“modelo de seguridad para minimizar riesgos en el uso …
TRANSCRIPT
INSTITUTO POLITÉCNICO NACIONAL
UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y
ADMINISTRATIVAS
“MODELO DE SEGURIDAD PARA MINIMIZAR RIESGOS EN EL USO DE INTERNET”
T E S I N A
Q U E P A R A O B T E N E R E L T Í T U L O D E :
I N G E N I E R O E N I N F O R M Á T I C A
P R E S E N T A N :B L A N C A E S T E L A L Ó P E Z M A R T Í N E ZA L M A A N G É L I C A R E Y E S R A M Í R E ZD I A N A M O N T S E R R A T V Á Z Q U E Z D I M A S Q U E P A R A O B T E N E R E L T Í T U L O D E :
LIC ENCIADO EN C IENCIA S DE LA INFORMÁTICA
P R E S E N T A N :A N A I D A L E J A N D R A R A M Í R E Z M A R T Í N E ZC L A U D I A T É L L E Z A G U I L A R
MÉXICO D.F. 2009
DEDICATORIAS
Esta tesina, si bien ha requerido de esfuerzo y mucha dedicación por parte de cada una de
nosotras y su director, no hubiese sido posible su finalización sin la cooperación desinteresada de
todas y cada una de las personas que a continuación citaremos y muchas de las cuales han sido
un soporte muy fuerte en todo momento.
Primero y antes que nada, damos gracias a Dios, por estar con nosotras en cada paso que damos
y el permitirnos llegar a esta etapa tan importante de nuestras vidas.
Agradecemos hoy y siempre a nuestros padres, hermanos y todas aquellas personas que han sido
nuestro soporte y compañía durante todo el periodo de estudio, ya que sin su apoyo no podríamos
haber llegado hasta esta etapa
En especial queremos agradecer a cada uno de los profesores que a lo largo de nuestra carrera
nos aportaron los conocimientos necesarios para desarrollarnos en el ámbito profesional.
Finalmente agradecemos a “UPIICSA”, que es la institución que nos abrió las puertas y donde
hemos adquirido herramientas necesarias para poder llegar a la culminación de nuestras carreras.
En general agradecemos a todas y cada una de las personas que han vivido con nosotras la
realización de esta tesina, con sus altas y bajas.
Por tanto agradecemos en gran manera todo el apoyo, colaboración, ánimo y sobre todo cariño y
amistad que nos han brindado.
Angélica, Anaid, Blanca, Claudia, Diana
ÍNDICE
RESUMEN……………………………………………………………………………………………………….
i
INTRODUCCIÓN……………………………………………………………………………………………..
iii
CAPÍTULO 1. MARCO METODOLÓGICO
1.1 Planteamiento del Problema………………………………………………………………………… 1 1.2 Objetivos………………………………………………………………………………………………. 1 1.3 Técnicas e Instrumentos de medición……………………………………………………………… 2 1.4 Universo y/o muestra………………………………………………………………………………… 2 1.5 Justificación…………………………………………………………………………………………… 3
CAPÍTULO 2. MARCO TEÓRICO Y REFERENCIAL
2.1 Riesgos en la navegación de Internet……………………………………………………………… 6 2.1.1 Reseña histórica de Internet…………………………………………………………………. 6 2.1.2 Internet………………………………………………………………………………………….. 7
2.1.2.1 Tipos de conexión a Internet………………………………………………………... 7 2.1.2.1.1 Redes de Área Local (LAN)…………………………………………….. 7 2.1.2.1.2 Redes de Área amplia (WAN)…………………………………………... 8 2.1.2.1.3 Redes de Área Metropolitana (MAN) …………………………………. 8 2.1.2.1.4 Redes VLAN……………………………………………………………… 9
2.1.2.2 Intranet y Extranet…………………………………………………………………… 10 2.1.2.2.1 Intranet…………………………………………………………………..... 10 2.1.2.2.2 Extranet……………………………………………………………………. 11
2.1.2.3 Protocolos de Internet……………………………………………………………….. 11 2.1.2.4 Panorama General del Uso de Internet en Latinoamérica……………………… 13 2.1.2.5 Crecimiento del registro de nombres de dominios……………………………….. 14 2.1.2.6 Enfoque en México…………………………………………………………………... 15
2.1.2.6.1 Acceso a Internet………………………………………………………… 16 2.1.3 Servicios más utilizados en Internet………………………………………………………… 16
2.1.3.1 World Wide Web (www) …………………………………………………………… 17
2.1.3.2 Correo electrónico…………………………………………………………………… 17 2.1.3.3 Transferencia de ficheros (FTP) …………………………………………………… 17 2.1.3.4 Grupos de Noticias (Newsgroups) ………………………………………………… 18 2.1.3.5 IRC (Internet Relay Chat) …………………………………………………………... 18
2.1.4 Tipos de riesgos en Internet………………………………………………………………….. 18 2.1.4.1 Definición de Riesgo………………………………………………………………… 19
2.1.4.1.1 Daño de información en Equipo de Cómputo…………………………. 19 2.1.4.1.2 Robo de Identidad y Fraude Electrónico………………………………. 19 2.1.4.1.3 Exploit……………………………………………………………………… 20 2.1.4.1.4 Spyware…………………………………………………………………… 20 2.1.4.1.5 Phising…………………………………………………………………….. 20 2.1.4.1.6 Pharming………………………………………………………………….. 21 2.1.4.1.7 Correo Electrónico……………………………………………………….. 21 2.1.4.1.8 Redes Sociales…………………………………………………………… 21
2.1.5 Modelo de seguridad…………………………………………………………………………. 22 2.1.5.1 Definición de Modelo………………………………………………………………. 22 2.1.5.2 Definición de Seguridad…………………………………………………………….. 22 2.1.5.3 Qué es seguridad Informática………………………………………………………. 23
CAPÍTULO 3. ANÁLISIS DE LOS PRINCIPALES RIESGOS EN EL USO DE INTERNET
3.1 Ataques más comunes en el Uso de Internet…………………………………………………….. 24 3.1.1 Virus…………………………………………………………………………………………….. 24 3.1.2 Phising………………………………………………………………………………………….. 24
3.1.2.1 Estadísticas Phising…………………………………………………………………. 25 3.1.2.2 Medidas Preventivas………………………………………………………………… 26
3.1.3 Pornografía Infantil…………………………………………………………………………….. 26 3.1.3.1 Pornografía infantil e Internet………………………………………………………. 26
3.1.4 Fraudes en transacción financiera…………………………………………………………… 27 3.1.4.1 Estadísticas de Fraudes en Transacción Financiera Internacionales………….. 28 3.1.4.2 Estadísticas de Fraudes en Transacción Financiera Nacionales………………. 30
3.2 Técnicas, métodos y herramientas de ataque más usados…………………………………….. 31 3.2.1 Robo de identidad a pequeña y gran escala……………………………………………….. 31 3.2.2 Carding y Skimming…………………………………………………………………………… 32 3.2.3 Phishing y Pharming…………………………………………………………………………... 32 3.2.4 Casinos virtuales………………………………………………………………………………. 34
3.2.5 Pump and Gump………………………………………………………………………………. 35 3.2.6 Fraude Nigeriano de Cargo Anticipado (fraude 419)…………………………………….... 36 3.2.7 Subastas………………………………………………………………………………………... 37
3.3 Medidas de protección……………………………………………………………………………… 37 3.3.1 Puntuación……………………………………………………………………………………… 38 3.3.2 Estándar Europa y MasterCard y Visa (EMV)…………………………………………….... 38
CAPÍTULO 4.NORMATIVIDAD, MEJORES PRÁCTICAS Y TECNOLOGÍAS
4.1 Normatividad………………………………………………………………………………………..... 39
4.1.1 Leyes Internacionales…………………………………………………………………………. 39 4.1.1.1 GLBA………………………………………………………………………………….. 39 4.1.1.2 COPPA………………………………………………………………………………... 40 4.1.1.3 HIPAA…………………………………………………………………………………. 40
4.1.2 Leyes Nacionales……………………………………………………………………………… 40 4.1.2.1 Código Penal Federal……………………………………………………………….. 40 4.1.2.2 Código Penal para el D.F…………………………………………………………... 43
4.3.3 Ley Federal de Derechos de Autor (LFDA)………………………………………………… 43 4.3.4 Ley de Protección de Datos Personales…………………………………………………….. 45 4.3.5 Ley Federal de Telecomunicaciones (LFT)………………………………………………… 47
4.4 Mejores Prácticas y estándares para la protección de la Información………………………… 52 4.4.1 Norma ISO 17799-1…………………………………………………………………………… 52 4.4.2 Norma BS7799………………………………………………………………………………… 53 4.4.3 ISO 27002……………………………………………………………………………………… 54 4.4.4 Norma PCI DSS (Payment Card Industry Data Security Standard) …………………….. 60 4.4.5 Statment Auditing Standard (SAS 70) ……………………………………………………… 62 4.4.6 BCRA 4609 (Basilea II) ………………………………………………………………………. 64 4.4.7 Norma “A” 4609………………………………………………………………………………... 66 4.4. 8 COBIT………………………………………………………………………………………….. 66
4.5 Lineamientos para la Consolidación y Operación de los Sitios Gubernamentales en Línea.. 70 4.5.1 Asegurar continuidad del sitio (presencia en línea) ………………………………………. 70 4.5.2 Procedimiento documentado………………………………………………………………… 71
4.6 Principales Mecanismos de Prevención para la conexión a Internet…………………………. 71 4.6.1 Herramientas de protección web……………………………………………………………. 72 4.6.2 Firewall…………………………………………………………………………………………. 73
4.6.2.1 Fundamentos del Firewall………………………………………………………….. 73
4.6.3 Antivirus……………………………………………………………………………………….. 74 4.6.4 Antispam……………………………………………………………………………………….. 75 4.6.5 Encriptación de datos…………………………………………………………………………. 75 4.6.6 Antispyware…………………………………………………………………………………….. 76 4.6.7 CWAT (Cyber-crime Warning Alert and Termination) …………………………………….. 76 4.6.8 Certificados electrónicos……………………………………………………………………… 76
4.6.8.1 Certificado de Seguridad Web SSL………………………………………………... 77 4.6.9 Criptografía simétrica/asimétrica……………………………………………………………. 77 4.6.10 Bloqueadores de contenido hostil………………………………………………………….. 77
CAPÍTULO 5. MODELO DE SEGURIDAD PARA MINIMIZAR RIESGOS EN EL USO DE INTERNET
5.1 Esquema del Modelo de Seguridad para Minimizar Riesgos en el Uso de Internet………… 79 5.2 Estudio del Entorno……………………………………………………………………………….. 79
5.2.1 Perfil de Organización………………………………………………………………………... 80 5.2.2 Perfil de Empleados…………………………………………………………………………... 80 5.2.3 Perfil de la Red de la Organización………………………………………………………… 80 5.2.4 Perfil de las Tecnologías de la Organización……………………………………………… 81
5.3 Identificación de Riesgos………………………………………………………………………….. 81 5.3.1 Análisis de Vulnerabilidades………………………………………………………………….. 83 5.3.2. Evaluación del Riesgo……………………………………………………………………….. 85 5.3.3 Matriz de Riesgo……………………………………………………………………………….. 90
5.4 Administración de Riesgos…………………………………………………………………………. 91 5.5 Implementación de Controles………………………………………………………………………. 93 5.6 Monitoreo……………………………………………………………………………………………... 93
CAPÍTULO 6. APLICACIÓN DEL MODELO DE SEGURIDAD PARA MINIMIZAR RIESGOS EN EL USO DE INTERNET EN LA DEPENDENCIA GUBERNAMENTAL SEP DIRECCIÓN GENERAL DE ADMINISTRACIÓN.
6.1 Estudio del Entorno………………………………………………………………………………….. 95
6.1.1 Perfil de la Dirección General de Administración- Subdirección de Carrera Magisterial 95 6.1.2 Perfil de Empleados…………………………………………………………………………… 97 6.1.3 Perfil de la Red de la Organización………………………………………………………….. 98 6.1.4 Perfil de las Tecnologías de la Organización………………………………………………. 99
6.2 Identificación de Riegos…………………………………………………………………………….. 99 6.2.1 Análisis de vulnerabilidades………………………………………………………………….. 99 6.2.2 Evaluación del riesgo………………………………………………………………………….. 101 6.2.3 Matriz de riesgos………………………………………………………………………………. 102
6.3 Administración de riesgos…………………………………………………………………………. 103 6.4 Implementación de Controles………………………………………………………………………. 105 6.5 Monitoreo……………………………………………………………………………………………... 107
CONCLUSIÓN………………………………………………………………………………………………….
109
BIBLIOGRAFÍA………………………………………………………………………………………………… 110
GLOSARIO……………………………………………………………………………………………………..
114
RESUMEN
La presente tesina se desarrolla con la intención de exponer los principales riesgos latentes en la
conexión de Internet, así como algunas acciones: prevención, detección y corrección para reforzar
o adecuar medidas de seguridad que mitiguen dichos riesgos. Esto, con base en un previo estudio
e investigación, con el objetivo de mostrar los riesgos que tienen gran impacto en la actualidad, así
como herramientas, normas, mejores prácticas y legislaciones existentes. Todo, en un ámbito
Nacional como Internacional que aplique hacia la problemática antes mencionada. En base a esto,
se propone un Modelo que consta de 5 módulos, que abarcan desde la situación actual de la
empresa o dependencia, en materia de seguridad en Internet, hasta la implementación de nuevas o
faltantes medidas, herramientas de seguridad y verificación del cumplimiento de éstas.
El primer módulo contempla el conocimiento y estado actual de seguridad en Internet, dentro del
ámbito de aplicación del modelo, para obtener una perspectiva de lo que se quiere proteger y cómo
se está protegiendo.
Una vez teniendo la visión general de la entidad, en el segundo módulo, se describen los puntos
débiles, que los hacen vulnerables al riesgo, derivado de una revisión basada en la eficiencia de las
acciones actuales, implementadas y aplicadas para la protección de su información.
Posteriormente, el tercer módulo tiene como objetivo el manejo y seguimiento de los riesgos
detectados, con la finalidad de adecuar o implementar políticas y medidas de seguridad basada en
las normas. Y mejores prácticas enfocadas a que la información sea integra; clara, oportuna,
concisa y confiable. Es importante proporcionar información completa a la entidad, por lo que en
éste módulo se dan las opciones de soluciones físicas y lógicas, de acuerdo a la estructura y
necesidades de TI, así como los beneficios que obtendrá al implementarlos.
Finalmente, el modelo propone, en su último módulo, verificar el cumplimiento y eficiencia de las
políticas establecidas y herramientas implementadas, así, como un estudio constante de los
nuevos riesgos a los que pueda ser víctima la entidad, lo cual ayuda a realizar las actualizaciones o
adecuaciones pertinentes.
Así pues, la estructura y desarrollo de esta tesina, aporta y concientiza sobre la importancia de
conocer el gran impacto que causan los ataques cibernéticos, ya que como se puede observar en
los primeros capítulos, las estadísticas muestran el creciente auge de nuevas amenazas y las
consecuencias que éstas conllevan.
i
Por otra parte, en esta investigación plantea la importancia de conocer la legislación y penas
aplicables, puesto que ayuda a reforzar las políticas existentes en la entidad, para hacer del
conocimiento general las penas a los que puedan estar sujetos por practicar algún hecho ilícito,
debido a que los ataques pueden ser originados dentro de la misma entidad, y en caso de que el
ataque sea externo, y se identifique al, o los, responsables, hacer valer el derecho que otorga la
ley.
ii
INTRODUCCIÓN
En la actualidad, existen diferentes tipos de riesgos al navegar en Internet, mismos que se reflejan
en los ataques a través de virus informáticos. Han ocasionado daños y pérdidas de información a
diferentes organizaciones, y debido a que ésta es el recurso más importante dentro de cualquier
empresa, ocasiona pérdidas económicas. También, corren el riesgo de que algún intruso logre el
acceso a alguno de los servidores que proporcionan servicios básicos y primordiales,
interrumpiendo el servicio de los mismos y ocasionado el paro en las actividades cotidianas de la
organización. Es importante mencionar que cualquier empresa; dependencia, organización o
persona, está expuesta a todos los riesgos existentes. Por ejemplo: una persona que realice
transacciones electrónicas, está expuesta al robo de información a través de sniffer. De acuerdo a la información publicada por Info Channel en Abril del 20061: existen países,
principalmente en Latinoamérica, con más vulnerabilidad a los crímenes cibernéticos, debido al
retraso que se tiene en materia de seguridad informática, así como en la conciencia de los
usuarios. Esta vulnerabilidad, se debe también, a que en las redes corporativas existen enlaces de
alta velocidad, lo que permite, a los ciber-criminales, adquirir información confidencial y realizar
otras prácticas de ataques, teniendo en cuenta que, las empresas o usuarios, no cubren el nivel de
protección adecuado.
Por ello, el objetivo principal, es presentar las medidas de protección, detección y prevención para
las conexiones a internet, en empresas y particulares, que proporcionen un entorno confiable para
disminuir los riesgos y las posibilidades de ataque, de los cuales pueden ser vulnerables a la
navegación por internet, mediante la creación de un modelo de seguridad, que refuerce la
reducción de probabilidades de amenaza a la información y recursos, así como identificar los
riesgos latentes en la conexión a la red.
Por lo anterior, esta tesina se compone de seis capítulos:
En el primer capítulo, “Marco Metodológico”, presenta la problemática, los objetivos y las fuentes
de información, a través de las cuales se obtiene el sustento para el desarrollo de la tesina.
En el segundo capítulo, “Marco Teórico y Referencial”, se explican ampliamente los conceptos de
los temas que se abordan en el desarrollo.
1 Revista b:secure, Diciembre 2007-Enero 2008 www.bsecure.com.mx iii
El tercer capítulo, “Análisis de los Principales Riesgos en el uso de Internet”, tiene como objetivo
analizar los métodos y técnicas más comunes utilizados para los ataques, las aéreas afectadas, el
impacto causado y las medidas preventivas para dichos riesgos.
El cuarto capítulo, “Normatividad, Mejores Prácticas y Tecnologías”, expone la normatividad
Nacional e Internacional, así como los procedimientos existentes, certificados en el manejo y
protección de la información en materia de redes. De igual forma, se presentan las opciones en
cuanto a herramientas existentes, con las cuales, se puede mejorar la seguridad en las áreas de
TI.
El quinto capítulo, “Modelo de Seguridad para Minimizar Riesgos en el uso de internet”, se
desarrolla, con base en la investigación anterior. Una propuesta para contribuir a la protección de
la información y minimización de los riesgos existentes en el proceso de navegación vía Internet.
En el sexto capítulo, “Aplicación del Modelo de Seguridad”, se presenta el resultado obtenido de la
aplicación del modelo en la Secretaría de Educación Pública (Dirección General de Administración-
Subdirección de Carrera Magisterial).
iv
CAPÍTULO 1. MARCO METODOLÓGICO
En este capítulo se describe la problemática que se tiene actualmente
en el uso de Internet, enfocándose en los principales riesgos que
conlleva. Se presenta el objetivo de esta tesina y las muestras
utilizadas para el desarrollo del modelo de seguridad. Finalmente, se
exhibe una perspectiva de las principales estadísticas relacionadas a
las conductas delictivas más comunes.
1
CAPÍTULO 1. MARCO METODOLÓGICO
1.1 Planteamiento del Problema
Con el paso de los años, la forma de vida del ser humano evoluciona aceleradamente, haciendo
que la tecnología se convierta en una herramienta necesaria e indispensable para la comunicación
con otras personas. Esto hace que la Internet sea uno de los medios más utilizados para la
reproducción y obtención de información de manera fácil, rápida y de bajo costo, debido a la
facilidad que brinda para la comunicación, en cualquier parte del mundo, no sólo para el
procesamiento de información, puesto que es uno de los medios preferidos de la sociedad para
conocer nuevas personas; para el intercambio de información personal, para realizar operaciones
comerciales de todo tipo desde la comodidad de la casa, o simplemente para el entretenimiento.
Sin embargo, hoy en día, a pesar de que la tecnología evoluciona aceleradamente, la difusión de
los peligros y de los riesgos que el uso de internet conlleva, se ve rezagada. Ya que un porcentaje
muy bajo de usuarios conoce los riesgos latentes que se presentan de forma más personalizada,
sofisticada e innovadora, poniendo en peligro uno de los activos más importantes para las
empresas, organizaciones y personas: “La información”. Muy pocos conocen las medidas y métodos de seguridad para protegerse, de forma más efectiva,
de los ataques latentes en Internet, como es la Infección de los equipos de cómputo por virus que
afectan su funcionamiento, o por intrusos que navegan en Internet. En el caso de las
organizaciones, los ataques van desde robo de información, daño a los servidores que soportan
sus servicios de correo; sistemas administrativos y conexiones de red, entre otros. A pesar de ello,
la internet no deja de ser uno de los medios más importantes y necesarios para facilitar la
comunicación. Por lo tanto, es necesario identificar, analizar y conocer las prácticas de riesgo, para
tomar medidas con la finalidad de proteger y reducir los impactos adversos a un nivel aceptable. Es
por esto que se presenta la propuesta del “Modelo de Seguridad para minimizar riesgos en la
navegación por Internet”, con la finalidad de apoyar a la prevención y disminución de dichos
riesgos.
1.2 Objetivos Ostentar las medidas de protección, detección y prevención para las conexiones a Internet, en
empresas y particulares, que proporcionen un entorno confiable para disminuir los riesgos, y las
posibilidades de ataque de los cuales pueden ser vulnerables a la navegación por Internet,
mediante la creación de un modelo de seguridad que ayude a reducir las probabilidades de
2
amenaza informática y recursos, así como a identificar los riesgos latentes en la conexión a la red.
Objetivos Específicos
• Identificar y analizar la vulnerabilidad y principales amenazas en las conexiones a internet.
• Disminuir la probabilidad de posibles ataques por medio de la navegación en Internet.
• Dar a conocer las acciones más eficaces para el manejo adecuado de las vulnerabilidades
en las conexiones a Internet.
• Proponer un conjunto de acciones que ayuden a restringir, proteger y evadir los posibles
ataques o el acceso no autorizado a la información.
• Dimensionar, con base en los impactos o daños, las medidas y estrategias de prevención
necesarias.
1.3 Técnicas e Instrumentos de medición
La medición de los riesgos a los que se está expuesto, se obtiene a través del análisis y
estadísticas de los ataques más comunes. Y con los resultados, se consigue un panorama más
amplio sobre las vulnerabilidades.
1.4 Universo y/o muestra Debido a que el uso de Internet es de fácil acceso para todas las personas que lo desean, es
importante identificar y separar a los usuarios que hacen uso del mismo, por consiguiente, se
realiza la siguiente clasificación:
1. Usuarios que utilizan la Internet para obtener información o programas para el desarrollo de
sus actividades profesionales, ya sean para realizar tareas de escuela, o bien, actividades en
su ámbito laboral.
2. Usuarios que utilizan la Internet para ingresar a redes sociales; como son páginas
personales, chats y foros, con la finalidad de conocer personas o conseguir algún tipo de
relación con las mismas.
3
3. Personas que se dedican a la compra-venta vía Internet de accesorios, bienes inmuebles,
video juegos, celulares, carros, revistas, etc.
4. Personas con amplios conocimientos informáticos que se dedican a perjudicar a otras
personas que navegan en Internet; propagando virus, cometiendo fraudes, robando
contraseñas e información personal: a estas personas se les considera crackers.
5. Personas que realizan pagos o transacciones electrónicas.
1.5 Justificación En la actualidad, los estudios demuestran que la cuarta parte de la población, tiene acceso a
Internet, ya sea, desde telefonía móvil, o bien, desde lap-top’s o equipos de escritorio.
Existen altos índices de ataques generados a través de Internet. A continuación se presentan
estadísticas generadas en la actualidad, donde se muestran cómo van en aumento los delitos
informáticos:
De Acuerdo a la Empresa Recovery Labas y atendiendo a la clasificación propuesta por su
“Convenio sobre la Ciberdelincuencia”, las conductas delictivas que más se repiten en las
solicitudes del servicio de peritaje informático son:
• Con 46.71% los Delitos informáticos, como la falsificación o fraude informático mediante
la introducción, borrado o supresión de datos informáticos, o la interferencia en sistemas
informáticos.
• 43.11% son Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos. Dentro de esta categoría las conductas que más se
repiten son: con un 63.89% los delitos relacionados con el acceso ilícito a sistemas
informáticos, y con un 36.11% todas aquellas conductas delictivas relativas a la
interferencia en el funcionamiento de un sistema informático.
• 10.18% son Delitos relacionados con el contenido. como la producción, oferta, difusión
y adquisición de contenidos de pornografía infantil, por medio de un sistema informático o
posesión de dichos contenidos en el mismo medio de almacenamiento de datos.
4
Por otro lado, el Instituto de Seguridad de Computadoras (CSI) publicó, en el año 2000, sus
resultados en su quinto estudio anual realizado a un total de 273 Instituciones, que principalmente
son grandes Corporaciones y Agencias de Gobierno.
Entre lo más destacado del Estudio de Seguridad y Delitos Informáticos se incluye lo siguiente1:
En la figura 22, de acuerdo a las estadísticas de Panda Security, se muestra el alto índice de
ataques por software malicioso, para el primer trimestre del año 2008.
Finalmente, presenta su gráfica de los últimos tres meses, del año 2008, en donde demuestra que
los troyanos siguen predominantes en las cifras de virus informáticos.
1 www.pandasecurity.com/homeusers/security.com 2 www.pandasecurity.com/homeusers/security.com
Figura 1. 90% de los encuestados descubrió violaciones a la seguridad de las computadoras dentro de los
últimos doce meses, 70% reportaron una variedad de serias violaciones de seguridad de las
computadoras, y las más comunes son los virus, robo de computadoras portátiles o abusos por
parte de los empleados, por ejemplo, robo de información, fraude financiero, penetración del
sistema y sabotaje de datos o redes.
Figura 2. La categoría de malware predominante, siguen siendo los troyanos, incrementándose notablemente un
17.96%, con respecto al trimestre anterior, hasta sustituirse en un 77.49%.
5
Figura 3. Ataques Maliciosos de los últimos tres meses de 20083
Debido a esto, surge la inquietud por prevenir a todas aquellas personas que en la actualidad
utilizan la red sin saber que pueden evitar los ataques. Por esta razón surge la idea de crear un
Modelo de Seguridad para minimizar riesgos en el uso de Internet, para informar de los
riesgos de los que pueden ser presa, y las medidas de seguridad preventivas o correctivas que
pueden aplicar.
3 www.pandasecurity.com/homeusers/security.com
CAPÍTULO 2. MARCO TEÓRICO Y REFERENCIAL
En este capítulo se exponen los orígenes de la Internet; sus principales
componentes y los tipos de riesgos que actualmente conlleva. Además
se proporciona una perspectiva general del uso de Internet en
Latinoamérica.
6
CAPÍTULO 2. MARCO TEÓRICO Y REFERENCIAL
2.1 Riesgos en la navegación de Internet
La Web presta una gama especial de servicios, como son: redes sociales, blogs, wikis, entre otros.
Los cuales fomentan un intercambio de información entre los usuarios, pero a su vez es un medio
que permite una enorme capacidad de propagación de amenazas que pueden materializarse si no
se tiene un conocimiento o conciencia de su capacidad de daño a la información o infraestructura,
así como de las medidas de prevención que se pueden implementar.
2.1.1 Reseña histórica de Internet En base a la investigación realizada en algunas páginas web4, se presenta el siguiente resumen:
En 1967 NPL adopta la palabra packet, así como la velocidad de línea desde 2,4 kbps-50 kbps.
Otro grupo escribe un documento sobre redes de conmutación de paquetes para comunicación
vocal segura en el ámbito militar.
En 1968 ARPA lanza un RFQ para el desarrollo de los conmutadores de paquetes “interface
message” IMPs, el cual tuvo un papel muy importante en el diseño de la arquitectura de la
ARPANET global.
En 1969 se instala el primer IMP, por lo que queda conectado el primer ordenador host, en base al
temprano desarrollo de la teoría de conmutación de paquetes, siendo el primer nodo de ARPANET.
Un mes más tarde fue enviado el primer mensaje de host a host. Se añaden 2 nodos más a
ARPANET. Estos últimos incorporaran proyectos de visualización de aplicaciones mediante el uso
de storage displays, mecanismos que incorporan buffers de monitorización.
Finalmente, en el año 1969, fueron conectados 4 ordenadores host conjuntamente a la ARPANET
dando inicio a la “INTERNET”.
En 1970, NWG, concluye el protocolo host a host inicial para ARPANET llamado Network Control
Protocolo (NCP), que finaliza su implementación entre 1971-1972.
4http://www.maestrosdelweb.com/editorial/internethis/, http://www.cad.com.mx/historia_del_internet.htm
7
En 1972 se realiza la primer demostración pública de ARPANET, la nueva tecnología de red, así
como también se introduce la primer aplicación de “estrella” (el correo electrónico), software básico
de envío-recepción de mensajes de correo electrónico, lo que se convirtió en la red más grande,
precedente más de 1 década del “World Wide Web”, o del enorme crecimiento de las formas de
tráfico de persona a persona.
2.1.2 Internet Dentro de éste apartado, se presentan los elementos con mayor relevancia que componen la red
mundial, con la intención de reflejar una perspectiva hacia lo que es la Internet, pues se puede
definir desde diferentes perspectivas:
“Como una colección de circuitos y rutinas, como un conjunto de recursos compartidos o incluso
como una disposición a intercomunicarse, como una mega red, como un sistema distribuido de
información, una red global de redes de ordenadores”. 5
Esta red se ha convertido en una oportunidad de difusión mundial para la propagación de
información, así como un medio de colaboración e interacción entre los individuos y sus
ordenadores sin importar la localización geográfica.
2.1.2.1 Tipos de conexión a Internet
A continuación se presentan las diferentes tecnologías que nos permiten tener acceso a Internet,
con el objetivo de entender su estructura y funcionamiento, y así poder tomar las mejores
decisiones para identificar y aprovechar al máximo los recursos de nuestra conexión. De igual
forma, obtener un mejor rendimiento en la implementación de alguna tecnología y adquirir una
mejor administración de la operación de nuestra red.
2.1.2.1.1 Redes de Área Local (LAN) Son redes privadas formadas de 2 computadoras, y a la encargada de llevar el control, se le llama
servidor. A las dependientes de éste se les llama nodos o estaciones de trabajo: son redes de
pocos kilómetros de extensión, restringidas en tamaño, pues se expanden en un área
relativamente pequeña, y permiten un diseño que facilita su eficiencia, ya que es posible conocer el
tiempo de transmisión de datos; simplifican la administración de la red, tienen bajo retardo y pocos
errores. Son usadas para la conexión de computadoras personales o estaciones de trabajo, para 5 http://itmorelia.galeon.com/concepto.htm
8
compartir recursos e intercambiar información. Emplean tecnología de difusión mediante un cable
sencillo, al que están conectadas todas las máquinas y operan a velocidades entre 10 y 100
megabits por segundo (Mbps). 6
2.1.2.1.2 Redes de Área amplia (WAN)
Son redes que están compuestas por varias redes LAN, interconectadas en un área extensa,
mediante enlaces aéreos o fibra óptica. Se encuentran entre las más grandes INTERNET. En este
tipo de redes está limitada la velocidad de su conexión telefónica, y en algunos casos pueden
funcionar hasta 1.5 Mbps, utilizan ruteadores, que aseguran que las LAN obtengan la información
destinada para ellas.
Una WAN contiene numerosos cables conectados a un par de routers. Si dos routers que no
comparten cable desean comunicarse, han de hacerlo a través de routers intermedios. El paquete
se recibe completo en cada uno de los intermedios y se almacena ahí, hasta que la línea de salida
requerida esté libre. 7
2.1.2.1.3 Redes de Área Metropolitana (MAN) Se definen como redes que se extienden sobre un área geográfica extensa, que puede abarcar
una conexione de corporativos cercanos de una ciudad, y no desvían los paquetes por las líneas
de salida. Este tipo de conexión funciona mediante el estándar DQDB, que consiste en un
cableado unidireccional en todos los equipos, equivalente a la norma IEEE. 8.
Las redes MAN pueden ser públicas o privadas. Dentro de las primeras, se pueden mencionar
aquellas que son implementadas dentro de campus o corporaciones. Las redes MAN permiten una
conexión que puede superar los 500 nodos, éstas son apropiadas para controles aéreos, bancos,
en sí, para aquellas aplicaciones que, al no tener disponibilidad en la red, tenga graves
consecuencias.
7http://www.masadelante.com/faq-lan.htm http://es.kioskea.net/contents/initiation/lan.php3 8 http://www.mailxmail.com/curso-que-son-redes/redes-lan-man-wan http://www.adslfaqs.com.ar/que-es-una-wan/ 8 http://www.monografias.com/trabajos14/tipos-redes/tipos-redes.shtml, Ibidem
9
2.1.2.1.4 Redes VLAN Redes que surgen con la necesidad de tener una mayor confidencialidad y mejor aprovechamiento,
que agrupan un conjunto de equipos de manera lógica y no física. La transmisión de datos se
realiza mediante ondas de radio, infrarrojo, satélite o microondas. Se define mediante una
segmentación lógica, basada en el agrupamiento de equipos, según determinados criterios
(direcciones MAC, números de puertos, protocolo, etc.). Esto, gracias a los estándares conocidos
como Wi-Fi, ya que puede transmitir datos a velocidades máximas de hasta 11 Mbps,
proporcionando una escalabilidad, facilidad y flexibilidad para la administración del tráfico en la red,
ya que la arquitectura puede cambiarse usando los parámetros de los conmutadores, según
criterios de conmutación y el nivel en el que se lleve a cabo.9
A continuación se presentan la diversidad de estas redes10:
NIVEL 1: Según los puertos de conexión del conmutador.
NIVEL2: Según las direcciones MAC de los equipos (son más flexibles que las que se
basan en puertos).
NIVEL 3: Basadas en la dirección de red, éstas y las basadas en protocolos, brindan gran
flexibilidad, ya que permiten agrupar todos los equipos, que se utilizan, en la misma red.
A continuación se menciona un ejemplo de este tipo de red:
Campus (CAN)
Es una colección de redes LAN’s dispersas dentro de una industria, oficina o campus. Las cuales
pertenecen a una misma entidad, estas redes se basan en el intercambio de mensajes entre
diferentes nodos, que intercambian la información por medio de pequeños mensajes con un
formato determinado. Comúnmente utilizan tecnologías para conectividad a través de fibra óptica y
espectro disperso, como FDDI (Fiber Distributed Data Interface). 11
9 http://www.textoscientificos.com/redes/redes-virtuales 10 http://es.kioskea.net/contents/internet/vlan.php3 11 http://www.eveliux.com/mx/redes-lan-can-man-y-wan.php
10
2.1.2.2 Intranet y Extranet Este apartado describe los términos o herramientas de transmisión, dentro de lo que es el comercio
por medio de la red mundial, mediante las cuales, las organizaciones pueden mejorar su eficiencia
y productividad, ya que ambas proporcionan diferentes beneficios, dependiendo de las
necesidades de comunicación de éstas.
A continuación se resumen estos términos, en base a diversos conceptos encontrados en algunas
páginas de internet.12
2.1.2.2.1 Intranet
Se define como una red interna basada en los estándares de Internet, que permite la interacción en
línea, la facilidad de disponer de documentos de forma centralizada, a lo que se le conoce como
capitalización del conocimiento. Esta red debe diseñarse en base en las necesidades, el alcance
de la organización y el nivel de los servicios a implementar, así como la infraestructura con la que
se cuenta. Este tipo de red es utiliza básicamente en negocios, como empresas, y también en el
académico, permitiendo el trabajo en grupo, porque facilita el compartir de forma segura los
recursos informáticos. Es imprescindible una contraseña para su uso, o algún nivel de seguridad,
según el tipo de usuario, para que impida el acceso a alguna persona foránea a la empresa.
Permite tener un sistema de información a bajo costo, donde se puede conectar cualquier clase de
equipo. Técnicamente se podría decir que ésta es una red de área local basada en arquitectura de
tres capas, como se puede observar en la siguiente figura.
A L M A C E N A M IE N T O L O C A L D E L
P R O V E E D O R
IN T E R N E T
B A S E D E D A T O S D E L A IN T R A N E T
U S U A R IO U S A N D O N A V E G A D O R
P R O V E E D O R U S A N D O N A V E G A D O R
N u b eP R O V E E D O R D E IN T E R N E T
N u b eP R O V E E D O R
D E S E R V IC IO S
D E IN T R A N E T
12 http://www.monografias.com/trabajos14/mundo-negocios/mundo-negocios.shtml
Figura 4. Arquitectura de red en tres capas: cliente-servidor de aplicaciones-servidor de base de datos.
11
2.1.2.2.2 Extranet Este término fue utilizado por primera vez en los años 90. Se define como una red privada que
utiliza protocolos de Internet y de comunicación, que se extiende más allá de los límites físicos de
una corporación, y da acceso semiprivado a vendedores, proveedores y distribuidores a la Intranet
de una compañía, con acceso permitido o autorizado. Las compañías, los incluyen para facilitar la
transferencia de información, esto puede proporcionar un ahorro en tiempo y dinero.
Se puede decir, que el firewall debe permitir el acceso a usuarios externos, pero solamente a
partes concretas, como se observa en la siguiente figura:
RED DE PC’s
FIREWALL
RECURSOS COMPARTIDOS
PROCESOS Y FLUJOS
INTERNET
USUARIOS EXTERNOS
RED INTERNA O INTRANET
2.1.2.3 Protocolos de Internet
El conjunto de protocolos o métodos TCP/IP fue desarrollado en los 70 y dio lugar a la ARPANET,
convirtiéndose en el fundamento de Internet, pues fueron diseñados para la interconexión de
ordenadores, con el fin de proporcionar la conectividad universal o comunicación entre procesos,
que deben respetarse, porque esto permitirá el envío y recepción de datos a través de la red,
independientemente del sistema operativo, de la tecnología y de su arquitectura. Establecen la
descripción de los formatos que deberán presentar los mensajes para poder ser intercambiados
Figura 5. Cliente o Proveedor, solicita acceso al sistema interno de la empresa, mediante internet, el cual debe pasar por algún mecanismo de seguridad.
12
por equipos de cómputo, definen las reglas a seguir para que se logre este intercambio. Están
presentes en las etapas necesarias para establecer comunicación entre los equipos de cómputo. 13
Así pues, las comunicaciones de Internet, se denominan también, comunicaciones TCP/IP,
debidas a que son dos de los protocolos más significativos que utilizan. Sin embargo, estos no son
los únicos y a continuación se hace mención de algunos de ellos:
• Protocolo de Control de Transmisión (TCP).
• Protocolo de Transferencia de Hiper Texto (http).
• Protocolo de transferência de archivos (FTP).
• Protocolo de Internte (IP).
• Internet Relay Chat (IRC).
• Protocolo de administración de grupos de Internet (IGMP).
• Gateway to Gateway protocol (GGP).
• Protocolo de Mensajes de Control y error de Internet (ICMP).
A continuación se presenta la definición de los protocolos más importantes:
Protocolo de Control de Transmisión (TCP).- Es uno de los principales protocolos de la capa de
transporte del modelo TCP/IP, en el nivel de aplicación. Posibilita la administración de datos que
vienen del nivel más bajo del modelo, o van hacia él, es decir, el protocolo IP. Con el uso del
protocolo TCP, las aplicaciones pueden comunicarse en forma segura, independientemente de las
capas inferiores. Esto significa que los routers sólo tienen que enviar los datos en forma de
datagramas, sin preocuparse con el monitoreo de datos, porque esta función la cumple la capa de
transporte (o más específicamente el protocolo TCP). 14
El Protocolo de Transferencia de Híper Texto (HTTP).- Se resume como un protocolo cliente-
servidor que articula los intercambios de información entre los clientes Web y los servidores HTTP.
Fue propuesto con la intención de atender a las necesidades de un sistema global de distribución
de información como el “World Wide Web”. 15
Protocolo de transferencia de archivos (FTP).- Este protocolo define el formato en que los
datos deben ser transmitidos dentro de una red TCP/IP, su objetivo se centra en: permitir que
equipos puedan compartir archivos, permitir una independencia entre los sistemas de archivo del
13http://www.zator.com/Internet/A3_7.htm, http://es.wikipedia.org/wiki/Protocolo_de_Internet 14 http://es.kioskea.net/contents/internet/tcp.php3 15 www.mitecnologico.com/Main/ProtocoloHttp
13
cliente y servidor, permitir una transferencia eficaz de los datos, durante este tipo de transmisión se
abre un canal de comandos y un canal de datos. 16
Protocolo Internet (IP).- Es aquel que permite integrar distintas redes entre sí, enlazándolas.
Determina el destinatario del mensaje, así como el desarrollo y transporte de paquetes de datos
encapsulados. Cada máquina de la red debe tener una dirección IP “única”, lo que permite el
encaminamiento de la información a través de la Internet. 17
2.1.2.4 Panorama General del Uso de Internet en Latinoamérica
De acuerdo con las estadísticas realizadas en un sitio web18, la cantidad de usuarios de Internet
en Latinoamérica creció el 30% en el último año. En diciembre de 2007, había 118 millones de
usuarios en la región, que corresponde a una tasa de penetración del uso de Internet del 22%
entre la población del área. Brasil, México y Argentina cuentan con el mayor número de usuarios
de Internet en la región.
El acceso por banda ancha, es uno de los factores clave que impulsan el crecimiento del uso de
Internet, para la búsqueda de servicios e información, además del comercio electrónico. Hay
aproximadamente 20,1 millones de conexiones de banda ancha en Latinoamérica. En el primer
trimestre de 2008, el acceso por banda ancha creció el 44% en comparación con el mismo
trimestre del año anterior. Los países que sumaron el mayor número de conexiones nuevas de
banda ancha en el primer trimestre de 2008 fueron: Brasil, México, Colombia y Argentina,
respectivamente.
Figura 6.- Conexiones de banda ancha en latinoamerica
16es.kioskea.net/contents/internet/ftp.php3 17http://es.wikipedia.org/wiki/Protocolo_de_Internet, http://www.monografias.com/trabajos7/protoip/protoip.shtml http://redesdecomputadores.umh.es/red/ip/default.html 18http://barometro.fundacioneroski.es/web/es/2005/capitulo8/pag6.php,http://www.blogadsl.com/2008/04/15-porcentaje-de- servicios-de-internet-mas-utilizados, http://www.verisign.com/static/044272.pdf
14
2.1.2.5 Crecimiento del registro de nombres de dominios Un dominio, es un nombre alfanumérico único, que se utiliza para identificar en Internet a un sitio,
un servidor web o un servidor de correo. Su utilización nos permite encontrar un sitio web y enviar
e-mail19:
.biz Sitios de Organizaciones de Negocios
.com Sitios Comerciales
.edu Sitios Educativos
.gov Sitios de Organismos Gubernamentales
.info Sitios de Apertura Libre de Dominios de Nivel Superior TLD
.int Sitios de Organizaciones Internacionales
.mil Sitios de Dependencias Militares Oficiales de los Estados
.name Sitios Personales
.net Sitios de Sistemas y Redes
.org Sitios de Organizaciones
El primer registro de un nombre de dominio en Internet, lo realizó Symbolics Technology, Inc. el 15
de marzo de 1985, registrando el dominio symbolics.com. Más de 23 años después, a fines de
junio de 2008, ya había 168 millones de dominios registrados en todo el mundo. De todos estos
nombres de dominios, 5,7 millones se registraron en Latinoamérica.
Actualmente hay 1.400 millones de usuarios de Internet en todo el mundo, de los cuales 118
millones se encuentran en Latinoamérica. Si se compara el número de nombres de dominios
registrados con la cantidad de usuarios de Internet, hay aproximadamente 5 nombres de dominios
registrados por cada 100 usuarios de Internet en Latinoamérica.20
En el segundo trimestre de 2008, la cantidad de dominios .com y .net en Latinoamérica llegó a 1,7
millones; un crecimiento del 31% con respecto al mismo trimestre del año anterior. El crecimiento
de los dominios .com y .net en Latinoamérica, fue 11 puntos porcentuales mayor que la tasa de
crecimiento global y mayor que la misma tasa en regiones más desarrolladas, como Norteamérica
y Europa, donde la proporción de los nombres de dominios con respecto al número de usuarios de
Internet, es mayor que en Latinoamérica. Brasil, Argentina y México tienen las mayores bases de
19http://www.mediosmedios.com.ar/Dominios%20Internet%20Mundiales.htm 20http://www.verisign.com/static/044272.pdf
15
nombres de dominios dentro de Latinoamérica, con 1,9 millones, 1,8 millones y 0,6 millones,
respectivamente (Figura 7).
De acuerdo con las investigaciones que se realizaron y que se publicaron en Internet21, entre
pequeñas y medianas empresas de estos países revelan que el dominio .com es ampliamente
conocido en Brasil (94%), en Argentina (83%) y en México (77%). Además, el dominio .com es
percibido como “empresarial” y “confiable”.
Figura 7.- Dominios utilizados en Latinoamérica
2.1.2.6 Enfoque en México A pesar de que México es el país hispanohablante más poblado del mundo y el segundo país más
poblado de Latinoamérica, luego de Brasil, enfrenta diversos obstáculos para incrementar el
acceso a la Internet, debido a la difícil situación económica y a la mala infraestructura de sus
21http://www.verisign.com/static/044272.pdf
16
telecomunicaciones, particularmente en algunas áreas rurales. Por lo tanto, la mayoría de los
usuarios mexicanos de Internet se sitúan en las áreas urbanas.
Los usuarios se identifican como personas jóvenes que están en una buena posición económica y
están abiertas a las nuevas tendencias.
Una encuesta realizada por un sitio de internet22 en el año 2007, sugirió que las transacciones de
comercio electrónico alcanzarían los US$ 765 millones, un crecimiento del 59% con respecto a las
transacciones del año 2006.
Las ventas en línea relacionadas con el turismo representaron el 66% de la actividad de comercio
electrónico de los mexicanos en 2006, debido a la popularidad del país como lugar de vacaciones
entre los norteamericanos. En una encuesta realizada en octubre de 2007, el 14% de los usuarios
de Internet confirmaron que habían realizado una compra en línea.
2.1.2.6.1 Acceso a Internet
El uso de Internet en México ha crecido, y en fines de 2007 había 23,7 millones de usuarios de
Internet, lo cual representa el 22% de la población mexicana. En el país, hay 18 millones de
computadoras personales y el 62% de ellas están conectadas a Internet. En total, hay 6,5 millones
de cuentas de acceso a Internet, de ellas, el 93% son conexiones de banda ancha. Se calcula que
el acceso por banda ancha crecerá un 50% entre 2007 y 2008.
Los usuarios de Internet acceden a la red principalmente desde sus hogares (48%); el 35% de los
usuarios mencionan a los cibercafés como el segundo lugar de acceso, y el 18% declaran que
acceden a Internet desde su trabajo. 23
México tiene más de 622 mil nombres de dominios registrados a través de todos los Dominios de
Primer Nivel (TLD). Los dominios .com y .net sumaron 325 mil registros en el país en 2008. 24
2.1.3 Servicios más utilizados en internet
A continuación se presentan algunos de los servicios más utilizados en Internet, empezando por el
más popular de estos, la World Wide Web.
22http://www.verisign.com/static/044272.pdf 23http://www.verisign.com/static/044272.pdf 24Ibidem
17
2.1.3.1 World Wide Web (www)
Las páginas web son la parte más visual de toda la red, la WWW se basa en la capacidad de
enlazar la información que contiene una web mediante hipertexto, obra del científico europeo Tim
Berners-Lee, autor del lenguaje HTML.25
Para poder visualizar una página web se necesita un programa que interprete este lenguaje: el
navegador. Los programas de este tipo más extendidos son el Explorer de Microsoft y Nestcape
Navigator.
2.1.3.2 Correo electrónico
Junto con la WWW, el correo electrónico, es otro de los servicios más utilizados en Internet.
Gracias a él, es posible enviar mensajes a cualquier persona del mundo que disponga de una
cuenta en Internet. Un mensaje puede contener, a parte del propio texto, imágenes e incluso
ficheros adjuntos. De hecho, algunos de los virus más extendidos han utilizado esta vía para
introducirse en las máquinas de los usuarios. Para evitar cualquier tipo de problema, la
recomendación más básica es la de no abrir ningún fichero del cual no se conozca su
procedencia.26
Para enviar y recibir mensajes de correo electrónico se necesita un cliente de email, la aplicación
mediante la cual se realizan todas las operaciones de forma sencilla y cómoda. El programa más
extendido es el Outlook de Microsoft, aunque existen muchos otros programas que funcionan tan
bien o mejor que este, como Eudora o Pegasus Mail.
2.1.3.3 Transferencia de ficheros (FTP)
En Internet es posible encontrar grandes cantidades de programas y ficheros almacenados en
ordenadores accesibles mediante el protocolo FTP.27 Para acceder a estos ficheros es necesario
utilizar una aplicación que utilice este protocolo, como el Explorador de Windows; el conocido
CuteFTP o el WSFTP. En la actualidad, desde el mismo navegador también se puede acceder a
estos ordenadores, cambiando la etiqueta http:// por la de ftp://, sólo que la velocidad y fiabilidad de
la conexión es menor, que utilizando programas específicamente diseñados con esta finalidad.
25http://www.cbtis51.edu.mx/sitios/lopezj/pw/hemos/INTERNET.html 26http://www.cbtis51.edu.mx/sitios/lopezj/pw/hemos/INTERNET.html 27Ibidem
18
Con tantos ficheros almacenados en ordenadores diferentes, el problema puede ser encontrar
aquello que se busca. Con la intención de solucionar este problema se creó Archie: una base de
datos que dispone de información sobre los programas y su localización dentro de Internet.
2.1.3.4 Grupos de Noticias (Newsgroups)
Bajo el nombre de “Grupos de Noticias” Newgroups28 se encuentran miles de grupos de discusión
sobre los temas más dispares. Cada uno de estos grupos están formados por personas que
desean intercambiar mensajes entre sí sobre una temática determinada.
El funcionamiento de estos grupos es parecido al de un tablón de anuncios: alguien “cuelga” un
mensaje que es leído por el resto de usuarios, que a su vez, pueden contestar a este mensaje o
dejar nuevos comentarios para el grupo.
Arrakis dispone de su propio servicio de “Noticias” en la dirección news.arrakis.es . Para acceder a
cualquier grupo de news, se pueden utilizar programas especializados, como News Pro y
FreeAgent, aunque los programas más habituales para la navegación o el correo también son
capaces de gestionar este servicio.
2.1.3.5 IRC (Internet Relay Chat)
Las charlas (conversaciones mediante el teclado en tiempo real), es otro de los servicios de
Internet que causa furor, y no sólo en el sector más joven de usuarios. Gracias a programas de
IRC29 como el extendido mIRC, es posible “hablar” con personas de todo el planeta, siempre y
cuando se conecten a los servidores dispuestos a tal efecto. Arrakis dispone de un servidor de
chat, que se encuentra en irc.arrakis.es .
Los servidores de IRC se organizan en canales, cada uno con su temática e interés concreto. Cada
servidor dispone de una lista de canales, y aunque tengan el mismo nombre, pueden ser
diametralmente diferentes según el servidor al que se conectan.
2.1.4 Tipos de riesgos en Internet
Al navegar en internet, de una forma libre y sin ninguna medida de seguridad para proteger el
equipo de cómputo, se está expuesto a los diversos tipos de ataques que realizan las personas
con amplío conocimientos en fraudes informáticos. Es por esto que a continuación se muestran
definiciones y la forma en la que operan los defraudadores. 28Ibidem 29http://www.cbtis51.edu.mx/sitios/lopezj/pw/hemos/INTERNET.html
19
2.1.4.1 Definición de Riesgo En base a la investigación realizada, se define el riesgo como la posibilidad de que una amenaza
concreta pueda materializarse para causar una pérdida o daño en un activo de información. Entre
los principales riesgos a los que se están expuestos al navegar en Internet son:
2.1.4.1.1 Daño de información en Equipo de Cómputo
La información, almacenada en el disco duro de la PC, puede verse afecta por distintos tipos de
virus, que son programas que se instalan en el equipo de cómputo y se ejecutan sin que el usuario
lo indique. Estos programas pueden ser descargados desde páginas que permiten la descarga de
software libre, música o videos gratis, también pueden propagarse por el Messenger o bien por
dispositivos externos que se conectan a nuestra PC. Los propósitos de estos programas van desde
ejecutar un proceso en repetidas ocasiones, y de esta manera interrumpir el trabajo del usuario,
hasta dañar el sistema operativo de la PC o bien el disco duro, que es el dispositivo en donde se
guarda toda la información.
En la actualidad existen diversos tipos de virus, y los daños provocados en las empresas han
tenido altos costos para los dueños, puesto que bloquean sus comunicaciones y esto impide la
conexión a los sistemas y bases de datos tanto internas como externas, interrumpiendo el
desarrollo de las actividades cotidianas. A continuación se menciona una breve clasificación de los virus informáticos más comunes:
• Caballo de Troya
• Gusano o Worm
• Virus de sobre escritura
• Virus de Programa
• Virus de Boot: 2.1.4.1.2 Robo de Identidad y Fraude Electrónico En la actualidad, existen personas que desconfían al realizar transacciones financieras vía internet,
o bien, el simple envío de información personal, esto debido a que existe Malware. Nombre que
reciben en general todos los programas que se instalan automáticamente en los equipos de
cómputo sin permiso del usuario, y que tiene como objetivo ocasionar daños a sus equipos. A
continuación se explican los principales programas o malware más comunes.
20
2.1.4.1.3 Exploit Son programas o códigos que explotan las vulnerabilidades de los sistemas de las PC’s, o parte
del mismo, aprovechando esta deficiencia en beneficio de la persona que creó este código,
utilizándolo para permitir el acceso a un sistema y hacer uso de funciones que no estarían
permitidas en caso normal; como son los errores de funcionamiento de los componentes de la PC,
que deshabilitan el uso del sistema, o bien introduciendo un virus en el equipo.
2.1.4.1.4 Spyware
La principal función de estos programas es la de transmitir la información que obtiene de una PC
sin autorización del usuario, es decir, cuando el usuario ingresa a páginas comerciales de Internet
y habilita opciones de ventanas emergentes o ejecución de animaciones, entran en acción los
spyware, que roban la información personal del usuario; los sitios de Internet que visita con mayor
frecuencia, cuentas de correo y contraseñas. En el caso de que el usuario pertenezca a una
empresa, puede robar contraseñas de sistemas internos y obtener datos confidenciales de la
empresa.
¿Por qué se recibe en el correo electrónico información de promociones que no se han solicitado?
La respuesta es que, gran parte de esta información robada, en el mejor de los casos, es enviada a
empresas que requieren la comercialización de sus productos. En los peores de los casos, con las
contraseñas, pueden sabotear la cuenta de correo, robar la identidad, utilizar las cuentas de correo
para propagar virus y hostigar a personas desconocidas. La instalación de estos programas
ocasionan el consumo excesivo de recursos de la PC, por lo que ésta puede trabajar con lentitud
mientas se navega por Internet.
2.1.4.1.5 Phising Este es uno de los fraudes cometidos a través de Internet que causa mayor impacto en las
victimas, porque aquellas personas que realizan transacciones bancarias o algún tipo de
transacción de información importante, pueden ser engañadas. Esto sucede de la siguiente forma:
Puede llegar un mensaje al correo electrónico solicitando la actualización de los datos personales
para el banco, en el cual, por ejemplo, se tenga una cuenta de ahorro. Aparece un enlace para
ingresar a una página de Internet y llenar el formulario, para que de esta manera se actualice la
infamación. Sin embargo, esa página, aunque es parecida, no es la página oficial del banco, y el
banco tampoco es quien envía el correo electrónico. En realidad se trata de personas que se
21
dedican a la extorsión y fraude, obteniendo así información, datos de cuentas y contraseñas, para
robar dinero de una cuenta bancaria y hacer transferencias a otras. Este tipo de fraude puede
ocurrir con páginas que indiquen alguna ganancia de premios; como viajes, o recargas de saldo a
teléfonos celulares, entre otros. Esto en nombre de empresas reconocidas que solicitan ingresar
datos para corroborarlos, guiando a páginas ficticias que únicamente tienen por objetivo robar
información personal y confidencial.
2.1.4.1.6 Pharming Este tipo de ataque es muy parecido al phising, que se explicó anteriormente, sin embargo, es más
difícil que alguien se dé cuenta si es víctima de este tipo de ataque, porque en este caso se puede
recibir información atractiva a la vista, o bien, correos de personas conocidas con enlaces a otras
páginas, tarjetas de felicitación, por ejemplo. Y al dar clic en el enlace, lo que hace es ejecutar e
instalar un programa que modifica parámetros en el equipo de cómputo, para que al visitar una
página web en la que se realicen transacciones, se direccione automáticamente a otra página que
tiene una presentación parecida a la página oficial, y de esta manera obtener la información
personal y utilizarla para beneficios de los responsables defraudadores.
2.1.4.1.7 Correo Electrónico
El correo electrónico es un medio muy utilizado por la gran mayoría de los usuarios de internet,
inclusive dentro de las empresas y dependencias gubernamentales, se utiliza el correo con la
finalidad de economizar tiempo, recursos y agilizar los procesos que se realizan dentro de la
misma. Aunque es un medio vulnerable a través del cual pueden recibirse virus informáticos, o
bien, programas como los que se mencionaron anteriormente, los cuales sirven como puente para
el robo de información personal. No obstante la forma más común de afectar nuestros equipos a
través de correo electrónico, es el spam. El Spam son aquellos mensajes no solicitados, habitualmente de tipo publicitario, enviados en
forma masiva. La vía más utilizada es la basada en el correo electrónico, pero puede presentarse
por programas de mensajería instantánea.
2.1.4.1.8 Redes Sociales Estos son grupos de individuos que poseen capacidad de interactuar o transferir información por
medios electrónicos, con diferentes fines: finanzas, negocios, amistad, curiosidad, entretenimiento,
ventas, publicidad, etc. Esto genera todo tipo de conocimiento entre las personas que se
22
involucran, lo que genera un nuevo modo de comunicación y aprendizaje, en la actualidad, a nivel
local e incluso mundial, todo ello sin distinción de razas, géneros, preferencias, etc. A pesar de esta facilidad para conocer personas a través de estos sitios, cabe mencionar que se
pueden realizar análisis de personalidad y vínculos sociales, porque algunas personas permiten el
acceso a su perfil a todo tipo de usuarios. Y esto concurre a la extorsión de sus familiares, incluso
hasta el secuestro, ya que tienen toda la información personal y conocen así los lugares que
frecuentan, sus gustos, aficiones, etc. De la misma manera, tiene un gran impacto en aquellos
adolescentes que tiene problemas personales y se dejan influenciar fácilmente por los comentarios
o “modas” que encuentran en los distintos sitios de redes sociales de Internet.
2.1.5 Modelo de seguridad
Con base en diversos conceptos encontrados en algunas páginas de internet, se define que el
objetivo de un Modelo de Seguridad es mejorar la Seguridad de la información y de los equipos,
para obtener así un mejor control y gestión de los mismos.
2.1.5.1 Definición de Modelo Con base en los conceptos de Modelo existentes en la red, para efecto del presente trabajo, se
define como un modelo, a una estructura conceptual que sugiere un marco de ideas para un
conjunto de descripciones, que de otra manera no podrían ser sistematizadas. De esta manera, su
estructura es diferente de las que, se supone, existen en el conjunto de fenómenos de la
naturaleza. El modelo concebido en esta forma, impulsa la inteligibilidad y ayuda a la comprensión
de los fenómenos, ya que proporciona los canales de interconexión entre hechos que sin la
existencia de los lazos diferenciales, podrían permanecer aislados e independientes unos de otros.
Otra versión del concepto de modelo, es aquella que lo define como una serie de realizaciones que
sirven durante una época de ciencia normal, para definir problemas y métodos legítimos en un
campo específico de investigación. Es en estas realizaciones en las que se forman generaciones
sucesivas de futuros practicantes.
2.1.5.2 Definición de Seguridad Tras realizar una investigación por toda la red, los integrantes de este equipo han llegado a la
conclusión de que la siguiente definición de Seguridad, es la que más se apega a todo lo aprendido
durante la licenciatura:
23
La seguridad está definida en el diccionario como el conjunto de medidas tomadas para protegerse
contra robos, ataques, crímenes y espionajes o sabotajes. La seguridad implica la cualidad o
estado de estar seguro, es decir, evitar de exposiciones a situaciones de peligro y la actuación
para quedar a cubierto frente a contingencias adversas.
La seguridad no sólo requiere un sistema de protección apropiado, sino considerar también el
entorno externo en el que el sistema opera. La protección interna no es útil si la consola del
operador está al alcance de personal no autorizado, o si los archivos pueden simplemente sacarse
del sistema de computación y llevarse a un sistema sin protección. Estos problemas de seguridad
son esencialmente de administración, no problemas del sistema operativo.
La información almacenada en el sistema, así como los recursos físicos del sistema de
computación, tienen que protegerse contra accesos no autorizados, destrucción o alteración mal
intencionado y la introducción accidental de inconsistencias.30
2.1.5.3 Qué es seguridad Informática
La seguridad informática es una disciplina que se encarga de proteger la integridad y la privacidad
de la información almacenada en un sistema informático. Pese a que no existe ninguna técnica que
permita asegurar la inviolabilidad de un Sistema.
En un sistema informático, la seguridad ayuda a la protección contra amenazas dañinas que
pueden instalarse en la computadora, al momento de navegar por la internet.
Finalmente, la seguridad se apoya en técnicas, dispositivos y aplicaciones, con las cuales se
segura la integridad y la privacidad de la información. Si bien es cierto que no puede tenerse el
100% de confianza, en que con esto no puedan ocasionar daños o problemas provocados por
terceras personas, sí son una manera más segura de cuidar la información.
30 Definiciòn: http://www.mitecnologico.com/Main/ConceptoDeSeguridad
CAPÍTULO 3. ANÁLISIS DE LOS PRINCIPALES RIESGOS EN EL
USO DE INTERNET
Este capítulo aborda algunas estadísticas de los ataques más
frecuentes al utilizar la web.
Como se ha descrito a lo largo de la tesina, el uso de internet se ha ido
incrementando con el paso de los años y se ha extendido
vertiginosamente a todos los rincones del mundo. No obstante, de la
misma forma los riesgos y ataques al navegar por la red se han vuelto
cada vez más comunes y más sofisticados.
24
CAPÍTULO 3. ANÁLISIS DE LOS PRINCIPALES RIESGOS EN EL USO DE INTERNET.
3.1 Ataques más comunes en el Uso de Internet A continuación se concentran una serie de los ataques más comunes en la navegación por
Internet:
3.1.1 Virus
Actualmente, es muy común escuchar el término “Virus”, y es muy probable que el 1OO% de los
equipos de los usuarios de Internet, hayan sido infectados por alguno, sin que lo percibieran, ni se
dieran cuenta de las consecuencias que les trajo. ¿Por qué se puede decir esto? Porque los virus
son mecanismos de ataque, su propósito principal es hacer daño a un equipo de cómputo sin que
sea perceptible, ya que su característica particular es hacerlo de manera sutil, aunque en realidad
crecen acelerada e indiscriminadamente.
La proliferación de virus peligrosos continúa gracias a la utilización de nuevas tácticas engañosas
que les permiten ingresar a las redes. Últimamente, son cada vez más los virus programados para
generar grandes estragos y destrucción, asumiendo identidades y defraudando a los usuarios.
Existen nuevos métodos que logran eludir a los administradores de las redes y ocasionan que los
virus sean aún más peligrosos que antes, dejando pérdidas económicas importantes, tanto a
particulares como a empresas.
Por ejemplo, un artículo menciona: “Los ataques informáticos provocan 35 por ciento de las
pérdidas económicas en las empresas, y sólo los virus y ataques de hackers o internos
representan 50 por ciento de los casos, por lo que es recomendable avanzar en la cultura de la
seguridad informática”.31 3.1.2 Phising
No sólo hay ataques que afectan a los equipos de computo en su funcionamiento, también hay
ataques que son directamente al usuario de Internet, tal es el caso del Phising.
31http://www.e-mexico.gob.mx/wb2/eMex/eMex_e500_not111_provocan_ataq
25
Hoy en día, los sitios Web y mensajes falsificados, a menudo no pueden distinguirse de sus
legítimos homólogos.
El "phishing" se considera como el nuevo timo de Internet más reciente y problemático.
3.1.2.1 Estadísticas Phising
El fraude por Internet está evolucionando. El phising y el pharming constituyen una de las olas de
delitos informáticos más sofisticadas, organizadas e innovadoras a que se enfrentan las empresas
de Internet. Los defraudadores disponen de nuevas herramientas y son capaces de adaptarse con
más rapidez que nunca.
El Centro de Mando Antifraude de RSA (AFCC, por sus siglas en inglés), es un puesto de control
que trabaja 24 horas al día y 7 días a la semana para detectar, rastrear, vigilar y neutralizar
ataques de phising, pharming y troyanos contra más de 70 instituciones del todo el mundo. El
AFCC ha neutralizado más de 10.000 ataques de phising y constituye una de las fuentes de
información sobre phising y otras nuevas amenazas electrónicas más importantes del sector.
Las siguientes estadísticas han sido confeccionadas a partir del archivo central de información
sobre phising del AFCC.
El Centro de Mando Antifraude de RSA detectó un total de 44 ataques por phishing a 5 bancos
españoles durante el mes de abril.
Continúa la transformación observada en el phishing, que ahora se está dirigiendo más contra
bancos no estadounidenses que contra bancos estadounidenses. Así, de todas las marcas
bancarias que fueron objeto de ataques de phising en abril, el 57% eran marcas internacionales
(no estadounidenses). Obsérvese, que si bien la cantidad de marcas internacionales es elevada,
los ataques contra bancos estadounidenses siguen siendo más numerosos que los ataques contra
bancos no estadounidenses. Los ataques de phising contra bancos internacionales están en
máximos históricos. Casi el 50% de los ataques sufridos por entidades no estadounidenses fueron
lanzados contra países que no son de habla inglesa. En este sentido, España e Italia ocuparon las
primeras posiciones. La parte correspondiente a los Estados Unidos del total de ataques de phising
no deja de aumentar. De acuerdo con las estadísticas de este mes, dos de cada tres ataques de
phising del mundo se alojan en servidores de los EE.UU. El ataque restante suele estar alojado en
Europa o Extremo Oriente. El número de marcas, objeto de ataques de phising ha descendido
26
notablemente en abril. Tras marcar un récord en marzo con 127 marcas, el número cayó en abril
más de un 25% hasta un total de 93. 32
3.1.2.2 Medidas Preventivas
Por consiguiente, de los riesgos ya mencionados, se enlistan las adecuadas medidas preventivas:
• Sospeche de cualquier mensaje que solicite datos financieros, de contraseñas, claves de
acceso, números de tarjeta de crédito, etc.
• Recordar que estos mensajes NO suelen ir personalizados, mientras que los enviados por
su banco normalmente lo son.
• Si tiene alguna sospecha de un mensaje, no utilice los enlaces hacia otras páginas que
vengan en él. En vez de eso, teclee usted mismo la dirección de la página.
• Siempre que introduzca datos 'sensibles' a través de una página web, asegúrese de que lo
hace bajo una conexión segura. Cuando en la dirección de la página vea 'http://' en vez de
'https://' sabrá que es una conexión segura.
• Asegúrese de tener instaladas las últimas actualizaciones de su sistema operativo y
navegador.
3.1.3 Pornografía Infantil
No sólo existen riesgos al equipo de un usuario o a su bolsillo, también su mente, ya que la Internet
brinda oportunidades para acceder a TODO tipo de información, y se corre riesgo de ver y conocer
información de amplio criterio, como por ejemplo, la pornografía.
3.1.3.1 Pornografía infantil e Internet.
Antes de la aparición de Internet la pornografía infantil era un hecho. Con la aparición de este
nuevo medio se han modificado las pautas de difusión de este tipo de material.
La UNCRC (United National Convention of the Rights of the Child), define al niño como una
persona menor de 18 años, y esta es la normativa que impera en el continente europeo.
En los años setenta puede situarse el momento de máximo apogeo de la producción comercial de
pornografía infantil en el mundo occidental. Por ello, con el paso de los años, las medidas y
dispositivos que controlan este tipo de delitos han ido aumentando, persiguiendo a las personas
que tuvieran en su poder material pornográfico infantil. En la actualidad hay una tendencia, según
32 http://www.rompecadenas.com.ar/articulos/1182.php
27
la cual, este tipo de material ya no se posee por ánimo de lucro ni por ningún motivo comercial. A
partir de las nuevas tecnologías que han surgido a partir de las mejoras en Internet, ha aparecido
la llamada pornografía técnica.
Este nuevo tipo de pornografía infantil que ha generado Internet, ha dado lugar a grandes debates
jurídicos. Se ha demandado que este tipo de pornografía no sea objeto de medidas penales, ya
que no se verifica en ellos el uso real de menores, por lo cual se estaría coartando la libertad de
expresión. Existen varios tipos de utilización de este tipo de pornografía; como pueden ser el
correo electrónico, charlas virtuales, video cámaras que ofrecen actos sexuales a tiempo real,
páginas con contenido sexual explícito... Se estima que en toda la Red hay miles de pedófilos que
comercializan o “trafican” con todo tipo de material sexual de niños y niñas.
Cifras que proporciona UNICEF del año 2006 muestran, que aproximadamente, un millón de niños
son filmados para satisfacer las “necesidades” sexuales de estas personas que generan millones
de dólares al año. A pesar de las altas precauciones tomadas para evitar este tipo de acciones,
estos delincuentes desarrollan nuevas tecnologías, con las que son capaces de seguir con esta
actividad ilegal sin ser captados por los organismos de protección. La detención de este tipo de
acciones es muy complicada, ya que mediante enlaces Web muchas direcciones son reportadas a
otras, haciendo muy complicado su filtrado.
3.1.4 Fraudes en transacción financiera La Internet no sólo se ha convertido en un medio para dañar equipos de cómputo, sino también
para lucrar, y lo que es peor, lucrar a costa de los demás con engaños y mentiras. Más adelante se
muestran algunos ejemplos.
El fraude financiero tiene muchas facetas. Ya se trate de estafas; fraude de tarjetas de débito o de
crédito, fraude inmobiliario, tráfico de drogas, robo de identidad, telemarketing engañoso o
blanqueo de dinero, el objetivo de los ciberdelincuentes es conseguir la mayor cantidad posible de
dinero en poco tiempo y hacerlo de forma discreta.
Este apartado presenta una serie de amenazas a las que se enfrentan los bancos y sus clientes:
28
3.1.4.1 Estadísticas de Fraudes en Transacción Financiera Internacionales∗
En los Estados Unidos, muchos observadores llevan años intentando demostrar que el fraude
financiero se está estabilizando o reduciendo. La Comisión Federal de Comercio de Estados
Unidos (FTC) es responsable de proteger a los consumidores y de vigilar la competencia. Sus
informes anuales muestran una estabilización en el número de reclamaciones entre 2004 y 200633.
En 2007, las cifras aumentaron ligeramente.
Los tres indicadores de la FTC están ahora en ascenso.
Figura 8. Estadísticas anuales de consumidores de la Comisión Federal de Comercio de Estados
Unidos. (Fuente: FTC)
En 2008, la FTC dejó de separar del total las reclamaciones de fraude relacionadas con Internet34
La Figura 9 muestra su nuevo desglose. Para 2008, sólo el 58% de las reclamaciones de fraude
totales informaban del método de contacto inicial. De éstas, el 52% citaban el correo electrónico,
mientras que un 11% se iniciaban en un sitio Web. Sólo el 7% de los consumidores que facilitaron
estadísticas mencionaron el teléfono como punto de contacto inicial. ∗ La información que a continuación se presenta, hasta el final del capítulo, está basada en el artículo de Paget, François, Fraude financiero y banca por Internet: Amenazas y medidas para combatirla.s http://www.mcafee.com/us/local_content/reports/6168rpt_fraud_0409_es.pdf 33 Datos de reclamaciones de fraude al consumidor y robo de identidad: Año 2004: http://www.ftc.gov/sentinel/reports/sentinel-annual-reports/sentinel-cy2004.pdf Año 2005: http://www.ftc.gov/sentinel/reports/sentinel-annual-reports/sentinel-cy2005.pdf Año 2006: http://www.ftc.gov/sentinel/reports/sentinel-annual-reports/sentinel-cy2006.pdf 34 Datos de reclamaciones de fraude al consumidor y robo de identidad: Año 2008.
29
Figura 9. Reclamaciones de fraude de Consumer Sentinel Network por método de contacto.
(Fuente: CSN)
El fraude, como porcentaje de los ingresos online —cifra combinada de Estados Unidos y
Canadá—, ha descendido en los últimos años. Según CyberSource, un proveedor de servicios de
pago electrónico y seguridad, se estabilizó en el 1,4% hace tres años.
Pero las pérdidas globales de ingresos han experimentado un aumento notable. A medida que se
desaceleraba el crecimiento de las ventas online durante 2008, se calcula que las pérdidas
registradas fueron de cuatro mil millones de dólares sólo para el mercado estadounidense. Esto
supone un incremento del 11% en valor, tras una subida del 20% el año anterior.
Internet Crime Complaint Center, que colabora con el FBI y con el National White Collar Crime
Center, también recopila datos. En 2008, los estadounidenses presentaron un 33,1% más de
reclamaciones que en 2007, y la cantidad total de dinero robado online alcanzó un máximo
histórico. El Centro registró casi 275.000 denuncias que representaban pérdidas por valor de 265
millones de dólares, un 10,6% más que en 2007.
En la mitad de los casos, la pérdida monetaria fue inferior a 1.000 dólares. Un tercio (33,7%) de
quienes presentaron reclamaciones denunciaron pérdidas de entre 1.000 y 5.000 dólares. Sólo el
15% indicaron pérdidas mayores de 5.000 dólares.
30
El fraude en las subastas y no entregar las compras realizadas, son las reclamaciones más
denunciadas. Otras reclamaciones están relacionadas con el fraude con tarjetas de crédito o
incluso con el fraude (timo) de los pagos por adelantado. El correo electrónico y las páginas Web
son los dos principales mecanismos utilizados para abordar a las víctimas. Encontrándose con que
un estafa denunciada, con frecuencia tiene que ver con la compra o venta de mascotas.
La mayoría de las denuncias provienen de hombres. Casi la mitad tienen entre 30 y 50 años, y un
tercio de ellos viven en uno de los cuatro estados más poblados de los Estados Unidos: California,
Florida, Texas y Nueva York.
3.1.4.2 Estadísticas de Fraudes en Transacción Financiera Nacionales México tiene actualmente unos 27.6 millones de cibernautas, de acuerdo con datos de la
Asociación Mexicana de Internet (AMIPCI). Las principales actividades que realizan los usuarios de Internet en el país son: mandar-recibir
correos (70%), enviar mensajes instantáneos (58%), entrar en una sala de chat (41%), subir videos
y fotos en un página para compartir (34%) y enviar postales electrónicas (26%), según datos del
organismo. 35
En un estudio llamado “Tendencias actuales del delito cibernético en México’’, el especialista
Miguel Ángel Morales revela que hasta agosto del 2004, México ocupaba el tercer lugar en número
de sitios vulnerados por país, con más de 650 casos; detrás de Estados Unidos que reportó más
de 7,000 y de Brasil con más de 1,200 casos. El 50% de los delitos cibernéticos en México se
relacionan con la pornografía infantil, y el resto se reparte entre fraudes cibernéticos, manejo ilegal
de información y pirateo de páginas de Internet oficiales.
A nivel internacional se aporta otro elemento, digno de considerar en la instrumentación de
acciones de combate a este tipo de ilícitos en la iniciativa privada. La ONU reveló que 90% de los
delitos cometidos mediante computadora fueron ejecutados por empleados de la propia empresa
afectada. En América del Norte y Europa dan cuenta de que 73% de las intrusiones se atribuían a
fuentes interiores y sólo 23% a la actividad foránea.
35 http://www.cnnexpansion.com/tecnologia/2009/07/10/mexico-vulnerable-a-epidemia-on-line
31
3.2 Técnicas, métodos y herramientas de ataque más usados
En este apartado se exponen algunas de los principales mecanismos más sofisticados, mediante
los cuales realizan los ataques a los usuarios de Internet.
3.2.1 Robo de identidad a pequeña y gran escala
La identidad de una persona constituye la base de su personalidad legal. En el mundo real, esta
identidad viene definida por el estado civil y está protegida por la ley. En el mundo virtual, la
identidad de una persona tiene mayor alcance y su definición no es tan clara. Algunos datos
digitales relativos a la identidad de una persona (como nombres de cuentas, nombres de usuario y
contraseñas) proporcionan acceso a datos privados.
Todos estos identificadores digitales, que no se consideran elementos de la personalidad legal de
una persona, son cada vez más deseables.
La estación de trabajo � cliente es el objetivo favorito de los ciber � delincuentes, pero muchos
casos de copias de seguridad, perdidas o descubrimiento de negocios o redes bancarias
comprometidas, demuestran que el robo de identidad también se practica a gran escala.
Figura 10. Principales incidentes de pérdida de datos.
32
3.2.2 Carding y Skimming Los delincuentes frecuentan y participan en muchos sitios dedicados al uso fraudulento de tarjetas
(carding) y a la copia de las bandas magnéticas (skimming), fáciles de encontrar en Internet. En
ellos compran o venden el acceso a cuentas bancarias, a números de tarjeta robados, a vuelcos de
bandas magnéticas y a perfiles personales enteros.
El 2 de mayo de 2008, se encontró un conjunto de cuentas bancarias en venta. La más cara era
también la que tenía más fondos: una cuenta en el banco europeo BNP Paribas, con un saldo de
30.792 euros, que se vendía online por sólo 2.200 euros. Además del precio rebajado, el vendedor
ofrecía una garantía de 24 horas: si el comprador no se podía conectar dentro de dicho plazo o si
la cuenta ya no contenía el dinero, se facilitaría una cuenta de sustitución.
Figura 11. Datos de una cuenta bancaria en venta tomados de un sitio Web de carding.
3.2.3 Phishing y Pharming
Phishing es una conocida técnica para obtener información confidencial de un usuario fingiendo ser
una autoridad de confianza. El atacante, ayudándose casi siempre de un mensaje de correo
electrónico engañoso, redirige a la víctima a un sitio de réplica.
Con ayuda de un troyano, también es posible infiltrarse en la conexión entre la dirección IP y el
nombre del servidor al que responde. Esto se conoce como pharming. En ambos casos, las
víctimas creen estar visitando sitios legítimos. Ignorantes de que el 80% de los mensajes de correo
33
electrónico de los bancos son fraudulentos, muchos usuarios no dudan en facilitar datos
personales.
Según las estadísticas mensuales de PhishTank, el objetivo más popular es PayPal20. Los
resultados colocan a PayPal en el primer puesto por un amplio margen, mientras que otras
empresas conocidas cambian ligeramente de puesto cada mes, como eBay, que siguió de cerca a
PayPal en 2007, ocupa a menudo el segundo puesto.
Figura 12. Objetivos más populares de los ataques de phishing. (Fuente: PhishTank)
Aunque las estadísticas varían, las marcas atacadas son principalmente bancos estadounidenses y
británicos, según las autoridades. RSA indica que el 72% de los ataques se llevan a cabo contra
bancos estadounidenses, si bien el Anti-Phishing Working Group (Grupo de Trabajo Antiphishing)
—una organización de Estados Unidos dedicada a eliminar los timos y el fraude en Internet—
informa que la mitad de ellos están dirigidos contra organizaciones europeas. Gartner estima que
la pérdida media por víctima en los Estados Unidos es de 886 dólares36.
Estos son los principales ladrones de contraseñas actuales. La siguiente figura muestra su
frecuencia en los últimos dos años.
36 257 dólares en 2005 y 1.244 dólares en 2006. En el estudio de Gartner se dice que, en 2007, el phishing ha costado a los usuarios estadounidenses de Internet 3.200 millones de dólares (2.200 millones de euros). El 64% de las víctimas han sido compensadas o reembolsadas. http://www.gartner.com/it/page.jsp?id=565125
34
Figura 13. Variantes en el malware de robo de contraseñas.
(Fuente: Laboratorios McAfee Avert Labs)
3.2.4 Casinos virtuales
En 2006 había unos 15.000 sitios de juego online activos.37 Es poco probable que esta cifra haya
bajado desde entonces. Dado que actualmente sólo hay 1.766 sitios de juego online funcionando
con licencia38, la actividad clandestina (sitios que hacen sus negocios sin licencia) representa más
del 87% de lo que está disponible en Internet.
La ausencia de una estructura legal, permite que cualquiera registre un sitio de Internet de forma
anónima, y cobre a sus clientes a través de una cuenta bancaria anónima, en un paraíso fiscal o
por el sistema de dinero virtual. La mayoría de los principales grupos de ciber-delincuentes rusos
activos en la actualidad (como RBN y Yambo Financial), iniciaron sus actividades delictivas con la
pornografía infantil y los casinos online.
37 CERT-LEXSI, "Cybercriminalité des Jeux en Ligne" (La ciberdelincuencia en el juego online), julio de 2006. http://www.lexsi.com/telecharger/gambling_cybercrime_2006.pdf 38 Casino City, "Online Gaming Jurisdictions" (Jurisdicciones del juego online). http://online.casinocity.com/jurisdictions/index.cfm?sorttab=n/a&sortlist=sites&filterlist=&numperpage=25&searchall=1
35
3.2.5 Pump and Gump
Los trucos de ingeniería social, como hacer circular noticias falsas en los foros, se vienen utilizando
desde hace mucho para manipular la Bolsa. En 2006, asistimos al crecimiento de un giro popular a
esta técnica: las acciones pump-and-dump, una manipulación de acciones de bajo precio,
generalmente de empresas poco atractivas.
Después de comprar un gran número de acciones a su precio bajo, el comprador manipulador
utilizaría técnicas de spam para enviar mensajes entusiastas, diseñados para aumentar
artificialmente el precio de las acciones. Uno o dos días después, tras un aumento del mercado, el
remitente del spam vendería a un precio artificialmente alto y conseguiría un beneficio.
Un estudio realizado por investigadores de la Universidad de Purdue en Indiana y de la
Universidad de Oxford en Inglaterra, observó un aumento significativo de los precios y del volumen
de acciones negociadas correspondientes a valores objeto de spam, desde el día anterior, al inicio
de la reventa, hasta el día en que el spam estuvo más activo. Laura Frieder, coautora del estudio,
explicaba quién —además de los propios remitentes de spam— negociaba valores. "En primer
lugar, están los inversores ingenuos, codiciosos y quizá no muy inteligentes; parecidos a las
personas que envían miles de euros a Nigeria o que propagan las cartas en cadena", dijo Frieder.
"Si atribuyen aunque sea una pequeñísima probabilidad de éxito a la idea de que pueden ganar
dinero, calculan que vale la pena probar". 39
La desconfianza generalizada de los pequeños accionistas, las exiguas ganancias obtenidas, y el
hecho de que gente indeseable haya intentado en ocasiones manipular la Bolsa, han contribuido a
la pérdida de interés y eficacia de esta forma de fraude. Al no haber satisfecho las expectativas de
quienes lo inventaron, el método de pump and dump se ha hecho menos frecuente.
Hay personas que saben que la información carece de valor, pero estiman que, si otras no lo
saben, puede haber una oportunidad de ganar algo. "Si creo que otras personas van a comprar y
hacer subir el precio, yo podría comprar si creo poder llegar a tiempo, obtener algo de la ganancia
y salirme", dijo.
39 CBC, "Stock Spam: The New Boiler Room" (Spam de acciones: el nuevo cuarto de calderas). http://www.cbc.ca/news/background/personalfinance/stock-spam.html
36
3.2.6 Fraude Nigeriano de Cargo Anticipado (fraude 419)
Llamado así por la sección de la ley nigeriana que lo contempla, el fraude "419" es
extremadamente popular y lucrativo. El engaño suele llegar en un mensaje de correo electrónico
firmado por un miembro de la familia de un dignatario (normalmente africano). El remitente explica
que, tras el fallecimiento de un miembro influyente de su familia, una importante suma de dinero
está bloqueada en una cuenta bancaria en algún lugar. El remitente indica que sería posible liberar
el dinero con la ayuda del destinatario y utilizando el respaldo financiero de la víctima para
transferir el dinero. Se ofrece una compensación importante a quien quiera que se preste a ello.
Una vez establecido el contacto, los delincuentes solicitan un anticipo. Puede consistir en abrir una
cuenta bancaria o en pagar algunos cargos. Esto va seguido de una serie de gastos y dificultades
que en ocasiones llegan hasta las amenazas físicas. Y, por supuesto, el dinero bloqueado no
existe realmente.
En Francia, parece que los errores gramaticales u ortográficos en los mensajes de correo
electrónico en realidad generan confianza entre las personas desprevenidas, en lugar de
ahuyentarlas. Lo mismo pasa con el aspecto altamente profesional de los siguientes documentos
oficiales. Según las estadísticas sobre el fraude de cargo anticipado, en 2007 las pérdidas llegaron
a los 4.300 millones de dólares40.
Figura 14.Pérdidas por el fraude de cargo anticipado en 2007, por empresas e individuos.
(Fuente: Ultrascan Research Services)
40 Ultrascan Research Services, "419 AFF and the media" (419 AFF y los medios de comunicación). http://www.ultrascan.nl/html/__the_media.html
37
3.2.6 Subastas El fraude en las subastas es una de las principales preocupaciones de las autoridades. En una
encuesta realizada en mayo de 2008 por ConsumerWebWatch, se descubrió que más de uno de
cada cuatro residentes del estado de Nueva York que han acudido a una subasta online
(principalmente eBay, Amazon.com y Overstock.com) y han sido objeto de un timo o práctica
engañosa. Un 11% de los usuarios de sitios de subastas online denunciaron no haber recibido
nunca los productos por los que habían pujado, lo que hace de ésta la reclamación más común.
Además, el 7% de los encuestados que sí recibieron los artículos que habían adquirido dijeron que
no se encontraban en buenas condiciones de uso. Otras reclamaciones se referían al hecho de no
haber sido informados de un detalle clave sobre el artículo antes de recibirlo (siete por ciento) y al
de haber recibido un artículo de menor valor que aquél por el que habían pujado y ganado (siete
por ciento).
Al encontrarse ante algún tipo de fraude, más de la mitad de la gente, en la mayoría de los grupos
de edad, dijeron haber intentado resolver el problema directamente con el vendedor. Alrededor del
40% de las víctimas manifestaron haber presentado una reclamación formal ante PayPal, el
servicio de pagos online propiedad de eBay. Más del 25% dejaron comentarios negativos para el
vendedor. En general, son relativamente pocos los encuestados que decidieron acudir a la policía,
a un abogado o a la Federal Trade Commission (Comisión Federal de Comercio).
Las solicitudes de transferencias a través de un servicio de transferencias alternativo y anónimo,
así como los falsos pagos, son problemas adicionales que pueden afectar a compradores y
vendedores. En el caso de los pagos falsos a un vendedor, el delincuente (el comprador) dice vivir
en un país extranjero y solicita al vendedor un código de identificación bancaria o un número de
cuenta bancaria internacional (IBAN). A menudo esto implica la venta de un vehículo que será
recogido por un intermediario del comprador. Se hace el abono en la cuenta del vendedor y se
recoge el coche con gran rapidez. Poco tiempo después, el pago se cancela porque la
transferencia no era una verdadera transferencia sino, gracias al Código Internacional de Cuenta
Bancaria, el simple depósito de un cheque. Al carecer el cheque de fondos suficientes o haber sido
robado o falsificado, la transacción se anula.
3.3 Medidas de protección
El fraude financiero empieza a menudo con el desvío de datos personales. Una papelera o
recipiente de reciclado, una conversación telefónica o un equipo mal protegido pueden ser el punto
de partida del fraude. Las empresas también son a menudo vulnerables. Los portátiles robados y la
38
pérdida de datos pueden dar lugar a daños duraderos a la imagen de la marca y a graves
consecuencias económicas para la propia empresa o para sus clientes. En este sentido, los
bancos se encuentran en primera línea. 41
Aunque es imposible eliminar por completo la posibilidad de convertirse en víctima del robo de
identidad, las personas pueden reducir eficazmente sus riesgos si observan algunas
recomendaciones de sentido común.
Aquí se identifican algunas técnicas que están directamente asociadas al mundo de la banca.
3.3.1 Puntuación
La puntuación es una técnica de análisis de riesgos que calcula la probabilidad de que una
transacción llegue a buen término (sin fraude). La puntuación pondera los diversos datos
relacionados con la compra y con el comprador (dirección de correo electrónico, información de
contacto, origen de la dirección IP, volumen del pedido y otros datos). La transacción se autoriza o
no en función de la puntuación total obtenida.
3.3.2 Estándar Europay, MasterCard y Visa (EMV)
EMV es la norma para los pagos con tarjetas inteligentes. Esta norma hace obligatorio pagar con
tarjetas que tengan un chip integrado en lugar de una banda magnética. El Banco de Pagos
Internacionales está presionando para que el nuevo estándar internacional EMV se adopte en toda
Europa y seguidamente en todo el mundo. Para 2010, es posible que haya más de 800 millones de
tarjetas inteligentes en circulación42.
41 Se comenta muchas de estas recomendaciones en el informe de los laboratorios McAfee Avert Labs sobre el robo de identidad http://www.mcafee.com/us/local_content/white_papers/wp_id_theft_en.pdf 42 CARTES 2007, "CARTES & IDentification 2007 fait le point sur le SEPA" (CARTES & IDentification 2007 evalúan la situación de SEPA). http://fr.cartes.com/ExposiumCms/cms_sites/SITE_319050/ressources319050/cp_sepa-fr.pdf
CAPÍTULO 4. NORMATIVIDAD, MEJORES PRÁCTICAS Y
TECNOLOGÍAS
En este apartado se presentan los principales procedimientos;
certificados, normas, así como las herramientas existentes en el país y
a nivel internacional, para la protección y regulación de la Información
y un eficiente manejo de las tecnologías.
39
CAPÍTULO 4. NORMATIVIDAD, MEJORES PRÁCTICAS Y TECNOLOGÍAS
4.1 Normatividad
Tomando en cuenta, que se tiene el conocimiento de que los delitos relacionados con las
computadoras se define como cualquier comportamiento no ético o no autorizado, relacionado con
el procesado automático de datos y/o transmisiones de datos, se menciona, a continuación, el
marco legislativo correspondiente a esta investigación.
En síntesis, es importante mencionar, que la delincuencia informática se apoya en los delitos
instrumentados por el uso de las computadoras mediante distintos medios como, redes,
interconexión de la computadora, entre otros.
4.1.1 Leyes Internacionales Existen leyes internacionales mismas que pueden ser implementadas dentro del departamento de
TI, con el objeto de mejorar los servicios de red con los que cuenta la empresa y aprovechar su
rendimiento al máximo. A continuación se mencionan algunas de estas leyes y sus artículos
correspondientes.
4.1.1.1 GLBA
La GLBA43 es aplicable a las “instituciones financieras” y cualquier empresa que proporcione
servicios financieros, como son: agencias de intermediación bursátil, las entidades de crédito
hipotecario, los asesores financieros, los agentes para el cobro de las deudas y los contables. De
lo anterior, comprende tanto la información personal, como cualquier otra información generada al
realizar operaciones financieras.
Obliga a los bancos y otras instituciones financieras a asesorar sobre los riesgos de la información
confidencial de sus clientes, a desarrollar controles para mitigar los riesgos identificados y a
actualizar con regularidad los controles y el asesoramiento sobre los riesgos.
43Texto Integro de la Ley: http://www.ftc.gov/privacy/glbact/glbsub1.htm (GLBA)
40
4.1.1.2 COPPA
La ley COPPA44 fue aprobada en 1998, y entró en vigencia el 21 de abril de 2000, y es la primera
ley estadounidense ampliamente aplicable a la privacidad de los datos personales en Internet. En
ella se menciona que cualquier organización de los Estados Unidos que disponga de sitio Web,
servicio de correo electrónico, foros de discusión (chat romos)45, que sean accesibles a niños
(menores de 13 años), se encontrará sujeta a esa Ley. El propósito esencial de ésta es proteger la
seguridad de los niños en el uso de Internet, controlando el modo en que se recopila, difunde o
almacenamiento de la información personal.
4.1.1.3 HIPAA Ley de Responsabilidad y Portabilidad del Seguro Médico de 1996 (siglas en inglés, Health
Insurance Portability and Accountability Act). Las organizaciones que tramiten y/o mantengan
información relacionada con la atención sanitaria, están obligadas por la Ley de Contabilidad y
Portabilidad de Seguros Sanitarios (HIPAA)46 de conformidad con la seguridad de la información
protegida sobre la salud de los pacientes. Por lo tanto, el personal de seguridad de una
organización que origina la información médica es el responsable de la confidencialidad y
seguridad de los datos, no sólo cuando estén en los discos duros locales, sino también cuando se
transmitan por la red.
4.1.2 Leyes Nacionales Existen leyes nacionales que pueden ser implementadas dentro del departamento de TI, con el
objeto de mejorar los servicios de red con los que cuenta la empresa y aprovechar su rendimiento
al máximo. A continuación se mencionan algunas de estas leyes y sus artículos correspondientes.
4.1.2 .1 Código Penal Federal
A continuación se muestran algunas Disposiciones Generales que aplica el Código Penal Federal
en materia de redes a Nivel Nacional.
Artículo 173.- Éste delito, que atenta contra la privacidad como derecho fundamental de las
personas, se relaciona con el delito de violación de correspondencia.
44 Texto integro de la Ley: http://www.hipaadvisory.com 45http://www.pergaminovirtual.com.ar/definicion/Chat_Room.html 46 http://www.pergaminovirtual.com.ar/definicion/Chat_Room.html
41
Artículo 173.- Al que abra o intercepte una comunicación escrita que no esté dirigida a él […]
Sin embargo, en estricto sentido, esto aplica para la correspondencia postal solamente, por lo que
en la iniciativa de reformas y adiciones sobre diversas disposiciones del Código Penal 47 para el
Distrito Federal, se proponía una redacción que incluyera el acceso de las comunicaciones a través
de medios electrónicos, electromagnéticos u ópticos.
Artículo 167.- Se sancionará con uno a cinco años de prisión y 100 a 10000 días de multa al que
dolosamente o con fines de lucro, interrumpa o interfiera comunicaciones alámbricas, inalámbricas
o de fibra óptica, sean telegráficas, telefónicas o satelitales, por medio de las cuales se transmitan
señales de audio, de video o de datos. En ésta fracción podría encuadrar entonces la acción de interceptar correos electrónicos antes de
que lleguen a su destinatario, pero no el leer la correspondencia electrónica de otra persona. Este
tipo de conductas se refiere a interceptar datos que las personas envían a través de la red (cuando
hacen una compra por internet, por ejemplo, enviando datos personales y de crédito).
Artículo 211 bis 1.- Al que sin autorización modifique, destruya o provoque pérdida de información
contenida en Sistemas o Equipos de Informática protegidos por algún mecanismo de seguridad, se
le impondrán de seis meses a dos años de prisión y de cien a trescientos días multa. Al que sin autorización conozca o copie información contenida en sistemas o equipos de
informática protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a un año
de prisión y de cincuenta a ciento cincuenta días multa.
Artículo 211 bis 2.- Al que sin autorización modifique, destruya o provoque perdida de información
contenida en sistemas o equipos de informática del estado, protegidos por algún mecanismo de
seguridad, se le impondrán de uno a cuatro años de prisión y de doscientos a seiscientos días
multa.
Al que sin autorización conozca o copie información contenida en sistemas o equipos de
informática del estado, protegidos por algún mecanismo de seguridad, se le impondrán de seis
meses a dos años de prisión y de cien a trescientos días multa.
Artículo 211 bis 3.- Al que estando autorizado para acceder a sistemas y equipos de informática
del estado, indebidamente modifique, destruya o provoque perdida de información que contengan,
se le impondrán de dos a ocho años de prisión y de trescientos a novecientos días multa.
47 http://www.cddhcu.gob.mx/LeyesBiblio/
42
Artículo 211 bis 4.- Al que sin autorización modifique, destruya o provoque perdida de información
contenida en sistemas o equipos de informática de las instituciones que integran el sistema
financiero, protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a cuatro
años de prisión y de cien a seiscientos días multa. “
Al que sin autorización conozca o copie información contenida en sistemas o equipos de
informática de las instituciones que integran el sistema financiero, protegidos por algún mecanismo
de seguridad, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos
días multa.
Esta conducta se encuentra regulada en el Código Penal Federal, artículos 211 bis 1 a 211 bis 7.
Acceso Ilícito a Sistemas y Equipos de Informática:
Artículo 211 bis 5 Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones
que integran el sistema financiero, indebidamente modifique, destruya o provoque perdida de
información que contengan, se le impondrán de seis meses a cuatro años de prisión y de cien a
seiscientos días multa.
Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones
que integran el sistema financiero, indebidamente copie información que contengan, se le
impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días multa.
Las penas previstas en este artículo se incrementarán en una mitad, cuando las conductas sean
cometidas por funcionarios o empleados de las instituciones que integran el sistema financiero.
Artículo 211 bis 6 Para los efectos de los artículos 211 bis 4 y 211 bis 5 anteriores, se entiende por instituciones que
integran el sistema financiero, las señaladas en el artículo 400 bis de este código.
Artículo 211 bis 7 Las penas previstas en este capítulo se aumentaran hasta en una mitad cuando la información
obtenida se utilice en provecho propio o ajeno.
43
4.1.2.2 Código Penal para el D.F
A continuación se muestran algunas Disposiciones Generales que aplica el Código Penal para el
D.F en materia de redes a Nivel Nacional.
Capítulo III Regula el Delito del Fraude Artículo 230.- Fraude mediante el uso de PC y manipulación de la información: Al que por medio
del engaño o aprovechando el error en que otro se halle, se haga ilícitamente de alguna cosa u
obtenga un lucro indebido en beneficio propio o de un tercero.
Artículo 231.- F. XIV.- Para obtener algún beneficio para sí o para un tercero, por cualquier medio,
entre o se introduzca a los sistemas o programas de informática del sistema financiero e
indebidamente realice operaciones, transferencias o movimientos de dinero o valores,
independientemente de que los recursos no salgan de la Institución [...].
4.3.3 Ley Federal de Derechos de Autor (LFDA)
A continuación se muestran algunas Disposiciones Generales que aplica la Ley Federal de
Derechos de Autor 48 en materia de redes a Nivel Nacional.
Artículo 2. Las disposiciones de esta Ley son de orden público, de interés social y de cobertura
general en todo el territorio nacional.
Artículo 3. Las obras protegidas por esta Ley son aquellas de creación original.
Artículo 4. Las obras objeto de protección pueden ser:
A. Según su autor.
B. Según su comunicación.
C. Según su origen.
D. Según los creadores que intervienen.
Artículo 5. La protección que otorga esta Ley se concede a las obras desde el momento en que
hayan sido fijadas en un soporte material.
48 http://documentos.arq.com.mx/Detalles/55854.html
44
Artículo 7. Los extranjeros autores o titulares de derechos y sus causahabientes gozarán de los
mismos derechos que los nacionales.
Artículo 10. En lo no previsto en la presente Ley, se aplicará la legislación mercantil, el Código
Civil para el Distrito Federal en Materia Común y para toda la República en Materia Federal y la
Ley Federal del Procedimiento Administrativo.
Reglas Generales
Artículo 13. Los derechos de autor a que se refiere esta Ley se reconocen respecto de las obras
de las siguientes ramas:
XI. Programas de cómputo
XIV. De compilación, integrada por las colecciones de obras, tales como las enciclopedias, las
antologías, y otros elementos como las bases de datos.
Artículo 14. No son objeto de la protección como derecho de autor a que se refiere esta Ley:
I. Las ideas en sí mismas, las fórmulas, soluciones, conceptos, métodos, sistemas principios,
descubrimientos, procesos e invenciones de cualquier tipo;
II. El aprovechamiento industrial o comercial de las ideas contenidas en las obras.
III. Los esquemas, planes o reglas para realizar actos mentales, juegos o negocios;
IV. Las letras, los dígitos o los colores aislados, a menos que su estilización sea tal que las
conviertan en dibujos originales;
V. Los nombres y títulos o frases aislados;
VI. Los formularios en blanco para ser llenados con cualquier tipo de información.
Artículo 17. Las obras protegidas por esta Ley que se publiquen, deberán ostentar la expresión
"Derechos Reservados", o su abreviatura "D.R." seguida del símbolo; el nombre completo y
dirección del titular del derecho de autor y el año de la primera publicación.
De los Programas de Computación y las Bases de Datos
Artículo 102. Los programas de computación se protegen en los mismos términos que las obras
literarias.
45
Artículo 105. El usuario legítimo de un programa de computación podrá realizar el número de
copias que le autorice la licencia concedida por el titular de los derechos de autor.
Artículo 107. Las bases de datos, que por razones de selección y disposición de su contenido
constituyan creaciones intelectuales, quedarán protegidas como compilaciones.
Artículo 108. Las bases de datos que no sean originales quedan, sin embargo, protegidas en su
uso exclusivo por quien las haya elaborado, durante un lapso de 5 años.
Artículo 109. El acceso a información de carácter privado relativa a las personas contenidas en las
bases de datos a que se refiere el artículo anterior, así como la publicación, reproducción,
divulgación, comunicación pública y transmisión de dicha información, requerirá la autorización
previa de las personas de que se trate.
Artículo 111. Los programas efectuados electrónicamente que contengan elementos visuales,
sonoros, tridimensionales o animados, quedan protegidos por esta Ley en los elementos
primigenios que contengan.
Artículo 112. Queda prohibida la importación, fabricación, distribución y utilización de aparatos o la
prestación de servicios destinados a eliminar la protección técnica de los programas de cómputo,
de las transmisiones a través del espectro electromagnético y de redes de telecomunicaciones y de
los programas de elementos electrónicos señalados en el artículo anterior.
Artículo 113. Las obras e interpretaciones o ejecuciones transmitidas por medios electrónicos a
través del espectro electromagnético y de redes de telecomunicaciones y el resultado que se
obtenga de esta transmisión estarán protegidas por esta Ley. 4.3.4 Ley de Protección de Datos Personales Se muestran las Disposiciones que aplica la Ley de Protección de Datos Personales 49 en materia
de redes a Nivel Nacional.
Articulo 6. Corresponde a cada ente público determinar, a través de su titular o, en su caso, del
órgano competente, la creación, modificación o supresión de sistemas de datos personales,
conforme a su respectivo ámbito de competencia.
49 http://info4.juridicas.unam.mx/adprojus/leg/10/335/13.htm?s=
46
Articulo 7. La integración, tratamiento y tutela de los sistemas de datos personales se regirán por
las disposiciones siguientes:
I. Cada ente público deberá publicar en la gaceta oficial del distrito federal la creación, modificación
o supresión de su sistema de datos personales;
II. En caso de creación o modificación de sistemas de datos personales, se deberá indicar por lo
menos:
A) La finalidad del sistema de datos personales y los usos previstos para el mismo;
B) Las personas o grupos de personas sobre los que se pretenda obtener datos de carácter
personal o que resulten obligados a suministrarlos;
C) El procedimiento de recolección de los datos de carácter personal;
D) La estructura básica del sistema de datos personales y la descripción de los tipos de datos
incluidos en el mismo;
E) De la cesión de las que pueden ser objeto los datos;
F) Las instancias responsables del tratamiento del sistema de datos personales;
G) La unidad administrativa ante la que podrán ejercitarse los derechos de acceso, rectificación,
cancelación u oposición; y
H) El nivel de protección exigible.
III. En las disposiciones que se dicten para la supresión de los sistemas de datos personales, se
establecerá el destino de los datos contenidos en los mismos o, en su caso, las previsiones que se
adopten para su destrucción;
IV. De la destrucción de los datos personales podrán ser excluidos aquellos que, con finalidades
estadísticas o históricas, sean previamente sometidos al procedimiento de disociación.
Articulo 8. Los sistemas de datos personales en posesión de los entes públicos deberán
inscribirse en el registro que al efecto habilite el instituto.
El registro debe comprender como mínimo la información siguiente:
I. Nombre y cargo del responsable y de los usuarios;
II. Finalidad del sistema;
III. Naturaleza de los datos personales contenidos en cada sistema;
IV. Forma de recolección y actualización de datos;
V. Destino de los datos y personas físicas o morales a las que pueden ser transmitidos;
VI. Modo de interrelacionar la información registrada;
VII. Tiempo de conservación de los datos, y
VIII. Medidas de seguridad.
47
Articulo 9. Cuando los entes públicos recaben datos personales deberán informar previamente a
los interesados de forma expresa, precisa e inequívoca lo siguiente:
I. De la existencia de un sistema de datos personales, del tratamiento de datos personales, de la
finalidad de la obtención de estos y de los destinatarios de la información;
II. Del carácter obligatorio o facultativo de responder a las preguntas que les sean planteadas;
III. De las consecuencias de la obtención de los datos personales, de la negativa a suministrarlos o
de la inexactitud de los mismos;
IV. De la posibilidad para que estos datos sean difundidos, en cuyo caso deberá constar el
consentimiento expreso del interesado, salvo cuando se trate de datos personales que por
disposición de una ley sean considerados públicos;
V. De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición; y
VI. Del nombre del responsable del sistema de datos personales y en su caso de los destinatarios.
Cuando se utilicen cuestionarios u otros impresos para la obtención de los datos, figuraran en los
mismos, en forma claramente legible, las advertencias a que se refiere el presente artículo.
En caso de que los datos de carácter personal no hayan sido obtenidos del interesado, este deberá
ser informado de manera expresa, precisa e inequívoca, por el responsable del sistema de datos
personales, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya
hubiera sido informado con anterioridad de lo previsto en las fracciones I, IV y V del presente
artículo.
Se exceptúa de lo previsto en el presente artículo cuando alguna ley expresamente así lo estipule.
Asimismo, tampoco regirá lo dispuesto en el presente artículo cuando los datos personales
procedan de fuentes accesibles al público en general.
Articulo 12. Los responsables de los sistemas de datos personales con fines policiales, para la
prevención de conductas delictivas o en materia tributaria, podrán negar el acceso, rectificación,
oposición y cancelación de datos personales en función de los peligros que pudieran derivarse
para la defensa del estado o la seguridad pública, la protección de los derechos y libertades de
terceros o las necesidades de las investigaciones que se estén realizando, así como cuando los
mismos obstaculicen la actuación de la autoridad durante el cumplimiento de sus atribuciones.
4.3.5 Ley Federal de Telecomunicaciones (LFT)
La Ley Federal de Telecomunicaciones50 menciona lo siguiente en materia de redes:
50 http://www.cddhcu.gob.mx/LeyesBiblio/
48
Artículo 1. La presente Ley es de orden público y tiene por objeto regular el uso, aprovechamiento
y explotación del espectro radioeléctrico, de las redes de telecomunicaciones, y de la comunicación
vía satélite.
Artículo 3. Para los efectos de esta Ley se entenderá por:
VIII. Red de telecomunicaciones: sistema integrado por medios de transmisión, tales como canales
o circuitos que utilicen bandas de frecuencias del espectro radioeléctrico, enlaces satelitales,
cableados, redes de transmisión eléctrica o cualquier otro medio de transmisión.
Artículo 11. Se requiere concesión de la Secretaría para:
II. Instalar, operar o explotar redes públicas de telecomunicaciones.
Artículo 24. Los interesados en obtener una concesión para instalar, operar o explotar redes
públicas de telecomunicaciones, deberán presentar, a satisfacción de la Secretaría.
Artículo 27. Las concesiones sobre redes públicas de telecomunicaciones se otorgarán por un
plazo hasta de 30 años y podrán ser prorrogadas hasta por plazos iguales a los originalmente
establecidos.
Artículo 28. Las redes privadas de telecomunicaciones no requerirán de concesión, permiso o
registro para operar, salvo que utilicen bandas de frecuencias del espectro, en cuyo caso se estará
a lo dispuesto en el artículo 14.
De la operación de servicios de telecomunicaciones Sección I De la operación e interconexión de redes públicas de telecomunicaciones Artículo 41. Los concesionarios de redes públicas de telecomunicaciones deberán adoptar
diseños de arquitectura abierta de red para permitir la interconexión e interoperabilidad de sus
redes. A tal efecto, la Secretaría elaborará y administrará los planes técnicos fundamentales de
numeración, conmutación, señalización, transmisión, tarifación y sincronización, entre otros, a los
que deberán sujetarse los concesionarios de redes públicas de telecomunicaciones. Dichos planes
deberán considerar los intereses de los usuarios y de los concesionarios y tendrán los siguientes
objetivos:
I. Permitir un amplio desarrollo de nuevos concesionarios y servicios de telecomunicaciones;
II. Dar un trato no discriminatorio a los concesionarios, y
49
III. Fomentar una sana competencia entre concesionarios.
Artículo 42. Los concesionarios de redes públicas de telecomunicaciones deberán interconectar
sus redes, y a tal efecto suscribirán un convenio en un plazo no mayor de 60 días naturales
contados a partir de que alguno de ellos lo solicite. Transcurrido dicho plazo sin que las partes
hayan celebrado el convenio, o antes si así lo solicitan ambas partes, la Secretaría, dentro de los
60 días naturales siguientes, resolverá sobre las condiciones que no hayan podido convenirse.
Artículo 43. En los convenios de interconexión a que se refiere el artículo anterior, las partes
deberán:
I. Identificar los puntos de conexión terminal de su red;
II. Permitir el acceso de manera desagregada a servicios, capacidad y funciones de sus redes
sobre bases de tarifas no discriminatorias;
III. Abstenerse de otorgar descuentos por volumen en las tarifas de interconexión;
IV. Actuar sobre bases de reciprocidad en la interconexión entre concesionarios que se provean
servicios, capacidades o funciones similares entre sí, en tarifas y condiciones;
V. Llevar a cabo la interconexión en cualquier punto de conmutación u otros en que sea
técnicamente factible;
VI. Prever que los equipos necesarios para la interconexión puedan ser por cualquiera de los
concesionarios y ubicarse en las instalaciones de cualquiera de ellos;
VII. Establecer mecanismos para garantizar que exista adecuada capacidad y calidad para cursar
el tráfico demandado entre ambas redes;
VIII. Entregar la comunicación al operador seleccionado por el suscriptor en el punto más próximo
en que sea técnicamente eficiente;
IX. Entregar la comunicación a su destino final o a un concesionario o combinación de
concesionarios que puedan hacerlo;
X. Proporcionar toda la información necesaria que les permita identificar los números de origen y
destino, así como a los usuarios que deben pagar por la llamada, la hora, y si hubo asistencia de
operadora, y
XI. Llevar a cabo, si así se solicita, las tareas de medir y tasar los servicios prestados a sus propios
usuarios por parte de otros concesionarios, así como proporcionar la información necesaria y
precisa para la facturación y cobro respectivos.
Artículo 44. Los concesionarios de redes públicas de telecomunicaciones deberán:
50
I. Permitir a concesionarios y permisionarios que comercialicen los servicios y capacidad que
hayan adquirido de sus redes públicas de telecomunicaciones;
II. Abstenerse de interrumpir el tráfico de señales de telecomunicaciones entre concesionarios
interconectados, sin la previa autorización de la Secretaría;
III. Abstenerse de realizar modificaciones a su red que afecten el funcionamiento de los equipos de
los usuarios o de las redes con las que esté interconectada, sin contar con la anuencia de las
partes afectadas y sin la aprobación previa de la Secretaría;
IV. Llevar contabilidad separada por servicios y atribuirse a sí mismo y a sus subsidiarias y filiales,
tarifas desagregadas y no discriminatorias por los diferentes servicios de interconexión;
V. Permitir la portabilidad de números cuando, a juicio de la Secretaría, esto sea técnica y
económicamente factible;
VI. Proporcionar de acuerdo a lo que establezcan los títulos de concesión respectivos, los servicios
al público de manera no discriminatoria;
VII. Prestar los servicios sobre las bases tarifarias y de calidad contratadas con los usuarios;
VIII. Permitir la conexión de equipos terminales, cableados internos y redes privadas de los
usuarios, que cumplan con las normas establecidas;
IX. Abstenerse de establecer barreras contractuales técnicas o de cualquier naturaleza a la
conexión de cableados ubicados dentro del domicilio de un usuario con otros concesionarios de
redes públicas, y
X. Actuar sobre bases no discriminatorias al proporcionar información de carácter comercial,
respecto de sus suscriptores, a filiales, subsidiarias o terceros.
Artículo 45. Cuando las condiciones técnicas, de seguridad y operación lo permitan, los derechos
de vía de las vías generales de comunicación; las torres de transmisión eléctrica y de
radiocomunicación; las posterías en que estén instalados cableados de distribución eléctrica; los
terrenos adyacentes a los ductos de petróleo y demás carburos de hidrógeno; así como los postes
y ductos en que estén instalados cableados de redes públicas de telecomunicaciones, que se
hagan disponibles a algún concesionario de redes públicas deberán hacerse disponibles, de igual
forma, a otros concesionarios sobre bases no discriminatorias.
En consecuencia, ningún concesionario de redes públicas de telecomunicaciones podrá contratar
el uso o aprovechamiento de dichos bienes con derechos de exclusividad.
Artículo 46. La Secretaría promoverá acuerdos con las autoridades extranjeras, con el propósito
de que exista reciprocidad en las condiciones de acceso de los concesionarios nacionales
interesados en ofrecer servicios en el exterior y mayor competencia en larga distancia
internacional.
51
Artículo 47. Sólo podrán instalar equipos de telecomunicaciones y medios de transmisión que
crucen las fronteras del país, los concesionarios de redes públicas o las personas que
expresamente autorice la Secretaría, sin perjuicio de las demás disposiciones aplicables.
La interconexión de redes públicas de telecomunicaciones con redes extranjeras se llevará a cabo
mediante convenios que negocien las partes interesadas.
Los concesionarios deberán presentar a la Secretaría, previamente a su formalización, los
convenios de interconexión que se pretenden celebrar. Cuando se estime que dichos convenios
perjudican los intereses del país en general, de los usuarios o de otros concesionarios de redes
públicas de telecomunicaciones, la Secretaría podrá establecer las modalidades a que deberán
sujetarse los convenios, a fin de incorporar condiciones de proporcionalidad y reciprocidad
respecto de los servicios objeto de la interconexión.
Cuando fuere necesario celebrar convenios con algún gobierno extranjero para interconectar las
redes concesionadas con redes extranjeras, los concesionarios solicitarán a la Secretaría su
intervención para celebrar los convenios respectivos.
Artículo 48. La Secretaría establecerá las medidas conducentes para que los usuarios de todas
las redes públicas de telecomunicaciones puedan obtener acceso bajo condiciones equitativas, a
servicios de información, de directorio, de emergencia, de cobro revertido y vía operadora, entre
otros.
Artículo 49. La información que se transmita a través de las redes y servicios de
telecomunicaciones será confidencial, salvo aquella que, por su propia naturaleza, sea pública, o
cuando medie orden de autoridad competente.
Sección II De la cobertura social de las redes públicas Artículo 50. La Secretaría procurará la adecuada provisión de servicios de telecomunicaciones en
todo el territorio nacional, con el propósito de que exista acceso a las redes públicas de
telecomunicaciones para la atención de servicios públicos y sociales, de las unidades de
producción y de la población en general.
Tomando en cuenta las propuestas de los gobiernos de las entidades federativas, de los
concesionarios de redes públicas de telecomunicación y otras partes interesadas, la Secretaría
52
elaborará los programas de cobertura social y rural correspondientes, los cuales podrán ser
ejecutados por cualquier concesionario.
La Secretaría asegurará la disponibilidad de bandas de frecuencias en los casos en que un
proyecto de cobertura social así lo requiera, a cuyo efecto podrá negociar con los concesionarios la
utilización de las bandas de frecuencias que no estén aprovechando, o bien, otorgar nuevas
bandas de frecuencias.
Artículo 51. En el caso de que no exista en una localidad determinada otro concesionario o
permisionario que proporcione servicios similares, el concesionario de redes públicas de
telecomunicaciones que dé servicio en dicha localidad, de conformidad con las condiciones que
establezca su respectiva concesión, no podrá interrumpir la prestación de dicho servicio, salvo
causa de fuerza mayor o que cuente con autorización expresa de la Secretaría.
4.4 Mejores Prácticas y estándares para la protección de la Información.
Existen diferentes recomendaciones y normas que pueden implementarse dentro del departamento
de TI, en base a un análisis de aquellas que son necesarias y puedan aplicarse en la empresa,
esto, con la finalidad de contribuir a la mejora de los servicios de red con los que cuenta la
empresa y aprovechar su rendimiento al máximo. De igual forma, la adopción de algunas de estas
mejores prácticas, es de gran utilidad para la disminución de los riesgos que se presentan al inicio
de esta tesina.
4.4.1 Norma ISO 17799-1
Esta norma se crea en diciembre del año 2000, donde se hace evidente el uso de la tecnología
informática para el manejo y administración de la información dentro de las organizaciones,
dependencias gubernamentales, así como empresas privadas. Por lo que ISO propone la Norma
ISO- 17799, que funciona como una guía en la implementación del sistema de administración de la
seguridad de la información, toma como primordial importancia el cumplimiento de las siguientes
características de la información:
Confidencialidad. Asegurar que únicamente personal autorizado tenga acceso a la información.
Integridad. Garantizar que la información no será alterada, eliminada o destruida por entidades no
autorizadas.
53
Disponibilidad. Asegurar que los usuarios autorizados tendrán acceso a la información cuando la
requieran.
Para lograr los objetivos anteriores, esta norma expone 10 dominios o áreas de seguridad para
establecer controles a implementar y su objetivo. A continuación se menciona solamente los
controles que hace referencia la presente tesina:
Seguridad física y de entorno. Identificar los perímetros de seguridad, de forma que sea posible
establecer controles en el manejo de equipos, transferencia de información y control de los
accesos a las distintas áreas, con base en el tipo de seguridad establecida.
Comunicaciones y administración de operaciones. Integrar los procedimientos de operación de
la infraestructura tecnológica y de controles de seguridad documentados, que van desde el control
de cambios en la configuración de los equipos; manejo de incidentes, administración de aceptación
de sistemas, hasta el control de código malicioso.
Control de acceso. Habilitar los mecanismos que permitan monitorear el acceso a los activos de
información, que incluyen los procedimientos de administración de usuarios, definición de
responsabilidades o perfiles de seguridad y el control de acceso a las aplicaciones.51
Requerimientos legales. La organización debe establecer los requerimientos de seguridad que
deben cumplir todos sus proveedores, socios y usuarios; éstos se encontrarán formalizados en los
contratos o convenios.
Sin embargo, a pesar de que propone controles, las empresas u organizaciones no podían
certificarse con esta Norma, puesto que tenían que hacerlo en conjunto con la Norma BS7799, la
cual se explica a continuación.
4.4.2 Norma BS7799
Esta norma se crea por Britsh Standars, en la que se implementa un método integral para la
gestión de la información a través de controles de seguridad, así como metodologías para la
aplicación de dichos controles, es así que presenta los requisitos para un Sistema de Gestión de la
Seguridad de la Información (SGSI), ayudando, de esta forma, a identificar, administrar y minimizar
la variedad de amenazas, a las cuales está expuesta regularmente la información en las empresas.
Está dividida en dos partes: La primera surge en 1995 y se modificó en 1999. Presenta un conjunto 51 http://www.enterate.unam.mx/Articulos/2005/febrero/seguridad.htm
54
de controles que incluye las buenas prácticas de gestión de seguridad de la información. La
segunda parte, denominada BS7799-2, se modificó en 2002, y contiene la especificación para el
establecer, implementar, operar, monitorizar, revisar, mantener y mejorar un SGSI documentado y
basado en los controles y objetivos de control que se establecen en la primera parte. Es
precisamente esta segunda parte la que permite que las organizaciones puedan certificarse.
4.4.3 ISO 27002
Esta norma propone toda una secuencia de acciones tendientes al establecimiento;
implementación, operación, monitorización, revisión, mantenimiento y mejora del ISMS (Information
Security Management System). El contenido de esta Norma abarca:
- ISMS.
- Valoración de riegos (Risk Assesment).
- Controles.
Cualquier exclusión a los controles detallados por la norma y denominados como “necesarios” para
satisfacer los criterios de aceptación de riegos, se debe justificar y poner de manifiesto, o
evidenciar claramente los criterios por los cuales este riesgo es asumido y aceptado. En cualquier
caso en el que un control sea excluido, la conformidad con este estándar internacional, no será
aceptable, a menos, que dicha exclusión no afecte a la capacidad y/o responsabilidad de proveer
seguridad a los requerimientos de información que se hayan determinado a través de la evaluación
de riesgos, y sea a su vez aplicable a las regulaciones y legislación vigente.
Auditoría interna del ISMS: La organización debe realizar auditorías internas al ISMS a intervalos planeados para determinar si
los controles, sus objetivos, los procesos y procedimientos, continúan con fe a esta norma, así
como para analizar y planificar acciones de mejora. Ninguna persona podrá auditar su propio
trabajo, ni cualquier otro que guarde relación con él. La responsabilidad y requerimientos para el
planeamiento y la conducción de las actividades de auditoría, los informes resultantes y el
mantenimiento de los registros, se define en un Procedimiento de Revisión. Identificación y evaluación de las opciones de tratamiento de riesgo.
1. Aplicación de los controles apropiados.
2. Conocimiento y objetividad para la aceptación de riesgos, proveyendo una clara satisfacción
de ellos con la política y criterios de aceptación.
55
3. Evitar riesgos y transferencia de los riesgos asociados a otras partes, por ejemplo,
proveedores, socios, etc.
Selección de controles objetivos para el tratamiento del riesgo.
Estos controles deben seleccionarse e implementarse, de acuerdo a los requerimientos
identificados por la valoración del riesgo y los procesos de tratamiento.
El estándar especifica, en su “Anexo A”, el listado completo de cada uno de ellos, agrupándolos en
once rubros. En cada uno de ellos define el objetivo y lo describe brevemente. En dicho anexo se
presentan 133 controles, que son los mínimos que se deberán aplicar, o justificar su no aplicación.
Por lo tanto, si a través de la evaluación de riesgos, se determina que es necesaria la creación de
nuevos controles, la implantación del SGSI impondrá la inclusión de los mismos, si no,
seguramente el ciclo no estará cerrado y presentará huecos claramente identificables.
Los controles, que el anexo A de esta norma propone, quedan agrupados y numerados de la
siguiente forma:
A.5 Política de seguridad.
A.6 Organización de la información de seguridad.
A.7 Administración de recursos.
A.8 Seguridad de los recursos humanos.
A.9 Seguridad física y del entorno.
A.10 Administración de las comunicaciones y operaciones.
A.11 Control de accesos.
A.12 Adquisición de sistemas de información, desarrollo y mantenimiento.
A.13 Administración de los incidentes de seguridad.
A.14 Administración de la continuidad de negocio.
A.15 Cumplimiento (legales, de estándares, técnicas y auditorías).
A continuación se mencionan, únicamente, los controles que se utilizan para el desarrollo de esta
tesina:
A.5 Política de seguridad
Política de seguridad (Nivel político o estratégico de la organización): Es la mayor línea rectora, la
alta dirección. Define las grandes líneas a seguir y el nivel de compromiso de la dirección con ellas.
56
Plan de Seguridad (Nivel de planeamiento o táctico): Define el “Cómo”. Es decir, baja a un nivel
más de detalle, para dar inicio al conjunto de acciones o líneas rectoras que se deberán cumplir.
A.9 Seguridad física y del entorno
Este grupo cubre trece controles y también se encuentra subdividido en:
Áreas de seguridad: Seguridad física y perimetral, control físico de entradas, seguridad de locales
edificios y recursos, protección contra amenazas externas y del entorno, el trabajo en áreas y
seguridad, accesos públicos, áreas de entrega y carga.
Seguridad de elementos: Ubicación y protección de equipos, elementos de soporte a los equipos,
seguridad en el cableado, mantenimiento de equipos, seguridad en el equipamiento fuera de la
organización, seguridad en la redistribución o reutilización de equipamiento, borrado de
información y/o software.
La cuestión, para obtener mejores resultados en la organización de una infraestructura de
seguridad de la información, está en plantearla siempre por niveles, por lo menos de acuerdo al
modelo TCP/IP, que algunos consideran de cuatro (Integrando físico y enlace) y otros de cinco
niveles.
Aplicación: Todo tipo de aplicaciones. Transporte: Control de puertos UDP y TCP. Red: Medidas a nivel protocolo IP e ICMP, túneles de nivel 3.
Enlace: Medidas de segmentación a nivel direccionamiento MAC, tablas estáticas y fijas en
switchs, control de ataques ARP, control de broadcast y multicast a nivel enlace, en el caso WiFi;
verificación y control de enlace y puntos de acceso, 802.X , empleo de túneles de nivel 2, etc.
Físico: Instalaciones locales, seguridad perimetral, CPDs, gabinetes de comunicaciones, control
de acceso físico, conductos de comunicaciones, cables, fibras ópticas, radio enlaces, centrales
telefónicas.
En el caso físico, es conveniente separar las actividades, por lo menos en los siguientes
documentos:
1. Documentación de control de accesos y seguridad perimetral general, áreas de acceso y
entrega de materiales y documentación, zonas públicas, internas y restringidas, responsabilidades
y obligaciones del personal de seguridad física o documentación de CPDs: parámetros de diseño
57
estándar de un CPD, medidas de protección y alarmas contra incendios/humo, caídas de tensión,
inundaciones, control de climatización (Refrigeración y ventilación), sistemas vigilancia y control de
accesos, limpieza, etc.
2. Documentación y planos de instalaciones, canales de comunicaciones, cableado, enlaces de
radio, ópticos u otros, antenas, certificación de los mismos, etc.
3. Empleo correcto del material informático y de comunicaciones a nivel físico: Se debe desarrollar
aquí, cuáles son las medidas de seguridad física que se debe tener en cuenta sobre los mismos
(Ubicación, acceso al mismo, tensión eléctrica, conexiones físicas y hardware permitido y
prohibido, manipulación de elementos, etc.).
4. Seguridad física en el almacenamiento y transporte de material informático y de comunicaciones:
Zonas y medidas de almacenamiento, metodología a seguir para el ingreso y egreso de este
material, consideraciones particulares para el transporte del mismo (dentro y fuera de la
organización), personal autorizado a recibir, entregar o sacar material, medidas de control.
5. Documentación de baja redistribución o recalificación de elementos: Procedimientos y conjunto
de medidas a seguir ante cualquier cambio en el estado de un elemento de Hardware
(Reubicación, cambio de rol, venta, alquiler, baja, destrucción, compartición con terceros,
incorporación de nuevos módulos, etc.).
A.10 Administración de las comunicaciones y operaciones
Administración de la seguridad de redes:
Existe la necesidad de administrar y controlar lo que sucede en nuestra red, es decir, implementar
todas las medidas posibles para evitar amenazas y mantener la seguridad de los sistemas y
aplicaciones, a través del conocimiento de la información que circula por ella. Se deben
implementar controles técnicos, que evalúen permanentemente los servicios que la red ofrece,
tanto propios como tercerizados.
Manejo de medios:
Prevenir la difusión; modificación, borrado o destrucción, de cualquiera de los medios de
almacenamiento o lo que en ellos se guarda.
58
Servicios de comercio electrónico: es necesario contar con los siguientes controles.
• Metodologías seguras de pago.
• Confidencialidad e integridad de la transacción.
• Mecanismos de no repudio.
• Garantías de transacción.
• Conformidades legales, desde el punto de vista de LSSI (Ley de Servicios de la sociedad
de la Información) y LOPD (Ley Orgánica de Protección de Datos) como así también del
código de Comercio.
Monitorización: Este apartado tiene como objetivo la detección de actividades no autorizadas en la red, y reúne
seis controles. Los aspectos más importantes a destacar son:
• Auditar Logs que registren actividad, excepciones y eventos de seguridad.
• Realizar revisiones periódicas y procedimientos de monitorización del uso de los sistemas.
• Implementación de fuertes medidas de protección de los Logs de información de Seguridad,
proteger todo indicio o prueba de actividad sospechosa.
A.11 Control de accesos
No se debe confundir la actividad de control de accesos con autenticación, esta última tiene por
misión identificar que verdaderamente “sea, quien dice ser”. El control de acceso es posterior a la
autenticación, y debe regular que el usuario autenticado, acceda únicamente a los recursos sobre
los cuales tenga derecho y a ningún otro, es decir, que tiene dos tareas derivadas:
• Encauzar (o enjaular) al usuario debidamente.
• Verificar el desvío de cualquier acceso fuera de lo correcto.
Para esto se utilizan los siguientes controles:
Requerimientos de negocio para el control de accesos: Debe existir una Política de Control de accesos documentada, periódicamente revisada y basada
en los niveles de seguridad que determine el nivel de riesgo de cada activo.
59
Administración de accesos de usuarios: Asegurar el correcto acceso y prevenir el no autorizado y, a través de cuatro controles, exige llevar
un procedimiento de registro y revocación de usuarios, una adecuada administración de los
privilegios y de las contraseñas de cada uno de ellos, realizando periódicas revisiones a intervalos
regulares.
Responsabilidades de usuarios: Todo usuario dentro de la organización, debe tener documentadas sus obligaciones dentro de la
seguridad de la información de la empresa, independientemente de su jerarquía.
Control de acceso a redes: Todos los servicios de red deben ser susceptibles de medidas de control de acceso, en este grupo
se busca prevenir cualquier acceso no autorizado a los mismos.
1. Debe existir una política de uso de los servicios de red, para que los usuarios sólo puedan
acceder a los servicios específicamente autorizados.
2. Control de los accesos remotos a la organización, sobre los cuales deben existir medidas
apropiadas de autenticación.
3. Identificación de equipamiento y de puertos de acceso. Medidas automáticas, segmentación,
diagnóstico y control equipamiento, direcciones y de puertos, control de conexiones y rutas de
red.
Para esto, se deben implementar: IDS (Sistema de Detección de Intrusos), IPS (Sistema de
Prevención de Intrusos), FWs con control de estados, honey pots, listas de control de acceso,
certificados digitales, protocolos seguros, túneles, etc.
Movilidad y teletrabajo: Es necesario adoptar una serie de procedimientos que permitan evaluar, implementar y controlar
adecuadamente estos aspectos, en el caso de poseer accesos desde ordenadores móviles y/o
teletrabajo:
• Accesos desde un ordenador de la empresa, personal o público.
• Posibilidades de instalar o no, medidas de hardware/software seguro en el ordenador
remoto.
• Canales de comunicaciones por los cuales se accede (red pública, privada, GPRS,
UMTS, WiFi, Túnel, etc.).
• Contratos que se posean sobre estos canales.
• Personal que accede: propio, tercerizado, o ajeno.
60
• Lugar remoto: fijo o variable.
• Aplicaciones e información a la que accede.
• Nivel de profundidad en las zonas de red a los que debe acceder.
• Volumen y tipo de información que envía y recibe.
• Nivel de riesgo que se debe asumir en cada acceso.
4.4.4 Norma PCI DSS (Payment Card Industry Data Security Standard)
Es una norma de Seguridad de la Información en la Industria de Tarjetas de Pago desarrolladas
por Visa y Mastecard. Son un conjunto de exigencias y procesos comunes a todo el sector
respaldado por todos los principales sistemas internacionales de tarjetas de pago. Su objetivo es
garantizar la seguridad permanente de los datos valiosos de la cuenta del titular de una tarjeta.
Esta norma aplica a todos los bancos, comercios e intermediarios de servicios de pago que
aceptan o procesan tarjetas de pago.
De acuerdo a la información publicada por Visa:52 Esta metodología relativa a la protección de la
información PCI DSS, incluye doce puntos que deben cumplir los proveedores de servicios y los
puntos de aceptación de tarjetas Visa.
• Instalación y actualización periódica de un cortafuego para proteger los datos.
• Prohibición de utilizar valores anteriores (proveedor / fabricante) para las contraseñas del
sistema y otros parámetros de seguridad.
• La protección de los datos registrados; el no registrar datos inútiles relacionados con
transacciones y tarjetas, como pueden ser números de tarjetas completos, datos que
figuran en las bandas magnéticas, los criptogramas visuales (CVV2 – código de
verificación) o PIN.
• La transferencia cifrada de datos sobre el titular de la tarjeta y otros datos personales en
las redes públicas.
• La instalación y actualización periódica de un antivirus.
• El desarrollo y el uso de un sistema y de aplicaciones más seguros.
• La limitación del acceso a los datos, reservado únicamente para fines comerciales.
• Asignación de un identificador personal a cada persona que tenga acceso al sistema
informático.
• Reducción de los derechos de acceso a los datos personales de los titulares de tarjetas.
52 http://www.visaeurope.es/visaparacomercios/ais/main.jsp
61
• Seguimiento y vigilancia de los accesos a los recursos de la red y a la información de los
titulares de las tarjetas.
• Verificación regular de los sistemas de seguridad y del desarrollo de los procesos.
• Aplicación en la empresa de unas directrices que rijan la seguridad de los datos.
Para considerar que las empresas que se encargan de manejar tarjetas de crédito, cumplen con
estas normas, deben pasar por un proceso de certificación, en el cual se verifique que se cumplen
todos los procesos señalados en la misma.
La implementación de esta norma tiene la gran ventaja de que ayuda a identificar, si existe algún
riesgo en el procedimiento que se está llevando a cabo, para el resguardo y transmisión de
información en las transacciones electrónicas que se realizan. También, permite asegurar esta
información y su transmisión, ofreciendo mayor seguridad a los clientes, evitando así ser víctimas
de fraude por robo de información o clonación de tarjetas.
En la figura.15 se muestra el procedimiento a seguir para la implementación de esta norma. Tal
como lo muestra Visa en su sitio web1.
Figura 15.- Indica el procedimiento a seguir para la implementación de la Norma PCI DSS.
62
Las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI), requieren que todas
las direcciones IP de Internet se escaneen para detectar cualquier vulnerabilidad. Si se encuentran
direcciones de Internet (IP) activas que no hayan sido originalmente proporcionadas por el cliente,
el proveedor de escaneo aprobado deberá consultar con el cliente, para determinar si dichas
direcciones caen dentro del alcance del escaneo de seguridad. En algunos casos, las compañías
podrían tener un gran número de direcciones de Internet (IP) disponibles, aunque usen solamente
un pequeño número de ellas para fines de aceptación o procesamiento de tarjetas. En estos casos,
los proveedores de escaneo, pueden ayudar a los comercios y a los proveedores de servicio a
definir el alcance apropiado del escaneo, que se requiere para cumplir con las Normas de
Seguridad de Datos de la Industria de Tarjetas de Pago (PCI). En general, se pueden usar los
siguientes métodos de segmentación para reducir el alcance del escaneo de seguridad.
• Proporcionar una segmentación física entre el rubro que maneja los datos de los
tarjetahabientes y otros segmentos.
• Emplear la segmentación lógica y apropiada, donde esté prohibido el tráfico entre el
segmento que maneja los datos de los tarjetahabientes y otros segmentos de la red.
Los comercios y proveedores de servicio son los responsables, en última instancia, por el alcance
de su escaneo de seguridad bajo las Normas de Seguridad de Datos de la Industria de Tarjetas de
Pago, aunque pueden procurarse la asistencia especializada de un proveedor de escaneo de
seguridad aprobado (AVS). Si ocurre un compromiso de datos de cuentas a través de una
dirección de Internet (IP) o componente no incluido en el escaneo, el comercio o proveedor de
servicio es el responsable.
4.4.5 Statment Auditing Standard (SAS 70) SAS 70 (Statement on Auditing Standards No. 70) es un estándar de auditoría reconocido
internacionalmente y desarrollado por el AICPA (American Institute of Certified Public Accountants).
El reporte consiste en una revisión centralizada por parte de un auditor independiente (auditor del
servicio) de los servicios tercerizados, y está diseñada para proveer información a las
organizaciones usuarias y a sus auditores, acerca del control interno de la organización de
servicios. Básicamente, es una comunicación de auditor a auditor.
En relación con el objetivo de esta tesina, se presentan la información de la implementación de
este estándar a los proveedores de procesamiento de transacciones y las tarjetas de crédito,
proporcionándole las siguientes ventajas:
63
Reducción de costos: Se disminuyen los costos originados por la asignación de recursos
a las auditorías de las distintas organizaciones usuarias.
Mejoras en los controles y la administración del riesgo: la documentación formal del control
interno que se describe y evalúa durante la revisión, le brinda, a la organización de
servicios, la base para monitorear sus controles en funcionamiento.
Adquisición y retención de clientes: lograr un reporte SAS 70 satisfactorio, puede ser un
medio efectivo para atraer nuevos clientes y fortalecer la confianza con los ya existentes.
Existen dos tipos de reportes:
Tipo I: incluye la opinión del auditor acerca de la adecuada descripción de los controles,
presentada por la organización de servicios, y la idoneidad del diseño de los mismos, para alcanzar
los objetivos especificados.
• Informa sobre los controles implementados (a una fecha).
• Examina el diseño de los controles, no la efectividad operativa.
• Considerase, específicamente, para propósitos de información.
• No se considera útil para propósitos de confianza de los auditores de las organizaciones
usuarias.
• Normalmente se realiza sólo en el primer año.
Tipo II: contiene la información incluida en el reporte Tipo I y, a su vez, la opinión del auditor del
servicio, respecto de la efectividad con que operaron los controles durante el período de tiempo
considerado. Suministra información adicional sobre la naturaleza, tiempo, alcance y resultados de
las pruebas del auditor del servicio sobre los controles especificados.
• Informa sobre los controles implementados y las pruebas de efectividad operativa en un
periodo de tiempo (normalmente no menos de 6 meses).
• Factor de diferenciación: Incluye las Pruebas de efectividad operativa.
• Más exhaustivo.
• Requiere mayor esfuerzo interno y externo.
• Identifica las instancias de incumplimiento.
• Mayor énfasis sobre las evidencias de los controles.
64
Proceso de SAS 70 1. La Organización de Servicio comienza determinando el alcance de los “Controles Internos” que
podrían afectar las organizaciones usuarias (los clientes), así como también el impacto de los
controles provisto por servicios subcontratados.
2. La Organización de Servicio prepara el borrador de la descripción del sistema de Control Interno:
“Descripción de los Controles Internos y los Objetivos de Control”.
3. Se realiza una revisión del grado de preparación (“Readiness Review”) de los “Controles
internos” (opcional).
4. Se corrige/mitiga las áreas de debilidad observadas en el “Readiness Review”. La Organización
de Servicio valida los cambios de control, y según ello, se actualiza la “Descripción de los Controles
Internos y los Objetivos de Control”.
5. La Organización de Servicio contrata a un Auditor para que realice la revisión SAS 70, y provee
al Auditor de la Organización de Servicio la “Descripción de los Controles Internos y los Objetivos
de Control”.
6. Durante la revisión, el Auditor de la Organización de Servicio examinará, sobre la base de
pruebas, la evidencia de la efectividad operativa de los “Controles Internos”, que la administración
ha informado como implementados.
7. Después de la revisión, el Auditor de la Organización de Servicio evaluará las excepciones de
“Control Interno”, revelará las excepciones de las pruebas de cumplimiento y emitirá una opinión.
4.4.6 BCRA 4609 (Basilea II)
Surge como una necesidad para adecuar la normativa vigente a la realidad del sistema financiero.
Contempla la gestión y el control para la protección de los activos informáticos, brindando mejores
prácticas, a efectos de lograr un equilibrio en la administración de los riegos y la eficiencia en la
administración de los datos, considerando las amenazas y vulnerabilidades asociadas a cada
entorno tecnológico.
Basilea II es un Nuevo Acuerdo de Capital, emitido por el Comité de Basilea, que comenzó a
aplicarse a fines de 2006 y 2007 oficialmente, y en prueba, a partir de 2006 por los Bancos que
65
indiquen los Bancos Centrales. Este comité tiene sede en la ciudad Suiza del mismo nombre del
acuerdo, y funciona en el edificio del Bank for International Settlements (BIS). El Comité de Basilea
es también conocido como el Banco Central de los Bancos Centrales, porque está integrado por
representantes de los Bancos Centrales de más de 100 países miembros. Debe aclararse que
Basilea emite recomendaciones que orientan, pero que no son mandatarias para los Supervisores
Bancarios de cada país.
Entre los objetivos que persigue Basilea II se destacan:
• Perfeccionar el acuerdo anterior.
• Promover la seguridad y la salud de los sistemas financieros.
• Fomentar la competencia en igualdad de condiciones.
• Definición de capitales mínimos, regulados en base a criterios más sensibles al riesgo.
• Mejora en performance de los procesos bancarios: eficiencia.
• Mejorar la supervisión bancaria (a través de los Bancos Centrales).
• Transparencia en las informaciones.
Por otra parte, Basilea representa una excelente oportunidad para incentivar en cada organización
un enfoque gerencial, administrando riesgos.
Para lograr los objetivos mencionados Basilea II se basa en tres pilares:
Pilar I. Requerimiento mínimo de capital: persigue un adecuado gerenciamiento de riesgos por
parte de las entidades bancarias, para fomentar el desarrollo de modelos de gestión de riesgos
propietarios.
Pilar II: Proceso de examen supervisor. Busca un doble objetivo: el de aumentar la fiscalización
por parte de los Bancos Centrales, y a la vez hacer más profesional la administración bancaria.
Pilar III: Disciplina de mercado: se pretende uniformar la gestión de informaciones a brindar al
mercado asegurando su corrección y transparencia.
El Auditor, tanto Interno como Externo, debe informarse y formarse para poder cumplir los
requerimientos de auditar el proceso de gestión de riesgos en general y los requisitos del pilar 3
que está muy alineado a la Ley Sarbanes Oxley.
66
Para efectos de la tesina, se profundizo en el Pilar 3, ya que es el que contempla la administración
de riesgos.
4.4.7 Norma “A” 4609 El BCRA emite una nueva circular (A4609) que contempla los Requisitos Mínimos de Gestión,
Implementación y Control de los Riesgos Relacionados con Tecnología Informática, Sistemas de
Información y Recursos Asociados para las Entidades Financieras. Esta emisión deja sin efecto las
disposiciones del “A”3198, utilizada en entidades financieras, la nueva disposición abarca los
siguientes puntos:
1 Organización funcional y gestión de tecnología informática y sistemas.
2. Protección de activos de Información.
3. Continuidad del procesamiento electrónico de datos.
4. Operaciones y procesamiento de datos.
5. Banca Electrónica por diversos medios.
6. Delegación de actividades propias de entidad en terceros.
7. Sistemas aplicativos de información.
Es importante aclarar que esta disposición debe adoptarse, solamente, por todas las instituciones
financieras.
4.4.8 COBIT
Es un modelo para controlar todas las Tecnologías de Información de manera que se aprovechen
al máximo dentro de una organización, y esto impulse el crecimiento de la misma para lograr sus
objetivos.
Las estrategias presentadas en este modelo, empiezan desde le nivel estratégico de la
organización, así como en cada una de las áreas en las que se utilizan tecnologías. Tal como lo
indica el documento de COBIT:
“El enfoque hacia procesos de COBIT se ilustra con un modelo de procesos, el cual subdivide TI en 34 procesos de acuerdo a las áreas de responsabilidad de planear, construir, ejecutar y monitorear, ofreciendo una visión de punta a punta de la TI. Los conceptos de arquitectura empresarial ayudan a identificar aquellos recursos esenciales para el éxito de los procesos, es decir, aplicaciones, información, infraestructura y personas.”53
53 IT Governance Institute. COBIT 4.0 Impreso en los Estados Unidos de América
67
Los 34 controles para las diferentes áreas de TI, son clasificados en 4 dominios:
PLANEAR Y ORGANIZAR (PO)
En este rubro se presenta la manera de identificar aquellas tecnologías que ayudan en gran
manera al crecimiento y cumplimiento de objetivos del negocio, así como la planeación y
organización para realizar la distribución de las tecnologías, de acuerdo a las funciones que serán
desempeñadas dentro de la organización.
Los procesos propuestos en este dominio son:
PO1 Definir un plan estratégico de TI.
PO2 Definir la arquitectura de la información.
PO3 Determinar la dirección tecnológica.
PO4 Definir los procesos, organización y relaciones de TI.
PO5 Administrar la inversión en TI.
PO6 Comunicar las aspiraciones y la dirección de la gerencia.
PO7 Administrar recursos humanos de TI.
PO8 Administrar la calidad.
PO9 Evaluar y administrar los riesgos de TI.
PO10 Administrar proyectos.
ADQUIRIR E IMPLEMENTAR (AI) Esta sección plantea la necesidad de especificar las necesidades de desarrollo o adquisición de
sistemas de información; puntualizando las funciones de los sistemas necesarios, el área en la cual
será utilizada, las medidas de seguridad para acceso a la información de los sistemas, los niveles
de permisos y de usuarios, para la modificación de información en los sistemas, así como el flujo
de información, para facilitar el uso de la misma en la toma de decisiones.
Es importante identificar los sistemas en funcionamiento, el tiempo de vida de estos sistemas y los
cambios o actualizaciones que se necesitan realizar, para que de esta manera, se obtengan los
costos que implicarían la actualización o modificaciones y si un sistema es totalmente obsoleto.
También indica la necesidad de mantener un control de todos los cambios que se realizan a los
sistemas existentes, así como la documentación y la autorización de estos.
68
Los procesos propuestos en este dominio son:
AI1: Identificar soluciones automatizadas.
AI2: Adquirir y mantener software aplicativo.
AI3: Adquirir y mantener infraestructura tecnológica.
AI4: Facilitar la operación y el uso.
AI5: Adquirir recursos de TI.
AI6: Administrar cambios.
AI7: Instalar y acreditar soluciones y cambios.
ENTREGAR Y DAR SOPORTE (DS)
En este segmento, se proponen controles para asegurar la entrega de todos los servicios de TI a
los usuarios que así lo requieran. Estos servicios incluyen soporte, sistemas de información o
aplicaciones en correcto funcionamiento, información de los sistemas disponible e instalación de
nuevo hardware. Propone asegurar que el personal encargado de la administración y manejo de
las tecnologías, cuente con los conocimientos necesarios y suficientes para las funciones que
realiza.
Los procesos propuestos son:
DS1 Definir y administrar los niveles de servicio.
DS2 Administrar los servicios de terceros.
DS3 Administrar el desempeño y la capacidad.
DS4 Garantizar la continuidad del servicio.
DS5 Garantizar la seguridad de los sistemas.
DS6 Identificar y asignar costos.
DS7 Educar y entrenar a los usuarios.
DS8 Administrar la mesa de servicio y los incidentes.
DS9 Administrar la configuración.
DS10 Administrar los problemas.
DS11 Administrar los datos.
DS12 Administrar el ambiente físico.
DS13 Administrar las operaciones.
69
MONITOREAR Y EVALUAR (ME) La propuesta, es la evaluación de todos los controles implementados dentro de la empresa o
dependencia, para verificar que realmente se están cumpliendo, así, como verificar que los
controles internos sean realmente los adecuados para el desempeño de las TI, de acuerdo a los
objetivos de la empresa.
Los procesos propuestos en son:
ME1 Monitorear y evaluar el desempeño de TI.
ME2 Monitorear y evaluar el control interno.
ME3 Garantizar el cumplimiento regulatorio.
ME4 Proporcionar gobierno de TI.
A continuación, se explican los procesos que nos sirven para minimizar los riesgos en el uso de
internet dentro de una organización o dependencia, para esto se detallan los siguientes procesos
del primer dominio “Planear y Organizar”:
PO4 Definir los procesos, organización y relaciones de TI
Este control plantea la definición de todos los procesos de TI, así como su organización y las
relaciones entres las diferentes TI que se utilizarán. Al tener definidos los procesos, es posible y
necesario establecer políticas administrativas y procedimientos para todas las funciones, con
atención específica en el control; el aseguramiento de la calidad, la administración de riesgos, la
seguridad de la información, la propiedad de datos y de sistemas y la segregación de tareas.
PO6 Comunicar las aspiraciones y la dirección de la gerencia La dirección debe elaborar un marco de trabajo de control empresarial para TI, para definir y
comunicar las políticas. Un programa de comunicación continua se debe implantar para articular la
misión, los objetivos de servicio, las políticas y procedimientos, etcétera, aprobados y apoyados por
la dirección. La comunicación apoya el logro de los objetivos de TI, y asegura la concientización y
el entendimiento de los riesgos de negocio y de TI. El proceso debe garantizar el cumplimiento de
las leyes y reglamentos relevantes.
70
4.5 Lineamientos para la Consolidación y Operación de los Sitios Gubernamentales en Línea
El principal objetivo, de los Lineamientos para la Consolidación y Operación de los Sitios
Gubernamentales en Línea,54 es ofrecer a los ciudadanos sitios de internet confiable y fácil de
identificar, que contengan información actualizada y enfocada en sus necesidades.
A continuación se muestran algunas recomendaciones que aplican en materia:
Las Dependencias o entidades no son responsables de mantener las ligas contenidas en
documentos o reportes que provengan de otras instituciones o entidades que se encuentren en sus
sitios de Internet. Las Dependencias o entidades deberán procurar establecer un proceso de
monitoreo para la ligas o vínculos existentes, con objeto de asegurar que la información se
encuentre actualizada. De igual forma, deberán revisar las ligas de manera constante para
asegurar que el sitio siempre sea dinámico y funcional.
Para notificar a los visitantes cuando estén por abandonar el portal de Internet, se sugiere llevar a
cabo cualquiera de las siguientes opciones: colocar un icono cercano al vínculo, identificar el sitio
de destino en el texto de la liga o la descripción de la misma.
El procedimiento que se utilice en cada sitio gubernamental, respecto a las políticas para las ligas o
vínculos, delimitación de responsabilidad y notificación para las ligas o vínculos, deberá estar
establecido en los manuales, procedimientos o políticas de Internet de Cada Departamento o
Entidad.
4.5.1 Asegurar continuidad del sitio (presencia en línea) Las Dependencias o entidades gubernamentales deberán asegurar la continuidad en la operación
de los portales durante emergencias o desastres, por lo cual, deben contar con los procedimientos
o planes de contingencia. Deberán cubrir las situaciones en donde los sitios de Internet puedan
necesitar estar fuera de línea y volver a publicarse, asegurando la disponibilidad de los contenidos
y sistemas, así como los procedimientos para actualizar, aprobar y mantener el contenido y los
tipos de información de carácter crítico que el público pueda necesitar.
54 Texto íntegro de la Ley: http://www.presidencia.gob,mx
71
4.5.2 Procedimiento documentado Todas las Dependencias o entidades deberán establecer un proceso de administración de
contenidos de acuerdo a los objetivos, metas, estrategias y forma de trabajo de cada organización.
Los procedimientos deberán estar documentados e incluir lo siguiente:
• Crear archivos históricos.
• Definición de responsabilidades y roles.
• Cumplir con las Leyes vigentes aplicables (IFAI, Derechos de Autor, Marcas).
• Clasificación de la Información.
- Compromisos con la Ciudadanía (Trámites y servicios).
- Lo que por Ley se debe tener.
- Información de la Dependencia.
• Organigrama.
• Directorio.
• Misión y Visión.
• Considerar coordinarse con la entidad centrar que pueda emitir recomendaciones a otras
Dependencias o entidades gubernamentales.
4.6 Principales mecanismos de prevención para la conexión a Internet.
Hoy en día, existen gran cantidad de aplicaciones que ofrecen soluciones para la protección, así
como la seguridad informática, y en algunos casos, con herramientas adicionales que pueden
integrarse con otros productos. A continuación, se describen los principales mecanismos
enfocados a la seguridad en la red.
En base a la encuesta Nacional sobre seguridad Informática en México 2009, realizada por el
Departamento de Sistemas e Industrial de la Universidad del Valle de Atemajac (UNIVA), Campus
Guadalajara – México – en colaboración con la Asociación Colombiana de Ingenieros en Sistemas
(ACIS), se presenta la siguiente figura (16):
72
Figura 16.- Análisis comparativo de 2007-2008 sobre los mecanismos utilizados para la protección
a los sistemas informáticos.
4.6.1 Herramientas de protección web Utilizar mecanismos que nos ayuden a mitigar las vulnerabilidades y evitar los ataques a nuestra
red, nos auxilian a que su rendimiento normal no se vea afectada. Sin embargo es recomendable
buscar una solución que integre otras aplicaciones, que brinden varios niveles o barreras de
protección y no sólo una.
En base a los datos de visitas y descargas de la Primer Campaña Mundial de Seguridad de la Red,
organizada por la Asociación de Internautas y Panda Security, se presenta la siguiente figura (17):
Figura 17.- Herramientas más usadas por los visitantes
73
4.6.2 Firewall
Es una combinación de diferentes componentes: un componente físico, software y actividades de
administración, la finalidad de servir como cortafuegos entre las redes, esto quiere decir que
funciona como filtro que controla todas la comunicaciones que pasan de una red a otra, con la
función de permitir o denegar el paso a dicha comunicación.
La tarea de Firewall, consiste en inspeccionar y controlar el tráfico entre la red local e Internet.
Entre algunas funciones específicas del firewall se encuentran las siguientes:
• Bloquea tráfico no deseado.
• Redirecciona tráfico de entrada a sistemas internos de más confianza.
• Oculta sistemas vulnerables que pueden ser fácilmente asegurados de Internet.
• Puede registrar el tráfico desde y hacia la red privada.
• Puede ocultar información: como nombres de sistemas, topología de la red, tipos de
dispositivos de red, e identificadores de usuarios internos de Internet.
• Puede proveer autenticación más robusta que las aplicaciones estándares.
4.6.2.1 Fundamentos del Firewall
En el caso de una red local directamente conectada a Internet, sin un firewall, la red entera está
sujeta a ataques (ver Figura 18). La experiencia práctica muestra que es muy difícil asegurar que
todo host de la red esté protegido. Una contraseña mal elegida puede comprometer la seguridad
de toda la red.
Figura 18.-Red Local sin firewall55
Si la red local está protegida por un firewall, sólo existe acceso directo para un conjunto
seleccionado de hosts, y la zona de riesgo es reducida al firewall en sí mismo o a un conjunto
seleccionado de hosts de la red interna (Figura 19).
55 Figura tomada de la pagina : http://www.textoscientificos.com/redes/firewalls-distribuidos/firewalls
74
Figura 19.-Red Local con firewall.56
Un firewall, no es tanto una solución de seguridad, sino una respuesta al problema de
ingeniería/administración: configurar un gran número de sistemas de hosts para una buena
seguridad. Un firewall no asegurará una red, sólo es parte de un área más amplia dedicada a
proteger un sitio y efectuar operaciones de red.57
4.6.3 Antivirus
El antivirus, después de haber realizado una inmersión en varias páginas de Internet,58 se define:
Como un programa que funciona para detectar y eliminar virus, programa maliciosos, en sistemas
informáticos. La función que tiene el antivirus es comparar el código de cada archivo con una base
de datos de todos los códigos maliciosos existentes. Es muy importante que esta base de datos se
encuentre en constante actualización, con el fin de que los virus nuevos no puedan llegar a afectar
los sistemas informáticos.
Existen diferentes tipos de antivirus:
• Antivirus activo
• Antivirus pasivo
• Antivirus Online
• Antivirus Offline
• Antivirus Gratuito
Entre algunas marcas de antivirus que se pueden encontrar actualmente, se encuentran:
• Kaspersky Anti-Virus
• Panda Security
• Norton Antivirus
• McAfee 56 Figura tomada de la pagina: http://www.textoscientificos.com/redes/firewalls-distribuidos/firewalls 57 Fragmento tomado de la pagina : http://www.textoscientificos.com/redes/firewalls-distribuidos/firewalls 58 FCR: http://www.descargar-antivirus-gratis.com/antivirus.php, http://www.alegsa.com.ar/Dic/antivirus.php http://www.nachox.com/2007/07/07/virus-y-antivirus-concepto-historia-y-mas%E2%80%A6/
75
• AVG anti-Virus y AVG Anti-Virus Free
• F-Prot
• NOD 32
4.6.4 Antispam Es una herramienta que tiene la funcionalidad de detectar y eliminar todos los mensajes no
deseados que llegan a la bandeja de entrada del correo o mail.
El antispam utiliza diversas técnicas para detectar los correos no deseados. Una de ellas, es el de
emplear un diccionario propio para detectar palabras que suelen aparecer en estos correos. Ese
diccionario puede ser "armado" con palabras que el propio usuario identifica como spam,
manualmente, o armado de forma inteligente por la aplicación, cuando el usuario selecciona lo que
es deseado y no deseado de su bandeja de entrada.
Todo esto lo aplica con una serie de reglas internas, generadas para la eliminación de los
mensajes marcados como SPAM
4.6.5 Encriptación de datos La encriptación es la transformación de cierta información o texto sin formato a un lenguaje que
vuelve ilegible el resultado, a menos que se conozcan los datos para facilitar su interpretación.
Existen diversas técnicas de encriptación de datos; se explican a continuación:
Algoritmo HASH: Esta técnica realiza un cálculo matemático sobre los datos, para que resulte un
número único, que siempre será el mismo.
Algoritmo Simétrico: Esta técnica consiste en tender una clave encriptada, que deberá
desencriptar todo el documento, esto es realizar el proceso al inverso. Es importante resaltar que la
clave deberá de viajar con los datos.
Firma Digital: Este término surge como “una oferta tecnológica para acercar la operatoria social
usual de la firma ológrafa (manuscrita) al marco de lo que se ha dado en llamar el ciberespacio o el
trabajo en redes.”59
59 Concepto tomado de : http://encripdedatos.blogspot.com/
76
Entre algunas ventajas del uso de la firma digital se encuentran:
• La integridad de la información.
• Autenticidad.
• Proteger al receptor del documento de la negación del emisor.
4.6.6 Antispyware Es una herramienta que permite eliminar los Spyware, o bien llamados espías de sistema, que
atacan generalmente la privacidad de los equipos. Su funcionalidad es similar a la de un Antispam,
pero en vez de eliminar correos no deseados, el Antispyware elimina todos los sistemas espías que
quieran entrar en los equipos de cómputo.
4.6.7 CWAT (Cyber-crime Warning Alert and Termination)
Es como una plataforma de software, para combatir y prevenir la exposición no autorizada;
ventilación o mal manejo de información, digital, confidencial, en tiempo real, mediante el
monitoreo y control de la transferencia de información no autorizado en la red. 60
4.6.8 Certificados electrónicos Es un documento electrónico, basado en la criptografía de clave pública y en el sistema de firmas
digitales, que permite identificar su titular, su integridad, así como su procedencia. Es decir, permite
garantizar el vínculo entre una persona o servidor web con una clave correspondiente. Cada
certificado está identificado de manera unívoca y tiene un período de validez consignado en el
propio certificado. 61
Cabe mencionar: para que un certificado electrónico tenga validez legal, los emisores de éstos
certificados deben estar reconocidos por quienes interactúan con el titular del certificado, así
mismo, el prestador de este servicio debe acreditarse, según la normatividad de cada país. En
México, el encargado de autorizar la creación de algún prestador de este tipo de servicio, es la
60 http://www.auditoria.com.mx/prod/cwat/cwat.htm 61 http://portal.uned.es/portal/page?_pageid=93,558666&_dad=portal&_schema=PORTAL http://www.madrid.org/cs/Satellite?pagename=AdministracionElectronica%2FPage%2FSAEL_contenidoFinal&language=es&cid=1142320118100 http://www.mx.sgs.com/es_mx/sgs_ecertificates?serviceId=10106633&lobId=25897http://www.advantage-security.com/es/noticias/economia.html http://www.abansys.com/certificados_segu...
77
Secretaría de Economía, en base el Código de Comercio, la cual, acredita a Advantage Security
como el primer Proveedor de Servicios de Certificación (PSC) oficial en México.
4.6.8.1 Certificado de Seguridad Web SSL Mediante la instalación de éste certificado, la información enviada a un servidor es encriptado, lo
que imposibilita su intercepción o robo, además muestra la identidad del individuo o empresa
responsable del sitio web y el nombre de la autoridad que ha verificado dicha identidad. Utilizando
un certificado de seguridad web SSL (Secure Sockets Layer), basado en el protocolo de seguridad
de Internet, se asegura de que la comunicación online es segura mientras se está transmitiendo la
información, y se garantiza transacciones seguras, así como privacidad de la información,
protegiendo la misma durante el proceso de transmisión entre el usuario y el servidor.
4.6.9 Criptografía simétrica/asimétrica. Otra parte fundamental para la seguridad, aparte de las defensas frente a intrusiones o virus, es la
seguridad al enviar información mediante la red. Por esto se habla de criptografía, la cual, surge
con la necesidad de ocultar, cifrar o codificar, el significado de un mensaje de forma que sólo el
destinatario pueda descifrarlo.
La criptografía simétrica. También conocida como criptografía de llave privada o de clave
privada. Es el método que usa una misma clave para cifrar y descifrar mensajes, donde las dos
partes participantes deben ponerse de acuerdo sobre la clave a usar.
La criptografía asimétrica. Es la que utiliza dos claves diferente para cada usuario, una para cifrar
la llamada clave pública y otra para descifrar la clave privada, esta criptografía surgió al buscar un
modo más práctico de de intercambiar las llaves simétricas.
4.6.10 Bloqueadores de contenido hostil Es un programa que evita que aparezcan ventanas que muestran información de manera intrusiva
en el explorador Web. Algunos cierran la ventana antes de que aparezca, algunos desactivan el
comando que invoca a la ventana y otros alteran el HTML, fuente de la ventana. No todos los
Bloqueadores de Ventanas Emergentes pueden distinguir entre una ventana emergente no
deseada y una solicitada por el usuario. Los programas que pueden hacerlo en forma consistente
se conocen como Bloqueadores de Ventanas Emergentes Inteligentes.
78
Internet Explorer posee tal función, aunque no tan completa como algunos programas dedicados al
bloque de dicho contenido. Algunos de ellos son:
- IM Lock Professional: Bloquea el uso de mensajes instantáneos, chats, internet, web ad
hoc y opciones de bloqueo de Windows.
- Bloqueo PopUps IrisToolbar 3.0: Es una aplicación que permite bloquear las ventanas
publicitarias que se desplieguen sin consentimiento, permite elegir cuándo bloquear las
pop-ups.
- NoAds: Es una pequeña, pero, potente herramienta que se encarga de bloquear los pop-
ups, liberando el ancho de banda y agilizando la navegación. Además, su configuración
ofrece la posibilidad de permitir aquellas ventanas que se indiquen, de forma que si se
visita alguna web con ventanas emergentes de interés, se puedan seguir utilizándolas sin
problemas.
CAPÍTULO 5. MODELO DE SEGURIDAD PARA MINIMIZAR
RIESGOS EN EL USO DE INTERNET.
En este capítulo se presenta la propuesta como una alternativa para
cambiar o ajustar las medidas de seguridad, con el objetivo de disminuir
los riesgos al usar el Internet, basada no sólo en recomendaciones
técnicas, sino también en la importancia de las responsabilidades
compartidas entre el personal y la organización. Esto, con la intención de
reforzar el control, ya que, como se presenta en los capítulos anteriores
hay factores de riesgo en auge, que son de importante consideración,
para mostrar lo elemental de contar con un conjunto de mecanismos y
acciones con la capacidad de proteger, continuamente, la información y
los recursos.
79
CAPÍTULO 5. MODELO DE SEGURIDAD PARA MINIMIZAR RIESGOS EN EL USO DE INTERNET.
5.1 Esquema del Modelo de Seguridad para Minimizar Riesgos en el Uso de Internet
Figura 20.- Esquema del Modelo
Como resultado de la investigación que se presenta en la tesina, se desarrolla éste modelo, que
propone 5 módulos para verificar el estado actual en materia de seguridad, hasta las posibles
soluciones o medidas de prevención a los riesgos expuestos. A continuación se describen cada
uno de los módulos presentados en el esquema anterior.
5.2 Estudio del Entorno
Es fundamental conocer la organización y el ambiente que se pretende proteger, para obtener así,
un panorama de las necesidades y requerimientos que de manera muy particular la aquejen.
Por consiguiente, se describen los principales aspectos considerados para conocer el entorno
organizacional:
80
5.2.1 Perfil de Organización
Para entender el impacto que implica no tener medidas de protección de la información cuando se
navega por Internet, es fundamental tener el conocimiento de algunos aspectos importantes de una
organización. Este modelo de seguridad considera los siguientes:
1.- Giro de la empresa o tipo de servicio.- se refiere a las actividades que realiza la empresa u
organización.
2.-Tamaño de la empresa.- En México, esta clasificación, es establecida por la Secretaría de
Economía, con base en las ventas anuales y el número de empleados. Estos tipos son micro,
pequeña, mediana y grande empresa.
3.-Estructura Organizacional.- Conocimiento de las áreas que forman la empresa, organigrama,
responsabilidades, actividades.
5.2.2 Perfil de Empleados
Si bien este modelo no pretende investigar cosas personales de los empleados, si sugiere que se
tenga un panorama general de ellos, que sirva para asignar el nivel de usuario y los permisos en
base a sus funciones y conocimientos en materia de TI, tomando en cuenta los siguientes
aspectos:
1. Nivel Académico de los empleados.
2. Capacitación a cerca del plan de seguridad con la que cuenta la empresa.
3. Funciones asignadas.
5.2.3 Perfil de la Red de la Organización
En este punto se debe de conocer los aspectos principales que conforman la red de una
organización, que son puntos clave en la exploración de ella:
1. Dispositivos de Seguridad físicos.
2. Tipos de puertos configurados para la transmisión de datos vía Internet.
3. Protocolos utilizados para la transmisión de información.
4. Administración de la red.
81
5.2.4 Perfil de las Tecnologías de la Organización
Se explora las tecnologías de información con las que cuenta la empresa, se puede mencionar lo
siguiente:
1.-Sistema operativo de los servidores.
2.-Sistema operativo de las máquinas cliente.
3.-Tipo de explorador para internet.
4.-Tipo de software libre permitido que sea descargado por internet.
5.-Tipo de software de seguridad instalado para la protección de los equipos.
6.-Herramientas de monitoreo utilizadas.
5.3 Identificación de Riesgos Este módulo consiste en realizar una revisión o diagnóstico de la existencia de riesgos o la
exposición que se tiene hacia ellos, que pueden ser causados por un fallo, deficiencias,
inadecuaciones en la seguridad de la Información, los procesos, o por la ocurrencia de
acontecimientos externos. Que pueden tener consecuencias como: pérdida de confidencialidad,
integridad y disponibilidad de la información, entre otras. Esto puede imposibilitar el cumplimiento
de los objetivos de una organización, y ser la diferencia entre el éxito y el fracaso. Esta actividad
considera analizar, a través del rastreo, los riesgos a los que se está expuesto.
Realizar un correcto análisis de riesgos será el punto central para la definición e implementación de
las estrategias de seguridad, medidas mitigantes, o la selección de los controles adecuados, que
minimicen el impacto en caso de incidentes, y si es necesario, implementar nuevos mecanismos de
seguridad.
Para tener una mejor perspectiva sistemática al tener fallo en la seguridad, se presenta la siguiente
figura, donde se visualizan los diferentes agentes a considerar al momento de realizar un análisis
para la identificación de los riesgos:
82
Figura 21. Relación de los factores que intervienen en el análisis de riesgos
De acuerdo a la investigación que se presenta en los primeros capítulos de la tesina, se enlistan
los riesgos más proclives a los que se está expuesto durante la navegación por Internet.
RIESGO CLASIFICACIÓN
VIRUS Caballos de Troya
ROBO DE INFORMACIÓN
Usurpación de Identidad
Spyware
Sniffer
CÓDIGO MALICIOSO Exploit
FRAUDES Phising
Pharmin
Figura 22. Principales riesgos en las conexiones a internet.
83
5.3.1 Análisis de vulnerabilidades
Como se observa en la figura 21, identificar las vulnerabilidades es una parte esencial para la
implementación de un programa de seguridad eficaz. Ya que el resultado de ésta, muestra
información sobre el nivel de exposición a las amenazas, analizando las debilidades sobre la
organización; procedimientos, los equipos, información, configuraciones, aplicaciones, protocolos y
software. Análisis necesario para estudiar las contramedidas que se pueden aplicar para minimizar
el impacto de un posible ataque. Para realizar este análisis existen varias alternativas. Este modelo
propone efectuarlas mediante pruebas manuales, basadas en la utilización de productos que
ayudan a reducir el tiempo invertido en el proceso.
Es importante considerar que cada organización es diferente, y por ende sus instalaciones y
sistemas de seguridad informática, por lo que al realizar un estudio es importante considerar
algunos escenarios:
• Que los controles de seguridad implementados, actualmente protegen de forma adecuada
de los riesgos y vulnerabilidades. Esto no implica realizar grandes modificaciones para
incrementar su eficiencia.
• Que haya una carencia de controles de seguridad, lo cual implica que cualquier
recomendación a implementar por primera vez no genera una sensación de gastos
adicionales al rehacer controles ya establecidos.
• Que los controles actuales no protejan adecuadamente, debido a una mala configuración,
monitorización o gestión. Esto lleva a identificar los niveles de riesgo actuales, su posible
impacto y las recomendaciones a seguir, lo que deriva en invertir tiempo y recursos
adicionales.
Para identificar a cuál de las amenazas cibernéticas es vulnerable la organización, debe
considerarse acciones de revisión en la seguridad existente. Por ello, se proponen los siguientes
puntos a considerar en dicha revisión:
• Realizar entrevistas a las personas encargadas de la seguridad de la organización.
• Realizar entrevistas a usuarios para conocer los problemas a los que se han enfrentado.
• Realizar listas de verificación, considerando los siguientes puntos:
84
- Definición de Información importante para la dependencia.
- Revisión de funciones asignadas a personal responsable de la seguridad en
Internet.
- Revisión de Políticas existentes.
- Revisión de cumplimiento de procedimientos establecidos.
- Revisión de los Controles de Privacidad.
- Revisión de los Controles de la Información.
- Revisión de Controles de acceso.
- Revisión de acceso de equipos a la Intranet.
- Revisión de Herramientas y mecanismos de protección para la navegación de
Internet.
- Revisión de perfiles de usuario establecidos con la finalidad de analizar permisos
en la navegación de Internet.
- Revisión de políticas y medidas de seguridad en correo electrónico.
- Revisión de puertos asignados para la transmisión de paquetes a través de la red.
- Revisar que los procedimientos y políticas existentes consideren los principales
estándares y mejores prácticas existentes y aplicables.
- Determinar la posibilidad con la que puede ocurrir.
- La posibilidad de que el riesgo pueda ser materializado.
- Existencia y eficiencia del esquema de seguridad informática
- Cultura Informática en la organización
Ejemplos de vulnerabilidades:
• Falta de conocimiento del usuario
• Falta de funcionalidad de la seguridad
• Configuraciones inadecuadas de los dispositivos de seguridad
• Tecnología no probada
• Comunicaciones no protegidas
• Inexistencia de controles, políticas.
Al identificar los puntos débiles, que pueden perjudicar los activos, es posible analizar la
probabilidad de que una amenaza se concrete, y su dimensión facilite las decisiones para definir
las medidas correctivas, reactivas o preventivas, donde es importante considerar el costo de esta
implementación contra el costo que deriven las consecuencias al materializarse. Estas medidas
son:
85
• Mitigar el riesgo: implementación de controles que lo mantengan a un nivel aceptable.
• Asumir: no implementar controles, ya sea por su baja probabilidad de ocurrencia, o bien,
por su bajo impacto, pues puede ser que las consecuencias económicas acarreadas son
menor que lo que cuesta reducirlos.
• Transferir: mediante un prestador de servicios especializado o mediante la contratación de
una póliza.
5.3.2 Evaluación de Riesgos
Una vez identificados los riesgos, es importante cuantificar su impacto. Por lo que en este apartado
se debe determinar el nivel de los riesgos detectados en el análisis, que permite hacer un
comparativo de los resultados de su clasificación y distinguir entre los riesgos tolerables y los no
tolerables.
Para este modelo se utiliza un enfoque cualitativo, expresando los riesgos en altos, medios y bajos,
en base a métricas semicualitativas del impacto económico; calidad del servicio, interrupción de las
actividades, afectación en la imagen, etc. A continuación, se mencionan los puntos a considerar
para la evaluación de los riesgos:
• Probabilidad de ocurrencia: para derivar la probabilidad o estimación de que un
evento potencial (amenaza) pueda ocurrir, es decir, pueda explotar las
vulnerabilidades de los activos, se realiza la siguiente clasificación :
PROBABILIDAD DE OCURRENCIA OCURRENCIA NIVEL ID DESCRIPCION
ALTA 3 A Si el riesgo puede ocurrir entre 67-100%
MEDIA 2 M Si el riesgo puede ocurrir entre 34-66%
BAJA 1 B Si el riesgo puede ocurrir entre 0-33%
Figura 23. Probabilidad de ocurrencia del riesgo.
Los valores anteriores, se definen según la teoría de probabilidad, desde el enfoque de frecuencia
relativa o enfoque empírico, puesto que la determinación de los valores de ocurrencia se basa en
recopilaciones y observaciones de datos.
86
El valor más pequeño que puede tener la probabilidad de ocurrencia es 0. Esto indica que el
evento es imposible y el mayor valor es 1, lo cual sugiere que le evento ocurrirá.
P(A)=x/z
P(A)=probabilidad de ocurrencia de un evento A
x=valor observado del evento A
z=valores totales observados
Por ejemplo: De acuerdo a un análisis, se ha observado que 5 de cada 9 equipos están infectados
con algún virus informático, ¿Qué probabilidad hay de que los demás equipos tengan algún virus
informático?
P(A)=5/9=0.55% o 55%; el cual de acuerdo a la fig. 23 se clasifica en un nivel=2 = Medio.
• Impacto del riesgo: determinar o estimar la magnitud de los daños o
consecuencias que puede tener una amenaza que haya aprovechado las
vulnerabilidades de seguridad, comprometiendo el estado normal de los activos.
Al realizar esta estimación, se deben considerar la importancia o magnitud de las pérdidas y la
criticidad de los activos afectados, ambas dependen de las prioridades de seguridad de cada
organización. Por lo que se debe tener identificados los activos asociados al ámbito donde se
realiza el análisis, es decir, un conocimiento del entorno. Lo cual implica basarse en la información
obtenida en el primer módulo de este modelo y si es posible la criticidad de dichos activos.
- Impacto Económico u operativo: La valoración del impacto económico requiere considerar los
costos de los posibles daños tangibles (reposiciones de recursos, reparaciones,
responsabilidades), más la estimación o valoración aproximada de los daños intangibles (retrasos
en la operatividad, imagen, disminución de ingresos, calidad del servicio, credibilidad, confianza,
interrupción del servicio), considerando sólo los activos que son necesarios para que la
organización funcione correctamente y logre los objetivos.
Por ejemplo: ¿Cuánto cuesta a la organización quedarse sin sistema “x” número de horas? O si se
pretende determinar el impacto económico que tienen los ataques de virus informáticos. Este
impacto se calcula teniendo en cuenta los costes de limpiar los virus en las redes, servidores y
87
sistema, la recuperación de archivos perdidos o dañados y la pérdida de la productividad a causa
de las pausas en sus actividades que conlleva este ataque. 62
Para este modelo, el Impacto económico se clasifica en términos cualitativos, contemplando sólo la
variable de “los retrasos en la operatividad” o reparaciones, con base en el costo de horas hombre,
perdidas o necesarias para solucionar el posible impacto. El valor de un activo no sólo depende de
su costo de adquisición, sino también de la información que contenga, así como de los procesos
que controlen, valores que de acuerdo a cada organización varían, y en el mejor de los casos, si
cuentan con ella.
Para esto se presenta una clasificación en la siguiente tabla:
IMPACTO ECONOMICO (IE)
RANGO CHH IMPACTO
RANGO 3 ALTO
RANGO 2 MEDIO
RANGO 1 BAJO
Figura 24. Clasificación del nivel del impacto económico
El rango del costo horas hombre se va determinar de acuerdo a la información del tabulador de
sueldos de la organización, por ejemplo:
Figura 25. Ejemplo de tabulador de sueldos
62(http://www.noticias.com/articulo/17-01-2001/redaccion/ataques-virus-informaticos-costaron-17100-millones-dolares-2000-aj4.html)
RANGOS HH
SUELDO MENSUAL
JORNADA LABORAL MENSUAL (HRS.)
COSTO HR. PROMEDIO
(CHP) CHP*30 CHP*15 CHP*5 23,667.18 160 147.92 4,437.60 2,218.80 739.60 17,629.88 160 110.19 3,305.60 1,652.80 550.93 17,409.02 160 108.81 3,264.19 1,632.10 544.03 16,762.88 160 104.77 3,143.04 1,571.52 523.84 16,140.73 160 100.88 3,026.39 1,513.19 504.40 15,541.68 160 97.14 2,914.07 1,457.03 485.68 14,964.85 160 93.53 2,805.91 1,402.95 467.65 14,409.43 160 90.06 2,701.77 1,350.88 450.29
88
Donde 30, 15 y 5, es la estimación del número de horas hombre:
De acuerdo a la tabla anterior, se considera el impacto económico:
IMPACTO ECONOMICO (IE) COSTO HORAS
HOMBRE IMPACTO (CHH)
1,350.88<CHH<4,437.60 ALTO
739.60<CHH<1,350.88 MEDIO
450.20<CHH<739.60 BAJO
Fig. 26 Estimación de rangos para el nivel de impacto económico
Por lo tanto, si por el evento negativo ocurrido, afecta la operación de 3 personas, donde sus
sueldos son:
SUELDO MENSUAL HO CHP CHH
$16,762.88 30 104.77 3,143.10
$15,541.68 30 97.14 2,914.20
$23,667.18 5 147.92 739.60 6,796.90
Fig. 27 Estimación del impacto económico
Se considera entonces que el impacto económico es alto, con base a la estimación de los rangos.
-Impacto del riesgo: De acuerdo a las posibles pérdidas que pueden generar, o daños posibles
que genera el evento, se clasifica el impacto hacia la organización de la siguiente manera:
89
IMPACTO (NI) MAGNITUD VALOR ID DESCRIPCION
Alto 50 A Pérdida permanente, interrupción total, daño significativo, fuga de información: de recursos críticos
Medio 30 M Pérdida temporal, interrupción parcial, rendimiento severamente afectado, fuga de información reservado no confidencial: de recursos críticos
Bajo 10 B Pérdida temporal, rendimiento sensiblemente afectado, fuga de información: de recursos secundarios.
Figura 28. Clasificación cualitativa del nivel del impacto.
-Nivel de riesgo: Es el valor cualitativo en función del impacto y la probabilidad de ocurrencia.
Figura 25. Nivel del riesgo
Considerando la figura anterior:
IMPACTO*OCURRENCIA (NI*NO)
NIVEL DEL RIESGO (NR)
30<IF<=50 ALTO 10<IF<=30 MEDIO 0<IF<=10 BAJO
Figura 26. Nivel del riesgo en función del impacto y la ocurrencia.
Es importante considerar que el nivel del riesgo al que pueda estar sometido no puede erradicarse
totalmente. Se debe buscar el equilibrio entre el nivel del recurso y los mecanismos que se
pretenden brindar para minimizarlos.
90
Una vez identificada esta información, se utiliza una matriz de riesgos, donde se deben plasmar
todos los elementos que se identifiquen. Debe ser actualizada periódicamente, esto ayudará a
darle continuidad a la vigencia y actualización de los riesgos, y será útil para la organización en la
toma de decisiones. Las actualizaciones dependerán de la identificación de los cambios detectados
en el proceso de monitoreo.
5.3.3 Matriz de riesgos
Herramienta mediante la cual se van a representar las actividades negativas encontradas,
mostrando de manera uniforme y consistente el nivel del riesgo evaluado. Permite mostrar la
efectividad de los mecanismos de seguridad implementados, mediante una evaluación cualitativa
de los riesgos y la determinación del perfil de riesgo. Los beneficios de esta herramienta de
evaluación son:
• Identificar los activos, procesos o áreas que requieren mayor atención.
• Apoya para una intervención inmediata y oportuna.
• Evaluar metódicamente los riesgos.
• Promueve a la administración de riesgos y su monitoreo.
La siguiente figura presenta la matriz a utilizar para representar la detección y evaluación de los
riesgos, que debe contener la información obtenida durante el proceso de Identificación de los
mismos.
IDENTIFICAR EVALUAR
RIESGO NIVEL DE OCURRENCIA
IMPACTO ECONOMICO
NIVEL DEL
IMPACTO NIVEL DEL
RIESGO
OC NO NI NR (NO*NI)
Virus 0.70 A 3 A 50 A 35 ALTO Robo de información 0.30 B 1 A 50 A 15 MEDIO Exploit 0.25 B 1 M 30 M 7.5 BAJO Phising, Pharming 0.25 B 1 M 30 M 7.5 BAJO Spam 0.40 M 2 A 10 B 4 BAJO Snnifer 0.40 M 2 A 50 A 20 MEDIO
Figura 27. Ejemplo para la Identificación y evaluación de los riesgos
91
Cabe mencionar que esta matriz es presentada para ejemplificar la obtención de los datos. Existen
otras perspectivas para esta representación, por lo que no debe ser considerada como la única
manera o herramienta para hacerlo.
5.4 Administración de Riesgos
Una vez identificados los riesgos, deben ser administrados. Esto no es más que implementar las
medidas y controles que ayuden a mitigarlos, tomando en cuenta que para cada evento negativo
detectado se debe seleccionar y adoptar un control. Estas medidas y controles que se
implementen deben basarse en las normas, políticas, mejores prácticas y tecnologías existentes
para definir estrategias y procedimientos que ayuden a mitigarlo.
Para esto se realiza la valoración respecto a ISO27002 y la matriz de riesgos encontrados, con el
fin de identificar los controles que ayuden a asumirlos, minimizarlos o transferirlos.
Cabe mencionar que estos controles deben estar orientados a una verdadera solución, es decir, no
se puede dar una solución parcial, ya que solamente ataca parte del problema y ocasiona re-
procesos que originan la inversión de más tiempo y recursos.
La administración de riesgos también nos permite:
1. Preservar la operación de la organización y facilitar la continuidad de sus actividades y
servicios, fortaleciendo el cumplimiento de sus objetivos.
2. Usar de forma efectiva y eficiente los recursos tecnológicos de la organización.
3. Evitar o mitigar cualquier tipo de pérdida.
4. Garantizar la confiabilidad y oportunidad de la información.
5. Proteger contra daños los bienes de la empresa, evitar y/o reducir las pérdidas económicas
ocasionadas, por la materialización del riesgo.
A continuación se muestra un ejemplo para la administración de los riesgos, basado en los riesgos,
normas, mejores prácticas y herramientas tecnológicas expuestas a lo largo de la tesina:
92
RIESGO
TRATAMIENTO
MEJOR PRÁCTICA NORMA CONTROL
COBIT ISO27002
Robo de Información
PO4 Definir los procesos, organización y relaciones de TI A.11 Control de accesos
*Firewall e IDS
DS5.1 Administración de la seguridad de TI A.8 Seguridad de los recursos humanos:
DS5.3 Administración de identidad * Durante el empleo: Administración de responsabilidades, preparación, educación y entrenamiento en seguridad de la información, medidas disciplinarias.
DS5.7 Protección de la tecnología de seguridad * Herramientas de
Seguridad DS13 Administración de operaciones
Fraude: A.5 Política de seguridad.
* Antivirus y Antispam
* Sniffer DS5.11 Intercambio de datos sensitivos
A.9 Áreas de seguridad: protección contra amenazas externas y del entorno.
A.10 Administración de las comunicaciones y operaciones:
* Administración de la Seguridad en Redes.
* Filtrado de Contenido
* Phising, Pharming
PO7.4 Entrenamiento del personal de TI
A.13 Administración de los incidentes de seguridad.
*Reportes de eventos de seguridad de la información y debilidades
Virus
PO7.4 Entrenamiento del personal de TI
A.10 Administración de las comunicaciones y operaciones:
* Uso de Antivirus.
*Administración de la Seguridad en Redes.
* Controles de acceso, y perfiles de usuario a
trabajadores.
DS13 Administración de operaciones *Protección contra código móvil y maligno.
*Bloqueo de dispositivos de almacenamiento
externo. A.11 Control de accesos: *Administración de accesos de usuarios
Exploit
PO7.4 Entrenamiento del personal de TI
A.10 Administración de las comunicaciones y operaciones. * Uso de Antispayware
DS5.3 Administración de identidad
DS5.4 Administración de cuentas del usuario
DS5.5 Pruebas, vigilancia y monitoreo de la seguridad
A.11 Control de accesos. * Uso de Antivirus
DS5.8 Administración de llaves criptográficas
DS5.10 Seguridad de la red
DS5.11 Intercambio de datos sensitivos A.13 Administración de los incidentes de seguridad. * Bloqueo de puertos
DS13 Administración de operaciones.
93
Es importante mencionar que un riesgo puede ser atacado, además del anterior ejemplo, con el
establecimiento de nuevas políticas dentro de la organización, y se debe verificar que se cumpla el
establecimiento de las mismas en el monitoreo.
5.5 Implementación de Controles
Con base en los controles para mitigar los riesgos descritos anteriormente, debe realizarse la
implementación de los mismos, el método o procedimiento de implementación depende del control
propuesto, así como de las áreas involucradas.
En el caso de que el control conlleve la adquisición de una tecnología, debe analizarse la
adquisición de esta, así como el tiempo que se llevará para su implementación y los recursos y
personal involucrado.
En caso de que el control dependa de una política o herramienta existente, es importante asegurar
que se realice en el menor tiempo posible.
5.6 Monitoreo
El objetivo de realizar un monitoreo es verificar el correcto funcionamiento e implementación de los
controles establecidos con anterioridad, así como verificar el cumplimiento de las políticas y
herramientas establecidas. Con eso se puede identificar si son eficientes y eficaces los métodos de
administración implantados. Esta revisión responde a las preguntas: ¿Los controles están documentados?, ¿se están aplicando en la actualidad? y ¿son efectivos para minimizar el riesgo?
Tomando en cuenta las normas existentes, es importante destacar que el control A10 de la norma
ISO27002 plantea los algunos aspectos para realizar un mejor monitoreo:
• Realizar una revisión de locks que registren actividad, acepciones y eventos de seguridad.
• Realizar un procediendo de monitorización periódica del uso de la red. Apoyándonos de
una herramienta especializada.
• Implementar medidas de protección de los locks.
• Dar un seguimiento a las actividades de los administradores de sistema.
• Implementar un sistema de alarmas que monitorice el funcionamiento normal de los
sistemas de generación de locks.
94
• Sincronizar la infraestructura de los servidores, lo cual, ayuda a detectar la presencia de
actividades no contempladas en la secuencia lógica de las actividades determinadas.
Finalmente es importante contar con un monitoreo, ya que con esto se tiene un mejor control de la
información que se maneja, dándole una continuidad a las soluciones de seguridad definidas con
anterioridad. Por esa razón, a continuación, se mencionan algunos beneficios al momento de
implantar un monitoreo de riesgos:
• Analizar y entregar recomendaciones con la información que ofrecen las diferentes
tecnologías de seguridad.
• Permite identificar e incluso bloquear incidentes potenciales.
• Ofrece las mejores recomendaciones y soporte para los incidentes.
• Detectar en forma temprana fallas en los mecanismos implementados, así como el no
cumplimiento de los mimos.
CAPÍTULO 6. APLICACIÓN DEL MODELO DE SEGURIDAD
PARA MINIMIZAR RIESGOS EN EL USO DE INTERNET EN LA DEPENDENCIA GUBERNAMENTAL SEP DIRECCIÓN GENERAL DE ADMINISTRACIÓN.
Finalmente, como culminación del proyecto, se aplica a modo de
prueba, el modelo propuesto. Por tal motivo, en este capítulo se
presentan los resultados de la aplicación del mismo.
95
CAPÍTULO 6. APLICACIÓN DEL MODELO DE SEGURIDAD PARA MINIMIZAR RIESGOS EN EL USO DE INTERNET EN LA DEPENDENCIA GUBERNAMENTAL SEP DIRECCIÓN GENERAL DE ADMINISTRACIÓN.
6.1 Estudio del Entorno De acuerdo con el modelo propuesto, a continuación, se presenta un panorama general del
ambiente organizacional de la Dirección General de Administración.
6.1.1 Perfil de la Dirección General de Administración- Subdirección de Carrera Magisterial
Nombre de la empresa: Secretaria de Educación Pública.
Área donde se aplica el modelo: Subdirección de Carrera Magisterial.
Funciones: Administrar los recursos humanos materiales y financieros destinados a la prestación
de los Servicios de Educación Básica, Inicial, Especial; así como Normal y Actualización del
Magisterio en el Distrito Federal.
Dentro de las actividades principales que tiene el área son las siguientes:
• Dirigir la administración de los recursos humanos, financieros y materiales en atención
a los lineamientos, disposiciones y acuerdos emitidos por la Comisión Nacional SEP-
SNTE.
• Determinar el número de plazas aprobadas a incorporarse o promoverse, en base al
presupuesto otorgado, con estricto apego a la normatividad y a los criterios
establecidos por la Comisión Nacional SEP-SNTE.
• Vigilar con equidad y transparencia, el desarrollo del Programa Nacional de Carrera
Magisterial en la Entidad, respetando las fechas determinadas por la Comisión
Nacional.
• Conocer, respetar, hacer cumplir y difundir, las normas que rigen el Programa de
Carrera Magisterial.
96
• Emitir las Convocatorias para incorporación y promoción en el Programa.
• Asesorar y supervisar a los Órganos de Evaluación.
• Publicar los resultados del Dictamen.
Tamaño de la Empresa: De acuerdo con la clasificación de la Secretaría de Economía, la
Dirección General de Administración - Subdirección de Carrera Magisterial se considera como tipo
grande, ya que cuenta con aproximadamente 700 empleados en sus diferentes áreas.
Estructura Organizacional: La estructura de la organización es la siguiente:
97
6.1.2 Perfil de Empleados Con base en el levantamiento de información realizado dentro de esta dependencia, se presenta
una visión general del personal que labora en la misma.
• Nivel Académico: Dentro de la organización, se clasifica a los empleados por su nivel
académico de la siguiente manera:
Nivel Académico Número de Empleados % Porcentaje
Básico 350 50 Medio Superior 210 30 Superior 105 15 Maestría y/ó Doctorado 35 5
• Capacitación de las Tecnologías de la Empresa
Tecnologías Capacitaciones por
Año No. Empleados
(%) Paquetería Office 1 50%SIABSEP (Consulta de Movimientos de Plazas) 1 5%VALBI (Validador de Base de Datos) 1 5%CI 2009 (Generador de Base de Datos 1 5%
• Nivel de Conocimiento en la Navegación por Internet
Nivel Académico Uso de Internet (%)Manejo de Internet
(%) Básico 90% 30% Medio Superior 100% 50% Superior 100% 60% Maestría y/ ó Doctorado 100% 60%
98
• Aficiones o pasatiempos
6.1.3 Perfil de la Red de la Organización
• Tipo de Red: La DGA cuenta con una infraestructura de red tipo LAN en estrella.
• Topología: En el diagrama siguiente se muestra como está constituida la red de la Dirección General de Administración.
Figura 30. Topología de red
99
- Dispositivos de seguridad Físicos y Lógicos
- Acceso restringido al site.
- Planta de emergencia de 24 hrs.
- UPS Site con respaldo de 30 min.
- Firewalls netscreen que controla los accesos a dispositivos y puertos.
- Contraseñas asignadas a los usuarios, para las aplicaciones y servicios.
- Se controla el acceso a internet a través del proxy server.
- Filtrado de correo.
- Antivirus Symantec Endpoint Protection.
- Integración de aplicaciones Active Directory
6.1.4 Perfil de las Tecnologías de la Organización
Actualmente la organización, cuenta con las siguientes tecnologías para la gestión de su
información.
Tecnología Cantidad de
Equipos SW
Servidor de Correo 2 Exchange 2000 Estaciones de Trabajo 6 Windows XP Estaciones de Trabajo 10 Windows 98
Estaciones de Trabajo 3 Windows Visio 2007
Explorador de internet 19 Internet Explorer Explorador de internet 19 Firefox Mozila
Antivirus 19 Symantec
6.2 Identificación de Riegos Con base a lo expuesto en el modelo propuesto, el siguiente paso es identificar los riesgos
potenciales que existen en la organización al navegar por la Internet.
6.2.1 Análisis de vulnerabilidades
Como se puede observar en la figura 21, del capítulo cinco, las amenazas pueden aprovechar las
vulnerabilidades en la seguridad, lo cual puede llevar a prácticas de riesgo. Por consiguiente, este
100
apartado se apoya en dos herramientas especializadas para explorar las vulnerabilidades,
administración y revisión de la red, estas herramientas son:
• GFI LANguard Security
• Retina Network Security Scanner
El análisis de vulnerabilidades contiene información que debe ser considerada como confidencial,
no debe ser distribuida, a menos que haya sido autorizado por el beneficiario, el reporte debe ser
resguardado en todo momento, y la violación debe ser motivo de rescisión.
Por lo anterior, sólo se presenta un resumen de los reportes emitidos por las herramientas antes
mencionadas.
Retina Network Security Scanner: En los reportes de esta herramienta se destacan 9 puertos
abiertos.
Fig. 31 Vulnerabilidad por host
Fig. 32 Numero por riesgo de vulnerabilidad Fig. 33 % de las vulnerabilidades por riesgo
101
Fig.34 Riesgo por vulnerabilidad
GFI LANguard Security: Del total de vulnerabilidades detectadas, únicamente se encontraron 22
vulnerabilidades potenciales. Esta herramienta calcula el nivel de vulnerabilidad basado en el
recuento y la gravedad de las vulnerabilidades y parches faltantes detectados en el sistema. Alto
nivel de vulnerabilidad, que significa que el sistema tiene vulnerabilidades, o la falta de parches,
cuya gravedad es alta.
6.2.2 Evaluación de Riesgos
Con base en las vulnerabilidades detectadas en el apartado anterior, se identifican los riesgos
realizando una búsqueda de los riesgos posibles que conlleva el tener los puertos abiertos
detectados con la primera herramienta.
Posteriormente, la segunda herramienta es muy útil, ya que en sus reportes contiene una clave de
identificación de vulnerabilidades, así como un código que muestra el boletín de seguridad de
Microsoft, en donde se puede encontrar la descripción de esta vulnerabilidad. Con base a éste, han
sido identificados los riesgos de los reportes de ésta herramienta.
• Probabilidad de ocurrencia:
Los reportes arrojan que de 4 equipos analizados sólo uno es propenso a los riesgos identificados.
Por tanto ¿Cuál es la probabilidad de que estos riesgos se presenten en los demás equipos?
P(A)=1/4=0.25=25%
(A)= son los riesgos detectados
102
• Impacto económico del riesgo:
Para darle solución al impacto que puede causar los riesgos (acceso remoto a la configuración de
un servidor y robo de información), se deben contemplar algunas actividades, como pueden ser:
ACTIVIDAD HORAS
HOMBRE ESTIMADAS
Evaluación de daños 8 Registro en resto de los servidores 4 Re-configuración del router 2 Cambio de claves del sistema 3 Restitución de archivos respaldados 6 Restitución de servidor para su funcionamiento. 72 Instalación de servidor de respaldo 60 Bajada de actualizaciones de software desde Internet 16 Instalación de actualizaciones de software 10 Traspaso de datos y sistema de respaldo 8 Re-diseño de sitios no respaldados 61
Total 250
Como se puede observar, estimar el Impacto económico es una tarea complicada, pues se conoce
hasta que el o los riesgos se hayan materializado, y depende del valor que la organización
considere de sus activos y del número de horas hombre necesarias para solucionarlo. En caso de
que las pérdidas sean reparables. En este análisis aún no se han materializado estos riesgos, sólo
se ha estimado, puesto que no se conoce el impacto real.
6.2.3 Matriz de riesgos
Finalmente, con base a la información obtenida, se reflejan estos datos en la matriz, que contiene
los riesgos que han sido detectados:
103
IDENTIFICAR
RIESGO NIVEL DE
OCURRENCIA
NIVEL DEL
IMPACTO NIVEL DEL
RIESGO NO NI NR (OC*NI)
Suplantación de identidad (spoofing) 0.25 BAJA 30 M 8 BAJO
Acceso remoto a la información de configuración de un servidor Exchange 0.25 BAJA 50 A 13 MEDIO
Ejecución remota de código 0.25 BAJA 50 A 13 MEDIO
Manipulación de transferencia de archivos 0.25 BAJA 30 M 8 BAJO Exploit 0.25 BAJA 50 A 13 MEDIO
Virus 0.25 BAJA 50 A 13 MEDIO Denegacion de servicio 0.25 BAJA 30 M 8 BAJO Robo de información 0.25 BAJA 50 A 13 MEDIO
6.3 Administración de riesgos Ya detectados los riesgos, se elige el tratamiento para ello. Como se mencionó en el capitulo
anterior, los riesgos se podrán mitigar, asumir o transferir.
La tabla siguiente muestra el tratamiento recomendado para los riesgos focalizados en la DGA, la
cual se centralizó en la investigación de los capítulos anteriores:
A continuación se muestra:
RIESGO DESICIÓN
TRATAMIENTO
MEJOR PRÁCTICA NORMA CONTROL
COBIT ISO27002
Robo de Información Minimizar DS5.7 Protección de la tecnología de seguridad
A.11 Control de accesos 1. Informar a los trabajadores de la importancia de las confidencialidad, uso y cambio de contraseña.
A.8 Seguridad de los recursos humanos
* Durante el empleo: Administración de responsabilidades, preparación, educación y entrenamiento en seguridad de la información, medidas disciplinarias.
2. Definir protocoles de transmisión de datos a través de la red. 3. Utilizar herramientas de filtrado de contenido
104
Suplantación de Identidad Minimizar
DS5.2 Plan de seguridad de TI
1. Uso de sistemas biométricos para la identificación de usuarios.
DS5.3 Administración de identidad. A.11 Control de accesos 2. Establecer políticas
de restricción de acceso a usuarios a páginas de internet o sistemas que no estén definidas en sus actividades.
DS5.4 Administración de cuentas del usuario.
*Administración de accesos de usuarios.
DS5.8 Administración de llaves criptográficas *Control de acceso a redes.
Acceso remoto a la información de
configuración de un servidor Exchange
Minimizar DS5.7 Protección de la tecnología de seguridad
A.5 Política de seguridad. 1. Configuración eficiente de Firewall.
A.10 Administración de las comunicaciones y operaciones
2. Configuración eficiente de antivirus.
* Administración de la seguridad de redes
3. Control de acceso y autenticación de usuarios al servidor.
Sniffer
Manipulación de Transferen-cia de Archivos
Minimizar
DS5.11 Intercambio de datos sensitivos A.5 Política de seguridad
1. Configuración eficiente de Firewall. 2. Uso de herramientas de filtrado de contenido. 3. Configuración de SSH. 4. Bloqueo de puertos para recepción de paquetes de red.
PO7.4 Entrenamiento del personal de TI
A.9 Áreas de seguridad: protección contra amenazas externas y del entorno.
5. Administración de control de acceso de usuarios.
A.10 Administración de las comunicaciones y operaciones
6. Instalación de herramientas Antispyware y mantenerlas actualizadas.
* Administración de la Seguridad en Redes.
7. Implementar el uso de llaves criptográficas en transacciones de información y autenticación de usuarios.
Virus
Minimizar DS13 Administración de operaciones
A.10 Administración de las comunicaciones y operaciones
1. Informar a los trabajadores de los virus existentes y la forma en que puede infectar sus equipos.
2. Mantener el antivirus Actualizado.
Ejecución remota de código
*Administración de la Seguridad en Redes
3. Programar Revisiones en todos los equipos en determinado horario.
4. Realizar respaldos de información.
Exploit 5. Denegar permisos para la instalación de SW.
105
6.4 Implementación de Controles
Si bien, una vez que se cuentan con las herramientas que ayudarán a minimizar los riesgos, se
debe de tener un plan de acción para que estos sean implantados en la organización. La siguiente
tabla muestra la propuesta que se le hace a la DGA para la implementación de los controles:
RIESGO IMPLEMENTACION
Robo de Información
• Dar a conocer de manera periódica mediante oficios,
circulares, o cualquier medio de comunicación interno, la
importancia y confidencialidad sobre el uso de sus
contraseñas.
• Elegir el protocolo de acuerdo a la infraestructura de la
organización, teniendo en cuenta la utilización del protocolo
TCP/IP.
• Se propone mantener actualizado el software para disminuir
el filtrado de contenido de acuerdo a las políticas
establecidas en la DGA.
• Se recomienda respaldar información existente y archivos
logs, en los que se registraron las actividades del equipo en
revisión.
Suplantación de Identidad
• Se recomienda que todo usuario utilice sistemas biométricos
para su identificación, lo que propiciará mayor seguridad al
ingresar a sus cuentas, tanto en los equipos, como en el uso
de su información.
• Se recomienda realizar de manera periódica la actualización
del firewall.
Acceso remoto a la información
de configuración de un servidor
Exchange
• Instalar el antivirus en el equipo, configuración y actualización
frecuente del antivirus utilizado por la dependencia.
• Revisión de archivos de sistema que se utilizan para la
conexión a internet y acceso a páginas web.
106
Sniffer
Manipulación de
Transferencia de
Archivos
• Se propone la configuración y actualización frecuente del
antivirus utilizado por la dependencia.
• Se propone que el encargado de la administración de
seguridad realice un análisis para filtrado de contenido, de
acuerdo a los perfiles de puesto.
• Se propone que el encargado de la administración de
seguridad realice la configuración adecuada del SSH.
• Se propone la instalación de herramientas Antispyware y
mantenerlas actualizadas de manera periódica
• Se proponen capacitaciones a los usuarios de la organización
sobre medidas de seguridad aplicadas a su entorno de
trabajo.
• Asignar claves de acceso y asignación de roles de usuario
de acuerdo a su perfil de puesto.
Virus
Ejecución remota de código
Exploit
• Dar a conocer de manera periódica mediante oficios,
circulares, o cualquier medio de comunicación interno, sobre
los virus existentes, el modo de ataque en equipos y la
forma de solucionarlos.
• Se propone mantener actualizado y en horarios
programados el antivirus en los equipos de la organización.
• Se recomienda establecer políticas de seguridad para
realizar el bloqueo de páginas restringidas por su contenido.
• Se recomienda anexar a sus políticas la prohibición de uso y
descarga de programas no institucionales.
107
6.5 MONITOREO A continuación, se presenta el monitoreo a los riesgos encontrados en el análisis que se realizó a
la organización:
• Realizar auditorías cada año, con el propósito de verificar los siguientes aspectos:
o Que cuente con la documentación generada
o Que cuente con los respaldos, así como sus fechas de creación y lugar donde se
guardan.
o Que cuenten con todas las cuentas existentes en el método biométrico, así como
cada ingreso de los usuarios.
o Que cuente con la documentación de todos los análisis hechos por el antivirus.
• Aplicar cuestionarios a los usuarios a cerca de las medidas de protección y
confidencialidad para el uso de contraseñas, con el objetivo de valorar la eficiencia de las
campañas de información.
• Verificar que el protocolo funcione de acuerdo a las necesidades que requiera la empresa,
si no contar con otro protocolo alterno.
• Realizar mantenimiento continuo a los sistemas biométricos utilizados, con el propósito de
evitar fallas y perdida de información.
• Realizar actualizaciones cada día o por lo menos cada dos días, en un horario establecido
que no transfiera en las actividades de los usuarios que integran la organización.
• Revisar el registro de actividades y eventos realizados por el firewall, verificando que se
haya actualizado continuamente.
• Revisar el registro de actividades y eventos realizados por el antivirus, verificando que se
haya actualizado continuamente.
• Revisar la documentación que compruebe las políticas existentes, y revisar el software
utilizado para filtrado de contenido, así como la configuración de accesos restringidos en
éste.
108
• Verificar la existencia de documentación que controle la asignación y la autorización de
perfiles para el uso de Internet.
• Revisar, periódicamente, cinco equipos al azar, para verificar que se cuenta con las
configuraciones de seguridad correctas y el software institucional estipulado.
• Contar con un listado de todos los Software permitidos en la organización, y darla a
conocer a todos los usuarios que la integran
• Solicitar documentos que comprueben la capacitación a los trabajadores, o bien, el medio
por el que le han hecho llega información sobre la seguridad.
• Revisión de documentos donde se les dé a conocer, a los enlaces informáticos y personal
encargado de soporte, la prohibición de programas no institucionales, y la revisión del
medio a través del cual lo dieron a conocer a los usuarios.
109
CONCLUSIÓN
El objetivo principal de esta tesina fue presentar las medidas de protección, detección y prevención
para las conexiones a Internet en empresas y particulares, que proporcionen un entorno confiable
para disminuir los riesgos y las posibilidades de ataque de los cuales pueden ser vulnerables en la
navegación por Internet, mediante la creación de un modelo de seguridad que ayuda a reducir las
probabilidades de amenaza a la información y recursos, así como identificar los riesgos latentes en
la conexión a la red, el cual se aplicó, a modo de prueba, en la Dirección General de
Administración, cumpliéndose los siguientes objetivos:
• Identificar y analizar la vulnerabilidad y principales amenazas en las conexiones a internet.
• Disminuir la probabilidad de posibles ataques por medio de la navegación en Internet.
• Dar a conocer las acciones más eficientes para el manejo adecuado de las
vulnerabilidades en las conexiones a Internet.
• Proponer un conjunto de acciones que ayuden a restringir, proteger y evadir los posibles
ataques o el acceso no autorizado a la información.
Sin embargo, esta investigación deja puertas abiertas para que se profundice el estudio, ya que
con base en el análisis realizado, se nota que en la mayoría de las entidades gubernamentales no
se contempla un seguimiento y actualización de las medidas de seguridad, y mucho menos el
impacto del no contar con las mismas.
110
BIBLIOGRAFÍA
• Herzog, Pete, Manual de Metodología Abierta de Testeo de Seguridad, INSTITUTE FOR
SECURITY AND OPEN METHODOLOGIES, Última versión 2003.
• Ricardo Morales, “Tendencias en Seguridad 2008”, B: Secure, Vol.45, Mensual, Diciembre
2007-Enero 2008, México, D. F.
• Aguirre Raúl,”El gobierno de seguridad en la información”, B: Secure, Vol. 51, Mensual,
Julio 2009 “, México, D. F.
• IT Governance Institute. COBIT 4.0 Impreso en los Estados Unidos de América, 2008.
• Código Penal para el D.F., Gaceta Oficial del Distrito Federal, México, 1931.
• Ley de los Derechos de las Niñas y Niños en el Distrito Federal, Asamblea legislativa del
Distrito Federal, IV Legislatura, México, 2000.
• Referencias de Internet :
“Panda Security”, http://www.pandasecurity.com/homeusers/security.com, Marzo, 2009.
“Historia de Internet”, http://www.maestrosdelweb.com/editorial/internethis/. Marzo, 2009.
“Historia de Internet”, http://www.cad.com.mx/historia_del_internet.htm, Marzo, 2009.
“¿Qué es internet?”, http://itmorelia.galeon.com/concepto.htm, Marzo, 2009.
“¿Qué es una red LAN?”, http://www.masadelante.com/faq-lan.htm, Marzo, 2009.
“LAN (Red de área local)”, http://es.kioskea.net/contents/initiation/lan.php3, Marzo, 2009.
“Redes LAN, MAN y WAN”, http://www.mailxmail.com/curso-que-son-redes/redes-lan-
man-wan, Marzo, 2009.
“¿Qué es una WAN?”, http://www.adslfaqs.com.ar/que-es-una-wan/, Marzo, 2009.
Se http://www.mailxmail.com/curso-que-son-redes/redes-lan-man-wan, Marzo, 2009.
“Redes Virtuales VLAs”, http://www.textoscientificos.com/redes/redes-virtuales, Abril,
2009
“VLAN- Redes virtuales”, http://es.kioskea.net/contents/internet/vlan.php3, Abril, 2009.
“Redes LAN, MAN y WAN”, http://www.eveliux.com/mx/redes-lan-can-man-y-wan.php,
Abril, 2009.
“Comunicación del conocimiento en el mundo de los negocios” ,
http://www.monografias.com /trabajos14/mundo-negocios/mundo-negocios.shtml, Abril,
2009.
“Protocolos de Internet”, http://www.zator.com/Internet/A3_7.htm, Abril, 2009.
“Protocolo de Internet”, http://es.wikipedia.org/wiki/Protocolo_de_Internet, Abril, 2009.
“Protocolo TCP”, http://es.kioskea.net/contents/internet/tcp.php3 , Abril, 2009.
“Protocolo Http”, http://www.mitecnologico.com/Main/ProtocoloHttp, Abril, 2009.
111
“Protocolo FTP (Protocolo de transferencia de archivos)”, , Abril,
2009.http://es.kioskea.net/contents/internet/ftp.php3, Abril, 2009.
“EL PROTOCOLO IP”, http://www.monografias.com/trabajos7/protoip/protoip.shtml, Abril,
2009.
“Protocolo IP”, http://redesdecomputadores.umh.es/red/ip/default.html, Abril, 2009.
“Barómetro de consumo 2005”,
http://barometro.fundacioneroski.es/web/es/2005/capitulo8/pag6.php, Mayo, 2009.
“Porcentaje de servicios de internet más utilizados”, http://www.blogadsl.com/2008/04/15-
porcentaje-de-servicios-de-internet-mas-utilizados, Mayo, 2009.
“Resumen de la Industria de Nombres de Dominios en
Internet”,http://www.verisign.com/static/ 044272.pdf, Mayo, 2009.
“Dominios de Internet Mundiales”, http://www.mediosmedios.com.ar/Dominios%20Internet
%20Mundiales.htm, Mayo, 2009.
“Servicios de Internet”,http://www.cbtis51.edu.mx/sitios/lopezj/pw/hemos/INTERNET.html,
Mayo, 2009.
“Concepto De Seguridad”, http://www.mitecnologico.com/Main/ConceptoDeSeguridad,
Mayo, 2009.
“Provocan Ataques Informáticos Perdidas a Empresas”, http://www.e-
mexico.gob.mx/wb2/eMex/eMex_e500_not111_provocan_ataq, Mayo, 2009.
“Estudio sobre el fraude por internet”,
http://www.rompecadenas.com.ar/articulos/1182.php, Mayo, 2009.
“National and State Trends in Fraud & Identity Theft”,
http://www.ftc.gov/sentinel/reports/sentinel-annual-reports/sentinel-cy2004.pdf, Mayo,
2009.
“Consumer Fraud and Identity Theft Complaint Data”,
http://www.ftc.gov/sentinel/reports/sentinel-annual-reports/sentinel-cy2005.pdf, Mayo,
2009.
“Consumer Fraud and Identity Theft Complaint Data”,
http://www.ftc.gov/sentinel/reports/sentinel-annual-reports/sentinel-cy2006.pdf, Mayo,
2009.
“OnlineGameJurisdiction”,http://online.casinocity.com/jurisdictions/index.cfm?sorttab=n/a&
sortlist= sites&filterlist=&numperpage=25&searchall=1, Junio, 2009.
“Identity Theft”,http://www.mcafee.com/us/local_content/white_papers/wp_id_theft_en.pdf,
Junio, 2009.
“Gramm-Leach-Bliley Act”, http://www.ftc.gov/privacy/glbact/glbsub1.htm, Junio, 2009.
“HIPPA”, http://www.hipaadvisory.com, Junio, 2009.
112
“Chat Room”, http://www.pergaminovirtual.com.ar/definicion/Chat_Room.html, Junio,
2009.
“Leyes Federales Vigentes”, http://www.cddhcu.gob.mx/LeyesBiblio/, Junio, 2009.
“Código Penal para el D.F.”, http://documentos.arq.com.mx/Detalles/55854.html, Junio,
2009.
“Ley de los Derechos de las Niñas y Niños en el Distrito Federal”,
http://info4.juridicas.unam.mx/ adprojus/leg/10/335/13.htm?s=, Junio, 2009.
“Estándares de seguridad en la información”,
http://www.enterate.unam.mx/Articulos/2005/febrero/ seguridad.htm, Junio, 2009
“Seguridad de la información(ProgramaAIS)”,
http://www.visaeurope.es/visaparacomercios/ais/main.jsp, Julio, 2009.
“Presidencia de la República”, http://www.presidencia.gob.mx, Julio, 2009.
“Firewalls”, http://www.textoscientificos.com/redes/firewalls-distribuidos/firewalls, Julio,
2009.
“Antivirus”, http://www.descargar-antivirus-gratis.com/antivirus.php, Julio, 2009.
“Definición de Antivirus”, http://www.alegsa.com.ar/Dic/antivirus.php, Julio, 2009.
‘Virus y Antivirus: concepto, historia y más…”, http://www.nachox.com/2007/07/07/virus-y-
antivirus-concepto-historia-y-mas%E2%80%A6/, Julio, 2009
“Encriptación de Datos”, http://encripdedatos.blogspot.com/, Julio, 2009
“Cyber-crime, Warning, Alert, Termination”,
http://www.auditoria.com.mx/prod/cwat/cwat.htm, Agosto, 2009.
“Certificado Electrónico,”
http://portal.uned.es/portal/page?_pageid=93,558666&_dad=portal&_ schema=PORTAL,
Agosto, 2009.
“Certificado y Firma Electrónicos”, http://www.madrid.org/cs/Satellite?pagename=
Administracion
Electronica%2FPage%2FSAEL_contenidoFinal&language=es&cid=1142320118100,
Agosto, 2009.
“Certificados Electrónicos de SGS”,
http://www.mx.sgs.com/es_mx/sgs_ecertificates?serviceId= 10106633&lobId=25897
“Noticias Economía”, http://www.advantage-security.com/es/noticias/economia.html,
Agosto, 2009.
“Distribuidor de certificados de seguridad”,
http://www.abansys.com/certificados_seguridad_ssl-pq.htlm. Agosto, 2009.
“Definición de Nodo”, http://www.definicionabc.com/tecnologia/nodo.php, Agosto, 2009.
“Redes WAN, LAN y Wireless”, http://compusys.net.mx/redeswan.htm, Agosto, 2009.
“Definición de Host”, http://www.masadelante.com/faqs/host, Agosto, 2009.
113
“Redes FDDI (ANSI X3T9.5 / ISO 9384)”,
http://www.csae.map.es/csi/silice/Redman10.html, Agosto, 2009.
“Qué es el Infrarrojo”, http://www.spitzer.caltech.edu/espanol/edu/learn_ir/, Agosto, 2009.
“Definición de estándares”,
http://dgplades.salud.gob.mx/2006/htdocs/hg/Nuevas/hmc6.pdf, Agosto, 2009.
“Tecnologías de información y comunicación”, http://es.wikipedia.org/wiki/
Tecnolog%C3%ADas _de_la_informaci%C3%B3n, Agosto, 2009.
“Definición de Internet”, http://www.definiciones.com.mx/definicion/I/internet/, Agosto,
2009.
“Definiciones y Términos Informáticos”,
http://www.consultoriainformatica.net/definiciones_l.htm, Agosto, 2009.
114
GLOSARIO TIC (Tecnologías de la Información y la Comunicación).- Conjunto de técnicas, desarrollos y
dispositivos avanzados, que integran funcionalidades de almacenamiento, procesamiento y
transmisión de datos.
ARPANET (Advanced Research Projects Agency Network).- Red de la Agencia de Proyectos
Avanzados de Investigación, desarrollada en 1969 por parte del Departamento de Defensa de los
Estados Unidos, en la experimentación de una amplia red que funcionara aún cuando una parte
de la red quedara fuera de servicio. Desapareció en 1990 propiciando la aparición de la tecnología
de conmutación de paquetes y del protocolo TCP/IP. Dio origen a la Internet.
HOST.- Es un ordenador que funciona como el punto de inicio y final de las transferencias de
datos. Más comúnmente descrito como el lugar donde reside un sitio Web. Un Host de Internet
tiene una dirección de Internet única (dirección IP) y un nombre de dominio único o nombre de
host.
RED LAN (Local Area Network).- Red de datos de alta velocidad, con baja tasa de errores de
transmisión, cubriendo un área geográfica relativamente pequeña y formada por servidores,
estaciones de trabajo, un sistema operativo de red y un vínculo de comunicaciones.
WWW (World Wide Web).- Medio de comunicación de texto, gráficos y otros objetos multimedia a
través de Internet, es decir, la web es un sistema de hipertexto que utiliza Internet como su
mecanismo de transporte, o desde otro punto de vista, una forma gráfica de explorar Internet.
Router.- Dispositivo de hardware para interconexión de red de ordenadores, que opera en la capa
tres (nivel de red). Diseñado para segmentar la red, permite el control del software sobre los
paquetes. Es responsable de crear y mantener tablas de ruteo, para capa de protocolo de red, el
ruteador extrae de la capa la dirección destino y realiza una decisión de envío dependiendo de la
especificación del protocolo en la tabla de ruteo. También, con la inteligencia del ruteador, puede
escoger la mejor ruta, tomando en cuenta diversos factores más que por la dirección de destino.
Estos factores pueden incluir la cuenta de saltos, velocidad de la línea, costo de transmisión,
retardo y condiciones de tráfico.
Metric.- Estándar de medición que es utilizado por los algoritmos de ruteo para determinar el
camino óptimo para un destino.
115
DQDB (Distributed-Queue Dual-Bus).- Bus Doble de Cola Distribuida, red multi-acceso con las
siguientes características:
1. Se apoya en las comunicaciones integradas utilizando un bus dual y organizándolo todo
mediante una cola distribuida.
2. Proporciona el acceso a las redes de área local (LAN) o área metropolitana (MAN).
3. Se apoya en las transferencias de datos con estado sin conexión, en las transferencias de
datos orientadas a conexión y en comunicaciones isócronas, tales como la comunicación
por voz.
IEEE (Instituto De Ingenieros Eléctricos Y Electrónicos).- Formado en julio de 2003 por
377.000 miembros en 150 países. Cuenta con 900 estándares activos y 700 en desarrollo. Estándar IEEE.- El estándar IEEE 802.11 o Wi-Fi, define el uso de los dos niveles inferiores de la
arquitectura OSI (capas física y de enlace de datos), especificando sus normas de funcionamiento
en una WLAN. Los protocolos de la rama 802.x definen la tecnología de redes de área local y
redes de área metropolitana.
Seguridad Lógica.- Se refiere a la seguridad en el uso de software y los sistemas, la protección
de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios
a la información. La “seguridad lógica” involucra todas aquellas medidas establecidas por la
administración � usuarios y administradores de recursos de tecnología de información � para
para minimizar los riesgos de seguridad asociados con sus operaciones cotidianas llevadas a cabo
utilizando la tecnología de información. Nodo.- Es un punto o espacio en diversas disciplinas en donde confluyen varios puntos en
interrelación. Se le llama nodo, en la ciencia y otras disciplinas, al punto real o abstracto en donde
se reúnen las distintas partes de una conexión para comunicarse entre sí.
Paquete FDDI (Fiber Distributed Data Interface).- Conjunto de especificaciones compatibles con
el modelo OSI, del cual cubren los niveles 1 y 2 parcialmente, para permitir el establecimiento de
comunicaciones en red a velocidades de transmisión en el rango de los 100 Mbits/s.
El estándar FDDI se está convirtiendo actualmente en el sistema más extendido para entornos
privados que requieren conectividad entre múltiples edificios y para la interconexión de estaciones
de trabajo y grandes ordenadores. FDDI se comporta de manera óptima en aquellos entornos en
que son esenciales la gestión de red y la recuperación de fallos.
116
SMTP (Protocolo Simple de Transferencia de Correo).-Protocolo estándar que permite la
transferencia de correo de un servidor a otro mediante una conexión punto a punto. Éste, es un
protocolo que funciona en línea, encapsulado en una trama TCP/IP. El correo se envía
directamente al servidor de correo del destinatario. El protocolo SMTP funciona con comandos de
textos enviados al servidor SMTP (al puerto 25 de manera predeterminada). A cada comando
enviado por el cliente (validado por la cadena de caracteres ASCII CR/LF, que equivale a presionar
la tecla Enter) le sigue una respuesta del servidor SMTP compuesta por un número y un mensaje
descriptivo.
Fibra Óptica.- Es un medio de transmisión empleado habitualmente en redes de datos; un hilo
muy fino de material transparente, vidrio o materiales plásticos, por el que se envían pulsos de luz
que representan los datos a transmitir. El haz de luz queda completamente confinado y se propaga
por el núcleo de la fibra con un ángulo de reflexión por encima del ángulo límite de reflexión total,
en función de la ley de Snell. La fuente de luz puede ser láser o un LED.
Las fibras se utilizan ampliamente en telecomunicaciones, ya que permiten enviar gran cantidad de
datos a una gran distancia, con velocidades similares a las de radio y/o cable. Son el medio de
transmisión por excelencia al ser inmune a las interferencias electromagnéticas, también se utilizan
para redes locales, en donde se necesite una alta confiabilidad y fiabilidad.
Infrarrojo.- Es un tipo de luz que no podemos ver con nuestros ojos. Nuestros ojos pueden
solamente ver lo que llamamos luz visible. La luz infrarroja nos brinda información especial que no
podemos obtener de la luz visible. Nos muestra cuánto calor tiene alguna cosa y nos da
información sobre la temperatura de un objeto.
Microondas.- Son ondas electromagnéticas con una longitud de onda entre 1 metro y un
milímetro. Una onda electromagnética es una perturbación del campo eléctrico y magnético que se
propaga en cierta dirección a lo largo del tiempo.
HTML (HyperText Markup Language).- Es el lenguaje predominante para la construcción de
páginas web. Es usado para describir la estructura y el contenido en forma de texto, así como para
complementar el texto con objetos tales como imágenes. HTML se escribe en forma de "etiquetas",
rodeadas por corchetes angulares (<,>). HTML también puede describir, hasta un cierto punto, la
apariencia de un documento, y puede incluir un script (por ejemplo Javascript), el cual puede
afectar el comportamiento de navegadores web y otros procesadores de HTML.
117
Script.- Archivo de órdenes o archivo de procesamiento por lotes es un programa usualmente
simple, que generalmente se almacena en un archivo de texto plano. Los script son casi siempre
interpretados, pero no todo programa interpretado es considerado un script. El uso habitual de los
scripts es realizar diversas tareas como combinar componentes, interactuar con el sistema
operativo o con el usuario. Por este uso es frecuente que los shells sean a la vez intérpretes de
este tipo de programas.
Norma.- Es una regla u ordenación del comportamiento humano dictado por la autoridad
competente del caso, con un criterio de valor y cuyo incumplimiento trae aparejado una sanción.
Generalmente, impone deberes y confiere derechos.
Estándar.- Puede ser conceptualizado como la definición clara de un modelo, criterio, regla de
medida o de los requisitos mínimos aceptables para la operación de procesos específicos.
ISO (International Standard Organization).- Fundada en 1947, reúne asociaciones de muchos
países y su objetivo es establecer los estándares internacionales, incluidos para la comunicación
de datos. Esta organización ha definido los protocolos de comunicación conocidos como ISO/OSI,
utilizados por las redes públicas de conmutación de paquetes (X25).
ARP (Address Resolution Protocol).- Protocolo que se utiliza para averiguar la dirección del
enlace correspondiente a la dirección IP.
Certificado Digital.- Certificación electrónica que emiten las Autoridades Certificadoras donde se
constan datos de verificación de firma a un signatario y confirma su identidad. Entre los datos
figuran la fecha de emisión y la fecha de caducidad, la clave pública y la firma digital del emisor.
Los Certificados Digitales siguen las estipulaciones del estándar X.509. Este documento sirve para
vincular una clave pública a una entidad o persona.
Malware.- Programa o parte de un programa que tiene un efecto malicioso en la seguridad de los
sistemas. Este término engloba muchas definiciones como virus, gusanos, troyanos, spyware,
etc.
SPAM.- Correo electrónico no solicitado y enviado repetidamente. Es una forma de ataque a un
usuario o servidor, basada en la saturación del servidor de correo y de las conexiones a Internet.
SSH (Secure Shell).- Intérprete de órdenes seguro, es el nombre de un protocolo y del programa
que lo implementa, y sirve para acceder a máquinas remotas a través de una red. Permite manejar
118
por completo la computadora mediante un intérprete de comandos, y también puede redirigir el
tráfico de X para poder ejecutar programas gráficos si tenemos un Servidor X (en sistemas Unix y
Windows) corriendo.