INTRODUCCIÓN

En la vida siempre ha existido la evolución, donde ella ha servido y debe servir

para mejorar el nivel de vida de la humanidad, tanto espiritual, tecnológica, en las
comunicaciones, etc. Donde el hombre, por naturaleza necesita interactuar con las
demás personas, esto para intercambiar ideas, pensamientos o documentos que
sean de utilidad a un individuo, a un grupo o una organización. Todo esto se
resume a lo que es la información, y esta puede ser pública o privada.

Cuando la información es privada siempre existe la preocupación de que alguien

pueda robársela, utilizándola para fines lucrativos para sí mismo o para perjudicar
a sus semejantes, es por eso que se debe buscar la seguridad en el traslado de la
información. Esta seguridad no es mas que tomar medidas preventivas, para evitar
en su mayor totalidad de la intromisión de terceros no autorizados a la
documentación.

Este trabajo se enfoca en la seguridad en redes de computadoras, donde las

organizaciones pueden confiar que su información valiosa, puede estar protegida
ante distintas amenazas.

La seguridad en redes se da en dos tipos: física y lógica. En la primera, se debe

estar atento y tomar medidas preventivas como son los desastres naturales,
inundaciones, terremotos, incendios, así, como también de las instalaciones
eléctricas, etc. En la segunda se debe tener cuidado con aquellas personas que
no están autorizadas para el acceso de la información, y es aquí donde entran los
piratas informáticos, un ejemplo de ellos son los hackers, crackers, etc. Que
buscan algo que les interesa y después puedan poseerlo, o también para probarse
a sí mismos hasta donde pueden llegar, aprovechándose de las vulnerabilidades
de la víctima, como por ejemplo de los sistemas operativos o de la ingenuidad de
los trabajadores al recibir archivos desconocidos y abrirlos, infectando el sistema
por medio de virus u otra especie de herramientas.
Es por eso que se deben tener medidas preventivas para combatir estos ilícitos,
ya sea con políticas de seguridad de la organización, de herramientas de
seguridad para los sistemas operativos y también, dar capacitación al personal,
que es fundamental para tener una buena seguridad.

Es cierto que la seguridad no se da en toda su totalidad, pero, si se puede tener

en su mayoría, ya que para una persona muy capaz, siempre habrá otra que este
por arriba de ella. Haciendo que esto sea un ciclo de nunca acabar, porque no
existe una conciencia social, algunos para atacar y otros que hacen un monopolio
para aprovecharse de los demás con sus productos.

Lo mejor sería trabajar en conjunto, pero en vista de que no es posible, y siempre

hay intereses de por medio, entonces, las víctimas, tienen que recurrir a los
recursos que se ofrecen en el mercado para protegerse. Y he ahí la información
que se transmitirá en esta investigación.
 JUSTIFICACIÓN.

Como la inseguridad se da en muchas maneras en nuestro entorno social, en las

redes no es la excepción. Las organizaciones, empresas, universidades, etc.
buscan tener la mayor seguridad en sus esquemas, para no tener pérdidas en su
economía, de su privacidad y de su confidencialidad.

Para no tener que preocuparse demás, esto se puede hacer simplemente si se

tiene una buena planeación, organización y prevención de lo que realmente se
requiere para la infraestructura que queremos proteger.

En vista que la información, es el factor primordial por el cual muchos usuarios

malintencionados hacen actos ilícitos, de los cuales utilizan diferentes métodos
que muchos de nosotros ni siquiera nos habíamos imaginado, con tal de conseguir
la valiosa información, aunque por otro lado también hay quienes no están de
acuerdo con la monopolización que hacen algunas empresas, entonces lo que
buscan es hacer notar de dichas fallas que pueden tener sus productos, dando las
posibilidad de conocer otros mercados que puedan contener mejor seguridad, y
mejores precios, pero como siempre, los más afectados son aquellos que no
tienen nada que ver con todo lo que pase, y es por ello que las “víctimas” tienen
que recurrir y confiar en los diferentes productos.

Y para que se puedan tomar medidas preventivas es importante que nos

preguntemos ¿contra qué nos defendemos?, ¿Por qué nos defendemos?, y ¿con
que nos podemos defender?
 OBJETIVO GENERAL

Describir y analizar los factores que intervienen en la seguridad en redes, a partir

de los usuarios que buscan la mayor protección y confidencialidad de información
en su red, utilizando herramientas y políticas de seguridad, para alcanzar ese fin.
Pero para poder lograrlo se debe conocer contra quien debe protegerse y como
son los medios en los que operan los atacantes, ya que con el paso de los años,
las herramientas tanto de seguridad, como las herramientas para hackear, se van
haciendo más potentes, destructivas y con una alta calidad. Y es importante saber
en donde está esa evolución en nuestra actualidad, para el cuidado de las redes.

OBJETIVOS ESPECÍFICOS

 Orientar sobre las aplicaciones de barrera físicas y procedimientos de

control como medidas de prevención.

 Identificar las vulnerabilidades que existen en las redes, tanto del equipo
como los firewalls, como de los sistemas operativos.

 Utilizar políticas de seguridad, como protección y conocer los modelos que

existen para su elaboración.

 Describir los piratas informáticos y la forma en que operan para restringir lo

más posible su acceso.

 Analizar algunas herramientas de seguridad a las que se puede recurrir.

 INTRODUCCIÓN A LA SEGURIDAD EN REDES.

RESUMEN.

En este capítulo hablaremos de la seguridad en las redes, los diferentes tipos de

seguridad, medidas de prevención contra desastres naturales que pueden en
algún momento perjudicar a las instalaciones, mencionaremos como hay que
controlar el acceso y las limitaciones de los usuarios a los datos, ya sea de forma
interna o externa, así como también, analizaremos los diferentes niveles de
seguridad de la información.

Por último se detallarán las vulnerabilidades que se presentan en los sistemas

operativos, como en un esquema de seguridad en redes.
1.1 CONCEPTO DE SEGURIDAD EN LAS REDES

La definición y el objetivo de la seguridad en redes es mantener la integridad,

disponibilidad, privacidad (sus aspectos fundamentales) control y autenticidad de
la información manejada por computadora, a través de procedimientos basados en
una política de seguridad tales que permitan el control de lo adecuado.

En la Fig. 1.1 muestra de manera global las amenazas que existen en la seguridad
en redes.

1.2 TIPOS DE SEGURIDAD

Podemos clasificar a la seguridad en redes en 2 tipos, y de ellos se subdividen en

la siguiente tabla donde más adelante se definirán.

1. SEGURIDAD FÍSICA. 2.SEGURIDAD LÓGICA

Desastres Controles de acceso
Incendios Identificación
Equipamiento Roles
Inundaciones Transacciones
Picos y ruidos electromagnéticos Limitación a los servicios
Cableado Control de acceso interno
1.2.1 SEGURIDAD FÍSICA.
La seguridad física es la “aplicación de barreras físicas y procedimientos de
control, como medidas de prevención y contramedidas ante amenazas a los
recursos e información confidencial”.

La seguridad física se refiere a los controles y mecanismos de seguridad dentro y

alrededor del Centro de computo así como los medios de acceso remoto del
mismo; implementados para proteger el hardware y medios de almacenamiento de
datos. Es muy importante, que por más que nuestra organización sea la más
segura desde el punto de vista de ataques externos, hackers, virus, etc; la
seguridad de la misma será nula si no se ha previsto como combatir un incendio.
La seguridad física es uno de los aspectos más olvidados a la hora del diseño de
un sistema informático. Si bien algunos de los aspectos tratados a continuación se
prevén, otros, como la detección de un atacante interno a la empresa que intenta
acceder físicamente a una sala de operaciones de la misma. Esto puede derivar
en que para un atacante sea mas fácil lograr tomar y copiar una cinta de la sala,
que intentar acceder vía lógica a la misma.

1.2.1.1 TIPOS DE DESASTRES

Está enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la
naturaleza del medio físico en que se encuentra ubicado el centro.
Las principales amenazas que se prevén en la seguridad física son:
1.- Desastres naturales, incendios accidentales tormentas e inundaciones.
2.- Amenazas ocasionadas por el hombre.
3.- Disturbios, sabotajes internos y externos deliberados.

A continuación se analizan los peligros más importantes que ocurren en un centro

de procesamiento; con el objetivo de mantener una serie de acciones a seguir en
forma eficaz y oportuna para la prevención, reducción, recuperación y corrección
de los diferentes tipos de riesgos.
1.2.1.2 INCENDIOS

Los incendios son causados por el uso inadecuado de combustibles, fallas de

instalaciones eléctricas defectuosas y el inadecuado almacenamiento y traslado
de sustancias peligrosas.

Los diversos factores a contemplar para reducir los riesgos de incendio a los que
se encuentra sometido un centro de cómputo son:

1. El área en la que se encuentran las computadoras debe estar en un local

que no sea combustible o inflamable.
2. El local no debe situarse encima, debajo o adyacente a áreas donde se
procesen, fabriquen o almacenen materiales inflamables, explosivos, gases
tóxicos o sustancias radioactivas.
3. Las paredes deben hacerse de materiales incombustibles y extenderse
desde el suelo al techo.
4. Debe construirse un “falso piso” instalado sobre el piso real, con materiales
incombustibles y resistentes al fuego.
5. No debe estar permitido fumar en el área de proceso.

1.2.1.3 SEGURIDAD DEL EQUIPAMIENTO.

Es necesario proteger los equipos de computo instalándolos en áreas en las
cuales el acceso a los mismo solo sea para el personal autorizado. Además, es
necesario que estas áreas cuenten con los mecanismos de ventilación y detección
de incendios adecuados.

Para protegerlos se debe tener en cuenta que:

 La temperatura no debe sobrepasar los 18° C y el límite de humedad no
debe superar el 65% para evitar el deterioro.
  La red debe estar provisto de equipo de para la extinción de incendios en
relación al grado de riesgo y la clase de fuego que sea posible en ese
ámbito.
 Deben instalarse extintores manuales (portátiles) y/o automáticos
(rociadores).

1.2.1.4 INUNDACIONES
Se define como la invasión de agua por exceso de escurrimientos superficiales o
por acumulación en terrenos planos, ocasionada por falta de drenaje ya sea
natural o artificial. Esta es una de las causas de mayores desastres en las redes.

Además de las causas naturales de inundaciones, puede existir la posibilidad de

una inundación provocada por la necesidad de apagar un incendio en un piso
superior.

Para evitar este inconveniente se pueden tomar las siguientes medidas: construir
un techo impermeable para evitar el paso de agua desde un nivel superior y
acondicionar las puertas para contener el agua que bajase por las escaleras.[2]

1.2.1.5 INSTALACIÓN ELÉCTRICA

Trabajar con computadoras implica trabajar con electricidad. Por lo tanto esta es
una de las principales áreas a considerar en la seguridad física, ya que es una
problemática que abarca desde el usuario hogareño hasta la gran empresa.
En la medida que los sistemas se vuelven más complicados, se hace más
necesaria la presencia de un especialista para evaluar riesgos particulares y
aplicar soluciones que estén de acuerdo con una norma de seguridad industrial.[2]
1.2.1.5.1 CABLEADO
Los cables que se utilizan para construir las redes locales, van desde el cable
telefónico normal al cable coaxial o la fibra óptica. Algunos edificios de oficinas ya
se construyen con los cables instalados para evitar el tiempo y el gasto posterior, y
de forma que se minimice el riesgo de un corte, rozadura u otro daño accidental.

Los riesgos más comunes para el cableado se pueden resumir a continuación:

1. Interferencia: estas modificaciones pueden estar generadas por cables de
alimentación de maquinaria pesada o por equipos de radio o microondas.
Los cables de fibra óptica no sufren el problema de alteración (de los datos
que viajan a través de él) por acción de campos eléctricos, que si sufren
los cables metálicos.
2. Corte del cable: la conexión establecida se rompe, lo que impide que el
flujo de datos circule por el cable.
3. Daños en el cable: los daños normales con el uso pueden dañar el
apantallamiento que preserva la integridad de los datos transmitidos o
dañar al propio cable, lo que hace que las comunicaciones dejen de ser
fiables.
En la mayor parte de las organizaciones, estos problemas entran dentro de la
categoría de daños naturales. Sin embargo, también se pueden ver como un
medio para atacar la red si el objetivo es únicamente interferir en su
funcionamiento.

El cable de red ofrece también un nuevo frente de ataque para un determinado

intruso que intentase acceder a los datos. Esto se puede hacer:

1. Desviando o estableciendo una conexión no autorizada en la red: un

sistema de administración y procedimiento de identificación de acceso
adecuados hará difícil que se puedan obtener privilegios de usuarios en la
red, pero los datos que fluyen a través del cable pueden estar en peligro.
 2. Haciendo una escucha sin establecer conexión, los datos se pueden seguir
y pueden verse comprometidos.

Luego, no hace falta penetrar en los cables físicamente para obtener los datos que
transportan.

1.2.2 SEGURIDAD LÓGICA

Consiste en la aplicación de barreras y procedimientos que resguarden el acceso
a los datos y solo se permita acceder a ellos a las personas autorizadas para
hacerlo.

Después de ver como nuestra red puede verse afectado por la falta de seguridad
física, es importante recalcar que la mayoría de los daños que puede sufrir un sitio
de computo, no será sobre los medios físicos, sino, contra información por él
almacenada y procesada.

Así, la seguridad física, solo es una parte del amplio espectro que se debe cubrir
para no vivir con una sensación ficticia de seguridad. Como ya se ha mencionado,
el activo más importante que se posee es la información, y por lo tanto deben
existir técnicas, más allá de la seguridad física, que la aseguren. Estas técnicas
las brinda la seguridad lógica.

Los objetivos que se plantean para la seguridad lógica son:

1. Restringir el acceso a los programas y archivos.
2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa
y no puedan modificar los programas ni los archivos que no correspondan.
3. Asegurar que se estén utilizando los archivos y programas correctos en y
por el procedimiento correcto.
4. Que la información transmitida sea recibida sólo por el destinatario al cual
ha sido enviada y no a otro.
5. Que la información recibida sea la misma que ha sido transmitida.
 6. Que existan sistemas alternativos secundarios de transmisión entre
diferentes puntos.
7. Que se disponga de pasos alternativos de emergencia para la transmisión
de información.

1.2.2.1 CONTROLES DE ACCESO.

Estos pueden implementarse en el sistema operativo, sobre los sistemas de
aplicación, en bases de datos, en un paquete específico de seguridad o en
cualquier otro utilitario.

Constituyen una importante ayuda para proteger al sistema operativo de la red, al

sistema de aplicación y demás software de la utilización o modificaciones no
autorizadas; para mantener la integridad de la información (restringiendo la
cantidad de usuarios y procesos con acceso permitido) y para resguardar la
información confidencial de accesos no autorizados. Así mismo, es conveniente
tener en cuenta otras consideraciones referidas a la seguridad lógica, como por
ejemplo las relacionadas al procedimiento que se lleva a cabo para determinar si
corresponde un permiso de acceso (solicitado por un usuario) a un determinado
recurso.

Al respecto, el National Institute for Standars and Technology (NIST) 1 ha resumido

los siguientes estándares de seguridad que se refieren a los requisitos mínimos
de seguridad en cualquier sistema:

1.2.2.1.1 IDENTIFICACIÓN Y AUTENTICACIÓN.

Es la primera línea de defensa para la mayoría de los sistemas computarizados,
permitiendo prevenir el ingreso de personas no autorizadas. Es la base para la
mayor parte de los controles de acceso y para el seguimiento de las actividades
de los usuarios.
Se denomina identificación al momento en que el usuario se da a conocer en el
sistema; y autenticación a la verificación que realiza el sistema sobre esta
identificación.

Al igual que se consideró para la seguridad física, y basada en ella, existen 4 tipos
de técnicas que permiten realizar la autenticación de la identidad del usuario, las
cuales pueden ser utilizadas individualmente o combinadas:

1. Algo que solamente el individuo conoce: por ejemplo una clave secreta de
acceso password, una clave criptográfica, un numero de identificación
personal o PIN, etc.
2. Algo que la persona posee: por ejemplo una tarjeta magnética.
3. Algo que el individuo es y que lo identifica unívocamente: por ejemplo las
huellas digitales o la voz.
4. Algo que el individuo es capaz de hacer: por ejemplo los patrones de
escritura.

Para cada una de estas técnicas vale lo mencionado en el caso de la seguridad

física en cuanto a sus ventajas y desventajas. Se destaca que en los dos primeros
casos enunciados, es frecuente que las claves sean olvidadas o que las tarjetas o
dispositivos se pierdan, mientras que por el otro lado, los controles de
autenticación biométricos serian los mas apropiados y fáciles de administrar,
resultando ser también, los mas costosos por lo dificultosos de su implementación
eficiente.

Desde el puntos de vista de la eficiencia, es conveniente que los usuarios sean

identificados y autenticados solamente una vez, pudiendo acceder a partir de ahí,
a todas las aplicaciones y datos a los que su perfil les permita, tanto en sistemas
locales como en sistemas a los que deba acceder en forma remota. Esto se
denomina “single log-in” o sincronización de passwords.
Una de las posibles técnicas para implementar esta única identificación de
usuarios sería la utilización de un servidor de autenticaciones sobre el cual los
usuarios se identifican, y que se encarga luego de autenticar al usuario sobre los
restantes equipos a los que éste pueda acceder. Este servidor de autenticaciones
no debe ser necesariamente un equipo independiente y puede tener sus funciones
distribuidas tanto geográfica como lógicamente, de acuerdo con los requerimientos
de carga de tareas.

La seguridad informática se basa, en gran medida, en la efectiva administración de

los permisos de acceso a los recursos informáticos, basados en la identificación,
autenticación y autorización de accesos. Esta administración abarca:
1. Proceso de solicitud, establecimiento, manejo, seguimiento y cierre de las
cuentas de usuarios. Es necesario considerar que la solicitud de habilitación
de un permiso de acceso para un usuario determinado, debe provenir de su
superior y de acuerdo con sus requerimientos específicos de acceso, debe
generarse el perfil en el sistema de seguridad, en el sistema operativo o en
la aplicación según corresponda.
2. Además, la identificación de los usuarios debe definirse de acuerdo con una
norma homogénea para toda la organización.
3. Revisiones periódicas sobre la administración de las cuentas y los permisos
de acceso establecidos. Las mismas deben encararse desde el punto de
vista del sistema operativo, y aplicación por aplicación, pudiendo ser
llevadas a cabo por el personal de auditoría o por la gerencia propietaria del
sistema; siempre sobre la base de que cada usuario disponga de mínimo
permiso requiera de acuerdo con sus funciones.
4. Las revisiones deben orientarse a verificar la adecuación de los permisos
de acceso de cada individuo de acuerdo con sus necesidades operativas, la
actividad de las cuentas de usuarios o la autorización de cada habilitación
de acceso. Para esto, deben analizarse las cuentas en busca de periodos
de inactividad o cualquier otro aspecto anormal que permita una
redefinición de la necesidad de acceso.
 5. Detección de las actividades no autorizadas. Además de realizar auditorias
o efectuar el seguimiento de los registro de transacciones (pistas), existen
otras medidas que ayudan a detectar la ocurrencia de actividades no
autorizadas. Algunas de ellas se basan en evitar la dependencia hacia
personas determinadas, estableciendo la obligatoriedad de tomar
vacaciones o efectuando rotaciones periódicas a las funciones asignadas a
cada una.
6. Nuevas consideraciones relacionadas con cambios en la asignación de
funciones del empleado. Para implementar la rotación de funciones, o en
caso de reasignar funciones por ausencias temporales de algunos
empleados, es necesario considerar la importancia de mantener
actualizados los permisos de acceso.
7. Procedimientos a tener en cuenta en caso de desvinculaciones de personal
con la organización, llevadas a cabo en forma amistosa o no. Los despidos
del personal de sistemas presentan altos riesgos ya que en general se trata
de empleados con capacidad para modificar aplicaciones o la configuración
del sistema, dejando “bombas lógicas” o destruyendo sistemas o recursos
informáticos. No obstante, el personal de otras áreas usuarias de los
sistemas, también puede causar daños, por ejemplo, introduciendo
información errónea a las aplicaciones intencionalmente.

Para evitar estas situaciones, es recomendable anular los permisos de acceso a

las personas que se desvincularán de la organización, lo antes posible. En caso
de despido, el permiso de acceso debería anularse previamente a la notificación
de la persona sobre la situación.

1.2.2.1.2 ROLES
El acceso a la información también puede controlarse a través de la función o rol
del usuario que requiere dicho acceso. Algunos ejemplos de roles serían los
siguientes: programador, líder de proyecto, gerente de un área usuaria,
administrador del sistema, etc. En este caso los derechos de acceso pueden
agruparse de acuerdo con el rol de los usurarios.
1.2.2.1.3 TRANSACCIONES.
También pueden implementarse controles a través de las transacciones, por
ejemplo solicitando una clave al requerir el procesamiento de una transacción
determinada.

1.2.2.1.4 LIMITACIÓN A LOS SERVICIOS.

Estos controles se refieren a las restricciones que dependen de parámetros
propios de la utilización de la aplicación o preestablecidos por el administrador del
sistema. Un ejemplo podría ser que en la organización se disponga de licencias
para la utilización simultanea de un determinado producto de software para cinco
personas, en donde exista un control a nivel sistema que no permita la utilización
del producto a un sexto usuario.

1.2.2.1.5 MODALIDAD DE ACCESO

Se refiere al modo de acceso que se permite al usuario sobre los recursos y a la
información. Esta modalidad puede ser:

 Lectura: el usuario puede únicamente leer o visualizar la información pero

no puede alterarla. Debe considerarse que la información puede ser
copiada o impresa.
 Escritura.: este tipo de acceso permite agregar datos, modificar o borrar
información.
 Ejecución: este acceso otorga al usuario el privilegio de ejecutar
programas.
 Borrado: permite al usuario eliminar recursos del sistema (como
programas, campos de datos o archivos). El borrado es considerado una
forma de modificación.
Además existen otras modalidades de acceso especiales, que generalmente se
incluyen en los sistemas de aplicación:
  Creación: permite al usuario crear nuevos archivos, registros o campos.
 Búsqueda: permite listar los archivos de un directorio determinado.

1.2.2.2 CONTROL DE ACCESO INTERNO.

1.2.2.2.1 PALABRAS CLAVE. (PASSWORDS)

Generalmente se utilizan para realizar la autenticación del usuario y sirven para

proteger los datos y aplicaciones. Los controles implementados a través de la
utilización de palabras clave resultan de muy bajo costo, sin embargo, cuando el
usuario se ve en la necesidad de utilizar varias palabras clave para acceder a
diversos sistemas, encuentra dificultoso recordarlas y probablemente las escriba o
elija palabras fácilmente deducibles, con lo que se ve disminuida la utilidad de está
técnica.

Se podrá, por años, seguir creando sistemas altamente seguros, pero en última
instancia cada uno de ellos se romperá por este eslabón: la elección de passwords
débiles.

 Sincronización de passwords: consiste en permitir que un usuario acceda

con el mismo password a diferentes sistemas interrelacionados y a su
actualización automática en todos ellos en caso de ser modificada. Podría
pensarse que esta es una característica negativa para la seguridad de un
sistema, ya que una vez descubierta la clave de un usuario, se podría tener
acceso a los múltiples sistemas a los que tiene acceso dicho usuario. Sin
embargo, estudios hechos muestran que las personas normalmente suelen
manejar un solo password para todos los sitios a los que tengan acceso, y
que si se le hace elegir diferentes passwords tienden a guardarlas escritas
para no olvidarlas, lo cual significa un riesgo aún mayor. Para implementar
la sincronización de passwords entre sistemas es necesario que todos ellos
tengan un alto nivel de seguridad.
  Caducidad y control: este mecanismo controla cuando pueden y/o deben
cambiar sus passwords los usuarios. Se define el periodo mínimo que debe
pasar, para que los usuarios puedan cambiar sus passwords y un periodo
máximo que puede transcurrir para que éstos caduquen.

1.2.2.2.2 ENCRIPTACIÓN.

La información encriptada solamente puede ser desencriptada por quienes posean

la clave apropiada. La encriptación puede proveer de una potente medida de
control de acceso.

1.2.2.2.3 LISTAS DE CONTROL DE ACCESOS

Se refiere a un registro donde se encuentran los nombres de los usuarios que

obtuvieron el permiso de acceso a un determinado recurso del sistema, así como
la modalidad de acceso permitido. Este tipo de listas varían considerablemente en
su capacidad y flexibilidad.

1.2.2.2.4 LIMITES SOBRE LA INTERFASE DE USUARIO.

Estos límites, generalmente, son utilizados en conjunto con las listas de control de
accesos y restringen a los usuarios a funciones específicas. Básicamente pueden
ser de tres tipos: menús, vistas sobre la base de datos y límites físicos sobre la
interfase de usuario. Por ejemplo, los cajeros automáticos donde el usuario solo
puede ejecutar ciertas funciones presionando teclas específicas.

1.2.2.2.5 ETIQUETAS DE SEGURIDAD.

Consiste en designaciones otorgadas a los recursos (como por ejemplo un
archivo) que pueden utilizarse para varios propósitos como control de accesos,
especificación de medidas de protección, etc., estas etiquetas no son
modificables.
1.2.2.3 CONTROL DE ACCESO EXTERNO.

1.2.2.3.1 DISPOSITIVOS DE CONTROL DE PUERTOS.

Estos dispositivos autorizan el acceso a un puerto determinado y pueden estar

fácilmente separados o incluidos en otro dispositivo de comunicaciones, como por
ejemplo un MODEM.

1.2.2.3.2 FIREWALL O PUERTAS DE SEGURIDAD.

Permiten bloquear o filtrar el acceso entre dos redes, usualmente una privada y
otra externa (por ejemplo internet). Los firewalls permiten que los usuarios internos
se conecten a la red exterior al mismo tiempo que previenen la intromisión de
atacantes o virus a los sistemas de la organización. Este tema será abordado
posteriormente.

1.2.2.3.3 ACCESO DE PERSONAL CONTRATADO O CONSULTORES.

Debido a que este tipo de personal en general presta servicios temporarios, debe
ponerse especial consideración en la política y administración de sus perfiles de
acceso.

1.3 NIVELES DE SEGURIDAD INFORMÁTICA.

El estándar de niveles de seguridad más utilizado internacionalmente es el TCSEC

Orange Book2, desarrollo en 1983 de acuerdo a las normas de seguridad en
computadoras del departamento de los Estados Unidos.
Los niveles describen diferentes tipos de seguridad del sistema operativo y se
enumeran desde el mínimo grado de seguridad al máximo.

Estos niveles han sido la base de desarrollo de estándares europeos

(ITSEC/ITSEM)3 y luego internacionales (ISO/IEC)4.

Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: así
el subnivel B2 abarca los subniveles B1, C2, C1, y el D.

1.3.1 NIVEL D

Este nivel contiene solo una división y está reservada para sistemas que han sido
evaluados y no cumplen con ninguna especificación de seguridad. Sin sistemas no
confiables, no hay protección para el hardware, el sistema operativo es inestable y
no hay autenticación con respecto a los usuarios y sus derechos en el acceso a la
información. Los sistemas operativos que responden a este nivel son MS-DOS y
System 7.0 de macintosh

1.3.2 NIVEL C1: PROTECCIÓN DISCRECIONAL.

Se requiere identificación de usuarios que permite el acceso a distinta información.
Cada usuario puede manejar su información privada y se hace la distinción entre
los usuarios y el administrador del sistema, quien tiene control total de acceso.

Muchas de las tareas cotidianas de administración del sistema sólo pueden ser
realizadas por este “super usuario”; quien tiene gran responsabilidad en la
seguridad del mismo. Con la actual descentralización de los sistemas de
cómputos, no es raro que en una organización encontremos dos o tres personas
cumpliendo este rol. Esto es un problema, pues no hay forma distinguir entre los
cambios que hizo cada usuario.
A continuación se enumeran los requerimientos mínimos que debe cumplir la clase
C1:
 Acceso de control discrecional: distinción entre usuarios y recursos. Se
podran definir grupos de usuarios (con los mismos privilegios) y grupos de
objetos (archivos, directorios, disco) sobre los cuales podrán actuar
usuarios o grupos de ellos.
 Identificación y autenticación: se requiere que un usuario se identifique
antes de comenzar a ejecutar acciones sobre el sistema. El dato de un
usuario no podrá ser accedido por un usuario sin autorización o
identificación.

1.3.3 NIVEL C2: PROTECCIÓN DE ACCESO CONTROLADO.

Este subnivel fue diseñado para solucionar las debilidades del C1. cuenta con
características adicionales que crean un ambiente de acceso controlado. Se debe
llevar una auditoria de accesos e intentos fallidos de acceso a objetos. Tiene la
capacidad de restringir aún más el que los usuarios ejecuten ciertos comandos o
tengan acceso a ciertos archivos, permitir o denegar datos a usuarios en concreto,
con base no sólo en los permisos, sino también en los niveles de autorización

Requiere que se audite el sistema. Este auditoria es utilizada para llevar registros
de todas las acciones relacionadas con la seguridad, como las actividades
efectuadas por el administrador del sistema y sus usuarios. La auditoria requiere
de autenticación adicional para estar seguros de que la persona que ejecuta el
comando es quien dice ser. Su mayor desventaja reside en los recursos
adicionales requeridos por el procesador y el subsistema de discos.

Los usuarios de un sistema C2 tienen la autorización para realizar algunas tareas

de administración del sistema sin necesidad de ser administradores. Permite llevar
mejor cuenta de las tareas relacionadas con la administración del sistema, ya que
es cada usuario quien ejecuta el trabajo y no el administrador del sistema.
1.3.4 NIVEL B1: SEGURIDAD ETIQUETADA.

Este subnivel, es el primero de los tres con que cuenta el nivel B. Soporta
seguridad multinivel, como la secreta y ultra secreta. Se establece que el dueño
del archivo no puede modificar los permisos de un objeto que está bajo control de
acceso obligatorio. A cada objeto del sistema (usuario, dato, etc). Se lo asigna una
etiqueta, con un nivel de seguridad jerárquico (alto secreto, secreto, reservado,
etc). Y con unas categorías (contabilidad, nominas, ventas, etc).

Cada usuario que accede a un objeto debe poseer un permiso expreso para
hacerlo y viceversa. Es decir que cada usuario tienes sus objetos asociados.
También se establecen controles para limitar la propagación de derecho de
accesos a los distintos objetos.[5]

1.3.5 NIVEL B2: PROTECCIÓN ESTRUCTURADA.

Requiere que se etiquete cada objeto de nivel superior por ser parte de un objeto
inferior. La protección estructurada es la primera que empieza a referirse al
problema de un objeto a un nivel mas elevado de seguridad en comunicación con
otro objeto a un nivel inferior. Así, un disco será etiquetado por almacenar archivos
que son accedidos por distintos usuarios.
El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y
seguridad son modificadas, y el administrador es el encargado de fijar los canales
de almacenamiento y ancho de banda a utilizar por los demás usuarios.[5]
1.3.6 NIVEL B3: DOMINIOS DE SEGURIDAD.

Refuerza a los dominios con la instalación de hardware: por ejemplo el hardware

de administración de memoria, se usa para proteger el dominio de seguridad de
acceso no autorizado a la modificación de objetos de diferentes dominios de
seguridad. Existe un monitor de referencia que recibe las peticiones de acceso de
cada usuario y las permite o las deniega según las políticas de acceso que se
hayan definido.

Todas las estructuras de seguridad deben ser lo suficientemente pequeñas como

para permitir análisis y testeos ante posibles violaciones. Este nivel requiere que la
terminal del usuario se conecte al sistema por medio de una conexión segura.
Además, cada usuario tiene asignado los lugares y objetos a los que pueda
acceder.

1.3.7 NIVEL A: PROTECCIÓN VERIFICADA.

Es el nivel más elevado, incluye un proceso de diseño, control y verificación,

mediante métodos formales (matemáticos) para asegurar todos los procesos que
realiza un usuario sobre el sistema.
Para llegar a este nivel de seguridad, todos los componentes de los niveles
inferiores deben incluirse. El diseño requiere ser verificado de forma matemática y
también se deben realizar análisis de canales encubiertos y de distribución
confiable. El software y el hardware son protegidos para evitar infiltraciones ante
traslados o movimientos de equipamiento.
1.4 VULNERABILIDAD EN REDES.

Una vulnerabilidad es toda condición que permite un atentado a la seguridad

dentro de las redes.

Existen diferentes formas en las que se puede encontrar vulnerabilidades tanto en

hardware como software.

1.4.1 VULNERABILIDADES EN LOS NAVEGADORES.

Generalmente las fallas de los navegadores, no se dan por fallos intrínsecos, sino
que fallan las tecnologías que implementan, aunque en este punto analizaremos
realmente fallos intrínsecos de los navegadores, como pueden ser los “Buffer
Overflow”

Los “Buffer Overflows” consisten en explotar una debilidad relacionada con los
buffers que la aplicación usa para almacenar las entradas de usuario. Por ejemplo,
cuando el usuario escribe una dirección en formato URL, ésta se guarda en un
buffer para luego procesarla. Si no se realizan las oportunas operaciones de
comprobación, un usuario podría manipular estas direcciones.

El protocolo usado puede ser http, pero también otro menos conocidos, internos
de cada explorador, como el “res:” o el “mk:”. Precisamente existen fallos de
seguridad del tipo “Buffer Overflow” en la implementación de estos dos protocolos.

También se puede citar el fallo de seguridad descubierto por Cybersnot Industries

relativo a los archivos “.lnk” y “url” de windows 95 y NT respectivamente. algunas
versiones de Microsoft Internet Explorer podían ser utilizadas para ejecutar la
aplicación que se deseara siempre que existiera en la computadora de la
víctima.[6]
1.4.2 VULNERABILIDAD EN UN ESQUEMA DE SEGURIDAD.

En las redes existe la vulnerabilidad en la seguridad, y en la figura 1.2 muestra

dicha vulnerabilidad en un esquema de seguridad:
1.5 RIESGOS EN LA INFORMACIÓN.

Estos riesgos provocan acciones hostiles como el robo, fraude y sabotaje de

información.

En la gráfica aparece un desglose de las pérdidas que obtienen las

organizaciones anualmente.

Perdidas monetarias de las organizaciones.

1.5.1 ROBO.
Las computadoras son posesiones valiosas de las empresas y están expuestas,
de la misma forma que lo están las piezas de stock e incluso el dinero. Es
frecuente que los operadores utilicen la computadora de la empresa para realizar
trabajos privados o para otras organizaciones y, de esta manera, robar tiempo de
máquina. La información importante o confidencial puede ser fácilmente copiada.
Muchas empresas invierten millones de dólares en programas y archivos de
información, a los que dan mejor protección que la que otorgan a una máquina de
escribir o una calculadora. El software, es una propiedad muy fácilmente sustraíble
y las cintas y discos son fácilmente copiados sin dejar ningún rastro.
1.5.2 FRAUDE.

Cada año, millones de dólares son sustraídos de empresas y en muchas

ocasiones, las computadoras han sido utilizadas como instrumento para dichos
fines. Sin embargo, ninguna de las partes implicadas (compañía, empleados,
fabricantes, auditores, etc.), tienen algo que ganar, sino que más bien pierden en
imagen, no se da publicidad a este tipo de situaciones.

1.5.3 SABOTAJE.

El peligro más temido en los centros de procesamiento de datos, es el sabotaje.

Empresas que han intentado implementar programas de seguridad de alto nivel,
han encontrado que la protección contra el saboteador es uno de los retos mas
duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa.

Físicamente, los imanes son las herramientas a las que se recurre, ya que con
una ligera pasada, la información desaparece, aunque las cintas estén
almacenadas en el interior de su funda de protección. Una habitación llena de
cintas puede ser destruida en pocos minutos y los centros de procesamiento de
datos pueden ser destruidos sin entrar en ellos. Además, suciedad, partículas de
metal o gasolina pueden ser introducidos por los conductos de aire acondicionado.
Las líneas de comunicaciones y eléctricas pueden ser cortadas, etc.
1.6 TIPOS DE DELITOS INFORMÁTICOS.

La Organización de las Naciones Unidas (ONU) reconocen los siguientes tipos de

delitos informáticos:
1. Fraudes cometidos mediante manipulación de computadoras
 Manipulación de los datos de entrada: este tipo de fraude informático
conocido también como sustracción de datos, representa el delito
informático más común, ya que es fácil de cometer y difícil de descubrir.
 La manipulación de programas: consiste en modificar los programas
existentes en el sistema o en insertar nuevos programas o rutinas. Es muy
difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente
tiene conocimientos técnicos concretos de informática y programación.
 Manipulación de los datos de salida: se efectúa fijando un objetivo al
funcionamiento del sistema informático. El ejemplo más común es el fraude
del que se hace objeto a los cajeros automáticos mediante la falsificación
de instrucciones para la computadora en la fase de adquisición de datos.
 Fraude efectuado por manipulación informática: aprovecha las
repeticiones automáticas de los procesos de cómputo. Es una técnica
especializada que se denomina “técnica del salchichón” en la que “rodajas
muy finas” apenas perceptibles, de transacciones financieras, se van
sacando repetidamente de una cuenta y se transfieren a otra. Se basa en el
principio de que 10,66 es igual a 10,65 pasando 0,01 centavos a la cuenta
del ladrón “n” veces.

2. Manipulación de los datos de entrada.

 Como objeto: cuando se alteran datos de los documentos almacenados en
forma computarizada.
 Como instrumento: las computadoras pueden utilizarse también para
efectuar falsificaciones de documentos de uso comercial.
3. Daños o modificaciones de programas o datos computarizados.
 Sabotaje informático: es el acto de borrar, suprimir o modificar sin
autorización funciones o datos de computadora con intención de
obstaculizar el funcionamiento normal del sistema.
 Acceso no autorizado a servicios y sistemas informáticos: estos
acceso se pueden realizar por diversos motivos, desde la simple curiosidad
hasta el sabotaje o espionaje informático.
 Reproducción no autorizada de programas informáticos de protección
legal: esta puede entrañar una pérdida económica sustancial para los
propietarios legítimos. Algunas jurisdicciones han tipificado como delito esta
clase de actividad y la han sometido a sanciones penales. El problema ha
alcanzado dimensiones transnacionales con el tráfico de estas
reproducciones no autorizadas a través de las redes de telecomunicaciones
modernas. Al respecto, se considera, que la reproducción no autorizada de
programas informáticos no es un delito informático debido a que el bien
jurídico a tutelar es la propiedad intelectual.

Adicionalmente a estos delitos, existen otros como los siguientes:

 Fraude en el campo de la informática.
 Falsificación en materia informática.
 Sabotaje informático y daños a datos computarizados.
 Acceso no autorizado.
 Espionaje informático.
 Tráfico de claves informáticas obtenidas por medio ilícito.
 Distribución de virus o programas delictivos.