Introduccion a la Seguridad Informatica PDF

Summary

Este documento proporciona una introduccion a los conceptos clave de seguridad informática. Explica las cuatro caracteristicas principales de los sistemas informaticos seguros: fiabilidad, confidencialidad, integridad y disponibilidad. Tambien describe la paradoja de la seguridad.

Full Transcript

UNIDAD 1 - Introducción a la seguridad informática
Introducción a la seguridad informática

La seguridad informática es el área de la informática enfocada a la protección de los
elementos vulnerables de todo sistema informático: software, hardware y datos,
estos últimos durante su procesamiento, almacenamiento o transmisión.

Las cuatro principales características que debe tener un sistema informático seguro
son:

Fiabilidad: el sistema informático debe permanecer en funcionamiento, sin bajar
de un nivel mínimo de rendimiento considerado óptimo.
Confidencialidad: los datos del sistema solo deben ser accesibles para las
personas que realmente tienen permiso para manejarlos.
Integridad: el sistema debe mantener el conjunto de sus datos sin pérdidas o
alteración no deseada de estos (corrupción de datos).
Disponibilidad: el sistema informático y sus datos deben estar accesibles en
todo momento que sean requeridos.
La paradoja de la seguridad

Existen tres propiedades de un sistema informático que todo administrador de sistemas
persigue:
Funcionalidad: el sistema pone a disposición de sus usuarios multitud de herramientas
y servicios que les facilitan su trabajo.
Usabilidad: el sistema es cómodo y fácil de usar para los usuarios.
Seguridad: el sistema y sus datos son seguros.
Sin embargo estas tres cualidades no son plenamente compatibles, cuanto más seguro
hagamos un sistema, menos funcional y usable será, pues las medidas de seguridad
impuestas harán que el sistema sea más incómodo y estricto. Es lo que se denomina
paradoja de la seguridad.

Entonces, ¿dónde colocar el punto?
Es una decisión que debe tomar el
administrador del sistema.
Huella digital

La huella digital o checksum es un conjunto de bytes generado a partir
de un documento mediante un algoritmo (denominado función hash)
que garantiza que:
Cualquier cambio en el documento, incluso de un único bit,
produce una huella digital diferente.
Es imposible obtener el documento original a partir de la huella.
La huellas digitales no sirven para cifrar un documento, sino como
garantía de que no ha sido alterado.
Las huellas producidas por un determinado algoritmo hash tienen
siempre el mismo tamaño en bytes, independientemente del tamaño
del documento sobre el que son generadas.
Los algoritmos más utilizados para generar huellas digitales son:
MD5: genera huellas de 128 bits = 16 bytes = 32 caracteres
hexadecimales.
SHA1: genera huellas de 160 bits = 20 bytes = 40 caracteres
hexadecimales.
SHA2: existen diferentes versiones de este algoritmo,
dependiendo del número de bits: SHA-224, SHA-256, SHA-384 y
SHA-512. En el caso de SHA-512, la huella es de 512 bits = 64
bytes = 128 caracteres hexadecimales.
Amenazas, riesgos y ataques

Conceptos relacionados con las amenazas:

Amenaza: Acción que pretende ser dañina para el sistema en riesgo.
Ej: virus, mala actuación de un administrador de sistemas, un
empleado descontento, etc.

Vulnerabilidad o brecha: Es el grado de exposición del sistema
amenazado a las amenazas de un atacante. Ej: Un fallo de
programación puede representar una vulnerabilidad, no tener
actualizado el fichero de firmas del antivirus, sistema no actualizado
con todos los parches recomendados, etc.
Amenazas, riesgos y ataques

Contramedida: Es la acción que pretende la prevención de una amenaza
que actúa aprovechándose de una vulnerabilidad. Ej: actualización diaria del
antivirus.
Atacante: Es el agente activo que perpetra la amenaza que subyace a una
vulnerabilidad.
Riesgo: Es la valoración del daño que representan las amenazas a las que
se está expuesto debido a las vulnerabilidades teniendo en cuenta las
contramedidas que se implementan para la defensa.
Tipos de amenazas

¿Ante qué debemos proteger un sistema informático?

Amenazas físicas: Ponen en riesgo el hardware del sistema, por ejemplo:
Desgracias sobrevenidas: incendios, inundaciones, terremotos.
Exceso de temperatura.
Picos de tensión y cortes en el suministro eléctrico.
Averías o fin de vida útil del hardware: fallos en componentes electrónicos, dispositivos
de comunicaciones o sistemas de almacenamiento.
Robos: Accesos no permitidos al hardware para robarlo.
Acceso no autorizado a ficheros o dispositivos.

Amenazas lógicas: hacen referencia al software y especialmente a los datos:
Acceso ilegítimo al sistema informático: hackers intentando hacerse pasar por un
usuario del sistema.
Software malicioso: virus, gusanos, troyanos…en general todo tipo de software
malintencionado al que se ha dado en denominar malware.
Privacidad de los datos y las comunicaciones: Captación ilegítima de datos,
suplantación de la identidad de otro usuario, etc
Tipos de amenazas

Amenazas de banca electrónica detectadas
Compromiso del sistema interno: El atacante utiliza los
servidores de banca electrónica expuestos para entrar en un
sistema bancario interno.
Robo de datos de clientes: Un atacante roba los datos
personales y financieros de los clientes del banco de la base de
datos de clientes.
Transacciones falsas desde un servidor externo: Un atacante
altera el código de la aplicación de banca electrónica y realiza
transacciones haciéndose pasar por un usuario legítimo.
Transacciones falsas con una tarjeta inteligente o un PIN
robados: Un atacante roba la identidad de un cliente y realiza
transacciones maliciosas desde la cuenta robada.
Ataque al sistema desde el interior: Un empleado del banco
encuentra una falla en el sistema y la aprovecha para iniciar un
ataque.
Errores de ingreso de datos: Un usuario ingresa datos
incorrectos o realiza solicitudes de transacciones incorrectas.
Destrucción del centro de datos: Un evento catastrófico daña
gravemente o destruye el centro de datos.
Medidas de protección

Dependiendo de la amenaza, es posible adoptar medidas de seguridad activas o pasivas:

Medidas pasivas: se aplican al sistema informático, normalmente desde el principio
de su instalación. Por ejemplo, la instalación de una alarma antiincendios.
Medidas activas: Se utilizan en el día a día para combatir daños en el sistema
informático provocados, principalmente, por el factor humano e implican la
supervisión de un administrador del sistema. Un ejemplo de este tipo de medidas es
la instalación, configuración y supervisión de un firewall (cortafuegos).

Algunos autores denominan medidas pasivas a aquellas que son automatizables, y
medidas activas a las que necesitan de la intervención del administrador. Según esta
interpretación, un antivirus sería clasificado como medida pasiva por estar automatizado;
sin embargo el antivirus solicita intervención del usuario cuando encuentra una amenaza.

Queremos dejar patente que la clasificación de las medidas de seguridad es en cierto
modo subjetiva y dependiendo del autor, una medida puede ser incluida en una u otra
categoría.
Medidas de protección

Las medidas de seguridad también pueden clasificarse en:

Medidas preventivas: Se adoptan para evitar el problema.También son
denominadas proactivas.

Medidas paliativas: Se adoptan para solucionar los efectos del problema una
vez que ya se ha producido. También son denominadas correctivas o
reactivas.
¿Qué es INCIBE?

La tarea de supervisión de vulnerabilidades de un sistema es constante. La
figura del administrador del sistema es, pues, fundamental en todos los
sistemas informáticos.

INCIBE es el Instituto Nacional de Ciberseguridad de España (antes Inteco).
INCIBE trabaja para afianzar la confianza digital, elevar la ciberseguridad y
la resiliencia y contribuir al mercado digital de manera que se impulse el
uso seguro del ciberespacio en España.

https://www.incibe.es/
Planes de seguridad

La mejor solución contra un ataque es organizar una buena defensa, sobre
todo, a través de la prevención.

Políticas recomendadas para mantener un sistema seguro:

○ Tener un plan de seguridad de los sistemas de información que debe
haberse probado antes de que se produzca un posible ataque.
○ Respetar los códigos éticos de comportamiento personal y profesional.
○ Proveer planes de contingencia específicos para cada activo informático,
validados mediante pruebas.
○ Disponer de un sistema eficaz de evaluación de la seguridad informática.
Planes de seguridad

Todo plan de respuesta a incidentes tiene cuatro fases:

○ Acción inmediata para detener o minimizar el incidente de seguridad.
○ Investigación del incidente.
○ Restauración de los recursos afectados, dañados o comprometidos
debido al incidente.
○ Reporte del incidente y de los daños a los responsables de nivel superior.
Tecnologías relacionadas con la seguridad

Se enumeran aquí y se tratarán más adelante con profundidad:
– Cortafuegos
– Administración de las cuentas de los usuarios y de los servicios
– Detección y prevención de intrusos
– Antivirus y antimalware
– Infraestructura de clave pública, técnicas de cifrado y firma digital
– Técnicas de seguridad en el comercio electrónico
– Capa de socket segura (SSL)
– IPSec
– Single Sign On (SSO) o inicio de sesión único
– Biometría
– Control de los accesos remotos
– Redes privadas virtuales
– Informática forense
– Recuperación de datos
– Monitorización y auditoría del sistema
Seguridad física y ambiental

Los equipos y dispositivos informáticos están formados por componentes
electrónicos y son vulnerables a multitud de riesgos.

No se llevan bien con el agua, que provoca cortocircuitos.
Su rendimiento disminuye con las altas temperaturas.
Son extremadamente sensibles a los picos de tensión en el suministro
eléctrico.
Los sistemas de almacenamiento de datos pueden quedar en un estado
inconsistente, ante un corte repentino del suministro eléctrico.
Son componentes caros y pueden atraer a los ladrones (aunque más
comúnmente los atraen por contener información valiosa).
Ubicación y protección de equipos y servidores

El CPD (Centro de Proceso de Datos) debe cumplir ciertas
características:

Restringir su acceso al mínimo de personas imprescindible.
No debe haber conducciones de gas, agua o calefacción.
Tiene que disponer de un doble suelo que evite cortocircuitos en
caso de inundación.
Ha de estar debidamente climatizado.
Debe disponer de salas de alimentación ininterrumpida.
En zonas de especial presencia electromagnética, se debe aislar
el CPD.
En zonas de riesgo sísmico, deben disponer de un sistema de
protección adecuado.
Protección ante fallos del cableado

Los cables de red o las interfaces de red pueden sufrir daños y deteriorar la
calidad de la transmisión. Todo administrador de sistemas debe contar con
latiguillos, conectores, bobinas y herramientas específicas para realizar
reparaciones de este tipo.

Centrándonos en el cableado interno del CPD, puede ser inaceptable el tiempo
de parada (downtime) y por eso es habitual utilizar métodos de combinación de
dos o más cables físicos redundantes, que a todos los efectos se comportan
como un único cable virtual.

Esta tecnología recibe diversos nombres, según el fabricante de hardware: link
aggregation, IEEE 802.3X, LAG (Link Aggregation Group), NIC bonding, port
trunking, NIC teaming, etc.
Protección ante fallos del cableado

Un bond formado por tres cables de 1 Gbps actúa como un único cable que
tiene las siguientes características:

Ambos dispositivos deben utilizar el mismo protocolo de link aggregation y
las tres interfaces de red empleadas en cada uno de ellos deben trabajar a la
misma velocidad de transmisión (1Gbps).
Mientras funcione uno de los cables, el bond seguirá transmitiendo datos
aunque fallen los otros dos.
El ancho de banda ancho de banda del bond es la suma del de los tres
cables (3Gbps), pues cada cable puede realizar transmisiones en paralelo a
los otros dos. Desde el punto de vista del usuario, el bond ofrece una
velocidad máxima de 1 Gbps y desde el punto de vista del administrador de
la red ofrece un ancho de banda de 3 Gbps.
A ojos del dispositivo 2, el dispositivo 1 solo tiene una interfaz de red, y
viceversa.
Protección ante fallos del cableado

El concepto de link-aggregation es utilizado en cableado Ethernet y también
en enlaces wifi haciendo uso de múltiples bandas de frecuencia.
Existen diversos protocolos para enlaces redundantes. En redes Ethernet
suele utilizarse LACP (Link Aggregation Control Protocol) basado en el
estándar IEEE802.3ad.
Posiblemente tu smartphone ya utilice link aggregation mediante el protocolo
LTE-WLAN o LWA, gracias al cual puede combinar tu conexión de datos
3G/4G (LTE) y una red wifi (WLAN).
Ejemplo de link-aggregation entre un switch y un servidor
Protección ante humedades e inundaciones

Es habitual en un CPD instalar sensores de humedad.

Un CPD debe mantenerse en un rango de humedad del 45-55%.
No es recomendable que el nivel de humedad baje del 40% o suba del 60%.
Puede ser peligroso para los equipos electrónicos si baja del 30% o sube del
70%.
Protección ante incendios y altas temperaturas

Utilización de material ignífugo en techos, paredes y suelos. La pintura
también puede ser ignífuga y libre de elementos químicos tóxicos por
inhalación.
Utilización de puertas cortafuegos.
Colocación de extintores de C02,especialmente en el CPD. ¡No vale
cualquier extintor!
Colocación de detectores de humo y alarma antiincendios.
Almacenamiento de copias de seguridad
Sistemas de ventilación, especialmente en el rack.
Instalación de un sistema de climatización que mantenga la sala refrigerada
por debajo de la temperatura máxima recomendada de 25ºC; cuánto más
cerca esté de los 15ºC ideales, mejor.
Protección ante terremotos

En zonas con alto riesgo sísmico las normas de construcción ya
contemplan el uso de materiales y estructuras antisísmicas.

Actividad 1.1: Realiza una búsqueda de imágenes con “Modular datacenter” y
podrás ver varios modelos de CPD prefabricados, algunos de ellos con ruedas
para permitir su movilidad. Intenta averiguar sus características y precios.
Protección ante problemas de suministro eléctrico

Los Sistemas de Alimentación Ininterrumpida (SAI), en inglés UPS
(Uninterrupted Power System) nos protegen frente a los picos de tensión y los
cortes de suministro.

Un SAI es un dispositivo que se coloca entre un equipo informático (servidor,
dispositivo de redes, etc.) y la toma de corriente. Deja pasar la corriente
eliminando cualquier pico de tensión (tanto por exceso como por defecto de
voltaje), protegiendo incluso ante saltos importantes como los producidos por la
caída de un rayo gracias a un fusible. Esta protección recibe el término inglés de
surge protection (protector de sobretensiones).

Al mismo tiempo un SAI dispone de una batería encargada de proporcionar
energía al equipo cuando hay un corte de suministro, obviamente por un tiempo
limitado, pero el suficiente para proceder a un apagado ordenado del equipo que
evite la corrupción o pérdida de sus datos. Esto recibe el término inglés de battery
backup (batería de respaldo).
SAI: Tipos y características

Los SAI más avanzados son capaces de eliminar alteraciones en la onda
eléctrica, distorsiones armónicas, etc. (anomalías conocidas como ruido).
Internamente convierten la corriente alterna de entrada en corriente continua,
para volver a transformarla a alterna, ya libre de ruido.

Los fabricantes de SAI clasifican los equipos en función de los fallos
eléctricos que corrigen. Principalmente existen tres tipos de SAI:
○ SAI offline
○ SAI line-interactive
○ SAI online: Este tipo de SAI es el más seguro y el que más fallos
corrige.
Un SAI, por tanto dispone de una toma de corriente de entrada y una o
más de salida donde enchufar uno o más dispositivos críticos. Normalmente
no todas las tomas proporcionan corriente ante un corte de suministro, por lo
que podemos encontrarnos con tomas surge protection only. Las tomas
battery backup siempre son, además, surge protection.
SAI: Tipos y características

A la hora de elegir un SAI es necesario fijarse en:

Potencia máxima que es capaz de proporcionar. Se mide en vatios (W) o
voltioamperios (VA). Debemos adquirir un SAI cuya potencia máxima iguale la
suma de las potencias de consumo de los equipos que van a ser conectados (más
un margen de tolerancia del 15-20%).

1 vatio = 1 voltioamperio x F. P. (factor de potencia)

El factor de potencia suele rondar 0,8-0,9 en todos los SAI.

Tiempo de autonomía (runtime): dependerá en todo momento del número de
baterías del SAI, la carga actual de estas y la potencia de suministro aportada.
SAI: Tipos y características

Algunos modelos de SAI disponen de una toma de salida maestra (master) y
otras controladas por la maestra (controlled by master). Es una característica de
ahorro energético: si el SAI detecta que el equipo conectado a la toma maestra se
apaga, entonces también corta el suministro de las tomas controladas. Ahorramos
energía al apagar equipos que no necesitan estar encendidos si tampoco lo está
el principal.

Una característica que tienen los SAI más avanzados es la segmentación de
carga. Consiste en dividir las tomas de salida en críticas y no críticas. Cuando
el SAI entra en modo batería, proporciona energía en todas las tomas pero, si la
carga de la batería desciende por debajo de un nivel concreto, el SAI apaga las
tomas no críticas para centrar toda la energía en los equipos críticos.
Monitorización de un SAI

Actualmente, todos los SAI empresariales disponen de conexión por puerto
USB para que un equipo supervise el estado y carga del dispositivo. Es
fundamental para toda la empresa contar con un sistema capaz de
autoapagarse correctamente en caso de agotamiento de la batería del SAI,
pues los cortes en el suministro pueden producirse fuera del horario laboral
del administrador del sistema.
Los SAI más avanzados pueden ser controlados por red.
En funcionamiento normal, un SAI estará en estado ONLINE (recibe
electricidad) y tendrá una carga del 100%).
Monitorización de un SAI

La batería de un SAI tiene una vida útil limitada. El software de monitorización
también avisará de esta eventualidad.

PDU (Power Distribution Unit): No confundir un SAI con una PDU o unidad de
distribución de potencia. Una PDU es lo que se conoce normalmente como una
regleta de enchufes.
Actividad

Actividad 1.2: Comparación de modelos de SAI
Visita los asistentes “recomendadores” de tres de las principales marcas de SAI,
Salicru, CyberPower y APC, y encuentra para cada marca, el modelo “enrackable”
más apropiado para una carga aproximada de 4000 VA.

Actividad 1.3: Monitorización de un SAI
La mayoría de los servidores de archivos (NAS) están diseñados para ser
conectados a un SAI. Estudia en la web de Synology, uno de los principales
fabricantes de NAS, cómo se configuran estos para controlar un SAI y apagarse
en caso de necesidad.
Protección ante accesos no autorizados y robos

Acceso físico al CPD solo puede ser realizado por un número muy limitado
de personas dentro de la empresa.
Existen sistemas de control de acceso por código, por sensores biométricos,
de doble contraseña, etc.
Si no disponemos de un sistema de control de acceso avanzado, podemos
instalar un sistema de videovigilancia en los accesos importantes a la
empresa, entre ellos, al CPD.
La videovigilancia recibe en inglés el nombre de surveillance.
Protección ante accesos no autorizados y robos

En lo concerniente a los robos, existen muchas variedades de alarma en el
mercado para proteger cualquier tipo de recinto.

Los equipos individuales pueden ser protegidos mediante cadenas o
candados antirrobo. Existen varios modelos pero el más estandarizado es
el kensington (llamado así por la marca que lo inventó) tanto para equipos
portátiles como sobremesa.
Análisis forense de sistemas informáticos

Muchas compañías contratan a empresas especializadas en seguridad
informática, llamadas auditorías de seguridad informática (o peritos de
seguridad informática si se trata de trabajadores autónomos) para que
evalúen el sistema mediante técnicas de pentesting, encuentren
vulnerabilidades y aconsejen medidas de seguridad a aplicar.

Para evaluar las principales amenazas cuentan con hackers éticos, los
cuales intentan penetrar en el sistema como lo haría cualquier hacker pero
bajo un contrato de confidencialidad.

Estas auditorías reciben el nombre de análisis forense de sistemas
informáticos si se aplican después de la vulneración del sistema.
Análisis forense de sistemas informáticos

El contenido mínimo de un informe de auditoría de seguridad está definido en la
norma ISO 19011, “Directrices para la auditoría de Sistemas de Gestión”, y debería
ser:

Objetivo de la auditoría. Si se trata de una auditoría periódica o una auditoría de
seguimiento de acciones correctivas.
Alcance de la auditoría: incluyendo procesos, departamentos, delegaciones, etc.
Equipo auditor, con nombres, apellidos y cargo que ocupa en el equipo.
Fechas y lugares de la auditoría.
Criterios de la auditoría: ¿Qué procesos se han auditado?
Resultados de la auditoría: Hallazgos y mejores prácticas.
Conclusiones de la auditoría: Resumen de los resultados
Análisis forense de sistemas informáticos

Fases del análisis forense

1) Estudio previo: Estudio inicial mediante entrevistas y documentación
entregada por el cliente.

2) Adquisición de datos: Obtención de datos e informaciones para la
investigación. Las fuentes de información que se utilizan, son:

○ Ficheros log del cortafuegos
○ Ficheros log del sistema de control de incidencias
○ Ficheros log del sistema operativo, servidor, equipos, etc.
○ Ficheros log proporcionados por el proveedor de internet (IPS)
○ Correos electrónicos
○ Historial del navegador
○ Entrevistas con el administrador del sistema o con los usuarios.
○ Listados de vulnerabilidades
Análisis forense de sistemas informáticos

Fases del análisis forense

3) Análisis e investigación: Se realiza un estudio con los datos adquiridos en la
fase anterior.

4) Realización del informe: En esta fase se elabora el informe que será remitido
a la dirección de la empresa.

Las vulnerabilidades utilizadas por los atacantes, si están identificadas,
aparecen en listados públicos. Se emplea el estándar de nomenclatura de
vulnerabilidades, CVE (Common Vulnerabilities and Exposures).

https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades
Herramientas para el análisis forense

Las herramientas utilizadas en el análisis forense abarcan multitud de categorías,
como pueden ser clonación de unidades de almacenamiento, análisis de
dispositivos de almacenamiento, análisis de ficheros log, análisis de conexiones
de red, etc.

Algunas de ellas son:

Digital Forensics Framework, herramienta de código abierto y con licencia GPL.
SANS Investigative Forensic Toolkit (SIFT), distribución de Linux dedicada al
análisis forense de todo tipo de sistemas.
Open Computer Forensics Architecture (OCFA), creado originalmente por la
Agencia Nacional de Policía holandesa.
The Sleuth Kit (TSK), conjunto de herramientas de código abierto especializada en
el análisis de dispositivos de almacenamiento.
OpenSCAP, basada en el protocolo SCAP de Automatización de los Contenidos
sobre Seguridad. Pretende estandarizar la búsqueda, evaluación y documentación
de vulnerabilidades en los sistemas informáticos.
Registro log centralizado

Por las mismas razones por las que es conveniente sincronizar la hora en toda la red,
puede ser conveniente mantener un registro log centralizado, al cual todos los
servicios y dispositivos envíen sus eventos, en lugar de que cada uno de ellos los
almacene en ficheros locales.

Esto se consigue mediante rsyslog (término que hace referencia tanto al servidor
como al protocolo utilizado para enviar los eventos al registro central de dicho servidor)
en sistemas Unix/Linux o con la redirección de eventos (WEF, Windows Event
Forwarding) en sistemas Windows.

https://www.rsyslog.com/doc/master/index.html
Registro log centralizado

Entornos Linux

El protocolo syslog está implementado en el mundo Linux con el paquete rsyslog, que
viene instalado por defecto en todos los sistemas. El demonio rsyslogd es el encargado de
recibir eventos de todas las aplicaciones del sistema, principalmente del kernel, y los va
almacenando en ficheros log, pero puede ser configurado para, además, enviar eventos de
equipos remotos así como almacenar la información en múltiples formatos, incluyendo bases
de datos MySQL o PostgreSQL. Una de las formas de “almacenar” la información es
redirigirla a otro equipo.

Entornos Windows

Un servidor central, denominado recopilador, es el que recibe los eventos del resto de
equipos, llamados fuentes. Para ello hace uso del protocolo WinRM de intercambio de
información entre equipos, proporcionado por el servicio “Administración remota de
Windows” que deberá ser habilitado en todos los equipos del sistema. El equipo recopilador,
además, deberá habilitar el servicio “Recopilador de eventos de Windows”.
Bibliografía

Triviño Mosquera, Ignacio (2019). Seguridad y alta disponibilidad
(Grado Superior). Editorial Síntesis
Abad Domingo, Alfredo (2013). Seguridad y alta disponibilidad
(Grado Superior). Editorial Garceta
Introducción a la seguridad (2023). Cisco Networking Academy