Vigilancia

La vigilancia es un proceso de monitoreo, ya sea de seres humanos, animales, objetos o procesos. La intencin es que lo vigilado acte o se mantenga dentro de los parmetros esperados. En algunas cuestiones, la vigilancia desarrollada con el objetivo de garantizar la seguridad entra en conflicto con la privacidad de las personas. Ese es el caso de las cmaras instaladas en lugares pblicos.

Anatoma de un ataque, identificacin de objetivos, reconocimiento inicial

Conocer las diferentes etapas que conforman un ataque informtico brinda la ventaja de aprender a pensar como los atacantes y a jams subestimar su mentalidad. Desde la perspectiva del profesional de seguridad, se debe aprovechar esas habilidades para comprender y analizar la forma en que los atacantes llevan a cabo un ataque. Fase 1: Reconnaissance (Reconocimiento). Esta etapa involucra la obtencin de informacin (Information Gathering) con respecto a una potencial vctima que puede ser una persona u organizacin. Por lo general, durante esta fase se recurre a diferentes recursos de Internet como Google, entre tantos otros, para recolectar datos del objetivo. Algunas de las tcnicas utilizadas en este primer paso son la Ingeniera Social, el Dumpster Diving, el sniffing. Fase 2: Scanning (Exploracin). En esta segunda etapa se utiliza la informacin obtenida en la fase 1 para sondear el blanco y tratar de obtener informacin sobre el sistema vctima como direcciones IP, nombres de host, datos de autenticacin, entre otros. Entre las herramientas que un atacante puede emplear durante la xploracin se encuentra el network mappers, port mappers, network scanners, port scanners, y vulnerability scanners.
Fase 3: Gaining Access (Obtener acceso). En esta instancia comienza a materializarse el ataque a travs de la explotacin de las

vulnerabilidades y defectos del sistema (Flaw exploitation) descubiertos durante las fases de reconocimiento y exploracin. Fase 4: Maintaining Access (Mantener el acceso). Una vez que el atacante ha conseguido acceder al sistema, buscar implantar herramientas que le permitan volver a acceder en el futuro desde cualquier lugar donde tenga acceso a Internet. Para ello, suelen recurrir a utilidades backdoors, rootkits y troyanos.

Fase 5: Covering Tracks (Borrar huellas). Una vez que el atacante logr obtener y mantener el acceso al sistema, intentar borrar todas las huellas que fue dejando durante la intrusin para evitar ser detectado por el profesional de seguridad o los administradores de la red. En consecuencia, buscar eliminar los archivos de registro (log) o alarmas del Sistema de Deteccin de Intrusos (IDS).

Tcnicas de recopilacin de informacin y anlisis forense.

El anlisis forense en un sistema informtico es una ciencia moderna que permite reconstruir lo que ha sucedido en un sistema tras un incidente de seguridad. Este anlisis puede determinar quin, desde dnde, cmo, cundo y qu acciones ha llevado a cabo un intruso en los sistemas afectados por un incidente de seguridad. Estudio preliminar. En esta fase se realiza un estudio inicial mediante entrevistas y documentacin entregada por el cliente con el objetivo de tener una idea inicial del problema que nos vamos a encontrar. Adquisicin de datos. Se realiza una obtencin de los datos e informaciones esenciales para la investigacin. Se duplican o clonan los dispositivos implicados para un posterior anlisis. En esta fase habr que tener mucho cuidado en la adquisicin de los datos puesto que cabe la posibilidad de incumplir los derechos fundamentales del atacante. Anlisis e investigacin. Se realiza un estudio con los datos adquiridos en la fase anterior. En esta fase tambin habr que tener mucho cuidado puesto que cabe la posibilidad de incumplir los derechos fundamentales del atacante.

Realizacin del informe. En esta fase se elabora el informe que ser remitido a la direccin de la organizacin o empresa. Posteriormente, se podr usar para acompaar la denuncia que realicemos a la autoridad competente.

Identificacin y ataques a puertos TCP/UDP.

El protocolo UDP: es un protocolo no orientado a conexin. Es decir cuando una maquina A enva paquetes a una maquina B, el flujo es unidireccional. La transferencia de datos es realizada sin haber realizado previamente una conexin con la mquina de destino (maquina B), y el destinatario recibir los datos sin enviar una confirmacin al emisor (la maquina A). Esto es debido a que la encapsulacin de datos enviada por el protocolo UDP no permite transmitir la informacin relacionada al emisor. Por ello el destinatario no conocer al emisor de los datos excepto su IP. El protocolo TCP Contrariamente a UDP, el protocolo TCP est orientado a conexin. Cuando una mquina A enva datos a una mquina B, la mquina B es informada de la llegada de datos, y confirma su buena recepcin. Aqu interviene el control CRC de datos que se basa en una ecuacin matemtica que permite verificar la integridad de los datos transmitidos. De este modo, si los datos recibidos son corruptos, el protocolo TCP permite que los destinatarios soliciten al emisor que vuelvan a enviar los datos corruptos.

Identificacin y ataques a servicios

Un ataque de denegacin de servicios, tambin llamado taque DoS (de las siglas en ingls Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legtimos. Normalmente provoca la prdida de la conectividad de la red por el consumo del ancho de banda de la red de la vctima o sobrecarga de los recursos computacionales del sistema de la vctima. Un ejemplo notable de este tipo de ataque se produjo el 27 de marzo de 2013, cuando un ataque de una empresa a otra inund la red de spam provocando una ralentizacin generalizada de Internet e incluso lleg a afectar a puntos clave como el nodo central de Londres-

Se genera mediante la saturacin de los puertos con flujo de informacin, haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios; por eso se le denomina "denegacin", pues hace que el servidor no d abasto a la cantidad de solicitudes. Esta tcnica es usada por los llamados crackers para dejar fuera de servicio a servidores objetivo.

Identificacin de vulnerabilidades
El nivel de riesgo se determina analizando la relacin entre las amenazas y las vulnerabilidades. Un riesgo existe cuando una amenaza tiene una vulnerabilidad correspondiente, aunque hay reas de alta vulnerabilidad que no tienen consecuencias si no presentan amenazas. Se denomina Identificacin al momento en que el usuario se da a conocer en el sistema; y Autenticacin a la verificacin que realiza el sistema sobre esta identificacin. Al igual que se consider para la seguridad fsica, y basada en ella, existen cuatro tipos de tcnicas que permiten realizar la autenticacin de la identidad del usuario, las cuales pueden ser utilizadas individualmente o combinadas:
1.

2. 3. 4.

Algo que solamente el individuo conoce: por ejemplo una clave secreta de acceso o password, una clave criptogrfica, un nmero de identificacin personal o PIN, etc. Algo que la persona posee: por ejemplo una tarjeta magntica. Algo que el individuo es y que lo identifica unvocamente: por ejemplo las huellas digitales o la voz. Algo que el individuo es capaz de hacer: por ejemplo los patrones de escritura.

6.4.1. Tcnicas manuales 6.4.2. Tcnicas automticas

6.5. Actividades de infiltracin 6.5.1. Sistema operativo

6.5.2. Aplicaciones 6.5.3. Bases de datos 6.6. Consolidacin 6.6.1. Consolidacin

Creacin de una DMZ

Una DMZ (del ingls Demilitarized zone) o Zona Desmilitarizada es una red local que se ubica entre la red interna de una organizacin y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estn permitidas, mientras que las conexiones desde la DMZ slo se permitan a la red externa, es decir: los equipos locales (hosts) en la DMZ no pueden conectar con la red interna. Esto permite que los equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un laberinto sin salida.

Antivirus
Los antivirus son programas cuyo objetivo es detectar y/o eliminar virus informticos. Nacieron durante la dcada de 1980. Con el transcurso del tiempo, la aparicin de sistemas operativos ms avanzados e Internet, ha hecho que los antivirus hayan evolucionado hacia programas ms avanzados que no slo buscan detectar virus informticos, sino bloquearlos, desinfectar archivos y prevenir una infeccin de los mismos, y actualmente ya son capaces de reconocer otros tipos de malware, como spyware,gusanos, troyanos, rootkits, etc.

Dentro de las contaminaciones ms frecuentes por interaccin del usuario estn las siguientes:

Mensajes que ejecutan automticamente programas (como el programa de correo que abre directamente un archivo adjunto). Ingeniera social, mensajes como: Ejecute este programa y gane un premio. Entrada de informacin en discos de otros usuarios infectados. Instalacin de software que pueda contener uno o varios programas maliciosos. Unidades extrables de almacenamiento (USB).

Tipos de vacunas

Slo deteccin: son vacunas que slo actualizan archivos infectados, sin embargo, no pueden eliminarlos o desinfectarlos. Deteccin y desinfeccin: son vacunas que detectan archivos infectados y que pueden desinfectarlos. Deteccin y aborto de la accin: son vacunas que detectan archivos infectados y detienen las acciones que causa el virus. Comparacin por firmas: son vacunas que comparan las firmas de archivos sospechosos para saber si estn infectados. Comparacin de firmas de archivo: son vacunas que comparan las firmas de los atributos guardados en tu equipo.

Nat.
NAT (Network Address Translation - Traduccin de Direccin de Red) es un mecanismo utilizado por routers IP para intercambiar paquetes entre dos redes que asignan mutuamente direcciones incompatibles. Consiste en convertir, en tiempo real, las direcciones utilizadas en los paquetes transportados. Tambin es necesario editar los paquetes para permitir la operacin de protocolos que incluyen informacin de direcciones dentro de la conversacin del protocolo.

El tipo ms simple de NAT proporciona una traduccin una-a-una de las direcciones IP. La RFC 2663 se refiere a este tipo de NAT como NAT Bsico, tambin se le conoce como NAT una-a-una. En este tipo de NAT nicamente, las direcciones IP, las sumas de comprobacin (checksums) de la cabecera IP, y las sumas de comprobacin de nivel superior, que se incluyen en la direccin IP necesitan ser cambiadas. El resto del paquete se puede quedar sin tocar (al menos para la funcionalidad bsica del TCP/UDP, algunos protocolos de nivel superior pueden necesitar otra forma de traduccin).

Proxy
Un proxy, en una red informtica, es un programa o dispositivo que realiza una accin en representacin de otro, esto es, si una hipottica mquina A solicita un recurso a una C, lo har mediante una peticin a B; C entonces no sabr que la peticin procedi originalmente de A. Esta situacin estratgica de punto intermedio suele ser aprovechada para soportar una serie de funcionalidades: proporcionar cach, control de acceso, registro del trfico, prohibir cierto tipo de trfico, etc. Su finalidad ms habitual es la de servidor proxy, que consiste en interceptar las conexiones de red que un cliente hace a un servidor de destino, por varios motivos posibles como seguridad, rendimiento, anonimato, etc. Esta funcin de servidor proxy puede ser realizada por un programa o dispositivo. Caractersticas La palabra en ingls proxy significa intermediario en espaol. El uso ms comn es el de servidor proxy, que es un ordenador que intercepta las conexiones de red que un cliente hace a un servidor de destino. De ellos, el ms famoso es el servidor proxy web (comnmente conocido solamente como proxy). Intercepta la navegacin de los clientes por pginas web, por varios motivos posibles: seguridad, rendimiento, anonimato, etc. Tambin existen proxy para otros protocolos, como el proxy de FTP. El proxy ARP puede hacer de enrutador en una red, ya que hace de intermediario entre ordenadores.

Proxy (patrn de diseo) tambin es un patrn de diseo (programacin) con el mismo esquema que el proxy de red. Hay dos tipos de proxys atendiendo a quien es el que quiere implementar la poltica del proxy: Proxy local: En este caso el que quiere implementar la poltica es el mismo que hace la peticin. Por eso se le llama local. Suelen estar en la misma mquina que el cliente que hace las peticiones. Son muy usados para que el cliente pueda controlar el trfico y pueda establecer reglas de filtrado que por ejemplo pueden asegurar que no se revela informacin privada (Proxys de filtrado para mejora de la privacidad). Proxy externo: El que quiere implementar la poltica del proxy es una entidad externa. Por eso se le llama externo. Se suelen usar para implementar cacheos, bloquear contenidos, control del trfico, compartir IP, etc.