módulo 6.seguridad en proyectos de gobierno electrónico ... · qué este planteamiento de...

D.R. Instituto Tecnológico y de Estudios Superiores de Monterrey, México, 2007 1

Módulo 6.Seguridad en proyectos de gobierno electrónico Introducción

Asegurar que la seguridad informática esté alineada permitirá apalancar los avances de la tecnología informática y de las telecomunicaciones para lograr que el aparato público esté siempre presente para el servicio de los ciudadanos, pasando de ser un planteamiento teórico a una realidad que se puede constatar y emplear cuando así se diseña e implementa.

Experiencias recientes, de hace 3 ó 4 años en el mundo, han venido confirmando por qué este planteamiento de Seguridad Informática aparejada con la modernización del sector público es toda una realidad; casos como los de Singapur, Reino Unido, Australia, Nueva Zelanda, Canadá, Brasil y, por supuesto, Estados Unidos, se están consolidando, en la medida que van alcanzando sus objetivos inmediatos y sentando las bases para adoptarlo de manera definitiva como una opción segura y viable para la ciudadanía.

La calidad en la seguridad informática vinculada a la estrategia de gobierno electrónico, más que una modalidad de implementar prácticas y emplear la tecnología en los procesos administrativos de la Administración Pública se ha venido significando como una oportunidad de hacer realidad algunas premisas o hipótesis que se han establecido para la Modernización del sector público, aún en esta fase de arranque mundial.

Creemos que es un modelo en el cual pueden converger las diferentes corrientes de conversión de la Administración Pública y que, a la luz del potencial que brinda Internet, se puede mejorar la comunicación y seguridad entre los servidores públicos y la sociedad en general, así como también entre los mismos servidores públicos, mantener alineados los procesos a la dinámica que exige la sociedad, disponer de información segura, única, integrada y oportuna para una mejor toma de decisiones, de disponer de sistemas de información y bases de conocimiento seguras que produzcan eficacia y eficiencia en la gestión interna, y que faciliten la evaluación, desempeño y rendición de cuentas del sector público.

Objetivo El participante tendrá la capacidad de reconocer los riesgos que pueden existir en laindebida divulgación de la información, el impacto que puede tener en la continuidadoperativa de una organización determinada, así como las acciones preventivas para asegurar la continuidad de la organización; encaminado todo esto a la búsqueda de laprevención y control de riesgos derivados del uso y manejo de la información.

El participante podrá identificar los riesgos inherentes de invertir o no en seguridad informática como un componente de la iniciativa de gobierno electrónico, valoraralcances, y formas de influencia en las organizaciones.


Tema 1. La seguridad en la información

1.1 Los desafíos y problemas en el manejo de la información

Los beneficios que ha traído la tecnología, al mismo tiempo han generado los diversos desafíos como:

• Servicios de Internet con más de 350 millones de usuarios. • Una tendencia a efectuar cada vez más transacciones financieras y comerciales

usando Internet (cerca del 70 por ciento del total de las transacciones de negocios se hacen por Internet). El gobierno de Japón está planeando ahorrar alrededor del 12 por ciento de su PIB mediante la conversión de sus procesos de operación y control para utilizar el Internet así como las tecnologías de información y comunicación.

• La tecnología cada 18 meses duplica la capacidad de cómputo, lo cual obliga a las instituciones a ser más flexibles y mantenerse al día.

• La necesidad de hacer más eficientes los procesos de negocio para incorporarse al comercio electrónico.

Sin embargo, la tecnología ha traído algunas problemáticas como:

• Un incremento de ataques de negación de servicios a sitios de Internet como Hotmail, Yahoo, Microsoft, CERT, etc.

• Una proliferación de virus y "caballos de Troya". • La necesidad de contar con alto nivel de habilidades técnicas está declinando.

Existen herramientas para elaborar fácilmente "caballos de Troya". • La aparición de los hackers y de los crackers. El hacker ya no es un súper

experto en computación. • Se toma ventaja de la falta de conciencia hacia la seguridad de la información,

haciendo uso de la ingeniería social. • La protección es normalmente débil y fragmentada, por lo que ocurren muchos

descuidos. Las medidas de seguridad son incómodas y la gente prefiere no practicarlas. El software utilizado es vulnerable y los hackers lo hacen público; en ciertas ocasiones, el software de fábrica viene abierto, por lo que tiene muchas ventanas de acceso que mucha gente conoce.

• Las leyes contra el crimen informático son inconsistentes. En algunos países no existen o no están tipificados los delitos (el autor del virus "ILOVEYOU" no pudo ser consignado en Filipinas). Las cuestiones jurisdiccionales permanecen siendo un problema, por ejemplo en México no son considerados delitos graves (Diario Oficial, 1999) sino que se tiene derecho a fianza; por lo tanto el perpetrador no es encarcelado.

Estas problemáticas y desafíos a los que nos enfrentamos nos hacen pensar que libramos una guerra de guerrillas en la carretera de la información. Esta analogía nos permite explicar la situación actual con relación a la seguridad en la información.


Si desea conocer más sobre el caso “CERT”, “Casos e historias de hackers”, “¿Qué es un virus computacional?” y sobre la “Ingeniería social”, consulte el material de apoyo que se encuentra en este módulo.

¿Quiénes son 'los chicos malos'?

Podemos considerar como "los chicos malos" de la seguridad en la información, entre otros a:

• Espías: de otras instituciones • Hackers : como reto personal • Vándalos: que hacen daño • Empleados: desmotivados, resentidos, deshonestos • Ex-empleados: que salieron resentidos • Criminales: con desviaciones psicológicas • Terroristas: que protestan contra la sociedad • Gobierno, ejército: con el pretexto de la "seguridad nacional" • Periodistas: para ganar lectores con noticias exclusivas

Existen también grupos organizados, entre los que se distinguen:

• Grupos de hackers : como "Cult of the Death Cow" y "The Legion of Doom" • Competidores: organizaciones en el mismo sector, otros partidos políticos y

algunos colegas • Gobiernos extranjeros: vecinos, con intereses comunes • Crimen organizado: mafias • Terroristas: ETA o ERI • Servicios de inteligencia: privados o del gobierno • Militares: que dependen del país

A final de cuentas todos estos hackers , crackers , phreakers , espías, atacan debido a ciertas causas como :

• Descuidos del personal operativo • Errores humanos • Desconocimiento por falta de entrenamiento. • Falta de control de los supervisores. • Vulnerabilidades de los protocolos o paquetes de software que hay en el

mercado • Errores de programación (baja calidad) y corrupción

¿Cuales son las principales fuentes de ataques?

La siguiente gráfica muestra la tendencia de ataques en Internet, en los Estados Unidos, donde se aprecia que a partir del 11 de septiembre de 2001 disminuyeron de forma considerable.


La siguiente gráfica presenta resultados de una investigación realizada por la empresa Computer Security Institute (1999), en donde se pidió a los entrevistados que respondieran a la pregunta: ¿contrataría usted un hacker reformado? La respuesta permitió tener una idea sobre cómo percibe la gente este tipo de delitos.

Algunas estadísticas muestran lo siguiente:


La mayoría de los incidentes con la información, son perpetrados por personal interno o que tiene acceso a las oficinas como empleados, contratistas o visitantes.

Personal interno:

• Resentidos • Descontentos • Deshonestos • Problemas económicos • Descuidados

No debemos perder de vista que el enemigo podría estar dentro de la institución en gran medida.

Las grandes potencias desde hace algunos años han comenzado a tomar iniciativas al respecto, saliendo a la luz pública un par de proyectos como el “Proyecto carnívoro” . Este documento se puede consultar en el material de apoyo de este módulo.

1.2 Propósitos, motivos y consecuencias de delitos

Propósitos

Los propósitos de quienes buscan afectar las operaciones de las organizaciones son diferentes, algunos de los más comunes son:

Descripción Duración Acciones encaminadas

Interrupción menos de 4 horas

Deshabilitación de 4 a 72 horas

Destrucción más de

• Recabar información de inteligencia (espionaje)

• Alteración de información con el propósito de engañar (fraude)

• Implantar "código" para retardar


72 horas opciones (extorsión)

La jerarquía de objetivos que se persiguen se clasifica de la siguiente forma:

Tipo A: infraestructura crítica – institucionales

1. Militares 2. Gobierno 3. Proveedores de servicios de Internet 4. Instituciones de salud 5. Redes telefónicas 6. Sistema de transporte 7. Servicios financieros 8. Proveedores de servicios (agua, luz) 9. Servicios de emergencia 10. Autoridades judiciales

Tipo B: económicamente atractivo – negocios

1. Propiedad intelectual 2. Datos de investigación 3. Activo circulante 4. Activos electrónicos (comercio electrónico)

Tipo C: individuos - personal clave

1. Personas clave 2. Líderes de opinión 3. Guardias 4. Empleados de bajo nivel

Motivos Los principales motivos que tienen los transgresores para incurrir en delitos sobre seguridad en la información son los siguientes:

Motivos para incurrir en delitos de seguridad en la información.

Motivos Resultados o indicadores de éxito


• Ventaja económica • Problema psicológico • Conflicto • Daño físico o reto

• Fondos • Cambio de comportamiento • Anulación de facultades del

objetivo • Tipo o nivel del daño

Consecuencias

Según datos del Departamento de Justicia de EUA, en 1998 y sólo durante ese año, se obtuvieron las siguientes estadísticas sobre las consecuencias de estos crímenes:

Consecuencias de crímenes.

Casos Porcentaje

Total de casos 419 100%

Fueron a juicio 83 20%

Convictos 47 11%

En prisión 20 5%

Sin proceso 269 64%

Por desgracia existe una falta conocimiento por parte de las autoridades para comprender los delitos, ya que los agentes del Ministerio Público y los jueces están familiarizados sólo con crímenes relacionados con asaltos, disparos, heridos y violaciones. Los crímenes informáticos son difíciles de documentar, porque no cuentan con evidencias y porque las leyes no son las adecuadas o no están orientadas a estas infracciones.

Tendencias a corto plazo para delitos informáticos

• La mayoría de las instituciones grandes se convertirán en objeto de ataques. • Individuos y grupos adversarios emplearán técnicas de guerrilla informática. • La recolección de información de inteligencia no estará orientada sólo a

objetivos de tecnología. • Las técnicas de guerrilla informática pueden ayudar a las organizaciones

comerciales a formular sus planes y estrategias. • Un enfoque de largo plazo debe ser implementado para frustrar los riesgos de la

guerrilla informática.

Tendencias a largo plazo para delitos informáticos

• La capacidad de los adversarios seguirá en incremento.


• Los adversarios del mañana no necesariamente serán los mismos de hoy. • Los ataques serán cada vez más difíciles de detectar y contrarrestar. • Actos similares no relacionados podrían ser organizados por organismos unidos

con el mismo propósito. • Se necesitan medidas prudentes y continuas que contrarresten la amenaza de una

guerrilla informática.

Las tendencias a corto y largo plazo llevan a considerar al marco legal como algo vital y por lo tanto:

• Los convenios con otros países deberán empezar a establecerse para que las medidas que contrarresten sean exitosas.

• Las instituciones deberán enfocarse a administrar la seguridad, considerando que no es una acción aislada de una sola vez.

• El software deberá tener más controles, enfocándose a certificar qué y quién podrá ejecutar una tarea en la computadora.

• La seguridad física es la primera línea de defensa.

Para mayor información sobre el marco legal, consulte el documento "Artículos del Código Federal en México y del Código del Estado de Nuevo León", que se encuentra en el material de apoyo de este módulo.

1.3 Necesidades de proteger la información

Toda organización, ya sea empresa privada, organismo gubernamental, institución de servicio público, club, escuela, partidos políticos, tiene la obligación de llevar un control de los activos que forman la infraestructura.

Por tradición los activos que se administran y controlan son:

• Oficinas • Mobiliario • Equipo de cómputo • Equipo de producción • Dinero (activo circulante) • Recursos humanos

Sin embargo también se debe considerar como activo a la información, y por lo tanto se deberá administrar, custodiar, respaldar y proteger con la misma intensidad que el resto de los activos. En esta categoría se consideran las patentes, fórmulas, información, modelos, programas de software, metodologías, etc.

Algunos mecanismos para proteger los activos son:

• Guardias en las oficinas • Uso de tarjeta de identificación (gafete) • Caja fuerte para guardar el dinero en efectivo


• La seguridad social para proteger a los trabajadores • Efectuar auditorías contables, para asegurar que se respeten los procedimientos

legales

Sin embargo ¿qué practicas de seguridad debemos tener para proteger la información?

Antes de responder a esta pregunta es importante reconocer que toda información, tiene un propietario y un custodio.

¿Quién es el propietario?

• En una empresa es el dueño o los accionistas. • En una institución de gobierno, el propietario de la información es el

contribuyente, quien delega la propiedad al responsable en turno de esa institución (Presidente, gobernador, el alcalde, el director, el secretario, etc.)

• En un partido político, el propietario deberá ser el presidente en turno del partido.

• En un club privado, el propietario será el presidente electo para ese período.

¿Quién es el custodio?

En toda organización el responsable de conducir los destinos de la misma requiere delegar una serie de actividades y responsabilidades en sus colaboradores, quienes se convertirán en custodios de la información que manejen en el desempeño de sus funciones.

Por ello al final del asunto, todos somos responsables de proteger la información.

Clasificación de la información

Debemos identificar a la información en sus diferentes tipos como:

• Información propietaria

Es aquella información relacionada con la estructura de la institución, los productos o métodos para proporcionar los productos y servicios. En esta categoría se consideran las patentes, los derechos de autor, la información secreta.

• Información confidencial

Aunque la información no es propietaria, se considera sensible y se debe tener el compromiso de protegerla. Sobre todo si la información está relacionada con los usuarios, ciudadanos, contribuyentes, etc.

El custodio de la información deberá evitar que llegue a personas no autorizadas que podrían hacer mal uso de la misma.


Por ello para que la información se pueda considerar secreta, deberá tener las siguientes características:

1. Debe ser claramente identificable, para evitar que se presenten malos entendidos.

2. No debe estar disponible al público, ya que un número reducido de personas la deberán conocer (2 ó 3 personas).

3. Deberá ser facilitada por el propietario, quien es el encargado de facilitarla. 4. Las personas a las que se facilita la información deberán tener conocimiento de

su carácter secreto. 5. Debe estar claro que el propietario desea que no se comparta sin su debida

autorización.

Seguridad en la información

La seguridad se refiere a la protección de la información de la institución, independientemente del medio donde resida y asegurando los aspectos que a continuación se listan.

1. Disponibilidad o Que la información esté disponible cuando la requiera el usuario: o El contribuyente: para pagar sus impuestos. o El ciudadano: para hacer seguimiento a los gobernantes. o El funcionario: para tomar decisiones o durante proyecciones, análisis,

resultados, proyectos, etc. o El estudiante: para asistir a una clase en forma remota. o El ingeniero: para hacer mediciones, diseños, pruebas, etc. o El contador: para llevar el balance, estado de resultados, cheques, etc. o El abogado: al estar haciendo las escrituras, demandas, registros, etc. o Que la organización no se detenga debido a que no se tiene la

información requerida. Que no se afecte la continuidad del proceso para asegurar la continuidad del negocio.

2. Integridad

a) Que la información no sea modificada por medio de procedimientos no

conocidos, sin dejar huella, como: intrusos, errores de programación, puertas traseras, virus computacionales.

b) Que la información sea confiable y no sea modificada erróneamente debido a

cambios, actualizaciones, errores de operación, etc.: separar el proceso de desarrollo de aplicaciones del proceso de operación.

c) Que la información sea congruente: que no se dé acceso directo a los datos sin pasar por el registro en bitácora.

3. Confidencialidad


a) Que la información no sea conocida por personas no autorizadas, que puedan

hacer daño a terceros o tomar ventaja de manera ilegal: Intrusos que aprovechan los errores o las vulnerabilidades del software.

• Intrusos que aprovechan los errores o las vulnerabilidades del software.

• Empleados de otras áreas. • Falta de procedimientos administrativos. • Empleados resentidos. • Visitantes. • Terceros: vendedores, consultores, contratistas.

4. Legitimidad

a) Que la información sea usada por personas autorizadas y con propósitos autorizados, evitando la suplantación:

• Comprobar que quien dice lo que es, en realidad sí lo es. • Respaldo legal en transacciones de negocio. • Autenticación.

Finalmente es importante tener en mente que del manejo de la información dentro de las organizaciones pueden surgir algunas vulnerabilidades, las cuales pueden clasificarse en los siguientes tipos:

• Revelación inadvertida

Ocurre cuando el propietario o una persona autorizada proporcionan la información a personas que podrían hacer mal uso de ella o que simplemente no la requieren para desempeñar sus funciones.

Ejemplos de situaciones donde se revela información inadvertidamente:

o Durante las promociones por personal de mercadotecnia o ventas. Es muy fácil proporcionar información que no se debe compartir.

o En exposiciones, promociones, simposios, conferencias con el afán de demostrar una ventaja competitiva.

o En conversaciones con proveedores sobre todo durante la fase de cotización. o En reuniones sociales para hacerse los interesantes y aparentar que se tiene

acceso a información sensible. o Durante los viajes de trabajo. Para pasar el tiempo se entablan conversaciones

con desconocidos. o Durante las sesiones de trabajo en hoteles donde se reúnen los ejecutivos para

desarrollar los planes para el siguiente año. El acceso a las salas de trabajo no se restringe.


o En conversaciones telefónicas que pueden ser fácilmente interceptadas, sobre todo si se trata de teléfonos inalámbricos.

o Durante entrevistas con la prensa, trámites gubernamentales, publicaciones técnicas, conferencias, conversaciones casuales con competidores.

• Robo externo

Producto del espionaje industrial, espionaje gubernamental, investigación por parte de la prensa, o similar.

Ejemplos de situaciones:

o A través de inteligencia de mercado. La mayoría de las grandes empresas, organizaciones e instituciones tienen informalmente asignadas a personas desempeñando este tipo de actividades.

o Por medio del espionaje industrial. Algunos gobiernos apoyan esta actividad con el propósito de proteger a la industria nacional.

o La ingeniería social, perpetrada por hackers, investigadores sociales, etc. o Con el pretexto de reclutar ejecutivos. Durante entrevistas a ejecutivos, con el

pretexto de ofrecer oportunidades de trabajo ficticias, pero se aprovecha para extraer información acerca de sus actividades.

o Acceder sin autorización en las instalaciones. Para buscar información ubicada en las áreas abiertas, en las áreas de fax, e impresoras o en las oficinas abiertas.

o Examinando la basura de las oficinas. Este es la forma más barata de conseguir información fidedigna.

• Robo interno

Acción perpetrada por algún empleado con acceso a la información.

o Por empleados resentidos; por venganza proporcionan información sensible a extraños.

o Por ex-empleados que acaban de retirarse. o Por servicios de outsourcing (mantenimiento, limpieza, operación, etc.), sobre

todo en instituciones donde predominen empleados temporales que requieren de accesos a los sistemas y aplicaciones institucionales.

Las 11 vulnerabilidades más conocidas

Aunque algunos términos que se mencionan en la lista de las 11 vulnerabilidades más conocidas, resultan muy técnicos, lo importante es que podemos dirigirnos al personal de informática para identificarlas y que se asegure que ninguna se encuentre activa.

No. Vulnerabilidad Definición

1 BIND (named) Es el servidor de nombres más popular de


Internet, pero las versiones anteriores a la 8.2.2 patch5 son vulnerables a numerosos ataques capaces de proporcionar el nivel "root" al atacante.

2 CGIs y extensiones en los servidores Web

Hay que auditar con cuidado todos los CGIs accesibles en los servidores Web, incluyendo los CGIs que vienen por defecto. Adicionalmente, extensiones como Front Page y Cold Fusion pueden ser inseguros por sí mismos, o contener ejemplos atacables.

3 Vulnerabilidades en sistemas de llamada a procedimiento remoto (RPC)

Tipo rpc. ttdbserverd, rpc.cmsd y rpc.statd. Aunque son conocidos desde hace tiempo, estos fallos siguen presentes en numerosos equipos.

4 Vulnerabilidad RDS en el servidor Web de Microsoft (IIS)

Diversos errores de seguridad en el Remote Data Services (RDS) permiten a un atacante el ejecutar comandos con privilegios de administrador.

5 Sendmail Es el servidor de correo (MTA) más utilizado en el mundo UNIX. Los administradores de dichos sistemas deberán mantener el servidor permanentemente actualizado.

6 Sadmind y mountd

Estos procesos, si no han sido actualizados, contienen errores que permiten la ejecución de código arbitrario como "root".

7 Compartición de discos e información vía NetBIOS, NFS y AppleShare

Deben compartirse sólo los directorios imprescindibles, y sólo desde las máquinas imprescindibles. El acceso por red a dichas máquinas debe ser el imprescindible. Las claves empleadas deben ser robustas. El control de acceso no debe basarse en información DNS, sino en direcciones IP.

8 Cuentas sin clave o con claves de baja calidad

Esto es especialmente grave cuando las cuentas en cuestión tienen privilegios especiales.

9 Vulnerabilidades en los servidores IMAP/POP

Estos servicios gestionan los buzones de los usuarios y les proporcionan acceso a su contenido. Por lo general no están protegidos por cortafuegos, ya que suele ser necesario proporcionar el servicio a usuarios desplazados fuera de la red local.


10 "Comunidades" (claves) SNMP por defecto

Numerosos equipos con capacidades de administración y monitoreo remoto vía SNMP (Simple Network Management Protocol) son desplegados sin modificar las claves (comunidades) por defecto.

11 La versión antigua de Unix (v3.2)

Permite el "rlogin /f /root".

Ejemplos de vulnerabilidades comunes:

• Documentos confidenciales sobre el escritorio. • Información en áreas de copiadoras, fax o impresoras. • Documentos en los basureros. • Computadoras encendidas en horas no hábiles. • Computadoras sin contraseña de encendido. • Conversaciones por teléfono y uso de inalámbricos. • Acceso de personas sin gafete. • Cuadrillas de limpieza y mantenimiento sin escolta. • Oficinas privadas abiertas. • Descuido de computadoras portátiles o laptops durante viajes. El robo de este

tipo de equipos es muy común. También hay que considerar las oficinas abiertas para este tipo de robos.

1.4 Recomendaciones para establecer un programa de seguridad

La responsabilidad y el compromiso de proteger la información deben estar en todos los empleados de la organización.

Se debe considerar toda la información de la institución gubernamental, ndependientemente del medio en donde se almacene, es decir, la información podrá ser almacenada en medios electrónicos, magnéticos, documentos en papel, grabaciones de audio o video, imágenes y al final de todo, también se debe tener mucho cuidado con la información que conocemos y que podríamos compartir inadvertidamente.

• El usuario final debe preocuparse porque la información se encuentre debidamente protegida, es decir, que no haya sorpresas.

• El especialista de informática debe instalar la infraestructura de mecanismos que haga posible la efectiva protección de la información; que no haya negligencias, errores, omisiones.

• El especialista de seguridad de la información debe establecer las políticas, coordinar los esfuerzos, hacer seguimiento, analizar el entorno de la tecnología y auditar el cumplimiento.


La seguridad en la información se basa en dos principios básicos de seguridad:

1. Control de acceso: vigilar el perímetro y tener una sola puerta de entrada para llevar el registro de los que entran y salen a las instalaciones.

2. Círculos de control: establecer mecanismos de protección en base al valor de la información, de manera que entre más valor tenga, mayor será el número de mecanismos que se deberán instalar para protegerla.

Este es un principio muy antiguo que puede ser ilustrado con la siguiente imagen:

Para proteger la información de una organización, se deberá hacer un análisis que pretenda equilibrar el nivel de riesgo y las medidas de protección, de tal forma que no se caiga en el error de dejar desprotegida una información, o bien que no vaya a gastarse demasiado en proteger una información que no sea sensible.

En la siguiente figura se ilustra la situación, con una balanza donde del lado izquierdo está el nivel de riesgo y del derecho aparecen las medidas de protección.

El objetivo consiste en evitar la baja protección o la sobreprotección.


Conclusiones

En México, el 95 por ciento de las 500 empresas más grandes del país tienen un esquema de seguridad ineficiente, de acuerdo a un estudio realizado por Dreitech e Intermarket (López, 2001).

Las acciones recomendadas para efectuar un programa de seguridad en la información en una organización son las siguientes:

o Detección de vulnerabilidades: contratar una empresa especialista en seguridad de la información que efectúe un análisis de vulnerabilidades, con el propósito de conocer la situación actual o hacer un diagnóstico.

o Desarrollo de una política de seguridad en la información: que sea oficial, haciendo evidente el apoyo de la Dirección General o líder de la organización, para que sea comunicada al personal.

o Incorporación de prácticas de seguridad en informática, que harán posible cumplir con la política.

o Incorporación de prácticas de seguridad en toda la organización. o Auditar sistemáticamente su cumplimiento para tener un indicador de avance en

el programa.

Prácticas básicas del departamento de informática

A continuación aparecen las prácticas básicas que el departamento de informática deberá implementar para lograr una seguridad aceptable:

1. Protección de la conexión a Internet por medio de un "firewall". 2. Instalación de un software detector de intrusos, que identifique oportunamente

los ataques. 3. Asegurar que los procedimientos de respaldo de información funcionen

correctamente. 4. Desarrollar un plan de recuperación de desastres, y mantenerlo actualizado. 5. Contar con un software antivirus y mantenerlo actualizado. 6. Instalar las correcciones a las vulnerabilidades detectadas en el software (system

patches). 7. Establecer procedimientos de desarrollo encaminados a la seguridad de

aplicaciones. Incorporar la seguridad en la metodología de desarrollo de sistemas.

8. Determinar el estándar de encriptación, y la infraestructura de VPN para los usuarios que utilizan Internet.

9. Conducir un ejercicio de penetración desde Internet, para validar que tan vulnerable es la red.


Prácticas fundamentales de toda organización

El resto de los empleados deberá incorporar una serie de prácticas de seguridad que dependiendo de sus funciones deberán ser cumplidas a nivel de excelencia:

• Clasificación de la información: para poder asignar prioridades y aplicar los criterios de acuerdo a la clasificación.

• Investigación de antecedentes durante el reclutamiento: esta práctica deberá incorporarla el personal a cargo del reclutamiento de personal.

• Programa institucional de concientización: para hacer llegar a toda la organización la importancia de la protección de la información y lograr que todos incorporen las prácticas de seguridad a su desempeño diario.

• Firma de carta anual de confidencialidad: para que todos conozcan la importancia y se hagan responsables de proteger la información.

• Registro de empleados que han recibido información sensible: por si se requiere hacer una investigación.

• Seguridad física: es la primera barrera de protección de la información. • Monitoreo del entorno: para detectar si alguna información sensible ha sido

revelada a terceros.

Prácticas específicas

• Uso de contraseñas difícil de adivinar. • Respaldo de información de disco duro. • Actualizar el software antivirus. • Usar mensajes encriptados cuando se use el correo electrónico e incorporar

firma electrónica en las transacciones de negocio. • Prácticas seguras en oficinas, como la política de escritorios limpios. • Uso de gafetes obligatorio para toda persona que ingrese a las instalaciones. • Triturar la información que ya no se utilice.

Para consultar información sobre el tema "Contingencias y recuperación de desastres", consulte el documento en el material de apoyo de este módulo.

Tema 2. Contingencias y recuperación de desastres

2.1 Soluciones generales para establecer controles de acceso

Para lograr establecer controles de acceso es necesario considerar un proceso de administración de la seguridad en la información.

El proceso de administración de la seguridad en la información tiene principio, pero no tiene fin. Se debe considerar como un proceso de mejora continua, en donde no se deje de revisar, analizar y corregir el rumbo, principalmente obligados por la tremenda


velocidad de cambio de la tecnología de comunicaciones y equipos de cómputo. El proceso se puede apreciar en el siguiente diagrama:

2.1 Soluciones generales para establecer controles de acceso

Una vez que contamos con un proceso de administración de la seguridad, debemos establecer controles generales de acceso como:

a) Retirar servicios no utilizados

Los servicios que se proporcionan en el protocolo de TCP/IP más comunes son:

Echo (7), Chargen (19), FTP (21), Telnet (23), SMTP (25), Gopher (70), RJE (77), Finger (79), HTTP (80), POP (109), SFTP (115), NNTP (119), etcétera

Algunos de esos servicios pueden tener vulnerabilidades, por ello recomendamos retirar los que no sean utilizados.

Los servidores deberán tener activados únicamente lo que se requiera para proporcionar los servicios; FTP y el Telnet deberán ser desactivados y desarrollar un procedimiento para su uso en forma controlada, de tal forma que se retire el acceso a usuarios externos.

b) Definir cuentas de acceso

La cuenta de acceso (user id) es la identificación de cada usuario para acceder a los servicios.

Esta cuenta de acceso debe ser asignada para uso exclusivo de una sola persona, y no se permite compartirla. No deben existir cuentas de uso genérico para varias personas, porque ninguna se hace responsable.


Debe existir un proceso formal de alta de usuarios, en donde se autorice el nivel de acceso a la información de las áreas y las aplicaciones que deberá consultar y modificar durante el desempeño de sus funciones. Por ello es importante definir:

• La información que se autoriza acceder. • El nivel de acceso, ya sea sólo de lectura, o de lectura y escritura. • Horarios para utilizar los servicios. • Computadora que se podrá utilizar para acceder a los servicios.

Se debe mantener actualizado este nivel de acceso ya que al paso del tiempo, los empleados cambian de funciones dentro de la misma organización y pueden ir incrementando la cantidad de información a la que tienen acceso. Para evitar eso, se debe revisar que al salir de un área, sus niveles de acceso sean revocados (cancelados) y le sean autorizados los accesos a la información correspondiente a la nueva área, siempre y cuando exista una autorización o definición institucional.

Además es importante para la protección de la información, cancelar el acceso de las personas que salgan de la institución, ya sea en caso de despido o de renuncia. Se dan casos en que empleados que tienen más de tres meses fuera de la organización y todavía utilizan los servicios de correo electrónico o de la red de la institución donde trabajaban. Esto es un riesgo severo para la información.

c) Establecer límites a usuarios

Una forma muy simple de evitar que los problemas se propaguen por la red es restringir el acceso, limitando el uso de recursos a usuarios, por ejemplo:

• Límite de espacio en disco a cada usuario, para evitar saturar los servidores o equipos de escritorio.

• Restricción de servicios disponibles. • Establecer horarios de uso de los recursos, mediante el establecimiento de horas

en las que se puede acceder los servicios para algunos usuarios, dependiendo de sus funciones.

• Restringir al acceso a los servidores disponibles, etc. • Eliminación de los usuarios GUEST, ANONYMOUS, ROOT • Cambio de los password por default que normalmente vienen activados con

algunos sistemas.

d) Crear particiones en los discos

Una práctica común es la creación de particiones de acceso exclusivo a los servidores, de manera que no todos los usuarios tienen acceso a la información.

Se deben crear en los discos varias particiones para que así unos datos puedan ser modificados por un grupo de usuarios y otros no, destinando a las aplicaciones críticas las particiones más restringidas.


En las computadoras de escritorio se debe definir una partición para el sistema operativo y otra para los datos del usuario. El usuario sólo tendrá acceso a modificar su partición y el administrador tendrá acceso a modificar la partición del sistema. De esta forma se restringe la instalación de software no autorizado.

e) Realizar un monitoreo constante

La actividad de monitoreo es importante, para identificar inconsistencias o acciones fuera de lo común, que podrían ser causadas por intrusos a la red.

Se debe revisar el comportamiento del sistema operativo y de las comunicaciones, midiendo la actividad del sistema y los periféricos, por ejemplo:

• Utilización de CPU • Memoria • Espacio en disco • Utilización de los canales de comunicaciones separando horarios diurnos y

nocturnos y horas pico.

Se deben identificar los tipos de acceso (entrada, salida, lectura, escritura, etc.), las direcciones de Internet más visitadas, las direcciones de usuarios externos que tengan acceso a la red en forma remota, etc.

Una herramienta indispensable para hacer este tipo de monitoreo eficiente es el software de detección de intrusos (IDS, Intrusión Detection System) que toda red debe tener en operación.

También se debe considerar la revisión de las bitácoras de uso de las aplicaciones institucionales, ya que es importante detectar si existen accesos a las bases de datos utilizando embustes o herramientas no autorizadas.

f) Establecer seguridad física

El control de acceso físico a las oficinas es la primera barrera de protección de la información, por lo que debe ser implementado a nivel de excelencia y de acuerdo a las normativas de la organización.

Algunas de las prácticas son:

• Acceso restringido a los centros de cómputo. • Acceso restringido a las áreas críticas (tesorería, planeación, dirección general,

ingeniería, etcétera), entre menos gente tenga acceso mejor. • Escoltar al personal externo (mantenimiento, limpieza, ingenieros de servicio,

visitantes, etcétera). • Una vez dentro del centro de cómputo (site) el acceso a los servidores deberá ser

restringido.


• En los concentradores de cableado se evitará tener puertos disponibles ociosos. Los registros o concentradores de cables deberán contar con llave, incluyendo los registros telefónicos.

Además se deben considerar los equipos de detección de humo, fuego, humedad, rotura de cristales, movimiento, etc., así como la ubicación estratégica de las cámaras de circuito cerrado.

g) Instalar un "firewall"

El "firewall" o "corta fuegos" es el mecanismo de control perimetral de la red de comunicaciones que está conectada a Internet. Es el equivalente a contar con una puerta robusta cerrada con un guardia que sólo permite el acceso y salida a las personas autorizadas.

El esquema siguiente ilustra una red conectada a Internet de forma vulnerable, ya que la posibilidad de que un intruso tenga acceso a cualquiera de las computadoras es alta.

Para proteger la red se deberá instalar un "firewall", lo cual se ilustra en el siguiente esquema.


Como podrá apreciar, el "firewall" sirve como barrera de protección para los intrusos y deja el acceso a usuarios remotos autorizados.

h) Establecer una red privada virtual (VPN)

Una red privada virtual utiliza (Virtual private network -VPN) infraestructura pública de lnternet para simular enlaces privados sólo durante la duración de la conexión. Estos enlaces se efectúan por medio de "túneles" que protegen la sesión ya que están encriptados; adicionalmente, los usuarios de esta red son identificados y autenticados por medio de algoritmos de encriptación.

El uso de una VPN es muy recomendado cuando los datos de la institución viajan por Internet, ya que podrían ser interceptados por personas no autorizadas.

Esta herramienta se utiliza mucho para aprovechar la infraestructura de Internet, en lugar de rentar canales privados de comunicaciones punto a punto, que son muy caros. Con el uso de una VPN, los datos están aceptablemente seguros, por ello las grandes empresas prefieren usarlo.

En la siguiente imagen se ilustra la conexión encriptada segura como si fuera un túnel o tubo sellado para transmitir la información:

Se ilustra la conexión de un sitio externo a la red privada a un servidor, para acceder información sensible.


i) Medidas de privacidad para el correo electrónico

El uso del correo electrónico puede presentar riesgos en los siguientes escenarios:

• Al interactuar con el servicio de correo electrónico, uno puede enviar el correo a un destinatario equivocado, o se puede recibir un correo de origen falso.

o Participar en las cartas cadena tiene el riesgo de recibir algún virus computacional, lo mismo si se reciben archivos anexos infectados con virus.

o El efecto de los timos (Hoax) causa que las redes se saturen al replicar mensajes de virus que no existen pero que asustan a los usuarios y provocan que cada quien lo envíe a muchos destinatarios.

• Mientras los mensajes residen en un servidor de correo electrónico, el operador del centro de cómputo puede leer el mensaje. Si el mensaje está encriptado entonces no podrá ser leído en esta instancia.

• Al utilizar servicios de correos electrónicos gratuitos como: Hotmail, Juno, MailCity, MailExcite, NetAddress, Hempseed, RocketMail, LatinMail, etc., no tenemos la certeza de la seguridad de esos sitios. Adicionalmente, los proveedores de estos servicios pueden tomar ventaja de la información proporcionada al inscribirse.

Al recibir un archivo anexo, sugerimos llevar a cabo este procedimiento:

1. En lugar de abrir el archivo directamente, primero guarde el archivo en un directorio específico.

2. Ejecute el Scan del antivirus. 3. Después si no tiene virus ya se puede abrir el archivo.

Tomemos en cuenta que la institución se puede reservar el derecho de revisar la información que se genera como producto de sus actividades normales de negocio. A continuación se mencionan tres casos que han sentado precedente en el ámbito de la informática:


1. El 73.5 por ciento de las empresas en Estados Unidos efectúan alguna forma de vigilancia en los correos electrónicos y las llamadas telefónicas. Dos veces más que la estadística de 1997 (American Management Asociation, 2000).

2. Durante 1999, Xerox despidió a 40 empleados por hacer uso inapropiado de Internet (Editorial Juris, 2003).

3. The New York Times aplicó la guillotina a 23 empleados por haber enviado mensajes ofensivos por correo electrónico (Howe, 2000).

Pasos simples para tener privacidad

1. Piense antes de enviar: no use el correo electrónico de la institución para enviar correspondencia que lo hará sentir apenado si la lee su inmediato superior. Para correos personales, utilice cuentas de correo gratuitas como Yahoo, Hotmail, etc.

2. Piense antes de marcar un teléfono: mantenga todas las llamadas de carácter personal fuera de las líneas telefónicas de la institución. Use el celular o un teléfono público.

3. Limpie los archivos de "caché" de su computadora todos los días: borre los archivos que están en el directorio de tu navegador.

4. Si no lo sabe, pregunte: si la política de monitoreo de su institución es vaga o no lo menciona, pregunte al personal de informática o al de recursos humanos. El conocimiento es poder, pero en este caso, el conocimiento es también privacidad.

5. Una política muy clara es la siguiente: no deje información a la vista que no le gustaría ver en la página principal de The New York Times.

Herramientas riesgosas

Existen algunas herramientas en el mercado que son riesgosas si se utilizan sin autorización, por lo que se deben establecer lineamientos para su uso.

Algunas de esas herramientas podrían ser utilizadas accesando físicamente algún puerto de red que esté activo en lugares comunes, como una sala de juntas. Un intruso podría conectar su computadora portátil o laptop a uno de esos puertos y ejecutar alguno de los paquetes que aparecen a continuación:

• Sniffer: es un software usado para hacer la inspección de la red local, similar a un analizador de protocolo. Es posible observar la información que viaja en el tramo de la red en donde está conectado. Tiene sus restricciones ya que no es fácil de usar, sin embargo, los conocedores desarrollan la habilidad de utilizarlo fácilmente. En seguida podrá observar unas pantallas típicas de un sniffer, donde se pueden ver los caracteres que pasaron por la red en ese momento:

Pantalla típica de sniffer 1




• Scan: es una utilería que se consigue sin costo en Internet para verificar los puertos definidos en un servidor conectado a Internet y que permite identificar las vulnerabilidades.

• Ping: es una utilería de ayuda para hacer un reconocimiento de la red, viendo que direcciones de IP están conectadas en un momento dado. Se puede hacer el PING de la Muerte (PING OF DEATH) y causar que un servidor deje de funcionar. Este fenómeno se le llama "Denegación de Servicios" (en inglés: DoS o Denied of Service).


2.2 Disminución del impacto de las fallas

Con el propósito de disminuir el impacto de las fallas de los servicios recomendamos los siguientes pasos:

• Hacer un análisis de los puntos críticos de falla de la red. • Desarrollar un plan de contingencia para cada posible falla. • Tener equipo de respaldo o duplicado. • Disponer respaldos de la información. • Desarrollar un plan de recuperación en caso de desastre.

Redundancia

Aunque la palabra redundancia significa "desperdicio" de recursos, en el caso de la seguridad no se puede evitar, sobre todo si podemos aprovechar esa redundancia para obtener un mejor rendimiento de los equipos de cómputo y redes de comunicaciones. Con este argumento resulta menos difícil justificar la inversión.

Un primer nivel de redundancia es instalando servidores tolerantes a fallas, que utilicen las configuraciones RAID 5 que mejor se adapten a la carga de trabajo de la organización.

Contar con canales de comunicación de respaldo puede ayudar mucho en caso de fallas y pueden ayudar a balancear las cargas de trabajo en horas pico, por lo que no se tendrán recursos ociosos, sólo subutilizados.

Recuerde que una falla por parte del proveedor de servicios de comunicaciones o telefonía es de gran impacto para la institución ya que la dejaría aislada de sus usuarios (clientes, votantes, ciudadanía).

En algunos países ya se cuenta con más de un proveedor de servicios de telefonía y comunicaciones como el caso de México, que cuenta con varias empresas de telefonía local.

Respaldos

Como ya lo vimos en la sección de respaldo de información, se deberá contar con procedimientos específicos de respaldo y recuperación de datos. Este es un Factor Crítico de Éxito (FCE), en caso de una contingencia mayor deberá tener un respaldo en bóveda externa para en caso de un desastre.

2.3 Políticas de password

La contraseña es la llave a la bóveda de la información de la organización, por lo que debe tenerse una política de password seguida al pie de la letra.


Aunque ya se han mencionado antes algunas prácticas relacionadas con el password, vale la pena tener en un solo lugar las prácticas de clase mundial referentes al uso de los mismos.

Las políticas de uso de password son las siguientes:

• Cambiar de password cada 30 días como máximo. Así se evitará que el password sea conocido por muchas personas. El cambio debe ser mandatario.

• La longitud del password debe ser tener un mínimo de ocho caracteres alfanuméricos, es decir con letras y números. Entre más caracteres tenga el password, el tiempo que llevará para adivinarlo es mayor. Si se utilizan mayúsculas y minúsculas el password será más seguro.

• Que el password sea difícil de adivinar. Es decir, que tenga mezcla de letras y números, pero que los números no estén al final. Si se incluyen algunos caracteres especiales será menos vulnerable. Hay que tener cuidado con los teclados, no vaya a ser que no esté disponible en esa configuración. Este caso se presenta con la ñ o Ñ.

• Que el password no sea una palabra del diccionario. Algunos password crackers se basan en los diccionarios, ya que es más rápido ejecutar 5 mil comandos de "IF x=y", que intentar todas las combinaciones de las letras.

o Algunas personas optan por tomarlo de un acrónimo, como ejemplo "desde el cerro de la silla, se divisa el panorama" dará el siguiente password: "dcdlssdp". Intercale un número en lugar de la s y quedará un password difícil de adivinar: "dcdl2sdp".

• NUNCA lo apunte en un lugar VISIBLE o No lo pegue frente a su monitor, tampoco lo ponga en el primer cajón del

escritorio. o No lo apunte bajo el teclado, ni bajo el tapete del ratón. o No genere un archivo de Word con todos los password's que utiliza, en

un archivo que se llame password.doc o similar.

• Defina el número máximo de intentos de adivinar el password (ejemplo que sea igual a 3). Los sistemas operativos tienen la facilidad de definir este parámetro, lo cual evita que sean ejecutados por password crackers.

• Los sistemas AS/400, Novell, Windows NT, Windows 2000, Windows XP, tienen las siguientes opciones:

o Que el password no se repita en las últimas 32 veces. o Que el password no se cambie más de tres veces en 12 horas. o Que no se repitan los mismos caracteres en la misma posición. o Recomendamos que no sea muy difícil poner un nuevo password, que

desaliente a los usuarios.

• Haga una auditoria a los password cada tres meses, ejecutando alguna herramienta de análisis de password. Publique los resultados de la auditoria, no


difunda los password´s y reporte a la Dirección General a las personas que no cumplieron con la política.

• Por favor cambie el password default o ponga password a las cuentas de mayor nivel:

o ROOT de Unix (de preferencia no use esta cuenta). o ANONYMUS de FTP (cancel). o GUEST de Windows NT (cancel). o De AS/400 ponga password difícil a:

QSECOFR del oficial de seguridad. QSERV del ingeniero de servicio. QSYS del ingeniero de sistemas.

2.4 Encriptación y firma electrónica

Cuando la información no está protegida cualquier persona podría leerla en el tránsito desde el emisor al receptor, por lo que se requiere incorporar un mecanismo de protección parecido a un candado, para que no pueda ser leída mientras anda en tránsito, ya que requerirá de una llave para abrir el candado.

1. Historia de la criptografía

En la Grecia antigua los militares utilizaban la criptografía, que aunque de manera rudimentaria, sus efectos eran los mismos: esconder un mensaje importante.

Los pasos eran los siguientes:

1. Utilizaron un sistema llamado SCYTALE, el cual se basaba en un báculo pequeño. En este instrumento enredaban un listón delgado, de tal manera que quedara forrado.

2. Posteriormente, sobre el báculo forrado por el listón, escribían el mensaje a ser enviado al ejército aliado.

3. Este listón era desenrollado y en él quedaba escrito un mensaje indescifrable a simple vista.

4. Ahora podía enviarse este mensaje de manera "segura". 5. El mensajero pasaba entre las líneas enemigas llevando el listón atado al cabello. 6. La persona que recibía el mensaje debía contar con un báculo de las mismas

dimensiones para poderlo descifrar. 7. Cuando el listón era enrollado en un báculo con las mismas dimensiones, se

podía entender el mensaje. (Flores y Gómez, 2002).

De esta forma sólo los ejércitos amigos tenían una réplica exacta del instrumento para "encriptar" y "desencriptar" los mensajes importantes.

En la siguiente imagen se pueden apreciar algunos de estos pasos:


Otra manera de encriptar la información era la siguiente:

• Nuestras madres y/o abuelas acostumbraban a hablar en "jerigonza", que es una forma básica de encriptar los mensajes:

o Hablaban con la "F". o Hablaban con el safa sefe dife sife sofa.

• Era un lenguaje enrevesado hablado entre determinados y reducidos grupos, ciegos, gitanos, rufianes.

• Durante la Segunda Guerra Mundial se utilizaron a indígenas navajos para que los ejércitos de Estados Unidos se comunicaran entre sí durante la guerra con Japón.

La criptografía sirve para proteger archivos, mensajes, faxes, conversaciones telefónicas o transmisiones de video, y también es el fundamento para la identificación del autor de la información, mediante la firma electrónica. La criptografía evita que personas no autorizadas conozcan la información, por ello su objetivo es proteger la privacidad.

Un mensaje por Internet es similar a enviar una tarjeta postal por correo porque proporciona:

• Confidencialidad al cifrar la información. • Autenticidad (autenticación), al dar el fundamento para verificar si el que dice

que es, en efecto si es. • Integridad, al hacer posible la verificación de que un texto no fue alterado. • No permite la negación de identidad (non-repudiation).

2. Modelos de criptografía

Existen básicamente dos modelos de criptografía: simétrica y asimétrica.

a) Criptografía simétrica

El modelo de criptografía simétrica está certificado por la Data Encryption Standard (DES) de Estados Unidos. En este método se utiliza una sola llave para encriptar y desencriptar información. El emisor y el receptor acuerdan por anticipado el intercambio de la llave secreta.


El proceso para encriptar un mensaje se ilustra siguiendo este proceso: Texto a encriptar: ENCRYPTION

1. El texto se convierte a sus caracteres equivalentes en código ASCII de la siguiente forma:

Caracteres del Texto: E N C R Y P T I O N Códigos ASCII: 69 78 67 82 89 80 84 73 79 78

2. Se determina una llave de encriptación: Para este ejemplo se define la palabra KEY la cual también se convierte a código ASCII:

Llave: K E Y Códigos ASCII: 75 69 89

3. La llave se suma a los caracteres del texto fuente de la siguiente forma:

a) Códigos ASCII del texto inicial: 69 78 67 82 89 80 84 73 79 78 b) Llave se empareja al texto: 75 69 89 75 69 89 75 69 89 75 c) Se efectúa la suma: 144 147 156 157 158 169 159 142 168 153 d) Caracteres equivalentes: � " œ � ? © Ÿ ? ¨ ™

Como podrá apreciar, la información resultante no es entendible, por lo cual puede viajar en forma segura.

4. La llave se facilita al receptor del mensaje utilizando otro medio diferente al que se utilizará, de tal manera que el receptor tenga la forma de descifrar el mensaje.

5. El receptor recibe el texto encriptado y lo que hace es aplicar el proceso opuesto al seguido anteriormente, restando la llave que se facilitó en el paso anterior.

Texto encriptado recibido: � " œ � ? © Ÿ ? ¨ ™ Equivalente en ASCII: 144 147 156 157 158 169 159 142 168 153 Llave en código ASCII: 75 69 89 75 69 89 75 69 89 75 El resultado de la resta: 69 78 67 82 89 80 84 73 79 78 El resultado es: E N C R Y P T I O N

b) Criptografía asimétrica

En este método se utilizan dos llaves, una para encriptar y la otra para desencriptar. Cada persona, receptor y emisor, tiene un conjunto de llaves que son privadas, mientras el otro conjunto de llaves se hacen públicamente. Para transmitir un mensaje privado a alguien, el emisor del mensaje encripta el texto con la llave pública del receptor. Por su


parte, el receptor del mensaje desencripta la información con su llave privada, eliminando así el problema de intercambio de llaves.

Está basada en el algoritmo RSA (Rivest Shamir y Adleman) cuyo fundamento matemático está basado en lo siguiente:

Ejemplo del algoritmo de encriptación RSA:

p = 61 <= primer número primo (se destruye después de calcular e y d). q = 53 <= segundo número primo (se destruye después de calcular e y d) pq = 3233 <= módulo (se comparte con los demás). e = 17 <= exponente público (se comparte con los demás). d = 2753 <= exponente privado (¡manténlo en secreto!).

La llave pública es (pq,e).

Su llave privada es d.

C = encrypt(T) = (T^17) mod 3233

T = decrypt(C) = (C^2753) mod 3233

Si se desea encriptar el número 123, el algoritmo se puede ilustrar de la siguiente manera: encrypt(123)= (123^17) mod 3233 =37587917446653715596592958817679803 mod 3233

El resultado de la función de encrypt es = 855

El proceso inverso es el siguiente:

Para descifrar 855 se hace de la siguiente forma, tomando en cuenta que es una ilustración, por lo que no aparecen todos los números parciales resultantes de la operación:

decrypt(855) = (855^2753) mod 3233

=50432888958416068734422899127394466631453878360035509315554967564501556286120825599787442454281100543834986542893363849302464514415078517209179665478263530709963803538732650089668607477182974582295034295040790358184594095637793858659893688380836028401325097686207669773966753325054282609347573513798806325648263933445309259438556242923301751977190016924916912809150596019178760171349725439279215696701789902 …. 38928438126611991937924624112632990739867854558756652453056197509891145781147357712836075540017742686609650933051721027230666357394623341363


80459142377599652203094185588800394967558297112536162189014035954234930424749053693992776114261796407100127643280428706083531594582305946326827861270203356980346143245697021484375 mod 3233

El resultado de la función Decrypt es = 123

El algoritmo establece el siguiente procedimiento:

• A cada usuario se le asigna un número entero n, que funciona como su clave pública.

• Sólo el usuario respectivo conoce la factorización de n (o sea p,q), que mantiene en secreto y es la clave privada.

• Existe un directorio de claves públicas, en donde podemos dar de alta la nuestra. • Si alguien quiere mandar un mensaje m a algún usuario, elige su clave pública n

y con información adicional también pública, puede mandar el mensaje cifrado c, que solo podrá descifrar el usuario correspondiente; el mensaje m convertido a número (codificación) se somete al algoritmo (donde e es constante y público).

m = cdmodn

• Entonces el mensaje c puede viajar sin problema por cualquier canal inseguro. • Cuando la información cifrada llega a su destino el receptor procede a descifrar

el mensaje con la forma equivalente del algoritmo.

c = memodn

• Se puede mostrar que estas fórmulas son inversas y por lo tanto dan el resultado deseado (n, e) son la clave pública, la clave privada es la pareja (p, q) o equivalentemente el número d. La relación que existe entre d y e es que uno es el inverso multiplicativo del otro módulo (n) donde (n) es el mínimo común múltiplo de p-1 y q-1, o también puede usarse (n)=(p-1)(q-1); esto significa que la clave privada o el de la pareja p,q o es el número d.

PGP

El PGP, cuyas siglas significan Pretty Good Privacy, es un software que encripta la información de archivos y mensajes de correo electrónico.

Hay una versión gratuita para los usuarios individuales y otra versión que es barata para los usuarios corporativos. Se recomienda investigar si en su país no hay algún inconveniente legal para utilizar este producto. Para ello, puede consultar las siguientes páginas de Internet:

http://www.pgp.com http://www.pgpi.org

A continuación veremos unos ejemplos del PGP:


1. Ejemplo de mensaje encriptado

Si deseamos mantener comunicación segura con un proveedor o colega, en donde intercambiamos información confidencial, lo recomendable es utilizar este mecanismo para encriptar los mensajes de correo electrónico.

Ejemplo de información a encriptar:

Envío original y copia del contrato con las siguientes correcciones:

1. Eliminé la frase "la cual reúne todas las necesidades de higiene y salubridad" 2. Establecí el plazo del contrato a 3 años, aunque tiene una cláusula de que si de común acuerdo se quiere suspender el contrato no hay problema.

Al encriptarlo con el PGP resultaría la siguiente información:

-----BEGIN PGP MESSAGE-----Version: PGPfreeware 7.0.3 for non-commercial use <http://www.pgp.com>

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 1hy3kILVp3e4xQ3od9ufKjBTddwdBaXlN3bLWrWHCA+sHAqjJJbZOAEQE+xf5a5gj3K83cC3uKte/V2rc40GWEqOInQg1xVzmRXWcAbjn6sXOXb3krxnyHW1diaeactB9IBZpsgjxQdxGu0ULLn36XqwgXOylIj0j8JS/UYBqJRAiZ3EDwgAqWHB8hrrXXDrkJ3dUSeBSLkjgemtQA2HndxmkzK/heWDABZZzWMpi6CaN0Mx46OwOPXYJME+vszRLbYFpneSAA2eurzclqQx8piD7f6KzfGkCx6QKjmnmC1YIT6v+JdVrVays0+1o1QMQZC+vSV0Zo6ir+zhGXDfqWmMm7lLhnKhiZRMaiI8ytElBfGXeS+fua7NOeLhVS9wVJykNtf9zmcTMmWFZua5JGHwu4CzzF5lUQHY3Mk443ZOaxiuXAv


2MWTvI3kuxcqjds/I8sV2ddiepahqsFp/GAM7X+meikDkawTsSz2oxDAzI++oc0wIQSwWTghvZStDU9tmL/QzS8nAKZFdTh5m2pBkKNg9c+n9dr8QHzvdO4YmlsVyDkpt1boVRt86prdTvh7JmNVcH8bRwGN9XN8sY6ObXIVSVKQF+oV9WoH/v1CT5PUIEPWpwgIuIjHYWPUOrJdkFaCpIatefVctE4fi9E4xLxiGjhEn+8pMlgLgRGkxL7hLPff7FNMtmqMMyTKxY9XLMOSebtXO4oatRDFftUY/xGKWjZicbbdvEdP6+PBhco6L7KIGSRXUuavjrTLWIpqPFihrXvPYbY83QsUFzDaOUb6s5K++QeHlAEGeFjKRg+j5M8Raqzi7N4mA8gE5 /5Pi =pg/9 -----END PGP MESSAGE-----

Usted podrá enviar este mensaje en forma segura utilizando el correo electrónico. Existe también la opción de encriptar archivos completos de Word (*.doc), Excel (*.xls), Power Point (*.ppt) y otros archivos de Office.

2. Ejemplo de la firma electrónica

También se usa este producto para la firma electrónica, para transacciones de negocios, en contratos o acuerdos legales.

Tomando como base la misma información utilizada en el ejemplo anterior, la firma electrónica se verá de la siguiente forma:

-----BEGIN PGP SIGNED MESSAGE-----Hash: SHA1


1. Eliminé la frase "la cual reúne todas las necesidades de higiene ysalubridad" 2. Establecí el plazo del contrato a 3 años, aunque tiene unacláusula de que si de común acuerdo se quiere suspender el contratono hay problema.

-----BEGIN PGP SIGNATURE-----Version: PGPfreeware 7.0.3 for non-commercial use <http://www.pgp.com>

iQA/AwUBPod12kTOGWFI76aHEQJCwwCff+wZhof3UG2gouxX+5K+ImF/NPMAoOCh vRGyHVuq9quL7bnsKB0sFY5C =Tf1F -----END PGP SIGNATURE-----


Este mensaje se enviará por correo electrónico, sin embargo en caso de que alguna persona lo altere, con el uso de la firma electrónica se podrá verificar y de esa manera evitar la suplantación.

Para más información sobre los usos de la firma electrónica, lea el documento "Norma Oficial Mexicana", que es material de apoyo de este módulo.

En este ejemplo aparece una alteración al texto original, porque se cambió el dato del plazo a 6 años:

-----BEGIN PGP SIGNED MESSAGE-----Hash: SHA1


1. Eliminé la frase "la cual reúne todas las necesidades de higiene ysalubridad" 2. Establecí el plazo del contrato a 6 años, aunque tiene unacláusula de que si de común acuerdo se quiere suspender el contratono hay problema.

-----BEGIN PGP SIGNATURE-----Version: PGPfreeware 7.0.3 for non-commercial use <http://www.pgp.com>

iQA/AwUBPod12kTOGWFI76aHEQJCwwCff+wZhof3UG2gouxX+5K+ImF/NPMAoOCh vRGyHVuq9quL7bnsKB0sFY5C =Tf1F -----END PGP SIGNATURE-----

Sin embargo, el originario del mensaje puede demostrar que el contenido fue alterado, ya que el PGP proporcionará la forma de hacerlo de la siguiente manera:

En este ejemplo aparece una alteración al texto original, se cambió el dato del plazo a 6 años:

*** PGP Signature Status: bad *** Signer: Pedro Jauregui Ortiz <[email protected]> *** Signed: 3/30/2003 4:55:22 PM *** Verified: 3/30/2003 5:03:57 PM


*** BEGIN PGP VERIFIED MESSAGE ***


1. Eliminé la frase "la cual reúne todas las necesidades de higiene y salubridad" 2. Establecí el plazo del contrato a 6 años, aunque tiene una cláusula de que si de común acuerdo se quiere suspender el contrato no hay problema.

*** END PGP VERIFIED MESSAGE ***

Note que el reporte del PGP menciona que el status de la firma es erróneo (PGP Signature Status: bad).

Existen algunos organismos certificadores de llaves de encriptación, como referencia puede consultar las siguientes páginas de Internet:

http://www.verisign.com http://www.thawte.com http://www.belsign.be http://www.globalsign.net

2.5 Biometría

Comprobar la identidad de las personas es uno de los problemas fundamentales a solventar cuando se trata de llevar un control de acceso a la información, de aquí surge la biometría, también conocida como técnicas de identificación biométrica. El objetivo de la biometría es autenticar a la persona, a partir de características que son propias de cada individuo como la voz, huella dactilar, rostro, etc.

Existen otros métodos como el uso de tarjetas o PINes (Personal Identification Number o número de identificación personal) como el usado en cajeros automáticos, pero tienen los inconvenientes de que se pueden extraviar, olvidar o dejar disponibles a terceras personas que pueden hacer mal uso de ellos.

Es habitual que en el caso de pérdida o sustracción de una cartera, cualquiera pueda hacerse pasar por uno mismo, ya que es frecuente tener junto a las tarjetas personales, los números de identificación personal (PINes) apuntados en la misma.

Este problema de suplantación de identidad quedaría resuelto con el uso de patrones biométricos como medio de autenticación personal.

La identificación biométrica tiene la ventaja de que los patrones no pueden perderse o ser sustraídos, ni ser usados por otros individuos.


Técnicas de identificación biométrica

Características fundamentales en términos de:

• Precisión (P) • Costo (C) • Aceptación por parte del usuario (A) • Grado de intrusión de la técnica (I)

Obviamente, la técnica ideal tendría precisión y aceptación máximas (P++++, A++++) y costo e intrusión mínimas (C+, I+).

Los mecanismos de la identificación biométrica se pueden calificar de la siguiente forma:

Tipo de reconocimiento

Precisión Costo Aceptación del usuario

Grado de intrusión

1 Huella dactilar ++++ ++ +++ ++

2 Facial ++ +++ ++ +

3 Voz +++ ++ ++ +

4 Forma de la mano

++ +++ ++ ++

5 Iris ++++ ++++ + ++++

6 Firma + ++ ++++ +

Referencias bibliográficas

1. Artículo 211 bis 1. (1999). Diario Oficial de la Federación. Lunes 17 de mayo de 1999.

2. Artículos del Código Federal. (2003). Código Federal de procedimientos penales. México. COMIMSA, Ley de Transparencia recuperado del sitio de Internet: http://www.comimsa.com.mx/transparencia/

3. American Managment Asociation. (2002). Recuperación de desastres. Información en el sitio de Internet http://www.data-express.com.ar/index2.htm

4. Carl, Jackson. (1996). Business continuity planning: the need and approach. IS Auditing & Security. Ernst & Young. USA: Texas

5. Carnegie Mellon. Caso CERT: Crime and security survive. Recuperado del sitio


de Internet: http://www.cert.org

6. Casad, Joe; Willsey, Bob. (1999). Aprendiendo TCP/IP en 24 Horas. Editorial: Prentice May.

7. Casos e historias de hackers, información recuperada de los sitios de Internet http://www.paralax.com.mx/antivirus/ar03-hackersyvirus.html y http://www.udec.cl/~rquiero/tarea4/historias_.htm

8. Cavanagh, James P. (1997). Internet and Internetworking Security. Auerbac Publications.

9. Chávez, José Antonio. (2003). Ingeniería social. Periódico El Norte. México. Febrero 24, 2003.

10. Computer Security Institute & Federal Bureau of investigations. (1999). Free 2002 Computer crime and security survey. Recuperado del sitio de Internet: http://www.gocsi.com

11. Data Security Management. (1997). Editorial: Auerbach Publishers.

12. Departamento de Justicia de USA. (1998). Instituciones jurídicas, USA.

13. Editorial Juris. (2003). Noticia de Xerox recuperada en el sitio de Internet http://www.editorialjuris.com/diarios/marzo/21_03_2003.asp

14. Flores, Oscar y Gómez, Joel. (2002). Seguridad Jurídica y Tecnológica en Internet. Academia Mexicana de Derecho Informático. México.

15. George, Meghabghab. (1997). Introducción a UNÍX. Editorial: Valdosta State University. Traducción: David Morales Peaje. Editorial: Prentice - Hall Hispano América S.A.CASAD, Joe, WILLSEY, Bob.

16. Goddell, Jeff. (1996). The Cyberthief and the Samurai. Editorial: Dell Publishing.

17. Gratton, Pierre. (1998). Protección Informática. Editorial: Trillas.

18. Hispasec. (2000). Proyecto carnívoro. Recuperado del sitio de Internet http://www.hispasec.com

19. Holmes, Douglas. (2001). E.gov e-business. Strategies for Government. Editorial: Nicholas Brealey

20. Howe, Jeff. (2002). Big Boss is Watching. Yahoo Internet Life.

21. ISO/IEC 8859-1:1998 Information technology-8bit single-byte coded graphic character sets-Part 1: Latin alphabet No. 1

22. Leyes Modelo de la CNUDMI sobre las Firmas Electrónicas y sobre Comercio Electrónico en General.

23. Littman, Jonathan. (1997). The Wacthman. Casos e historias de hackers. Editorial: Little, Brown and Company.


24. Littman, Jonathan. (1997). The Fugitive Game: online with Kevin Mitnick. Editorial: Little, Brown and Company.

25. López, Manuel. (1997). En la mira de los hackers: estudio de Dreitech e Intermarket recuperado del sitio de Internet http://www.terra.com.mx/noticias/articulo/055031/

26. Mitnick, Kevin D. (2002).The Art of Deception. Editorial: Wiley Publishing Inc.

27. McClure, Stuart; Scambray, Joel; Kurtz, George. (2002). Hackers, Secretos y soluciones para la seguridad de redes. Editorial: McGraw-Hill

28. NMX-Z-13-1997, Guía para la redacción, estructuración y presentación de las normas oficiales mexicanas.

29. Price Waterhouse LLP. Información recuperada del Internet en el sitio http://www.computerworld.com.sg/pcwsg.nsf/0/55476CB43379EA6C48256B4F002AE2B6?OpenDocument

30. Qué es un virus computacional, recuperado del sitio de Internet http://personales.com/costarica/paraiso/softhard/virus.htm

31. Reglamento de la Ley Federal sobre Metrología y Normalización

32. Shimomura, Tsutomu. (1996). Takedown. Editorial: Hyperion

33. Schneier, Bruce. Applied Cryptography

34. Sitio de Mcaffee en la dirección de Internet http://www.mcafee.com/

35. Sitio de Norton en la dirección de Internet http://www.norton.com/

36. Sitio de PGP en la dirección de Internet http://www.pgp.com

37. Sitio de PGPI en la dirección de Internet http://www.pgpi.org

38. Trend Micro, Internet Security systems. (2003). Qué es un virus computacional.

Glosario

CGI Por sus siglas en inglés Common Gateway Interfaces. Un CGI proporciona un enlace entre tu aplicación y el servidor de páginas Web, lo cual permite a los usuarios el acceso dinámico a los datos del sitio accesado. Estos programas CGI ayudan a construir, probar e implementar formas Web y otro tipo de ejecución de rutinas. En eso estriba la vulnerabilidad.

Cracker Persona con intenciones de hacer daño y ocasionar problemas utilizando métodos menos sofisticados pero que logran su objetivo.

Firewall: el "firewall" o "corta fuegos"


Es el mecanismo de control perimetral de la red de comunicaciones que está conectada a Internet. Es el equivalente a contar con una puerta robusta cerrada y con un guardia que sólo permitirá el acceso y la salida a las personas autorizadas.

Hacker Persona interesada en aprender todo lo posible sobre un sistema, a veces superando la seguridad, pero sin intención de dañar.

IP (Internet Protocol) Componente del protocolo TCP/IP, encargado de efectuar el traslado de los datos a través de Internet. Se ocupa de la transmisión cruda y unidireccional de paquetes de datos llamados datagramas, entre dos máquinas con direcciones adecuadas al protocolo (direcciones IP).

Phreakers Es algo como el hacker pero en el dominio de la telefonía.

PIB Producto interno bruto.

VPN (Virtual private network) Es una red privada virtual que utiliza infraestructura pública de lnternet para simular enlaces privados solamente durante la duración de la conexión, estos enlaces se efectúan por medio de túneles que protegen la sesión, ya que están encriptados; adicionalmente, los usuarios de esta red son identificados y autenticados por medio de algoritmos de encriptación.

Raid5 (redundant array of independent disks) Discos independientes de datos con bloques igualmente distribuidos.

módulo 6.seguridad en proyectos de gobierno electrónico ... · qué este planteamiento de...

Documents