UNIDAD 2: DIRECTRICES DE SEGURIDAD INFORMÁTICA

2.1 criptografía
La criptografía es una herramienta muy útil cuando se desea tener seguridad
informática; puede ser también entendida como un medio para garantizar las
propiedades de confidencialidad, integridad y disponibilidad de los recursos de un
sistema. Con la criptografía se puede garantizar las propiedades de integridad y
confidencialidad, pero hay que saber cómo utilizarla, para ello es importante tener
claros los conceptos básicos que están detrás de los sistemas criptográficos
modernos. Estos conceptos van desde entender qué es la criptografía, cómo está
clasificada, entender el funcionamiento básico de algunos sistemas de cifrado y
conocer cómo se forman los documentos digitales como firmas y sobres digitales.
Las diferentes entidades públicas y privadas manejan sofisticados sistemas de
información (redes, bases de datos, correos personales o corporativos, sitios web,
etc.) donde se almacenan y transmiten considerables volúmenes de datos, muy
sensibles cuya confidencialidad, integridad y disponibilidad son aspectos
fundamentales dentro del funcionamiento y estabilidad de las mismas. La
criptografía es una herramienta de seguridad que le brinda a las organizaciones
proteger sus datos encriptándolos y que únicamente las personas autorizadas
puedan acceder a ellos por medio de llaves o firmas digitales. Sin embargo, en el
caso que lleguen a ser vulnerados o extraídos del medio de transmisión, la
criptografía debe garantizar que los mensajes no pueden ser leídos o
desencriptados por personas ajenas o malintencionadas.

Antes de ver el ámbito legal de la criptografía hay que tener claro su clasificación:
CRIPTOGRAFÍA CLÁSICA: se realiza a través de métodos de substitución y
transposición, en otras palabras, se remplazan letras del alfabeto por otras
colocadas en una posición distinta o simplemente se mandan letras en diversas
combinaciones.

CRIPTOGRAFÍA MODERNA: se caracteriza por que es digital, se clasifica en dos

sistemas:
Criptografía de llave secreta simétrica: consiste en definir una única clave o llave
secreta y que es conocida por emisores y los receptores, esta se emplea para
efectuar el encriptado y desencriptado del mensaje transmitido en un canal seguro
con ayuda de las matemáticas y un grupo de algoritmos
Criptografía de llave pública o asimétrica: en este método se definen 2 claves
ligadas, una privada que se tramite por un canal X encargada de encriptar el
mensaje y la otra clave pública que efectúa el desencriptado.
2.2 Esteganografía
La esteganografía es la ciencia y el arte de ocultar una información dentro de otra,
que haría la función de tapadera o cubierta, con la intención de que no se perciba
ni siquiera la existencia de dicha información. A menudo la utilización de esta
tapadera o cubierta con fines esteganográficos recibe el nombre de estegomedio.
Así dependiendo de la tapadera que estemos utilizando hablaremos de estego-
imágenes (si se usa una imagen inofensiva como tapadera), estego-vídeo, estego-
audio, estego-texto, etc. En teoría, sólo quienes conozcan cierta información
acerca de la ocultación, un secreto (típicamente una clave), estarían en
condiciones de descubrirla. En la criptografía, en cambio, no se oculta la
existencia del mensaje, sino que se hace ilegible para quien no esté al tanto de un
determinado secreto, la clave. No obstante, una característica que ambas
comparten es que se trata de que un emisor envíe un mensaje que sólo puede ser
entendido por uno o varios receptores apoyándose en el hecho de que ambos
extremos de la comunicación comparten un secreto específico.
El término esteganografía, cuyo origen etimológico proviene de las palabras
griegas Steganos (oculto) y Graphein (escribir) se puede traducir como escritura
oculta y llega a nuestros días como una traducción del término inglés
steganography, que a su vez proviene del título del libroSteganographia, escrito
por el abad alemán Johannes Trithemius (1462-1516) en 1499. El libro
Steganographia, posiblemente el trabajo más famoso del autor, está compuesto
por 3 volúmenes, escritos en latín. Los dos primeros recogen procedimientos de
escritura oculta, mientras que el tercero, hace referencia a temas mágicos, como
astrología o magia negra. Los trabajos de Johannes Trithemius son considerados
como influyentes en la evolución de la criptografía, así como influyente en la
historia de la esteganografía, ya que define sistemas para ocultar mensajes
secretos dentro de mensajes aparentemente inofensivos. El libro Steganographia,
tuvo una circulación reducida en el siglo XVI, concretamente en círculos privados,
hasta que se publicó finalmente en 1606.

2.3 Certificados y Firmas Digitales.

Una de las principales ventajas de la criptografía de clave pública es que ofrece un
método para el desarrollo de firmas digitales.
La firma digital es el procedimiento por el cual se puede autenticar al emisor de un
mensaje y confirmar que el mensaje no ha sido alterado desde que fue firmado por
el emisor durante la transmisión y gestión de mensajes electrónicos. La firma
digital permite que tanto el receptor como el emisor de un contenido puedan
identificarse mutuamente con la certeza de que son ellos los que están
interactuando, evita que terceras personas intercepten esos contenidos y que los
mismos puedan ser alterados.
Esta firma viene a sustituir a la manuscrita en el mundo de la informática. Es decir,
si firmamos de forma digital un documento, le estaremos dando veracidad y como
sucede con la firma manuscrita, no podremos decir que no lo hemos firmado
nosotros. Sin embargo, una firma manuscrita es sencilla de falsificar mientras que
la digital es imposible mientras no se descubra la clave privada del firmante.
El Certificado Digital es el único medio que permite garantizar técnica y legalmente
la identidad de una persona en Internet. Se trata de un requisito indispensable
para que las instituciones puedan ofrecer servicios seguros a través de Internet.
Además:
El certificado digital permite la firma electrónica de documentos El receptor de un
documento firmado puede tener la seguridad de que éste es el original y no ha
sido manipulado y el autor de la firma electrónica no podrá negar la autoría de esta
firma.
El certificado digital permite cifrar las comunicaciones. Solamente el destinatario
de la información podrá acceder al contenido de la misma.
En definitiva, la principal ventaja es que disponer de un certificado le ahorrará
tiempo y dinero al realizar trámites administrativos en Internet, a cualquier hora y
desde cualquier lugar.
Un Certificado Digital consta de una pareja de claves criptográficas, una pública y
una privada, creadas con un algoritmo matemático, de forma que aquello que se
cifra con una de las claves sólo se puede descifrar con su clave pareja.
El titular del certificado debe mantener bajo su poder la clave privada, ya que, si
ésta es sustraída, el sustractor podría suplantar la identidad del titular en la red. En
este caso el titular debe revocar el certificado lo antes posible, igual que se anula
una tarjeta de crédito sustraída.

2.4 Hacking ético.

La piratería ética efectiva se basa en el conocimiento de la red del sistema, el
equipo, la interacción del usuario, las políticas, los procedimientos, la seguridad
física y la cultura empresarial. A partir de esta conjetura se podría definir qué es el
hacking ético.
La protección de los sistemas y redes actuales requiere una comprensión amplia
de las estrategias de ataque y un conocimiento profundo de las tácticas,
herramientas y motivaciones del pirata informático. El creciente uso de
metodologías de ataque de ingeniería social exige que cada probador sea
consciente de la organización y los hábitos de sus usuarios de TI (personal).
Qué es un hacking ético se define a través de lo que hacen los profesionales que
se dedican a ello, es decir, los piratas informáticos éticos. Estas personas son
contratadas para hackear un sistema e identificar y reparar posibles
vulnerabilidades, lo que previene eficazmente la explotación por hackers
maliciosos. Son expertos que se especializan en las pruebas de penetración de
sistemas informáticos y de software con el fin de evaluar, fortalecer y mejorar la
seguridad.
Este tipo de pirata informático a menudo se denomina como hacker de ‘sombrero
blanco’ (White hat), con el fin de diferenciarlos de los piratas informáticos
criminales, que se conocen como hackers de ‘sombrero negro’.
Una de las armas más poderosas en la lucha contra los ciberdelincuentes ha sido
la de los piratas informáticos. Los profesionales con un profundo conocimiento de
cómo penetrar en la seguridad de una infraestructura en línea se implementan
comúnmente para encontrar vulnerabilidades que aquellos del otro lado del
espectro de piratería moral buscarían explotar.

2.5 Cómputo forense.

El cómputo forense, también llamado informática forense, computación forense,
análisis forense digital o examen forense digital es la aplicación de técnicas
científicas y analíticas especializadas a infraestructuras tecnológicas que permiten
identificar, preservar, analizar y presentar datos válidos dentro de un proceso
legal.
Dichas técnicas incluyen reconstruir elementos informáticos, examinar datos
residuales, autenticar datos y explicar las características técnicas del uso de datos
y bienes informáticos.
Como la definición anterior lo indica, esta disciplina no solo hace uso de
tecnologías de punta para mantener la integridad de los datos y del procesamiento
de los mismos; sino que también requiere de una especialización y conocimientos
avanzados en materia de informática y sistemas para poder detectar qué ha
sucedido dentro de cualquier dispositivo electrónico. La formación del informático
forense abarca no solo el conocimiento del software sino también de hardware,
redes, seguridad, piratería, craqueo y recuperación de información.

2.6 IDS y IPS.

IDS o sistema de detección de intrusos, también va complementado con un IPS o
sistema de prevención de intrusos , esto nos protege de amenazas externas en la
red o redes que estemos conectados , como accesos no autorizados a la internet
u otras redes externas denegando las transmisiones y vigilando los puertos de la
red , también ocultan la IP y puertos de nuestra red , también monitorean la red
impidiendo ataques de negación de servicios y ataques de servicios distribuidos y
llevan a cabo un análisis en tiempo real de las conexiones y los protocolos para
determinar si se está produciendo o se va a producir un incidente. Son
herramientas utilizadas para detectar y prevenir accesos no autorizados a un
equipo o a una red, es decir hay IPS/IDS de equipo y de red, ambos monitorizan el
tráfico para determinar y prevenir comportamientos sospechosos. Se integran con
frecuencia con cortafuegos que realizan la función de bloquear el tráfico
sospechoso

TIPOS DE IDS
El término IDS (Sistema de detección de intrusiones) hace referencia a un
mecanismo que, sigilosamente, escucha el tráfico en la red para detectar
actividades anormales o sospechosas, y de este modo, reducir el riesgo de
intrusión.
Existen dos claras familias importantes de IDS:
El grupo N-IDS (Sistema de detección de intrusiones de red), que garantiza la
seguridad dentro de la red.
El grupo H-IDS (Sistema de detección de intrusiones en el host), que garantiza la
seguridad en el host.
Un N-IDS necesita un hardware exclusivo. Éste forma un sistema que puede
verificar paquetes de información que viajan por una o más líneas de la red para
descubrir si se ha producido alguna actividad maliciosa o anormal. El N-IDS pone
uno o más de los adaptadores de red exclusivos del sistema en modo promiscuo.
Éste es una especie de modo “invisible” en el que no tienen dirección IP. Tampoco
tienen una serie de protocolos asignados. Es común encontrar diversos IDS en
diferentes partes de la red. Por lo general, se colocan sondas fuera de la red para
estudiar los posibles ataques, así como también se colocan sondas internas para
analizar solicitudes que hayan pasado a través del firewall o que se han realizado
desde dentro.
El H-IDS se encuentra en un host particular. Por lo tanto, su software cubre una
amplia gama de sistemas operativos como Windows, Solaris, Linux, HP-UX, Aix
etc. El H-IDS actúa como un daemon o servicio estándar en el sistema de un host.
Tradicionalmente, el H-IDS analiza la información particular almacenada en
registros (como registros de sistema, mensajes, lastlogs y wtmp) y también
captura paquetes de la red que se introducen/salen del host para poder verificar
las señales de intrusión (como ataques por denegación de servicio, puertas
traseras, troyanos, intentos de acceso no autorizado, ejecución de códigos
malignos o ataques de desbordamiento de búfer).

2.7 Seguridad en Linux

Dado que Linux ha sido diseñado para soportar múltiples usuarios, ofrece muchos
modos de acceder al sistema, además de diversas herramientas y órdenes
relativas a la seguridad.
Las cuestiones de seguridad se pueden agrupar en varias categorías. Hablando
en términos generales, dado que el tema de seguridad es muy amplio podemos
distinguir en una primera categoría la protección que Linux proporciona al solicitar
la identificación y contraseña la identificación a cada usuario para poder acceder al
sistema de cualquiera de las formas posibles: local, remoto, etc. La segunda
categoría es la protección de ficheros, tanto desde el sistema operativo, como de
los ficheros de usuario. En tercer lugar, estaría el establecimiento de normas de
seguridad frente ataques del sistema, así como la seguridad física de la propia
máquina.

En los siguientes apartados veremos algunos de los aspectos más básicos de la

seguridad.
Seguridad de acceso al sistema

2.8 Seguridad en Wi-Fi.

Introducción
Mientras que en las redes cableadas es más complicado conectarse de forma
ilegítima -habría que conectarse físicamente mediante un cable-, en las redes
inalámbricas -donde la comunicación se realiza mediante ondas de radio-, esta
tarea es más sencilla. Debido a esto hay que poner especial cuidado
en blindar nuestra red Wi-Fi.
Consideraciones previas
Los paquetes de información en las redes inalámbricas viajan en forma de ondas
de radio. Las ondas de radio -en principio- pueden viajar más allá de las paredes y
filtrarse en habitaciones/casas/oficinas contiguas o llegar hasta la calle.
Si nuestra instalación está sniffers- y obtener así contraseñas de nuestras cuentas
de correo, el contenido de nuestras conversaciones por chats, redes sociales, etc.
Si la infiltración no autorizada en redes inalámbricas de por sí ya es grave en una
instalación residencial (en casa), mucho más peligroso es en una instalación
corporativa. Y desgraciadamente, cuando analizamos el entorno corporativo nos
damos cuenta de que las redes cerradas son más bien escasas.
Sin pretender invitaros a hacer nada ilegal, podéis comprobar la cantidad de redes
abiertas que podéis encontrar sin más que utilizar el programa Network Stumbler o
la función Site Survey o escaneo de redes de vuestro PDA con Wi-Fi o de vuestro
portátil mientras dáis un paseo por vuestro barrio o por vuestra zona de trabajo.
3. Objetivo: conseguir una red Wi-Fi más segura
El protocolo 802.11 implementa encriptación WEP, pero no podemos mantener
WEP como única estrategia de seguridad ya que no es del todo seguro. Existen
aplicaciones para Linux y Windows (como AiroPeek AirSnort, AirMagnet o
WEPCrack) que, escaneando el suficiente número de paquetes de información de
una red Wi-Fi, son capaces de obtener las claves WEP utilizadas y permitir el
acceso de intrusos a nuestra red.
Más que hablar de la gran regla de la seguridad podemos hablar de una serie de
estrategias que, aunque no definitivas de forma individual, en su conjunto pueden
mantener nuestra red oculta o protegida de ojos ajenos.

Item Complejidad
 

1. Cambia la contraseña por defecto. Baja

2. Usa encriptación WEP/WPA. Alta
3. Cambia el SSID por defecto. Baja
4. Desactiva el broadcasting SSID. Media
5. Activa el filtrado de direcciones MAC. Alta
6. Establece el nº máximo de dispositivos que pueden conectarse. Media
7. Desactiva DHCP. Alta
8. Desconecta el AP cuando no lo uses. Baja
9. Cambia las claves WEP regularmente. Media
A continuación entramos en detalle sobre cada uno de los items de la tabla
anterior.
Nota 1: Antes de realizar los cambios recomendados a continuación, consulta el
manual del Punto de Acceso y del accesorio o dispositivo Wi-Fi para información
detallada sobre cómo hacerlo.
Nota 2: En los siguientes consejos aparece la figura de el observador, como la
persona de la que queremos proteger nuestra red.
Asegurar el Punto de Acceso
Cambia la contraseña por defecto.
Todos los fabricantes establecen un password por defecto de acceso a la
administración del Punto de Acceso.Al usar un fabricante la misma contraseña
para todos sus equipos, es fácil o posible que el observador la conozca.
[!] Evita contraseñas como tu fecha de nacimiento, el nombre de tu pareja, etc.
Intenta además intercalar letras con números.
Aumentar la seguridad de los datos transmitidos:
Usa encriptación WEP/WPA
Activa en el Punto de Acceso la encriptación WEP. Mejor de 128 bits que de 64
bits… cuanto mayor sea el número de bits mejor.Los Puntos de Acceso más
recientes permiten escribir una frase a partir de la cual se generan
automáticamente las claves. Es importante que en esta frase intercales
mayúsculas con minúsculas y números, evites utilizar palabras incluidas en el
diccionario y secuencias contiguas en el teclado (como «qwerty», «fghjk» o
«12345»).
También tendrás que establecer en la configuración WEP la clave que se utilizará
de las cuatro generadas (Key 1, Key 2, Key 3 o Key 4).
Después de configurar el AP tendrás que configurar los accesorios o dispositivos
Wi-Fi de tu red. En éstos tendrás que marcar la misma clave WEP (posiblemente
puedas utilizar la frase anterior) que has establecido para el AP y la misma clave a
utilizar (Key 1, Key 2, Key 3 o Key 4).
[!] Ya hemos visto que con algunos programas y el suficiente tiempo pueden
obtenerse estas claves. En cualquier caso si el observador encuentra una red sin
encriptación y otra con encriptación, preferirá «investigar» la primera en vez de la
segunda.
Algunos Puntos de Acceso más recientes soportan también encriptación WPA (Wi-
Fi Protected Access), encriptación dinámica y más segura que WEP.Si activas
WPA en el Punto de Acceso, tanto los accesorios y dispositivos WLAN de tu red
como tu sistema operativo deben soportarlo (Palm OS por el momento no y para
Windows XP es necesario instalar una actualización). Ocultar tu red Wi-Fi:
Cambia el SSID por defecto
Suele ser algo del estilo a «default», «wireless», «101», «linksys» o «SSID».En
vez de «MiAP», «APManolo» o el nombre de la empresa es preferible escoger
algo menos atractivo para el observador, como puede ser «Broken», «Down» o
«Desconectado».
Si no llamamos la atención de el observador hay menos posibilidades de que éste
intente entrar en nuestra red.
Desactiva el broadcasting SSID
El broadcasting SSID permite que los nuevos equipos que quieran conectarse a la
red Wi-Fi identifiquen automáticamente los datos de la red inalámbrica, evitando
así la tarea de configuración manual.Al desactivarlo tendrás que introducir
manualmente el SSID en la configuración de cada nuevo equipo que quieras
conectar.
[!] Si el observador conoce nuestro SSID (por ejemplo si está publicado en alguna
web de acceso libre) no conseguiremos nada con este punto.
Evitar que se conecten:
Activa el filtrado de direcciones MAC
Activa en el AP el filtrado de direcciones MAC de los dispositivos Wi-Fi que
actualmente tengas funcionando. Al activar el filtrado MAC dejarás que sólo los
dispositivos con las direcciones MAC especificadas se conecten a tu red Wi-Fi.
[!] Por un lado es posible conocer las direcciones MAC de los equipos que se
conectan a la red con tan sólo «escuchar» con el programa adecuado, ya que las
direcciones MAC se transmiten «en abierto», sin encriptar, entre el Punto de
Acceso y el equipo.
Además, aunque en teoría las direcciones MAC son únicas a cada dispositivo de
red y no pueden modificarse, hay comandos o programas que permiten simular
temporalmente por software una nueva dirección MAC para una tarjeta de red.
Establece el número máximo de dispositivos que pueden conectarse
Si el AP lo permite, establece el número máximo de dispositivos que pueden
conectarse al mismo tiempo al Punto de Acceso.
Desactiva DHCP
Desactiva DHCP en el router ADSL y en el AP.En la configuración de los
dispositivos/accesorios Wi-Fi tendrás que introducir a mano la dirección IP, la
puerta de enlace, la máscara de subred y el DNS primario y secundario.
[!] Si el observador conoce «el formato» y el rango de IPs que usamos en nuestra
red, no habremos conseguido nada con este punto.
Para los más cautelosos:
Desconecta el AP cuando no lo uses
Desconecta el Punto de Acceso de la alimentación cuando no lo estés usando o
no vayas a hacerlo durante una temporada. El AP almacena la configuración y no
necesitarás introducirla de nuevo cada vez que lo conectes.
Cambia las claves WEP regularmente
Por ejemplo semanalmente o cada 2 ó 3 semanas.Antes decíamos que existen
aplicaciones capaces de obtener la clave WEP de nuestra red Wi-Fi analizando los
datos transmitidos por la misma. Pueden ser necesarios entre 1 y 4 Gb de datos
para romper una clave WEP, dependiendo de la complejidad de las claves.
Cuando lleguemos a este caudal de información transmitida es recomendable
cambiar las claves. Recuerda que tendrás que poner la misma clave WEP en el
Punto de Acceso y en los dispositivos que se vayan a conectar a éste.