INTRODUCCIÓN A LA SEGURIDAD

INFORMÁTICA
Dato versus Información

Información y dato son conceptos básicos dentro de la informática y si bien en el lenguaje cotidiano podrían
entenderse como lo mismo, ambos cuentan con diferentes significados. A continuación descubriremos cuál es la
diferencia.

Dato: Un dato es un símbolo que describe un hecho, una condición, un valor o una situación. Un dato puede ser una
letra, un número, un signo ortográfico o cualquier símbolo y que representa una cantidad, una medida, una palabra
o una descripción.

Información: Se refiere al conjunto de datos que están procesados y analizados de modo que podemos predecir o
entender la realidad por medio de ellos.

Por Ejemplo:

80%, alfabetismo y 2000 son 3 datos que por sí solos no tienen sentido. Estos datos se podrían convertir en
información de la siguiente manera: “Durante el año 2000 se ha detectado en el país una tasa del 80% de
alfabetismo.

¿Que es la Seguridad Informática?

La seguridad informática es la disciplina que se encarga de proteger la confidencialidad, integridad y disponibilidad

de la información dentro un sistema informático.

¿Por qué proteger la información?

Hoy en día es evidente que la información es apreciada por muchos aspectos relevantes, por ejemplo, en el ámbito
organizacional su importancia radica en la utilidad para la toma de decisiones o por su calidad de secreto industrial,
por lo que en muchos casos es considerada el activo más importante.

En otros casos, la información es fundamental para las operaciones de todos los días, aunque no siempre es
propiedad de las empresas, sobre todo si consideramos que estos datos pueden pertenecer a los clientes o usuarios.
Por ello, en los últimos años ha cobrado mayor relevancia la protección de los mismos.

Defensa en profundidad

La defensa en profundidad apunta a implementar varias medidas de seguridad con el objetivo de proteger un mismo
activo. Es una táctica que utiliza varias capas, en las que cada una provee un nivel de protección adicional a las
demás.
Dicha estrategia ha sido formulada por la NSA (National Security Agency), como un enfoque para la seguridad
informática y electrónica.

Originalmente, este concepto se utilizó como una estrategia militar, que buscaba retrasar más que prevenir, el
avance del enemigo, lo que permitía ganar tiempo, muy valioso en el campo de batalla.

Debemos implementar dichas medidas basándonos en el paradigma de “Proteger, Detectar y Reaccionar”. Esto
significa que, además de incorporar mecanismos de protección, debemos estar preparados para recibir ataques, e
implementar métodos de detección y procedimientos que nos permitan reaccionar y recuperarnos de dichos
ataques.

Es muy importante balancear el foco de las contramedidas en los tres elementos primarios de una organización:
Personas, Tecnología y Operaciones.

Personas

Alcanzar un nivel de seguridad óptimo empieza con el compromiso de la alta gerencia, basado en un claro
entendimiento de las amenazas. El cual debe ser seguido por la creación de políticas y procedimientos, la
asignación de roles y responsabilidades, asignación de recursos y capacitación a los empleados.

Además, es necesaria la implementación de medidas de seguridad física y control de personal para poder
monitorizar las instalaciones críticas para la organización.

Tecnología

Para asegurar que las tecnologías implementadas son las correctas, deben ser establecidas políticas y
procedimientos para la adquisición de la tecnología.

Debemos implementar varios mecanismos de seguridad entre las amenazas y sus objetivos. Cada una debe incluir
mecanismos de protección y detección.
Operaciones

Se enfoca en las actividades necesarias para sostener la seguridad de la organización en las tareas del día a día.

Este tipo de medidas incluye: Mantener una clara política de seguridad, documentar todos los cambios realizados
en la infraestructura, realizando análisis de seguridad periódicos e implementando métodos de recuperación.

La Tríada CID

La correcta Gestión de la Seguridad de la Información busca establecer y mantener programas, controles y

políticas, que tengan como finalidad conservar la confidencialidad, integridad y disponibilidad de la información.
Es preciso anotar, además, que la seguridad no es ningún hito, es más bien un proceso continuo que hay que
gestionar conociendo siempre las vulnerabilidades y las amenazas que se ciñen sobre cualquier información,
teniendo siempre en cuenta las causas de riesgo y la probabilidad de que ocurran, así como el impacto que puede
tener.

Confidencialidad

La confidencialidad es la propiedad que impide la divulgación de información a personas o sistemas no

autorizados. A grandes rasgos, asegura el acceso a la información únicamente a aquellas personas que cuenten con
la debida autorización.

Por ejemplo, una transacción de tarjeta de crédito en Internet requiere que el número de tarjeta de crédito a ser
transmitida desde el comprador al comerciante y el comerciante de a una red de procesamiento de transacciones. El
sistema intenta hacer valer la confidencialidad mediante el cifrado del número de la tarjeta y los datos que contiene
la banda magnética durante la transmisión de los mismos. Si una parte no autorizada obtiene el número de la tarjeta
en modo alguno, se ha producido una violación de la confidencialidad.

Integridad

Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No es igual a integridad
referencial en bases de datos.) A groso modo, la integridad es el mantener con exactitud la información tal cual fue
generada, sin ser manipulada o alterada por personas o procesos no autorizados.

La violación de integridad se presenta cuando un empleado, programa o proceso (por accidente o con mala
intención) modifica o borra los datos importantes que son parte de la información, así mismo hace que su contenido
permanezca inalterado a menos que sea modificado por personal autorizado, y esta modificación sea registrada,
asegurando su precisión y confiabilidad. La integridad de un mensaje se obtiene adjuntando otro conjunto de datos
de comprobación de la integridad: la firma digital, es uno de los pilares fundamentales de la seguridad de la
información

Disponibilidad

La disponibilidad es la condición de la información de encontrarse a disposición de quienes deben acceder a ella,

ya sean personas, procesos o aplicaciones. A groso modo, la disponibilidad es el acceso a la información y a los
sistemas por personas autorizadas en el momento que así lo requieran.

En el caso de los sistemas informáticos utilizados para almacenar y procesar la información, los controles de
seguridad utilizados para protegerlo, y los canales de comunicación protegidos que se utilizan para acceder a ella
deben estar funcionando correctamente. El objetivo de los sistemas de alta disponibilidad es que deben estar
disponibles en todo momento, evitando interrupciones del servicio debido a cortes de energía, fallos de hardware, y
actualizaciones del sistema.

PHISHING
El término phishing, en informática, denota un uso de la ingeniería social para intentar adquirir información
comprometedora sobre un usuario (contraseñas, cuentas bancarias, datos de tarjetas de crédito, etc.) de forma
fraudulenta.

El término "ingeniería social" hace referencia al arte de manipular personas para eludir los sistemas de seguridad.
Esta técnica consiste en obtener información de los usuarios por

teléfono, correo electrónico, correo tradicional o por contacto directo.

3.1 Funcionamiento

En la práctica, el atacante (phisher) se hace pasar por una persona o entidad de confianza para el usuario y lo
contacta por un medio electrónico, como puede ser el correo o la mensajería instantánea. El objetivo es hacerle
llegar un comunicado que simula ser oficial; ya que imita el formato, el lenguaje y el logo de la entidad que se está
falsificando. En dicho comunicado se suelen pedir datos de acceso o información sensible, alegando diversos
motivos, como ser problemas técnicos, actualizaciones, beneficios, cambio de políticas, posible fraude, etcétera.

Acompañado al motivo de la comunicación, figura un link a la página aparentemente oficial de la entidad emisora,
pero que en realidad conduce a un sitio web falso que es una copia exacta de la página original. Confiado, el
usuario puede caer en esta trampa y escribir sus datos confidenciales en esa copia ilegítima creada por el atacante.

3.2 Detección Automática

La mayoría de los navegadores web más populares cuentan con filtros automáticos para detectar posibles fraudes.
Básicamente, lo que hacen es verificar cada URL visitada por el usuario contra una base de datos que contiene
URLs que han sido catalogadas como maliciosas.
Pantalla que muestra el navegador Firefox cuando intentamos acceder a un sitio web catalogado como malicioso.

El sitio web phishtank (https://www.phishtank.com/) provee una lista gratuita que se actualiza constantemente de
forma colaborativa, para luchar contra el phishing. Dicha lista puede ser consultada tanto a través del sitio web
como a través de una API y también se la puede descargar en diferentes formatos.

3.3 Detección Manual

Las medidas de seguridad no siempre funcionan a la perfección, y dependen de que los sitios fraudulentos sean
detectados o denunciados de alguna forma, antes de poder marcarlos como peligrosos.

Debido a esto, los atacantes crean sitios fraudulentos de una forma automatizada, que les asegura la generación
rápida de sitios, los cuales mantienen online solamente por un período corto de tiempo (a veces no llegan a estar
disponibles ni siquiera una hora).

Es por eso que debemos prestar atención a cada sitio en el que accedemos, particularmente si vamos a ingresar
información personal y/o confidencial.

3.4 Casos Reales

A continuación analizaremos dos casos reales de phishing, y explicaremos formas de detectar que se trata de un
engaño:

3.4.1 Mercado Libre

En este caso, enviaron un correo electrónico indicando que la contraseña del usuario había sido “extraviada” por
Mercado Libre, y pidiéndole que vuelva a ingresarla en un sitio web específicamente diseñado para tal motivo:
Lo primero que debe hacernos sospechar es que es casi imposible que un sitio “extravíe” las contraseñas de sus
usuarios.

Además, como marca la imagen, el link apunta a un sitio web que no pertenece al dominio “mercadolibre.com”, si
no que pertenece a “recovery-mercadolibre.com”, eso es más sospechoso aún.

En el caso de que tengamos dudas acerca de si este correo es un fraude o no, podemos acceder al sitio web original
de MercadoLibre (www.mercadolibre.com) y realizar cualquier tipo de gestión directamente desde este sitio.

La mayoría de los fraudes pueden evitarse si ingresamos por nuestros propios medios, en lugar de utilizar los links
que son provistos por correo electrónico.

3.4.2 MasterCard

En el siguiente caso, se envía un correo al usuario, indicando que su tarjeta va a ser suspendida porque se han
detectado actividades sospechosas.
El usuario tiene la posibilidad de “reactivar” su cuenta, ingresando al sitio web del link. Que en realidad es un sitio
muy diferente al que aparece por pantalla (es un truco muy sencillo el poner un texto, pero que el link apunte a otra
dirección).

La dirección de destino del link es la que podemos ver en la siguiente imagen:

Como podemos ver, una URL que no tiene nada que ver con MasterCard. Además, el tráfico no está cifrado (no
utiliza HTTPS).

Todas estas cosas nos hacen poder detectar, rápidamente, que se trata de un engaño.

3.5 Consejos de Navegación Segura

A continuación podremos ver varios consejos para lograr una navegación web segura, que nos permita tanto evitar
los ataques de phishing, como otras amenazas.
3.5.1 Evitar los enlaces sospechosos

Uno de los medios más utilizados para direccionar a las víctimas a sitios maliciosos son los hipervínculos o
enlaces. Los enlaces pueden estar presentes en un correo electrónico, una ventana de chat o un mensaje en una red
social: la clave está en analizar si son ofrecidos en alguna situación sospechosa (una invitación a ver una foto en un
idioma distinto al propio, por ejemplo), provienen de un remitente desconocido o remiten a un sitio web poco
confiable.

3.5.2 No acceder a sitios web de dudosa reputación

A través de técnicas de Ingeniería Social, muchos sitios web suelen promocionarse con datos que pueden llamar la
atención del usuario – como descuentos en la compra de productos (o incluso ofrecimientos gratuitos), primicias o
materiales exclusivos de noticias de actualidad, material multimedia, etc. Es recomendable estar atentos a estos
mensajes y evitar acceder a páginas web con estas características.

3.5.3 Actualizar el sistema operativo y aplicaciones

Debemos mantener actualizados con los últimos parches de seguridad no sólo el sistema operativo, sino también el
software instalado en el sistema a fin de evitar la propagación de amenazas a través de las vulnerabilidades que
posea el sistema.

3.5.4 Descargar aplicaciones desde sitios web oficiales

Muchos sitios simulan ofrecer programas populares que son alterados, modificados o suplantados por versiones que
contienen algún tipo de malware y descargan el código malicioso al momento que el usuario lo instala en el
sistema. Por eso, es recomendable que al momento de descargar aplicaciones lo hagamos siempre desde las páginas
web oficiales.

3.5.5 Utilizar tecnologías de seguridad

Las soluciones antivirus, firewall y antispam representan las aplicaciones más importantes para la protección del
equipo ante la principales amenazas que se propagan por Internet. Utilizar estas tecnologías disminuye el riesgo y
exposición ante amenazas.

3.5.6 Cuidar dónde ingresamos información personal

Cuando estamos frente a un formulario web que contenga campos con información sensible (por ejemplo, usuario y
contraseña), es recomendable verificar la legitimidad del sitio. Una buena estrategia es corroborar el dominio y la
utilización del protocolo HTTPS para garantizar la confidencialidad de la información. De esta forma, se pueden
prevenir ataques de phishing que intentan obtener información sensible a través de la simulación de una entidad de
confianza.

3.5.7 Precaución con los resultados de los buscadores web

A través de técnicas de Black Hat SEO , los atacantes suelen posicionar sus sitios web entre los primeros lugares en
los resultados de los buscadores, especialmente en los casos de búsquedas de palabras clave muy utilizadas por el
público, como temas de actualidad, noticias extravagantes o temáticas populares (como por ejemplo, el deporte y el
sexo). Ante cualquiera de estas búsquedas, debemos estar atentos a los resultados y verificar a qué sitios web
estamos siendo dirigidos.

3.6 Aceptar sólo contactos conocidos

Tanto en los clientes de mensajería instantánea como en redes sociales, es recomendable aceptar e interactuar sólo
con contactos conocidos. De esta manera se evita acceder a los perfiles creados por los atacantes para comunicarse
con las víctimas y exponerlas a diversas amenazas como malware, phishing, cyberbullying u otras.

3.7 Evitar la ejecución de archivos sospechosos

La propagación de malware suele realizarse a través de archivos ejecutables. Es recomendable evitar la ejecución
de archivos a menos que se conozca la seguridad del mismo y su procedencia sea confiable (tanto si proviene de un
contacto en la mensajería instantánea, un correo electrónico o un sitio web). Cuando se descargan archivos de redes
P2P, se sugiere analizarlos de modo previo a su ejecución con un una solución de seguridad.

3.8 Utilizar contraseñas fuertes

Muchos servicios en Internet están protegidos con una clave de acceso, de forma de resguardar la privacidad de la
información. Si esta contraseña fuera sencilla o común (muy utilizada entre los usuarios) un atacante podría
adivinarla y por lo tanto acceder indebidamente como si fuera el usuario verdadero. Por este motivo se recomienda
la utilización de contraseñas fuertes, con distintos tipos de caracteres y una longitud de al menos 8 caracteres.

4 GESTIÓN DE CONTRASEÑAS
A día de hoy, las contraseñas siguen siendo la principal forma de protección para nuestros datos y cuentas de
usuario, es por eso que debemos tener ciertas consideraciones para seleccionar contraseñas que nos protejan
adecuadamente.

Dependiendo del sistema en el cual se almacene la contraseña, existen varias formas en las que un atacante podría
intentar conseguirla y obtener acceso a nuestra información privada.

Independientemente del sistema que intentamos proteger, los siguientes son consejos prácticos para seleccionar y
gestionar nuestras contraseñas.

4.1 Consejos Generales

4.1.1 Separación

Utiliza una contraseña distinta para cada una de tus cuentas importantes, como la cuenta de correo electrónico y la
del servicio online del banco. Reutilizar contraseñas conlleva un riesgo. Si alguien averigua tu contraseña para una
cuenta, podría acceder a tu dirección de correo electrónico, o incluso a tu dinero, y saber dónde vives.

Las contraseñas que utilizamos para cuentas que no son de nuestra importancia y que no permiten acceso a datos
confidenciales, pueden ser reutilizadas.
4.1.2 Renovación Periódica

Si alguien ha averiguado tu contraseña, puede que esté accediendo a tu cuenta sin tu conocimiento. Si cambias tu
contraseña de forma periódica, podrás limitar este tipo de acceso no autorizado.

4.1.3 Complejidad

Si utilizas números, símbolos y combinaciones de mayúsculas y minúsculas en tu contraseña, conseguirás que sea
más difícil averiguarla. Por ejemplo, una contraseña de ocho caracteres compuesta por números, símbolos y letras
mayúsculas y minúsculas es más difícil de averiguar que una que sólo esté compuesta por ocho letras en minúscula,
ya que la primera tiene más de 30.000 combinaciones posibles.

4.1.4 Evitar la Inclusión de Datos Personales

Crea una contraseña exclusiva que no esté relacionada con tu información personal y que utilice una combinación
de letras, números y símbolos. Por ejemplo, puedes seleccionar una palabra o una frase al azar e insertar letras y
números en el principio, en el medio y en el final para conseguir que sea muy difícil de averiguar (por ejemplo,
"FeL1C3s@Fi3StAs"). No utilices palabras o frases simples, como "contraseña" o "quieroentrar", ni patrones de
teclado como "qwerty" o "qazwsx", ni patrones secuenciales como "abcd1234", ya que, si lo haces, tu contraseña
será más fácil de averiguar.

4.1.5 Actualizar los Métodos de Recuperación

Algunos sistemas permiten la funcionalidad de “olvidé mi contraseña”, y en la mayoría de los casos se basan en
enviar una contraseña temporal a la dirección de correo electrónico que hayamos configurado para tal propósito.
Siempre debemos mantener actualizada esta información.

4.2 Almacenamiento Seguro de Contraseñas

Una vez seleccionadas las contraseñas para nuestras cuentas, es muy posible que nos veamos en la tarea de
memorizarlas, lo cual muchas veces resulta imposible, por la complejidad y cantidad de las mismas. Es por eso que
se recomienda almacenar las mismas en algún sistema gestor de contraseñas, y se desaconseja terminantemente el
escribir las contraseñas en algún lugar que podría ser visto por otras personas.

Keepass (http://keepass.info) es una aplicación de administración de contraseñas, de código abierto y con un

potente abanico de características. Viene en dos versiones, las que empiezan con 1 (1.x) y las que empiezan con 2
(2.x). Las primeras prácticamente no requieren librerías especiales de Windows; las 2.x, en cambio, dependen de
las bibliotecas de la plataforma .NET 2.0 de Microsoft (incluídas por defecto a partir de Windows Vista, e
instalables en versiones anteriores a Vista).

En el siguiente enlace podemos ver un cuadro comparativo de ambas versiones:

http://keepass.info/compare.html
Ventana principal de KeePass

4.2.1 Utilización de Keepass

Primero, se crea una nueva base de datos de contraseñas (podemos tener varias bases de datos). KeePass solicita
entonces la creación de una clave para proteger las contraseñas que almacenaremos en esa base de datos. Suena
circular, cierto, pero de ahora en más (al menos, en teoría), sólo tendremos que recordar esta única contraseña para
acceder a las demás.

Aceptada la contraseña maestra, el programa produce una serie de subcarpetas (o subgrupos) del grupo General,
con nombres como Windows, Homebanking e Internet.

Desde luego, es posible crear más grupos y subgrupos. Ahora, basta seleccionar un grupo o, más probablemente, un
subgrupo, y apretar el ícono de la llave con la flechita verde (o presionar Ctrl+Y o ir al menú Editar> Añadir
Entrada).

Esto abre un cuadro de diálogo como el que se muestra en la figura. Los campos son bastante obvios, con el
añadido de que además miden la fortaleza de la contraseña.

Podemos inventar nuestras propias contraseñas, o dejar que Keepass lo haga por nosotros.
KeePass protege su base de datos con AES (http://es.wikipedia.org/wiki/Advanced_Encryption_Standard).

Autor: Fabian Martinez Portantier

Colaboradores: Franco Vergara