La importancia de la seguridad informática en las empresas:

1. Introducción:

Estamos viviendo en una era en donde la información se ha vuelto esencial en cualquier ámbito de nuestra vida; Tanto así que se dice que vivimos en la era del conocimiento, inclusive la información se ha vuelto tan importante que es necesario protegerla; las empresas no son excluidas de dicho principio, tan solo imaginemos lo que pasaría si un banco pierde la base de datos de sus clientes o un supermercado pierde su información de inventario, o si una compañía de administración de ahorros perdiera la información de sus clientes; en todos los casos el resultado seria desastroso, por ende surge la necesidad de la existencia de protocolos o herramientas que eviten llegar a dichos casos, en ese instante es cuando surge la importancia de la seguridad informática; ya que esta nos garantiza que los recursos informáticos de una compañía estén disponibles para cumplir sus propósitos, es decir, que no estén dañados o alterados por circunstancias o factores externos, en este sentido, es la información el elemento principal a proteger, resguardar y recuperar dentro de redes empresariales, por la existencia de personas ajenas a la información, también conocidas como piratas informáticos o hackers, que buscan tener acceso a la red empresarial para modificar, sustraer o borrar datos. Esta situación se presenta gracias a los esquemas ineficientes de seguridad con los que cuentan la mayoría de las compañías a nivel mundial, y porque no existe conocimiento relacionado con la planeación de un esquema de seguridad eficiente que proteja los recursos informáticos de las actuales amenazas combinadas. El resultado es la violación de los sistemas lo que puede representar un daño con valor de miles o millones de dólares.

Ahora bien la finalidad de este texto es la de establecer la importancia de la seguridad informática dentro de las empresas y ayudar a las empresas con ideas practicas de cómo evitar la pérdida o modificación de los datos sensibles de la organización con los protocolos que se deberán seguir para establecer un sistema de seguridad informático adecuado a la importancia que se desea proteger.

1

2. Marco teórico

“Cada día más las empresas en particular las organizaciones en general depende en mayor medida de la información, de sus tecnologías y de sus comunicaciones. La información es como uno de los activos más importantes de las organizaciones, y especialmente para algunas compañías que operan en determinados sectores de actividad en donde este es su principal y a veces único recurso. Piense el lector en las entidades financieras, las compañías de seguros, los medios de comunicación, las administraciones públicas, y muchas empresas del sector servicios.”Heredero, C. (2004). Informática y comunicaciones en la empresa. ESIC editorial, p. 15.

“Las amenazas que pasan sobre la empresa son de naturaleza múltiple y en constante evolución.El dominio por la seguridad informática es muy amplio. Podríamos definirla como: “La Protección contra todos los daños sufridos o causados por la herramienta informática y originados por el acto voluntario y de mala fe de un individuo”.Proteger el sistema informático de una empresa consiste en poner frenos contra cada una de las amenazas potenciales. Dado que ninguna protección es infalible, es necesario multiplicar las barreras sucesivas. Así, un pirata que consiguiera pasar la primera protección se vería bloqueado por otra” Royer, J. (2004). Seguridad en la informática de empresa: riesgos, amenazas, prevención y soluciones. Ediciones ENI, p.9.

2.1. Piratas informáticos o hackers:

“El significado de la palabra hacker varía según quien lo define. Los medios masivos, las agencias de seguridad y los mismos hackers tienen sus propias definiciones. El diccionario Merrian-Webster lo define: “Persona que accede ilegalmente o sin autorización a información almacenada en un sistema computacional"; Eric Raymond, compilador de The New Hacker´s Dictionary, enriquece la definición de hacker con algunos datos adicionales:Es alguien que irrumpe en el sistema computacional de otra persona, a menudo en una red; descifra contraseñas personales y usa sin licencia programas de computadoras, o quebranta intencionalmente de alguna u otra manera la seguridad de una computadora; puede hacerlo por lucro, maliciosamente, por alguna causa o propósito altruista, o simplemente porque allí encuentra un desafío"El término hacking es usado rutinariamente hoy en día por casi todas los policías con algún interés profesional en el abuso y el fraude informático", explica Bruce Sterling. Y añade:La policía estadounidense describe casi cualquier crimen cometido con, por, a través, o contra una computadora, como hacking; hacker es la expresión que los asaltantes informáticos eligen para describirse a ellos mismos. Nadie que asalte un sistema de buena gana se describe a él mismo -raramente a ella misma- como un asaltante informático, intruso informático, cracker o, wormer.

2

Los hackers se diferencian en su grado de odio a la autoridad y la violencia de su retórica. Pero en el fondo “son unos burladores de la ley. No respetan las actuales leyes del comportamiento electrónico como esfuerzos respetables para preservar la ley y el orden y proteger la salud pública. Consideran esas leyes como las tentativas inmorales de desalmadas sociedades anónimas, para proteger sus márgenes de beneficio y aplastar disidentes.Los hackers, en su grandilocuencia, se perciben a sí mismos como una elite de exploradores de un nuevo mundo electrónico. Los intentos para hacer que obedezcan las leyes democráticamente establecidas de la sociedad americana contemporánea, son vistas como persecución y represión. Después de todo, argumentan, si Alexander Graham Bell hubiera seguido con las reglas de la compañía de telégrafos Western Union, no habría habido teléfonos. Si Benjamin Franklin y Thomas Jefferson hubieran intentado trabajar dentro del sistema no hubiera habido Estados Unidos.”Masana, S. (2002). El ciberterrorismo: ¿una amenaza real para la paz mundial? .Tesis de maestría en relaciones internacionales, Facultad Latinoamericana de Ciencias Sociales (P.14).

2.1.1. Clasificación de los piratas informáticos o hackers:

“Erik Ginorio, analista de seguridad de Cisco System's Corporate Information Security Group, hace una clasificación de hackers que es muy utilizada hoy en día por el periodismo especializado y por las empresas23. En su opinión, hay tres clases de hackers.

2.1.1.1. White Hat hackers (hackers de sombrero blanco):

Son personas que no persiguen intereses delictivos, sino que por el contrario, creen que su misión (a veces remunerada y a veces no) es encontrar brechas en la seguridad de las computadoras y luego avisar a las partes involucradas para que puedan protegerse. En otras palabras, son hackers "buenos", que colaboran con las empresas.

2.1.1.2. Black Hat hackers (hackers de sombrero negro):

Son los que reciben la mayor atención por parte de los medios. Se trata de individuos proclives a realizar una serie de tareas que van desde ingresar ilegalmente a distintos sitios y colocar información falsa o textos e imágenes obscenos, hasta robar números de tarjetas de crédito con la intención de cometer fraudes.Ginorio cree que la gente más joven dentro de este grupo está básicamente interesada en el defacement, expresión que no tiene equivalente en español y que se refiere al acto de ingresar a un sitio web y modificar su contenido. "Después de todo, nada le da más prestigio a un hacker de 13 años que llenar a un sitio muy conocido con graffittis electrónicos", opina Ginorio. Ese tipo de personas son, en su opinión, el mayor subgrupo dentro de los Black Hat y el mayor grupo de hackers en general: "Cerca del 90% de las acciones de hacking son hechas para llamar la atención o difamar a alguien. En su mayor parte, esos actos no causan prácticamente ningún daño y son reversibles".

3

2.1.1.3. Grey Hat hackers (hackers de sombrero gris):

Son aquellos que en el pasado realizaron actividades de hacking, pero que actualmente trabajan para empresas en el área de seguridad. Este tipo de hackers suelen ser contratados por las empresas, "siempre y cuando no hayan hecho anteriormente nada destructivo o claramente delictivo", dice Ginorio.Por supuesto que la línea divisoria entre esos tres tipos de hackers es bastante delgada y existen quienes la suelen cruzar para un lado o para el otro, pese a lo cual esa clasificación resulta bastante útil, especialmente para las agencias gubernamentales que investigan el accionar de los hackers y para las empresas que contratan gente para sus departamentos de seguridad informática.”Masana, S. (2002). El ciberterrorismo: ¿una amenaza real para la paz mundial? .Tesis de maestría en relaciones internacionales, Facultad Latinoamericana de Ciencias Sociales (P. 18-19).

2.1.2 . Técnicas de recolección de información utilizadas por los piratas informáticos o hackers:

2.1.2.1. Información gathering:

“Se denomina information gathering a la instancia previa al intento de ejecutar una intrusión informática a un sistema por parte de alguien no autorizado. También es empleada (generalmente en organizaciones) por los profesionales éticos en caso de asestar una comprobación de seguridad. Information gathering implica llevar a cabo la tarea previa y minuciosa de inteligencia (similar a un reconocimiento del terreno), más precisamente a la recolección de datos acerca del objetivo o de algún componente relacionado a este o a parte de él. Esta fase se compone, fundamentalmente, de investigación y análisis de da tos recabados.El sistema de in formación cuenta con incontables piezas y, por lo tanto, el factor permeable (brecha o agujero de seguridad) inicial de éste podría encontrarse en cualquiera de los ni ve les, comprendidos entre una falla humana, una de infraestructura (técnica), lógica y hasta externa por los agentes involucrados (por ejemplo, un proveedor de Internet o hosting inseguro o una sucursal con su red desprotegida) o distintos ambientes interconectados, o distintos ambientes interconectados.Los datos que buscan los intrusos antes de atacar pueden estar relacionados con algún empleado, ya sea ejecutivo u operario, con algún sistema o tramo de él o con algún procedimiento u operación que nos permita intervenir en él. También puede ser una dirección IP, un sitio, una red, una aplicación, un servicio (puerto abierto de autentificación o no), un protocolo, un determinado descuido de programación o de administración, un directorio, un documento, una plataforma o bien cualquier dato de ubicación física o denominación de algún sector de la misma organización.Por supuesto, si puede directamente conseguir logins, lo intentará.No interesa si el dato es muy importante o casi insignificante. Todo es útil a la hora de la escalada en el sistema y la previa planificación de este embate

4

(chequeo o simulación de ataque). Algunas de las preguntas útiles antes de proceder serían:• ¿Qué sabemos de nuestro objetivo?• ¿Dónde están sus redes, sitios o por dónde fluye su in formación?• ¿Qué partes lo conforman?

2.1.2.2. Consultas a bases de datos:

La recolección de da tos previos al ataque generalmente comienza en algún tipo de base de datos y otros recursos que se dispongan. Cuando son hechas por un intruso, estas recolecciones a veces no son legales. Una recolección de información ligada a bases de datos por parte de los intrusos es aquella que resulta intrusiva. Veamos cómo pueden lograr esto: el intruso programa o utiliza un Mass rooter (mezcla de escáner con exploit remoto que permite meterse dentro de los servidores o ex traer da tos secuencialmente a muy alta velocidad), barriendo los rangos de direcciones IP. Estos datos son acumulados (coleccionados) para utilizar en un futuro o bien aprovechándola intrusión. Sea de paso, también pueden instalar algunas de las siguientes cosas:

• Back Doors on-the-Fly: Los back doors son puertas traseras para volver a ingresar cuando así lo deseen, sin despertar sospechas ya que no dejan un puerto abierto o algo remotamente detectable como para saber que existe. • Binarios troyanizados: El intruso con conocimientos suficientes suele reemplazar a mano algunos archivos binarios de sistema (por ejemplo ps, lsof o ls en Linux) para ocultar procesos o archivos dentro del sistema operativo. • Root kits: Éste es un kit o una serie de aplicaciones que se utiliza para mantener los privilegios de root dentro del servidor, que no se instala en forma tan artesanal y sir ve para mantener procesos ocultos y, tal vez, una puerta de entrada.• Sniffers: Se trata de capturadores de logins o de cualquier clase de paquete.Los archivos más recolectados por esta técnica intrusiva son los shadows de los servidores Linux y Solaris, los SAM de los servidores Windows de la familia Server o terminales XP (ambos poseen las cuentas de sistema y sus passwords de modo cifrado). También se pueden comprometer directamente mediante descuidos de administración y no por fallas en software.

2.1.2.3. Rooteado:

Significa que el intruso ha escalado privilegios (mayores permisos en el servidor) en un sistema Linux/Unix hasta llegar a ser un usuario con permisos de root (cuenta de máximo privilegio). Esto le da la posibilidad de rea li zar cuanto desee dentro del sistema, siempre y cuan do sepa cómo.Para poder obtener estos privilegios el intruso tratará de obtener la información de alguien que es té dentro de esa organización u empresa, ya sea por amistad, conveniencia, intercambio o engaño.

5

2.1.2.4. Bases Online:

En algunas bases de datos públicas, se puede encontrar in formación acerca de alguien con sólo tener el número de documento, que se consigue fácilmente en el padrón nacional.

2.1.2.5. Script kiddie:

Un script-kiddie no sólo barre (escanea buscando o ejecuta exploits al azar) los rangos de direcciones IP. Éstos, ex traerán información de carpetas compartidas o intranet s/extranets sin restricción de acceso o con fallas de inyección de código SQL, muy fáciles de detectar y de utilizar para comprometer servidores de empresas u otras organizaciones.

2.1.2.6. Buscadores:

Los buscadores son una increíble fuente de clasificación, análisis, búsqueda y caché de información, confidencial o no, sobre un objetivo. Google hacking, es un famoso buscador para encontrar datos relevantes del objetivo.

2.1.2.7. Otros recursos online:

Hay otras bases de datos públicas y herramientas que brindarán datos en tiempo real en Internet. Entre estos últimos, los sitios más conocidos en el pasado fueron www.samspade.org y www.netcraft.com, que permitían saber el sistema operativo de los servidores, sus rangos de direcciones, qué sistema tenía históricamente, su up time, IP, los nombres de administradores, teléfonos y direcciones físicas, entre otras cosas.

2.1.2.8. Cabeceras de correos electrónicos:

Luego de encontrar un puñado de casillas de correo de la organización mediante Google o bien examinando detenidamente la página web institucional, el intruso tratará de ubicar en la red a la organización mediante algo de análisis o interacción. Interacción en caso de que no encuentre el código de algún correo electrónico de ella, ya que de hacerlo, sólo tendría que analizarlo y comenzar a escanearlos puertos y los hosts de sus redes luego de resolver sus direcciones IP.Podrá también comparar los con la dirección IP del sitio web de la empresa para corroborar que están tercerizando el alojamiento web (hosting) de su página web y ver si ésta no está alojado en su propia red.También obrará de modo lógico para obtener otros datos valiosos o aprovechables.La información que puede dar a un intruso un simple correo electrónico es muy variada e importante.

6

2.1.2.9. Telneteo:

Esto es la búsqueda a mano, de banners y otra información. Telnetear es un modismo que significa utilizar un cliente telnet (aplicación para ejecutar comandos telnet) a través de una línea de comandos (ya sea un prompt, MS-DOS o una shell Linux o Unix), para conectarse a servicios (puertos) de un sistema remoto y así obtener información de éste o a través de éste.

2.1.2.10. Datos en archivos binarios y otros:

Los sitios de las organizaciones suelen tener en sus web archivos (en formato pdf, doc, xls o exe) que contienen diversa información, como presentaciones, trabajos de las más diversas índoles, o aplicaciones. El análisis de estos archivos puede brindarnos algunas pistas sobre la organización o par te de ella”. Tori, C. (2008). Hacking ético. Rosario editorial, p. 46-76.

2.1.3. Técnicas frecuentes para irrumpir en un sistema informático utilizadas por hackers o piratas informáticos:

2.1.3.1. Fuerza bruta:

“Fuerza bruta es una técnica que proviene originalmente de la criptografía, en especial del criptanálisis (el arte de romper códigos cifrados o descifrar textos). Es una manera de resolver problemas mediante un algoritmo simple de programación, que se encarga de generar y de ir probando las diferentes posibilidades hasta dar con el resultado esperado o de mejor conveniencia. En este caso se orientara el uso de estos algoritmos hacia el proceso de romper el cifrado de archivos que contienen passwords de sistemas operativos o cuentas de usuario de otras aplicaciones. Como profesionales éticos, podemos utilizar esta técnica y sus herramientas para verificar la vulnerabilidad de lo que debemos proteger y solucionarla.

2.1.3.1.1. Empleos y orientación de la fuerza bruta:

En seguridad informática, a veces es necesario llevar a cabo fuerza bruta para evitar el trabajo de probar a mano o generar combinaciones, algo que nos llevaría mucho tiempo de trabajo. Por ejemplo en estos siete casos:

• Si necesitamos descubrir determinado usuario o password de un servicio de autentificación como FTP, SSH o POP3 de manera remota a través de una red.• Obtener el password de archivos del paquete Office u otras aplicaciones del tipo compresores (.rar, .zip, .mdb, .xls, .doc) de modo local.• En el caso de formularios web de autentificación que solicitan que ingresemos usuario y clave (validación online, .htaccess, intranets con logins).• Para romper los cifrados típicos de los archivos shadow en Linux, Solaris y Unix, o los archivos hasheados SAM de la familia Windows.

7

• Para descifrar strings de datos cifrados, como las claves almacenadas en md5 de los foros, o passwords como los que están presentes en routers Cisco.• Para calcular sesiones ID válidas de URLs en páginas de comercio electrónico u otro tipo de sitio web.• Para aplicar fuerza bruta a una aplicación que cuenta con una interfaz gráfica (como aquellas que fueron desarrolladas en Visual Basic, Powercobol, VisualFox o Delphi, entre otros lenguajes). Esto puede ser hecho tanto de manera local, con autentificación de usuario, o remotamente, utilizando un cliente para ese servicio (como Viewer de VNC por ejemplo) y haciendo que éste automatice su intento por lograr un login válido en el servidor.” Tori, C. (2008). Hacking ético. Rosario editorial, p. 107-109.

2.1.3.1.2. Factores que inciden en el tiempo de un ataque de fuerza bruta:

“Al utilizar aplicaciones de terceros o scripts programados por uno que intenta descifrar o acertar passwords, existe una serie de factores que pueden llevar a que éstos tarden demasiado tiempo o muy poco en lograr el objetivo.El tiempo es muy valioso en la seguridad informática, y una desconsideración que tenga incidencia en éste puede hacer que un atacante real, en lugar de tardar tiempo excesivo en acertar un password mediante fuerza bruta o deducción analítica, lo haga en un puñado de horas o en apenas minutos.A continuación se analizan las diez principales variables que inciden en el tiempo de lograr un resultado satisfactorio o el más conveniente.

1. La clave por descifrar es fuerte o lo es su cifrado:

Debido a la complejidad que dará el número de caracteres y la combinación o entropía (término de la física que significa desorden) de éstos, ya sean letras, números, mayúsculas, caracteres especiales y distintos símbolos. Una clave como ésta complica demasiado la técnica de brute force. Antes de gastar días, meses o años, es posible que se tarde menos en blanquear ese password, sniffearlo, lograr un usuario de un mismo nivel de privilegio en el sistema o hacer llegar ese login (reestablecido) hacia una casilla de email.

2. Charset elegido:

El charset es un juego de caracteres (character set) que puedeser 0123456789, abcdefghijkl...z o mayúsculas; existe también el charset de 123 El momento en el que los servidores más reciben Brute Force de modo remoto es el fin de semana. ¿Por qué? Por un lado, el intruso del tipo script kiddie está libre porque no tiene clases y, por otro lado, el intruso experimentado sabe que el administrador, en la mayoría de las empresas chicas y medianas, vuelve recién el lunes por la mañana; caracteres especiales. El charset ligado al trabajo de brute force puede ser uno de estos rangos, la combinación de ellos, su totalidad o sólo algunos caracteres se leccionados. Si se ataca un password cifrado de sólo números con un charset de muchos caracteres, la combinación de éstos será muchísimo más elevada que si se elige sólo el charset de números. Otro motivo por el que debemos conocer el sistema es que, por ejemplo, si la aplicación aclara en su sitio introduzca su clave de 4 dígitos,

8

¿para qué darle brute force a su password cifrado (en caso de que lo hayamos obtenido) o servicio con un charset completo? Con sólo intentar el charset de números, en pocos segundos lo descifrará.

3. Utilización de diccionarios de palabras:

El empleo de éstos contra archivos de cuentas cifradas a través de un diccionario de palabras predefinidas da muy buenos resultados, especialmente si el diccionario está confeccionado de manera inteligente. Veamos las clases de palabras que debería tener, con ejemplos de passwords entre paréntesis.• Todas las palabras del diccionario español e inglés.• Números del cero hasta N.• Passwords por defecto (admin).• Passwords comúnmente utilizados (qwerty, 123456).• Nombres (romina) y diminutivos (rominita).• Oficios y trabajos (arquitecta, ingeniera, gerente, operadores).• Fechas en formato ddmmaaaa o ddmmaa (desde el año 1900 a hoy, por cumpleaños y aniversarios).• Passwords extraídos de otras bases de datos.

4. Técnica de brute force en modo híbrido:

Es similar a la utilización del diccionario, pero combinando cada palabra con algunos caracteres al final o delante de cada una de esas palabras allí contenidas. Por ejemplo, en el diccionario está la palabra marciano, entonces el script o programa intentará: marciano6, marciano7, marciano8, etcétera. Los caracteres que pone al final de cada palabra estarán definidos por nosotros en su configuración, cantidad y tipo de charset. También se pueden unir dos palabras de un mismo diccionario, como por ejemplo, marcianoamarillo, marcianoverde, marcianolila, marcianoblanco, etcétera.

5. Brute force según patrón, passwords generados a mano según objetivo:

Esta técnica, combinada con los datos extraídos mediante information gathering e ingeniería social, suelen dar frutos rápido. Se basa pura y exclusivamente en delinear una serie de palabras o de passwords sobre la base del conocimiento previo que tenemos de la organización u objetivo. A los tipos de passwords nombrados para agregar en los diccionarios, tendríamos que adicionarles las siguientes:• Número de DNI (00000000).• Equipo de deporte favorito (riverplate, boca, pumas, leonas).• Bandas de música favoritas (sodastereo, divididos, miranda).• Títulos de libros favoritos (zaratustra, yoclaudio, elalquimista).• Letras de libros o segmentos (invisiblealosojos).• Títulos de canciones (blackbird, michelle, teparatres).• Letras de canciones o segmentos.• Nombres propios, de parientes o seres queridos.• Nombre de mascotas (tobby, atila, chunchuna, mora, negrita).• Nombres de barrios.

9

• Número de asociado a alguna entidad.• Números de la suerte.• Nombre del ISP, organización, institución o universidad, del objetivo.• Cosas relacionadas con sus estudios, hobby o trabajo.• Ídolos favoritos musicales, reales, ficticios o históricos (lennon, messi, pokemon, napoleon).• Todo aquel otro gusto o preferencia que se le conozca a la persona, como marcas de ropa, de auto, de perfume, etcétera.• Todos los anteriores seguidos de números en modo híbrido.• Passwords históricos de éste o los que utilice en otro lugar.

6. Intentar probar usuarios y passwords, ambos por azar y de manera remota a servicios de autentificación:

Esto es una total pérdida de tiempo y es el método que más engorda logs de servidores (archivos de registros que contienen los intentos fallidos contra el servidor) cuando no se tiene noción de la técnica BF y se trata de aplicar a servicios online. Las combinaciones de esta clase son infinitas e inútiles.Hay dos casos, pero ya no son de user y pass al azar, que es cuando disponemos de un objetivo en determinado rango que, posiblemente, contenga usuarios y passwords por defecto de fábrica o bien si nos disponemos a comprobar en una base de datos cuáles combinaciones son aún válidas en determinado servidor, de modo que se probaría en este formato:• user1: supasswordhistorico• user2: supasswordhistorico• user3: supasswordhistoricoEs decir, cada usuario con su respectivo password que en algún momento fue válido o aún lo es. La forma lógica de utilizar brute force de manera remota es conociendo al usuario de sistema (viendo de antemano el archivo /etc/passwd a través de un error de programación de la página o a través de Google como usuario de correo, al dejar su e-mail escrito por allí, por dar dos ejemplos simples).

7. Ancho de banda:

Existe una gran diferencia entre hacer brute force sobre unshell que posee la velocidad de un caño de varios megas de transferencia por segundo. Por eso, un intruso (malicious people como las cataloga Secunia en su Weekly Summary) suele hacerlo desde una shell o servidor muy potente que cuenta con gran velocidad para la transmisión de datos.

8. El microprocesador en la técnica de fuerza bruta:

La importancia del micro es fundamental por su potencia debido a la cantidad de cálculos por segundo que éste será capaz de realizar. Una tabla muy interesante sobre este tipo de procesamiento existe en la página de MDCrack. Por ejemplo, una máquina con Windows XP Pro y micro 2x XEON 3.2GHz (DC + HT) realiza 42.299.451 comprobaciones por segundo para descifrar un hash md5, contra las 5.080.455 que hace una máquina con Windows XP y un micro Athlon 1.53 Ghz.

10

9. La herramienta utilizada en sí:

Su algoritmo y funcionamiento (no comparar LC5 con Ophcrack, por dar un ejemplo), el manejo de sockets, los tiempos de respuesta, entre otras tantas cosas. La programación por parte del pentester, en el caso de escribir un script y utilizarlo localmente. Es muy posible que, para sacarse una duda lo haya escrito rápido, sin elegancia o el mejor pulido código de programación.

10. La falta de entendimiento o de comprensión por parte del ejecutor:

Para emplear esta técnica hay que saber dónde, cómo, con qué y durante cuánto tiempo hacerlo. Hay que tener en cuenta las probabilidades, los factores, conocer características del objetivo y tener algunos conocimientos técnicos previos y la diferencia entre tipos de hashes, cifrados y archivos. “Tori, C. (2008). Hacking ético. Rosario editorial, p. 123-128.

2.1.3.1.3. Herramientas para llevar acabo un ataque de fuerza bruta:

1. Pipper:

Herramienta creada por Alberto Moro (Mandingo), muy útil para realizar brute force sobre variables, cookies y credenciales o buscar CGIs, SQL injection y XSS, entre otros se puede obtener de www.yoire.com/downloads.php?tag=pipper.

2. Hydra para linux:

Hydra se puede descargar de freeworld.thc.org/releases.php y, para ver ejemplos de utilización, hay que leer el archivote nombre: README

3. Brutus (win32) para Windows:

Se puede obtener del sitio de Brutus es www.hoobie.net/brutus/, y los archivos de definición se encuentran en www.hoobie.net/brutus/brutus-application-definition-files.html.Para aprender a utilizarlo, podemos buscar la frase Manual Brutus en Google

4. MDCrack: Se descarga de http://membres.lycos.fr/mdcrack/ y podemos conocer detalles sobre su uso leyendo el FAQ dentro del archivo. Los algoritmos que puede descifrar esta herramienta son los siguientes:Rsa MD2 MD4 MD5, Rfc 2104 HMAC-MD4 HMAC-MD5, FreeBSD MD5, Apache MD5, Microsoft NTLM1, Cisco PIX Enable/User, Cisco IOS, Invision Power Board 2.x, IEEE CRC32 CRC32-B, Mark Adler ADLER32, Generic MD4MD4: MD4(MD4(pass)), Generic MD4MD4S: MD4(MD4(pass).salt), Generic PHP: MD5(hex(MD5(pass))), Generic PHPS: MD5 (hex(MD5(pass)).salt)

11

5. Texto-plano:

www.plain-text.info es un sitio en donde se descifran passwords mediante un mecanismo distribuido, empleando rainbow tables. El visitante puede adosar un hash y luego ver su resultado. Comprende los cifrados lm, md5, ntlm y doble md5.Tori, C. (2008). Hacking ético. Rosario editorial, p. 125-128.

2.1.3.2. Inyección de código SQL:

“En la actualidad, un gran número de sitios y aplicaciones web interactúan con bases de datos ya que, a través de éstos, se maneja información de diferentes niveles de criticidad, que deben ser almacenados, consultados o modificados, es decir, gestionados de algún modo. Esta información sensible o no, es accedida a través de sentencias SQL, embebidas desde el mismo código fuente de la página o scripts incluidos.

La interacción ocurre más o menos de este modo:

• El usuario introduce datos en un formulario o hace clic en un link del tipohttp://sitioweb/producto.asp?id=25.

• El sitio web podría estar programado en .asp o .php (entre otros lenguajes) y a su vez contendrá, en su código fuente, strings SQL (sentencias).

• Éstas, junto con los datos suministrados por el visitante, irán directamente a la base de datos para lograr un resultado a partir de lo que ideó e interpretó el programador o analista: consulta, almacenamiento, modificación, borrado, ejecución, etcétera.

• El resultado puede mostrarse al usuario o no, o bien puede dar un error de sistema.

El programador web medio, o quien fuera el desarrollador de ese script, en principio busca funcionalidad en la aplicación, es decir, que obtenga simplemente el resultado esperado o la acción. Luego intentará obtener un mejor diseño visual, que luzca bien ante los ojos del usuario. Recién por último se preocupará por la seguridad y cómo aplicarla de modo correcto. Es allí cuando nace el descuido, ya que generalmente implementa sólo algunas comprobaciones en los campos (algo muy normal que enseñan en los cursos de programación).

Estos campos suelen estar bajo determinadas reglas de filtrado desde la misma página: caracteres especiales, mínimos y máximos en cantidad de letras o números. Estas reglas pueden ser eludidas fácilmente mediante la manipulación de los datos en tránsito (a través de un proxy camino al servidor).La primera ley del desarrollador web en cuanto seguridad es jamás confiar en que todos los usuarios o visitantes introducirán los datos correctos o esperados dentro de un formulario online; la segunda regla es no creer que todos los

12

visitantes vayan a respetar la sintaxis de la URL de consulta sin modificar la al realizar el query (petición http)”.Tori, C. (2008). Hacking ético. Rosario editorial, p.164-166.

2.1.3.2.1. Metodología de las Inyección de código SQL:

“Básicamente, luego del carácter no filtrado (“o”; paréntesis en algunos casos sin contar las técnicas de evasión), es algo más que escribir puro código SQL. En principio, hay que encontrar un campo o punto vulnerable a la inyección. Ya sea un formulario de acceso user/pass, uno de búsqueda, de recuperación de password, de comprobación de cualquier dato, de contacto, link con variables, links ocultos al público ligados a la DB, scripts y archivos de testeo, CGIs por defecto, aplicaciones del tipo foro y otras de terceros públicas y licenciadas, ya sea vía método GET o POST.

Después, haciendo una previa de database gathering o tratando de mapear cuáles son las databases del servidor, los nombres, sus tablas, sus registros, sus usuarios y sus privilegios. Generalmente, se utiliza HAVING y GROUP BY para las primeras. Sobre la base de esos datos, se trata de ir armando nuestras consultas inyectadas, puliéndolas, viendo qué sentencias se pueden utilizar, si hay espacios demás, cómo interactuarlas”.Tori, C. (2008). Hacking ético. Rosario editorial, p.171-172.

2.1.3.2.2. ¿Qué se puede hacer con inyecciones de código SQL?

“El impacto es en el ámbito de la información y del sistema operativo, salvo en las ocasiones en las que el programador haya tomado algunos recaudos o los niveles de privilegios que no nos permitan ejecutar algo. Pero si todo está por defecto y no hay reglas de filtrado, las posibilidades son innumerables. Hay que tener un poco de perseverancia (si generamos el error, probar de todo) y agudeza”.Tori, C. (2008). Hacking ético. Rosario editorial, p.173.

2.1.3.2.3. Algunos ejemplos de inyecciones de código SQL:

Errores al inyectar código SQL en campos de datos:

* Inyectado: ‘and 1=convert(int,@@version)--Error: Microsoft OLE DB Provider for ODBC Drivers error '800a0e07'[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting thenvarchar value 'Microsoft SQL Server 2000 - 8.00.2187 (Intel X86) Mar 7 200611:36:51 Copyright (c) 1988-2003 Microsoft Corporation Standard Edition onWindows NT 5.2 (Build 3790: Service Pack 1) ' to a column of data type int.Resultado: obtenemos la versión del servidor.

* Inyectado: ' and 1=convert(int,@@servername)--Error: Microsoft OLE DB Provider for ODBC Drivers error '800a0e07'[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting thenvarchar value 'GCIASISTEMAS' to a column of data type int.Resultado: Obtenemos el nombre del servidor.

13

* Inyectado: ' and 1=convert(int,db_name(1))--Error: Microsoft OLE DB Provider for ODBC Drivers error '800a0e07'[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting thenvarchar value 'master' to a column of data type int.Resultado: Nombre de la primera database.

* Inyectado: ' and 1=convert(int,user_name(3))--Error: Microsoft OLE DB Provider for ODBC Drivers error '800a0e07'[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting thenvarchar value 'webmaster' to a column of data type int.Resultado: Nombre del tercer usuario (podemos variar el número para confeccionar una lista de todos).

* Inyectado: ' and 1=convert(int,system_user)--Error: Microsoft OLE DB Provider for ODBC Drivers error '800a0e07'[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting thenvarchar value 'sa' to a column of data type int.Resultado: Nombre del usuario bajo el cual se ejecuta la aplicación de Database.

2.2. Seguridad en las empresas:

“Análisis del Riesgo Cuando usted crea una política de seguridad de red, es importante que comprensa que la razón para crear una política es, en primer lugar, asegurar que los esfuerzos dedicados a la seguridad impliquen un costo razonable. Esto significa que usted debe conocer cuales recursos cale la pena proteger, y cuales son más importantes que otros. También debe identificar la fuente de amenazas de la que usted está protegiendo a los recursos de la red. A pesar de toda la publicidad acerca de los intrusos que irrumpen en una red, muchos estudios indican que, en el caso de la mayoría de las organizaciones, las verdaderas pérdidas causadas por los usuarios internos son mucho mayores.El análisis de riesgo implica determinar lo siguiente:3. ¿Qué necesita proteger?4. ¿De qué necesita protegerlo?5. ¿Cómo protegerlo?”

Álvarez, L. (2005). Seguridad en informática. Tesis de maestría, Universidad Iberoamericana (P. 10).

2.2.1. Seguridad por niveles:

“La mejor manera para proteger la información de una empresa es aplicar protección a cada uno de los niveles en un sistema de información a continuación se muestran estos niveles:

14

2.2.1.1. Nivel 1 (Físico):

Recibe las tramas de nivel 2, las convierte en señales eléctricas u ópticas y las envía por el canal de comunicaciones.Define aspectos mecánicos, eléctricos u ópticos y procedimentales.

Funciones y servicios:- Activar/desactivar la conexión física.- Transmitir las unidades de datos.- Gestión de la capa física.- Identificación de puntos extremos (Punto a punto y multipunto).- Secuenciamiento de bit (Entregar los bits en el mismo orden que los recibe).- Control de fallos físicos del canal.

2.2.1.2. Nivel 2 (Enlace):

Establece la conexión con el nodo inmediatamente adyacente.Proporciona los medios para asegurar la confiabilidad a la ristra de bits que recibió. Básicamente efectúa el control de flujo de la información.

Funciones o servicios:

- División de la conexión del enlace de datos (Divide un enlace de datos en varias conexiones físicas).- Control de flujo (Regula la velocidad a la cual la capa de enlace trabaja dinámicamente).- Proporciona parámetros de Calidad de Servicio (QoS), por ejemplo: Tiempo medio entre fallas, BER (Bit Error Rate), disponibilidad de servicio, retarde en el tránsito, etc.- Detección de errores (CRC {Control de Redundancia Cíclica} – Checksum).- Corrección de errores (ARQ {Allowed to ReQuest}, FEC {Forward Error Control}), sin eximir a capas superiores de hacerlo.- La IEEE lo subdivide en dos capas MAC (Medium Access Control) y LLC (Logical Link Control), si bien esto no es contemplado por OSI.

2.2.1.3. Nivel 3 (Red):

La tarea fundamental de este nivel es la de enrutado y conmutación de paquetes. Es por esta razón que su trabajo acorde al tipo de conexión es muy variable. En una red de conmutación de paquetes puede ser implementado en detalle, en cambio al conmutar circuitos prácticamente no tiene sentido.

Funciones y servicios son:

- Encaminamiento y retransmisión (Define las rutas a seguir).- Conmutación de paquetes.- Multiplexación de conexiones de red.- Establecimiento de circuitos virtuales.- Direccionamiento de red.

15

2.2.1.4. Nivel 4 (Transporte):

Su tarea fundamental es la conexión de extremo a extremo (end to end).Permite al usuario elegir entre distintas calidades de servicio.Optimiza la relación costo beneficio.Se definen cinco clases que van desde la cero (sin recuperación y eliminando paquetes dañados) hasta la cuatro (Detección y corrección de errores extendida).

Funciones y servicios:

- Correspondencia entre direcciones de transporte y de red.- Supervisión de red.- Facturación de extremo a extremo.

2.2.1.5. Nivel 5 (Sesión):

Permite el diálogo entre usuarios, entre dos ETD, se establece, usa, cierra una conexión llamada sesión.

Funciones y servicios:

- Establecimiento del diálogo Half Dúplex o Full Dúplex.- Reseteado de sesión a un punto preestablecido.-Establecimiento de puntos de control en el flujo de datos para comprobaciones intermedias y recuperación durante la transferencia de archivos.- Abortos y rearranques.

2.2.1.6. Nivel 6 (Presentación):

Asigna una sintaxis a los datos (Cómo se unen las palabras).

Funciones y servicios:

- Aceptación de datos de nivel siete (Enteros, caracteres, etc.), negociando la sintaxis elegida (Ej.: ASCII, EBCDIC,etc.).- Transformación de datos para fines especiales (Ej.: Compresión).- Codificación de caracteres gráficos y funciones de control gráfico.- Selección del tipo de terminal.- Formatos de presentación.- Cifrado.

2.2.1.7. Nivel 7 (Aplicación):

Sirve de ventana a los procesos de aplicación. Tiene en cuenta la semántica (significado) de los datos.

Funciones y servicios:

- Servicios de directorio (Transferencia de archivos).

16

- Manejo de correo electrónico.- Terminal virtual”.Estrada, A. (2011). Seguridad por niveles. DarFE editorial, P. 25-31.

2.2.2. La seguridad en el sistema de cómputo de una empresa:

“Es importante tener una política de seguridad de red bien concebida y efectiva que pueda proteger la inversión y los recursos de información de la compañía. Vale la pena implementar una política de seguridad si los recursos y la información que la organización tiene en sus redes merecen protegerse. La mayoría de las organizaciones tienen en sus redes información delicada y secretos importantes; esto debe protegerse del acceso indebido del mismo modo que otros bienes valiosos como la propiedad corporativa y los edificios de oficinas.

También debe tomar en cuenta que la política de seguridad que Usted debe usar es tal, que no disminuirla la capacidad de su organización. Una política de red que impide que los usuarios cumplan efectivamente con sus tareas, puede traer consecuencias indeseables: los usuarios de la red quizá encuentren la forma de eludir la política de seguridad, lo cual la vuelve inefectiva.

Una política de seguridad en redes efectiva es algo que todos los usuarios y administradores de redes pueden aceptar y están dispuestos a aplicar.

2.2.2.1. Política de seguridad del sitio:

Una organización puede tener muchos sitios, y cada uno contar con sus propias redes. Sí la organización es grande, es muy probable que los sitios tengan diferente administración de red, con metas y objetivos diferentes. Si esos sitios no están conectados a través de una red interna, cada uno de ellos puede tener sus propias políticas de seguridad de red. Sin embargo, si los sitios están conectados mediante una red interna, la política de red debe abarcar todos los objetivos de los sitios interconectados.

La política de seguridad del sitio debe tomar en cuenta la protección de los recursos. Debido a que el sitio está conectado a otras redes, la política de seguridad del sitio debe considerar las necesidades y requerimientos de seguridad de todas las redes interconectadas.

2.2.2.2. Planteamiento de la política de seguridad:

Definir una política de seguridad de red significa elaborar procedimientos y planes que salvaguarden los recursos de la red contra perdida y daño. Uno de los enfoques posibles para elaborar dicha política es examinar lo siguiente:¿Qué recursos esta usted tratando de proteger?¿De quiénes necesita proteger los recursos?¿Qué tan posibles son las amenazas?¿Qué tan importante es el recurso?¿Qué medidas puede implementar para proteger sus bienes de forma económica y oportuna?

17

Examine periódicamente su política de seguridad de red para ver si han cambiado los objetivos y las circunstancias de la red.Un aspecto importante de la política de seguridad de red es asegurar que todos conozcan su propia responsabilidad para mantener la seguridad. Es difícil que una política de seguridad se anticipe a todas las amenazas posibles. Sin embargo, las políticas s pueden asegurar que para cada tipo de problema haya alguien que lo pueda manejar de manera responsable.

2.2.2.3. Análisis de riesgo:

Cuando usted crea una política de seguridad de red, es importante que comprenda que la razón para crear una política es, en primer lugar, asegurar que los esfuerzos dedicados a la seguridad impliquen un costo razonable. Esto significa que usted debe conocer cuales recursos vale la pena proteger, y cuales son más importantes que otros. También debe identificar la fuente de amenazas de la que usted esta protegiendo a los recursos de la red. A pesar de toda la publicidad acerca de los intrusos que irrumpen en una red, muchos estudios indican que, en el caso de la mayoría de las organizaciones, las verdaderas pérdidas causadas por los usuarios internos son mucho mayores.El análisis de riesgo implica determinar lo siguiente:¿Que necesita proteger?¿De que necesita protegerlo?¿Cómo protegerlo?Los riesgos deben clasificarse por nivel de importancia y gravedad de la perdida. No debe terminar en una situación en la que gaste más en proteger algo que es de menor valor para usted. En el análisis de riesgo hay que determinar los siguientes dos factores:1. Estimación del riesgo de perder el recurso (Ri)2. Estimación de la importancia del recurso (Wi)

Puede asignarse un valor numérico como paso para cuantificar el riesgo de perder un recurso. La evaluación de la amenaza y los riesgos no debe ser una actividad de una sola vez; debe realizarse con regularidad, como se defina en la política de seguridad del sitio.

2.2.2.4. Identificación de las amenazas:

Una vez que se han identificado los recursos que requieren protección, usted debe identificar las amenazas a las que están expuestos. Pueden examinarse las amenazas para determinar que posibilidad de perdida existe. También debe identificar de qué amenazas esta usted tratando de proteger a sus recursos. 2.2.2.5. Definición del acceso no autorizado:

El acceso a los recursos de la red debe estar permitido a los usuarios autorizados. Esto sé llama acceso autorizado. Una amenaza común que afecta a muchos sitios es el acceso no autorizado a las instalaciones de cómputo. Este acceso puede tomar muchas formas, como el uso de la cuenta de otro usuario para tener acceso a la red y sus recursos. En general, se considera que el uso de cualquier recurso de la red sin permiso previo es un acceso no

18

autorizado. La gravedad del acceso no autorizado depende del sitio y de la naturaleza de la perdida potencial. En algunos sitios, el solo hecho de conceder acceso a un usuario no autorizado puede causar daños irreparables por la cobertura negativa de los medios.Algunos sitios, debido a su tamaño y visibilidad, pueden ser objetivos más frecuentes que otros. El Equipo de Respuesta de Emergencias de Computo (CERT) ha hecho la observación de que, en general, las universidades de prestigio, los sitios del gobierno y las zonas militares parecen atraer más intrusos. En la sección “Equipo de respuesta de seguridad”, puede encontrarse mayor información acerca de CERT, así como sobre otras organizaciones similares.

2.2.2.6. Uso y responsabilidades de la red:

Existen numerosas cuestiones que deben abordarse al elaborar una política de seguridad:1. ¿Quién esta autorizado para usar los recursos?2. ¿Cuál es el uso adecuado de los recursos?3. ¿Quién esta autorizado para conceder acceso y aprobar el uso?4. ¿Quién puede tener privilegios de administración del sistema?5. ¿Cuáles son los derechos y las responsabilidades del usuario?6. ¿Cuáles son los derechos y las responsabilidades del administrador del sistema, en comparación con los de los usuarios?7. ¿Qué hace usted con la información delicada?

2.2.2.7. Identificación de quien esta autorizado para usar los recursos de la red:

Debe hacerse una lista de los usuarios que necesitan acceso a los recursos de la red. No es necesario enlistar a cada usuario. La mayoría de estos pueden dividirse en grupos como usuarios de contabilidad, abogados corporativos, ingenieros, etcétera. También debe tomar en cuenta una clase llamada usuarios externos esta se compone de los usuarios que tengan acceso a su red desde otras partes, como estaciones de trabajo autónomas y otras redes; pueden no ser empleados, o bien, pueden ser empleados que tengan acceso a la red desde sus hogares o durante un viaje.

2.2.2.8. Identificación del uso adecuado de los recursos:

Una vez determinados los usuarios autorizados a tener acceso a los recursos de la red, usted debe establecer los lineamientos del uso aceptable de dichos recursos. Los lineamientos dependen de la clase de usuarios, como desarrolladores de software, estudiantes, profesores, usuarios ex-ternos, etcétera. Debe tener lineamientos aparte para cada clase. La política debe establecer que tipo de uso es aceptable y cual es inaceptable, así como que tipo de uso esta restringido. La política que usted elabore será la Política deUso Aceptable (AUP) de esa red. Si el acceso a un re-curso de la red esta restringido, debe considerar el nivel de acceso que tendrá cada clase de usuario.

19

Evaluar los puntos débiles de la seguridad y tomar las medidas adecuadas puede ser eficaz para repeler ataques de hackers. Algunas organizaciones recurren a asesores externos para que evalúen la seguridad de sus servicios. Como parte de esta evaluación, ellos tendrán el derecho de realizar “vandalismo”. La política debe tener margen para estas situaciones.

2.2.2.9. Determinación de las responsabilidades del usuario:

La política de seguridad de la red debe definir los derechos y las responsabilidades de los usuarios que utilizan los recursos y servicios de la red. La siguiente es una lista de los aspectos que usted puede abordar respecto de las responsabilidades de los usuarios:1. Lineamientos acerca del uso de los recursos de red, tales como que los usuarios estén restringidos.2. Que constituye un abuso en términos de usar recursos de red y afectar el desempeño del sistema y de la red.3. Esta permitido que los usuarios compartan cuentas o permitan a otros usar la suya.4. Pueden los usuarios revelar su contraseña en forma temporal, para permitir que otros que trabajen en un proyecto tengan acceso a sus cuentas.5. Política de contraseña de usuario: con que frecuencia deben cambiar de contraseña los usuarios y que otras restricciones o requerimientos hay al respecto.6. Los usuarios son responsables de hacer respaldos de sus datos o es esto responsabilidad del administrador del sistema.7. Consecuencias para los usuarios que divulguen información que pueda estar patentada. Que acciones legales u otros castigos pueden implantarse.8. Una declaración sobre la privacidad del correo electrónico (Ley de Privacidad en las Comunicaciones Electrónicas)9. Una política respecto a correo o publicaciones controversiales en las listas de correo o grupos de discusión.10. Una política sobre comunicaciones electrónicas, tales como falsificación de correo.La Asociación de Correo Electrónico (EMA, Electrónica Mail Asociación) recomienda que todo sitio deba tener una política acerca de la protección de la privacidad de los empleados.Las organizaciones deben establecer políticas que no se limiten a correo electrónico, sino que también abarque otros medios, como discos, cintas y documentos impresos. La EMA sugiere cinco criterios para evaluar cualquier política:1. ¿La política cumple con la ley y con las obligaciones hacia otras empresas?2. La política compromete innecesariamente los intereses del empleado, del patrón o de otras empresas.3. ¿La política es funcional, práctica y de posible cumplimiento?4. La política aborda apropiadamente todas las formas de comunicación y mantenimiento de archivo en la oficina.5. ¿La política fue anunciada por anticipado y aceptada por todos los interesados?

20

2.2.2.10. Que hacer con la información delicada: Usted debe determinar que tipo de datos delicados pueden almacenarse en un sistema específico. Desde el punto de vista de la seguridad, la información en extremo delicada, como nóminas y planes, debe estar restringida a unos cuantos hosts y administradores de sistemas.Para concederle a un usuario acceso a un servicio de un host, usted debe considerar que otros servicios e información se proporcionan y a los cuales el usuario podrá tener acceso.Si el usuario no tiene necesidad de manejar información delicada, no debe tener una cuenta en un sistema que contenga dicho material.También debe considerar si existe una seguridad adecuada en el sistema para proteger la información delicada. En general, usted no desear que los usuarios guarden información muy delicada en un sistema que usted no planee asegurar bien. Por otra parte, asegurar un sistema puede implicar hardware, software y costos adicionales de administración, por lo cual puede no ser rentable asegurar datos en un host que no sea muy importante para la organización o los usuarios.La política también debe tomar en cuenta el hecho de que usted necesita decirles a los usuarios que podrán guardar información delicada que servicios son apropiados para el almacenamiento de dichos datos.

2.2.2.11. Plan de acción cuando se viole la política de seguridad:

Cada vez que se viola la política de seguridad, el sistema esta sujeto a amenazas. Si no se producen cambios en la seguridad de la red cuando esta sea violada, entonces debe modificarse la política de seguridad para eliminar aquellos elementos que no sean seguros.La política de seguridad y su implementación deben ser lo menos obstructivas posible. Si la política de seguridad es demasiado restrictiva, o esta explicada inadecuadamente, es muy probable que sea violada o desactivada.Al margen del tipo de política que se implemente, algunos usuarios tienen la tendencia a violarla. En ocasiones las violaciones a la política son evidentes; otras veces estas infracciones no son detectadas. Los procedimientos de seguridad que usted establezca deben reducir al mínimo la posibilidad de que no se detecte una infracción de seguridad.Cuando usted detecte una violación a la política de seguridad, debe determinar si esta ocurrió debido a la negligencia de un individuo, a un accidente o error, por ignorancia de la política vigente o si deliberadamente la política fue pasada por alto. En este último caso, la violación quizás haya sido efectuada no solo por una persona, sino por un grupo que a sabiendas realiza un acto en violación directa de la política de seguridad. En cada una de estas circunstancias, la política de seguridad debe contar con lineamientos acerca de las medidas que se deben tomar.Debe llevarse a cabo una investigación para determinar las circunstancias en torno a la violación de seguridad, y cómo y por que ocurrió. La política de seguridad debe contener lineamientos acerca de las acciones correctivas para las fallas de seguridad. Es razonable esperar que el tipo y severidad de la acción dependan de la gravedad de la violación.

21

2.2.2.12. Respuesta a las violaciones de la política de seguridad:

Cuando ocurre una violación, la respuesta puede depender del tipo de usuario responsable del acto. Las violaciones a la política pueden ser cometidas por gran variedad de usuarios; algunos pueden ser locales y otros externos. Los usuarios locales son llamados usuarios internos y los externos, usuarios foráneos. Por lo general, la distinción entre ambos tipos está basada en los límites de red, administrativos, legales o políticos. El tipo de límite determina cual debe ser la respuesta a la violación de la seguridad. Los ejemplos de respuestas pueden ir desde una reprimenda o advertencia verbal, una carta formal o la presentación de cargos judiciales.Usted necesita definir la acción según el tipo de violación. Estas acciones requieren ser definidas con claridad, con base en el tipo de usuario que haya violado la política de seguridad de cómputo. Los usuarios internos y externos de su red deben estar conscientes de la política de seguridad.

Si se ha producido una pérdida significativa, quizá usted tendrá que tomar acciones más drásticas. Si todo esto implica una publicidad negativa, quizás usted prefiera arreglar la falla de seguridad y no emprender acción judicial.

2.2.2.13. Identificación y prevención de problemas de seguridad:

La política de seguridad define lo que necesita protegerse, pero no señala explícitamente como deben protegerse los recursos y el enfoque general para manejar los problemas de seguridad. En una sección separada de la política de seguridad deben abordarse los procedimientos generales que deben implementarse para evitar problemas de seguridad.La política de seguridad debe remitirse a la guía del administrador de sistemas del sitio respecto a detalles adicionales acerca de la implementación de los procedimientos de seguridad.Antes de establecer los procedimientos de seguridad, debe evaluar el nivel de importancia de los recursos de la red y su grado de riesgo.En muchas ocasiones es tentador empezar a implementar procedimientos como el siguiente, sin haber definido la política de seguridad de la red: “Nuestro sitio necesita ofrecer a los usuarios acceso telnet a los hosts internos y externos, evitar acceso NFS a los hosts internos, pero negarlo a los usuarios externos, tener tarjetas inteligentes para registrarse desde afuera, tener módems de contestación de Llamada...”Si no se conocen adecuadamente los recursos más importantes y los que están expuestos a mayores riesgos, el enfoque anterior hará que ciertas áreas tengan más protección de la que necesitan, y que otras áreas más importantes no tengan suficiente protección.

Además de realizar el análisis de riesgo de los recursos de la red, usted debe identificar otros puntos vulnerables. La siguiente lista es un intento de describir algunas de las tareas más problemáticas. Esta lista lo puede orientar en la dirección correcta, pero de ningún modo esta completa, ya que es probable que su sitio tenga algunos puntos vulnerables particulares.

Puntos de acceso

22

Sistemas configurados inadecuadamenteProblemas de softwareAmenazas internasSeguridad física”Álvarez, L. (2005). Seguridad en informática. Tesis de maestría, Universidad Iberoamericana (P. 7- 43).

2.2.3. Algunos tics para mejorar la seguridad informática en las empresas:

“El profesional puede mitigar problemas redactando, por ejemplo, una política interna que dicte a sus emplea dos: no utilizar passwords relacionados con uno mismo ni utilizar esas claves en otros ambientes personales. Otra forma sería asignar un determinado password, eliminando así la posibilidad de libre y mala elección del empleado.”Tori, C. (2008). Hacking ético. Rosario editorial, p. 51.

“En el chequeo de seguridad o bien en la emulación del ataque, es vital reconocer la importancia que tiene el generar errores y descubrir cosas ocultas en el objetivo. Muchas de éstas pueden lograrse a través del puerto 80, que es el servidor web donde se aloja comúnmente el sitio de la organización o un sitio que está en ese mismo servidor, en el que se encuentra parte de la información que buscamos.Mediante una petición http (usando el explorador Explorer o una línea de comandos, por ejemplo), se puede encontrar información muy importante del objetivo y llevar acabo algunos ataques o chequeos muy interesantes.”Tori, C. (2008). Hacking ético. Rosario editorial, p. 74.

“Nunca conviene postear (publicar) direcciones de e-mail, menos la de nuestra empresa. Conviene usar una de Hot mail o Gmail. Además, no es recomendable usar nombres rea les, cargos o detalles, si no sólo nicknames aleatorios. Si posteamos desde nuestra empresa, recordemos usar un proxy http para no dejar la dirección IP real allí.”Tori, C. (2008). Hacking ético. Rosario editorial, p. 54.

3. Planteamiento del problema:

¿Cuáles son las principales medidas de seguridad que la empresa debe de tener en cuenta para evitar la piratearía informática?

4. Planteamiento de los objetivos:

Definir el significado e importancia de la seguridad informática. Establecer los agentes internos y externos que influyen en la seguridad

informática de una empresa. Definir el concepto de hacker o pirata informática. Establecer cuales son los tipos de ataques informáticos utilizados

comúnmente por los hackers o piratas informáticos.

23

Definir el patrón de comportamiento, de un hacker o pirata informático cuando se dispone a realizar un ataque informático, así como las fases de su ataque.

Establecer pautas o estrategias que las empresas puedan implementar en su sistema de seguridad, para reducir el riesgo o evitar ser victimas de ataques informáticos.

5. Hipótesis:

En este protocolo de investigación se presentaran datos relacionados a la seguridad informática en las empresas, que nos ayudaran a estar a favor o en contra de la siguiente hipótesis:

La seguridad informática es realmente importante en las empresas, ya que esta ayuda a proteger su información, ya sea de posibles pérdidas de datos o inclusive de personas ajenas a dicha información que quieran hacer mal uso de ella.

6. Justificación de la investigación:

Se a optado por este protocolo de investigación debido a la problemática existente en las empresas de proteger su información de agentes ajenos a ella, ya que la perdida de dicha información puede ser desastroso tanto para la empresa (ya que esto puede causar perdidas financieras); como para sus clientes (ya que pueden llegar a invadir la privacidad del cliente).

6.1 Beneficios:

Los beneficios van dirigidos alas empresas principalmente pero también pueden ser adoptados por otro tipo de instituciones.

Beneficios:

1. Define el comportamiento de los agentes ajenos ala información desde como recolectan información antes de llevar un ataque informático hasta cuales son los principales métodos que utilizan para llevarlos acabo, esto puede ayudar ala empresa a anticipar dichos ataques o estar mejor preparados para afrontar dichos ataques.

2. El protocolo de investigación proporcionara estrategias de seguridad que pueden ser implementadas por las empresas para mejor su seguridad informática.

3. El protocolo de investigación hace saber alas empresas de herramientas o software de licencia libre que pueden ayudar a detectar la existencia de ineficiencias en la seguridad de su sistema de información

24

4. El protocolo de investigación estable políticas de seguridad que pueden ser implementadas por las empresas, así como las medidas que se deben tomar si la organización es victima de un ataque informático.

6.2. Impacto del protocolo:

6.2.1. Impacto social:

El protocolo de investigación tiene un impacto importante en cuanto ala sociedad ya que la perdida de información en empresas puede inclusive afectar ala privacidad de las personas ya que en muchos casos las empresas tienen información personal de sus clientes que pudieran ser usadas con fines mal intencionados

6.2.2. Impacto tecnológico:

Este protocolo de investigación tiene un fuerte impacto en cuanto a la tecnología debido a que el protocolo se desenvuelve en este campo ya que abarca temas relacionados en cuanto a como utilizar la tecnología con fines de seguridad y prevención de la información

6.2.3. Impacto ambiental:

En cuanto al impacto de este protocolo de investigación no se ha tomado en cuenta su impacto en el ambiente ya que se cree es irrelevante

7. Presupuesto:

Gastos Septiembre Octubre Noviembre Total

Impresión y Engargolado

0 0De $30 a

$60$50.00

$50.00 pesos

25

8. Cronograma:

Cronograma de trabajo TiempoActividades

1 2 3 4 5 6 7 8 9

Asesoría metodológica

X X

Propuesta XObservaciones XProyecto XObservaciones XBúsqueda de información

X X X

Análisis e interpretación

X

Redacción X

Temas del protocolo de investigación

Septiembre Octubre Noviembre

Semana Semana Semana

Tema x x x x x X FECHA DE

ENTREGA

EXPOSICIONES

Índice x

Introducción x

Marco teórico y conceptual

x x X

Planteamiento del problema

x

Planteamiento de los objetivos

x

Hipótesis X

Justificación de la investigación

X

Esquema de trabajo

x x

Cronograma x x

Presupuesto x

Bibliografía x x x x x X x x x

26

9. Conclusiones:

Conforme a los datos presentados en el marco teórico, se ha llegado a la conclusión que efectivamente la hipótesis plantada es correcta ya que la seguridad informática es indispensable en las empresas que contienen un sistema informático ya que esta se encargara de la protección de la información que ahí se maneje. Jorge Eduardo, Computador Científico de la Universidad de Buenos Aires: habla de la importancia de la seguridad informática “La seguridad informática Garantiza que los recursos informáticos de una compañía estén disponibles para cumplir sus propósitos, es decir, que no estén dañados o alterados por circunstancias o factores externos”. Como vemos efectivamente la seguridad informática es realmente importante para proteger nuestra información.

Debido a la recolección de información se ha llegado a las siguientes conclusiones:

La información es una herramienta de trabajo muy importante en las empresas hoy en día, por ende se le debe de dar la importancia adecuada a su protección; y la protección que se le asigne ala información debe de ir en proporcionalidad a su importancia.

Existen muchos agentes externos o internos que atentan contra la información de las empresas y por lo general las empresas no están preparadas para protegerse de las diferentes formas en la que estos agentes atentan contra su información.

Es importante que las empresas entiendan la importancia de proteger su información y dediquen el tiempo para analizar las posibles vulnerabilidades en su sistema de información.

Establecer y analizar la seguridad informática en cada uno de los niveles es la mejor manera de evitar o reducir los ataques de piratas informáticos o hackers

Establecer una política de seguridad de red ayudara a reducir al máximo los descuidos de los usuarios de la red, descuidos que pueden dejar abiertas algunas puertas, que pueden ser aprovechadas por agentes ajenas a ellas que pudieran hacer un mal uso de ellas.

Por último creemos que la educación en cuanto a seguridad informática de cada uno de las personas que intervienen en el uso del sistema de información ya sea desde los desarrolladores hasta los usuarios finales del sistema de información, es la mejor forma de evitar los ataques a los sistemas informáticos de las empresas.

27

10. Bibliografía:

Heredero, C. (2004). Informática y comunicaciones en la empresa. ESIC editorial, p. 15.

Royer, J. (2004). Seguridad en la informática de empresa: riesgos, amenazas, prevención y soluciones. Ediciones ENI, p.9.

Masana, S. (2002). El ciberterrorismo: ¿una amenaza real para la paz mundial? .Tesis de maestría en relaciones internacionales, Facultad Latinoamericana de Ciencias Sociales (P.14).

Masana, S. (2002). El ciberterrorismo: ¿una amenaza real para la paz mundial? .Tesis de maestría en relaciones internacionales, Facultad Latinoamericana de Ciencias Sociales (P. 18-19).

Tori, C. (2008). Hacking ético. Rosario editorial, p. 46-76.

Tori, C. (2008). Hacking ético. Rosario editorial, p. 51.

Tori, C. (2008). Hacking ético. Rosario editorial, p. 54.

Tori, C. (2008). Hacking ético. Rosario editorial, p. 107-109.

Tori, C. (2008). Hacking ético. Rosario editorial, p. 123-128.

Tori, C. (2008). Hacking ético. Rosario editorial, p. 125-128.

Tori, C. (2008). Hacking ético. Rosario editorial, p.164-166.

Tori, C. (2008). Hacking ético. Rosario editorial, p.171-172.

Tori, C. (2008). Hacking ético. Rosario editorial, p.173.

Álvarez, L. (2005). Seguridad en informática. Tesis de maestría, Universidad Iberoamericana (P. 10).

Álvarez, L. (2005). Seguridad en informática. Tesis de maestría, Universidad Iberoamericana (P. 7- 43).

Estrada, A. (2011). Seguridad por niveles. DarFE editorial, P. 25-31.

28