, pero complementarios,
por ejemplo, con en el plan de gestión de incidentes se evita que los incidentes se
transformen en problemas y que estos se transformen en desastres.
Es muy importante que daca uno de estos planes este claramente definido y que su
alcance y responsabilidades sean claras para todas las personas que intervienen en
ellos, debe ser absolutamente claro cuando un incidente se vuelve un problema, y
cuando la incapacidad de tratar este problema de manera adecuada puede derivar en
una declaración de desastre, estas delgadas líneas no pueden ser definidas en medio de
la gestión del incidente porque se puede perder tiempo valioso aclarando la situación,
se debe establecer quien estará a cargo de cada tipo de plan y tener criterios claros de
gravedad y de declaración, estos criterios y sus responsables, deben ser claramente
socializados al interior de la organización para asegurar consistencia en el momento en
que se presenten los eventos y sea necesario activar uno de estos planes.
Antes de implementar un BCP es necesaria la realización de un BIA “Business Impact
Analisys” o análisis de impacto al negocio, en este ejercicio que se realiza sobre las áreas
misionales de la organización se intenta determinar el impacto de perder los diferentes
sistemas que apoyan las labores en la organización y con ello se definen los RTO’s
“Recovery Time Objective“ Tiempo Objetivo de Recuperación, que sean apropiados
según las áreas del negocio, estos datos a su vez nos proporcionan los insumos para con
ellos definir las estrategias de recuperación y/o contingencia, las herramientas
tecnológicas necesarias para cumplir con los RTO´s que requiera la organización y los
demás recursos necesarios para poder en marcha la estrategia definida.
En cuanto a los sitios de recuperación, las alternativas más apropiadas deben ser
seleccionadas basándose en la probabilidad que tenga la ocurrencia de interrupciones,
222
su naturaleza y el impacto que tenga sobre los procesos del negocio, existen los
siguientes sitios de recuperación.
Hot Sites: Son ubicaciones que están configuradas y listas para ser utilizadas por la
organización en caso de presentarse algún incidente importante, la idea es que la gente
llegue allí y continúe con su trabajo de manera normal.
Warm Site: Esta ubicación tiene la infraestructura completa pero no está
completamente configurada, por lo que habrá que realizar algunos ajustes antes de que
sea completamente operativo.
Cold Site: El Cold Site no ofrece ningún componente en el sitio antes de que se presente
la necesidad de su uso, la puesta en producción puede requerir incluso semanas, solo
es recomendable para organizaciones donde los tiempos de interrupción son muy altos.
Adicional a estos sitios, en caso de que la organización por temas de negocio o
regulatorios necesite alta disponibilidad y cero tiempos de interrupción lo
recomendable es tener un Mirror Site.
Mirror Site: Es un sitio copia del sitio principal de manera tal que cuando el sitio
principal se vea afectado, el tráfico se redireccione a este sitio espejo y todo el trabajo
continúe de manera normal, este tipo de sitios requiere de soluciones robustas de
replicación de aplicaciones y de data además de redundancia en los canales de
comunicaciones.
Otra de las alternativas que se usan en varios sectores, es la de acuerdos recíprocos,
en ella una organización que trabaja en el mismo sector económico que otra, ofrece sus
recursos para apoyar a otra en caso de un incidente mayor, dado que el uso de recursos
de tecnología no suele tener mayor desperdicio, esta estrategia es la que más tiende a
fallar.
223
12.2 Plan de Respuesta a Incidentes
Dado el hecho de que la probabilidad de que se presente un incidente en la
organización es muy alta, no olvidemos que con el tiempo y los recursos necesarios se
puede vulnerar la seguridad del sistema más protegido, tarde o temprano en la
organización se verán en la necesidad de enfrentar un incidente de seguridad, la
creación, documentación y pruebas de un plan que cuente con los elementos necesarios
para coordinar las acciones a ejecutar para su atención y mitigación es deseable dentro
de cualquier organización, en términos generales las actividades minimas que deben
contemplar este plan son las siguientes:
Detección del Incidente
Contención del Incidente.
Restauración de servicios/recursos afectados
Investigación del incidente
Lecciones aprendidas
A continuación, se puede observar cada paso sugerido:
Detección del Incidente: Este paso es muy importante porque no podemos seguir con
los demás pasos si no podemos garantizar que tenemos las competencias mínimas y
necesarias o las herramientas mínimas/necesarias para poder detectar los incidentes
al interior de nuestra organización.
Contención del Incidente: Para poder realizar esta acción, es necesario entender el
incidente, como este está afectando nuestros servicios o recursos de TI con el fin de
ejecutar las acciones suficientes para poder detenerlo sin afectar de manera adicional
los recursos inicialmente comprometidos.
224
Restauración de servicios/recursos afectados: En este paso una vez realizada la
contención se debe proceder con las acciones necesarias buscando la restauración de
los servicios o recursos afectados, con el fin de volver a la normalidad, en este punto el
proceso de restauración dependerá de la afectación de los recursos y puede ser
necesario activar el DRP o e BCP si los servicios o recursos quedaron afectados de forma
grave.
Investigación del Incidente: El paso siguiente es el de investigar el incidente, este paso
es importante porque nos permite comprender cuál fue el vector de ataque, los recursos
inicialmente ente comprometidos, las técnicas de ataque utilizadas, los fallas en el
comportamiento de las herramientas de seguridad si las hubo y muchos otros factores
que nos permiten evaluar, el porqué, como, donde y el para qué del ataque.
Lecciones aprendidas: Basados en la información del incidente, en este punto se
deben revisar las acciones a futuro para evitar que un incidente de este tipo se vuela a
presentar, este último punto debe incluir el reporte del incidente a los organismos
definidos para ello, como las fuerzas militares, civiles, el gobierno, sectores
empresariales, etc.
Para poner este plan en funcionamiento debemos contemplar también los recursos
técnicos y humanos para atender estos incidentes, entre los que pueden estar, gente
debidamente capacitada, software, hardware, procedimientos, niveles de toma de
decisiones, roles y perfiles de los recursos humanos necesarios y demás documentos
que faciliten la atención del incidente.
En u plan de respuesta de incidentes ya maduro se deben contemplar las relaciones
con nuestras partes interesadas como clientes, proveedores y público en general, en
cuanto a la manera, medios a utilizar y cantidad de información que se entregará del
incidente mientas este está en curso o una vez se realice la contención, este plan de
225
atención y comunicación con los medios es importante, dado que una mala
comunicaciones expondrá a la organización a perdidas reputacionales que pueden ser
peores que las perdidas dejadas por el incidente.
12.3 DRP
Una de las iniciativas más respetadas de seguridad en aplicaciones web es OWASP
“Open Web Application Security Project” que es una organización sin ánimo de lucro de
categoría mundial que se enfoca en seguridad de software web, de la que hacen parte
los grandes desarrolladores de software, y cientos de organizaciones interesadas en
contribuir y beneficiarse de la seguridad, según el proyecto OWASP para el año 2017 la
lista del top 10 de los riesgos en aplicaciones web son los siguientes:
A1 Injection
A2 Broken Authentication and Session Management
A3 Cross-Site Scripting (XSS)
A4 Broken Access Control (As it was in 2004)
A5 Security Misconfiguration
A6 Sensitive Data Exposure
A7 Insufficient Attack Protection (NEW)
A8 Cross-Site Request Forgery (CSRF)
A9 Using Components with Known Vulnerabilities
A10 Underprotected APIs (NEW)
Este top en este momento está siendo reevaluado y ajustado con base en una serie
de encuestas, para poder entender los entornos web vulnerables, es necesario
comprender técnicamente estos riesgos.
A1 Injection: Este riesgo está asociado a la capacidad de un intruso de introducir código
que ejecute acciones no esperadas sobre la base de datos, el sistema operativo o el
226
LDAP, aprovechándose de las debilidades en la validación y tratamiento de las entradas
de datos.
A2 Broken Authentication and Session Management: En este riesgo las funciones
relacionadas con los procesos de autenticación y gestión de sesiones tienen debilidades
y explotándolas los atacantes pueden comprometer contraseñas, claves, tokens, y
terminar suplantando la identidad de otro usuario.
A3 Cross-Site Scripting (XSS) el riesgo de secuencia de comandos en sitios cruzados
hace referencia a cuando una aplicación toma datos no confiables y los envía al
navegador web sin una validación y codificación adecuada, este riesgo permite ejecutar
secuencias de comandos en el browser de la víctima para secuestrar sesiones de
usuario, atacar al sitio web o redirigir el usuario a otros sitios con fines maliciosos.
A4 Broken Access Control, Control de acceso insuficiente, los permisos a los usuarios y
a sus operaciones no se hacen cumplir correctamente lo que permite explotar estas
fallas para acceder a las cuentas de otros usuarios.
A5 Security Misconfiguration, configuración de seguridad incorrecta, a nivel de
aplicación, servidor web, servidor de aplicación, base de datos, y en algunos otros
componentes un error puede poner en riesgo toda la plataforma.
A6 Sensitive Data exposure, exposición de datos sensibles, una de las debilidades más
usuales es simplemente no cifrar los datos sensibles, uso de algoritmos débiles o
técnicas débiles de hashing de contraseñas.
A7 Insufficient Attack Protection, Protección insuficiente de ataques, parchado eficiente
de vulnerabilidades, y detección y bloqueo de ataques manuales y automáticos son
necesarios para mantener la seguridad del sitio.
227
A8 Cross-Site Request Forgery (CSRF), falsificación de direcciones en sitios cruzados, e
este ataque se obliga al navegador de la víctima a enviar una petición http falsificada
incluyendo la sesión del usuario y cualquier otra información de autenticación incluida
automáticamente a una aplicación web vulnerable.
A9 Using components with know vulnerabilities, uso de componentes con
vulnerabilidades conocidas, el uso de componentes como librerías, frameworks y
algunos módulos de software funcionan con privilegios de acceso alto al sistema, si
alguno de estos componentes tiene alguna vulnerabilidad está facilitaría el compromiso
de toda la aplicación.
A10 Underprotected APIs, Apis desprotegidas, la utilización de API (Application
Programming Interface) que pueden ser vulnerables a un amplio rango de ataques,
estas APIs son difíciles de analizar de manera automática y manualmente requiere
mucha destreza técnica.
Como el lector observa, todos los riesgos tratados por OWASP son independientes de
cualquiera de los múltiples componentes de la plataforma, por lo que cualquier
aplicación web debe ser revisada basándose en estos riesgos y por ende todas las
plataformas en mayor o menor grado son vulnerables a los mismos, Además de esto los
lenguajes de desarrollo que se utilicen como php, java, ruby, etc, todos ellos tienen
algunas vulnerabilidades y pueden presentarlas cuando se utilizan algunas de sus
funciones o se implementan de manera correcta llamadas a sus funciones.
12.4 Ejemplos
Uno de los ejemplos más dicientes en cuanto a la necesidad de contemplar un plan
de continuidad del negocio, es el de las torres gemelas en Estados Unidos, si bien varias
de estas compañías tenían los BCP debidamente definidos, comunicados y probados,
228
varias de estas compañías los tenían contratados sobre la otra torre, al momento de
suceder el ataque y desplomarse los edificios, se vieron afectados sus CPD “Centro de
Procesamiento de Datos” principales y secundarios, con lo que algunas de estas
compañías perdieron toda la información de su negocio.
Para la continuidad del negocio podemos usar de ejemplo el documento de MinTic
titulado “Guía para la preparación de las TIC para la continuidad del negocio” esta guía
está desarrollada para el sector público, pero se puede utilizar en el sector privado,
busca minimizar las situaciones disruptivas mediante la sugerencia de algunas
actividades y la retroalimentación de las mismas en el proceso de mejora.
12.5 Reflexiones
Los planes de DRP y de Continuidad del negocio, son de obligatorio cumplimiento en
algunas industrias, y por supuesto se deben contemplar como parte del sistema de
gestión de seguridad de la información, sin embargo, la principal obligatoriedad está
relacionada con soportar al negocio y su continuidad en caso de que se vea afectado por
algún evento.
Los planes de DRP que están asociados a la tecnología son responsabilidad del área
de IT y deben contemplar los servicios que soportan los procesos estratégicos de la
organización, los planes de BCP son más integrales en el sentido que deben contemplar
todos los recursos que necesita una organización, no solo los tecnológicos, con el fin de
soportar un evento.
12.6 Conclusiones
La definición, implementación, pruebas y mejora continua de los planes de DRP y del
BCP dan a la organización la confianza suficiente para afrontar eventos que son
229
imposibles de prevenir o de mitigar y facilitan el actuar en caso de que sea necesario
seguirlos, razón por la cual se deben probar de manera esporádica y al menos una vez
al año, o cuando un gran cambio en la infraestructura y/o servicios de la organización
se realice, con el fin de garantizar que estos planes se mantienen al día y han
contemplado estos nuevos servicios.
230
13. Bibliografía
Barjacoba, T., & Diego, J. (2013). Seguridad en red con software libre. Cevallos, P. (2011). Estudio de técnicas de seguridad en redes. Certicamara. (2015). La forma electrónica y la firma digital: Mitos y realidades.
Recuperado de https://colombiadigital.net/opinion/columnistas/certicamara/item/8078-la-firma-electronica-y-la-firma-digital-mitos-y-realidades.html
Congreso de Colombia. (2012). Ley 527 de 1999.
Discovery Wi Fi. (2017). Security WIFI Alliance. Recuperado de https://www.wi-
fi.org/discover-wi-fi/security Evans, C. (2016). Testing Is a Vital Part Of Any Disaster Recovery Plan. Computer
Weekly, 23. Exploit Database. (2017). Offensive Security’s Exploit Database Archive.
Fernández Barcell, M. (2014). Seguridad en las redes Francisco Javier, V., & Mauricio, O. (2017). Metodología para la implementación de
un Sistema de Gestión de Seguridad de la Información basado en la familia de normas ISO/IEC 27000 / A methodology for implementing an information security management system based on the family of ISO/IEC 27000 standards. RISTI - Revista Ibérica De Sistemas E Tecnologias De Informação, (22), 73. doi:10.17013/risti.22.73-88
Gómez Fernández, L. (2012). Guía de aplicación de la Norma UNE-ISO/IEC 27001
sobre seguridad en sistemas de información para pymes. [N.p.]: AENOR - Asociación Española de Normalización y Certificación.
Guía de Auditoria – MinTIC (2017). Recuperado de
https://www.mintic.gov.co/gestionti/615/articles-5482_G15_Auditoria.pdf INTERNATIONAL STANDARD ISO / IEC Information technology — Security
techniques — Information security management systems — Overview and. (2014), 2014.
231
ISACA. (9 de 10 de 2017). https://www.isaca.org. Obtenido de ISACA: https://www.isaca.org/Pages/Glossary.aspx?utm_referrer=
ISO. (11 de 10 de 2017). https://www.iso.org. Obtenido de
https://www.iso.org/isoiec-27001-information-security.html Iso27000.es. (n.d.). Sistema de Gestión de la Seguridad de la Información, 14.
Retrieved from http://www.iso27000.es/download/doc_sgsi_all.pdf Javier Valencia-Duque, F., & Orozco-Alzate, M. (2017). Metodología para la
implementación de un Sistema de Gestión de Seguridad de la Información basado en la familia de normas ISO/IEC 27000. RISTI (Revista Iberica De Sistemas E Tecnologias De Informacao), (22), 73. doi:10.17013/risti.22.73-88
Kurtz, G. (2010). Hackers 6 [electronic resource] : Secretos y soluciones de
seguridad en redes. México: McGraw-Hill Interamericana. Mcafee. (10 de 11 de 2017). Mcafee. Obtenido de
https://www.mcafee.com/es/products/total-protection-for-data-loss-prevention.aspx
Mallery, M. (2015). Technology Disaster Response and Recovery Planning: A LITA
Guide. Chicago: ALA TechSource. Propuesta de implementación de una metodología de auditoría de seguridad
informática. (2015). Recuperado de http://proxy.umb.edu.co:2048/login?url=http://search.ebscohost.com/login.aspx?direct=true&db=edsbas&AN=edsbas.10486.668900&lang=es&site=eds-live&scope=site
Red Hat, Inc. (2005). Red Hat Enterprise Linux 4: Capítulo 20. Protocolo SSH.
Ribera. G. (2017). PKI: Public Key Infraestructure. Rodríguez, N. R., Sánchez Torres, H. A., & Quiroga, G. A. (2012). Análisis de la
seguridad en redes locales. Snedaker, S., & Rima, C. (2014). Business Continuity and Disaster Recovery Planning for IT Professionals. Waltham, MA: Syngress Tarazona T., C. H. (n.d.). Amenazas Informáticas y Seguridad de la Información,
137–146.
232
Tecnología de la información: técnicas de seguridad: sistemas de gestión de la seguridad de la información: requisitos. (2013). Bogotá: Instituto Colombiano de Normas Técnicas y Certificación. ICONTEC, 2013
TICPORTAL. (25 de 10 de 2017). Ticportal. Obtenido de
https://www.ticportal.es/temas/enterprise-resource-planning/que-es-sistema-erp
Valencia-Duque, F. J., & Bermon-Angarita, L. (2018). La administracion de sistemas
informáticos, una alternativa a la formación del profesional en tecnologias de informacion y comunicaciones. Revista Educación En Ingenieria, (25), 44. doi:10.26507/rei.v13n25.796
Wireless Networking Security. (2017).
233
234
235
236
978-958-5467-19-4