Implantacin de mecanismos de seguridad activa.

Caso prctico
Hoy Juan ha acudido a una feria de muestras, para promocionar su empresa, se ha llevado con l a Mara
para que conozca un poco ms del sector. Despus de ver varios expositores ha descubierto que la
competencia hace mucha publicidad de los sistemas informticos que utilizan en sus instalaciones.
Has visto que todos hablan de sus instalaciones informticas?
S, pero veo que casi ninguno hace referencia a que su sistema sea seguro.
Seguro? Qu tiene que ver la informtica con la seguridad?
Mucho, es muy importante que un sistema sea seguro y est preparado contra cualquier ataque.
Ataque de quin? Qu es lo que se puede hacer?
Te voy a contar todo lo que podemos hacer contra los intrusos informticos!
Intrusos?
S, personas que se dedican a intentar asaltar los equipos informticos de otros para aprovecharse de ellos.
Lo que nos faltaba!
No te preocupes Juan, he estado analizando los ataques que podemos sufrir y las medidas para
contrarrestarlos. Adems, tener una red segura nos har ser ms competitivos y tendremos ms confianza
por parte de nuestros clientes.
Mejorar nuestra imagen y nuestra seguridad al tiempo?
Claro, imagnate que nuestros clientes descubrieran que nuestro sistema informtico permite que alguien
pueda sacar informacin desde Internet, por ejemplo, sus datos personales.
Cuando volvamos a la oficina, me cuentas todo eso de las medidas para contrarrestar los ataques, ahora
vamos a acabar de ver las novedades que hay por aqu.

Ataques y contramedidas en sistemas personales.

Caso prctico
De vuelta en la oficina Juan sigue dndole vueltas a todo lo que ha visto en la feria y se ha dado cuenta de
que su competencia parece que dedica bastantes recursos a mejorar las instalaciones informticas. Para
poder ser competitivo se est dando cuenta de que el sistema informtico debe ser una parte importante de su
empresa, el contratar a Mara parece que fue una buena idea.
Me cuentas un poco lo de los ataques de los intrusos?
Bien, un momento, ahora voy y te hago un pequeo resumen.
Mara le contar a Juan los tipos de ataques que puede sufrir el sistema informtico y las tcnicas que
utilizan, as como los ataques por los que ms debera preocuparse.

A nosotros nos deben preocupar sobre todo los ataques en los que intenten robarnos contraseas.
Sobre todo las de las cuentas bancarias.
Por eso no debes contestar nunca a un correo sospechoso.
Ya, ya...
Tambin debemos evitar ataques que intenten manipular nuestra base de datos.
Pueden hacerlo?
S, imagnate que nuestra competencia fuera capaz de visualizar todo lo que tenemos registrado.
No tena ni idea de que se pudiera hacer esto.
Antes de ensear a Juan como evitar los ataques, Mara describir de manera sencilla la anatoma de los
ataques y pasar despus a contarle cuales son las herramientas preventivas y paliativas que se pueden
utilizar.
Esto es como ser un mdico, antes de enfermar hay que prevenir y si se ha enfermado, habr que curar lo
antes posible.
Ya lo veo!
La seguridad informtica es un proceso en el que intervienen todos los activos de un sistema informtico.
Dependiendo de la manera de tratar a estos activos se puede hacer una clasificacin de la seguridad como:

Fsica o lgica.
Activa o pasiva.

Diferenciar entre seguridad fsica y seguridad lgica es relativamente sencillo, si se piensa en la parte
hardware (fsica) y la parte software (lgica) del sistema. En cuanto a la seguridad activa o pasiva, se dice
que se emplean mecanismos de seguridad activa cuando estos tienen como objetivo evitar daos en el
sistema, y son de seguridad pasiva cuando dichos mecanismos se emplean para minimizar los daos
causados por un incidente de seguridad.
El objetivo de la seguridad de un sistema (y para los informticos tambin) es que el sistema permanezca en
condiciones ptimas, no sufra ataques y si se llevan a cabo dichos ataques, minimizar los daos y reconstruir
el sistema lo antes posible.
Un ataque en un sistema informtico es la materializacin de una amenaza. Siempre que haya amenazas, el
sistema es vulnerable. Los mecanismos de seguridad activa tienen como objetivo proteger al sistema contra
los ataques para conseguir que el sistema sea lo ms seguro posible (invulnerable).
Prevenir un ataque es una medida de seguridad activa y minimizar los daos producidos por un ataque es
una medida de seguridad pasiva.

Un ataque informtico es cualquier accin que tiene como finalidad desestabilizar el funcionamiento de un
sistema informtico, para ello se aprovecha de cualquier vulnerabilidad en alguno de sus activos (hardware,
software, datos o personas). Para anular los ataques se utilizan las contramedidas.

El que no aparezcan los caracteres de una contrasea cuando se escribe es una contramedida contra un
posible ataque para descubrirla cuando la estamos tecleando.

Autoevaluacin
La diferencia entre seguridad activa y pasiva es que:
La activa se emplea para evitar daos y la pasiva para minimizarlos.
Correcto. La seguridad activa previene y la pasiva pala

Clasificacin de los ataques.

Los ataques se pueden clasificar bsicamente en dos grupos considerando el efecto que producen en el
sistema en:

Activos.
Pasivos.

Los ataques pasivos no producen cambios, se limitan a extraer informacin y en la mayora de los casos el
afectado no percibe el ataque.
Los ataques activos producen cambios en el sistema. Si se profundiza ms en los tipos de ataques nos
podremos encontrar una gran variedad de ellos.

Reconocimiento de sistemas.
Aprovechamiento de las vulnerabilidades del sistema.
Robo de informacin por interceptacin de mensajes.
Suplantacin de identidad.
Modificacin del trfico y las tablas de enrutamiento.
Cross-site Scripting.
Inyeccin de cdigo SQL.
Contra usuarios y contraseas.

Autoevaluacin
Un ataque se clasifica como activo o pasivo:
Tomando como criterio el efecto que produce en el sistema.
Es activo si produce cambios en el sistema y pasivo si no los produce.

Reconocimiento de sistema.
Los ataques de reconocimiento de sistemas no provocan un dao apreciable, y su objetivo principal es la
obtencin de informacin del sistema. Una de las tcnicas empleadas es el escaneo de puertos, con este
ataque se puede ver que servicios se ofrecen en nuestro equipo, los puertos activos y las aplicaciones que se
estn ejecutando, toda esta informacin es muy valiosa para un atacante. Para realizar un escaneo de puertos
existen muchas aplicaciones, muchas de ellas disponibles on-line.
A parte del escaneo de puertos existen otras tcnicas que permiten extraer informacin de un sistema, un
ejemplo es whois. Con esta herramienta se pueden conocer datos a partir de una URL o una direccin IP.

Aprovechamiento de las vulnerabilidades.

Los ataques que aprovechan las vulnerabilidades del sistema se basan en programas que se disean de
manera especfica para aprovechar una determinada vulnerabilidad, estos programas reciben el nombre de
exploits. Los exploits suelen ser programas escritos en lenguajes como C que son capacs de operar en el
sistema atacado y causarle un mal funcionamiento. Estn formados por una serie de rdenes que entienden
los sistemas operativos junto con un cdigo que es el que realmente causa el dao. Aunque para crear
exploits se han de tener conocimientos altos de programacin, existen muchos sitios webs en los que se
ofrece la posibilidad de conseguir exploits ya creados.
En la imagen se puede ver parte del cdigo de un exploit que explota las vulnerabilidades de un navegador,
en este caso est escrito en el lenguaje JavaScript.

Interceptacin de mensajes.
Otro tipo de ataque es el constituido por los robos de informacin por interceptacin de mensajes.
La interceptacin de mensajes es un tipo de ataque que tiene como objetivo el robo de informacin, no se
puede hacer mucho para impedir la interceptacin porque cualquiera puede interceptar cualquier dato que se
enve a travs de Internet, puesto que es una red pblica, pero lo que es ms difcil es interpretar lo que se
intercepta.

Un correo electrnico no tiene garantas de privacidad, puede ser interceptado en cualquier punto de
su viaje a travs de Internet.
Es necesario encriptar toda la informacin que se enve por correo electrnico y considere vital su
privacidad.
Los servidores de correo pueden guardar copias de todos los correos que se enven, por lo que
cualquiera que tenga acceso a dichos servidores podr acceder a dichos correos.

Una solucin es encriptar dicho correo, por ejemplo, con PGP y S\MIME. Tanto PGP y S\MIME se utilizan
para cifrar solamente el contenido del mensaje, dejando sin proteccin encabezados de los mensajes. PGP
utiliza dos claves, una pblica y otra privada. Tanto el emisor como el receptor debern compartir una clave
pblica, adems, cada uno de ellos (emisor y receptor) tendrn una clave privada que utilizarn junto a la
clave pblica para poder encriptar y desencriptar la informacin.

Suplantacin de la identidad I.
La suplantacin de la identidad es otro tipo de ataque en el que:

Se enmascaran las direcciones IP (IP Spoofing).

Se produce una traduccin falsa de los servidores DNS (DNS Spoofing).
Se produce un envo de mensajes con remitentes falsos (SMTP Spoofing).
Se capturan nombres de usuario o contraseas.

El IP Spoofing consiste en sustituir la direccin IP origen de un paquete TCP/IP por otra direccin IP. Esto
se consigue mediante aplicaciones diseadas especficamente para este propsito. Una de estas herramientas
es nmap.
Sitio oficial de nmap
Con la siguiente orden ejecutada desde la shell de Linux, se falsea la direccin 10.0.2.15 con la 10.0.2.3 para
la interfaz eth0.
root@linux-vbox:/home/tomas# nmap -e eth0 -S 10.0.2.3 10.0.2.15

Si se falsea la IP en una consulta DNS, el proceso se denomina DNS Spoofing, se asigna una direccin falsa
a un nombre DNS o viceversa. El atacante consigue llevar a la vctima a una direccin no deseada.

Utilizando la herramienta ettercap se puede hacer una simulacin de un ataque DNS Spoofing. Los pasos
siguientes realizados en una instalacin de Linux Ubuntu, consiguen redireccionar la direccin URL a la IP
que se ponga como destino.
Sitio oficial de ettercap

Editar el archivo etter.dns que se encuentra en /usr/share/ettercap/

Se aade la URL que se ver en la IP destino:
o www.infoalisal.com A IP destino.
Se ejecuta ettercap:
o
o

ettercap T q i eth0 P dns_spoof M arp // //

Parmetros utilizados:

-T
-q
-i
-P
-M
//

text mode
quiet
interface
dns_spoof: plugin + el nombre del plugin (dns_spoof de ettercap)
arp: ManInTheMiddle ARP
// : Todas las maquinas de la red

Con el SMTP Spoofing se falsifica el origen los mensajes, cualquier servidor de correo que acepte
conexiones en el puerto 25 est expuesto a este tipo de ataques. La consecuencia es que alguien puede estar
enviando correos electrnicos desde una cuenta ajena. Uno de los indicios de haber sufrido un ataque de este
tipo es recibir correos que parecen venir de uno mismo. En algunos casos, lo que ocurre no es spoofing a
travs de un servidor SMTP, sino que alguien accede a la cuenta de correo y a los correos como si fuera el
dueo legtimo de dicha cuenta.
Se puede enviar un correo simulando ser otro usuario siguiendo los siguientes pasos:

Conectarse mediante telnet por el puerto 25, al servidor de correo donde est alojada una cuenta
legtima.
o

telnet correo.dominio 25

Escribir las siguientes sentencias:

o
o
o
o
o
o
o

MAIL FROM:tomas@no.valido (cuenta que puede ser inventada)

RCPT TO:tomas.fernandez@educantabria.es (cuenta legitima donde poder
verificar)
DATA
TO:tomas.fernandez@educantabria.es
FROM:tomas@no.valido
Hola esto es una prueba desde una cuenta que no existe
Adis

Suplantacin de la identidad II.

Esto funciona en muchos servidores de correo. Cuando el usuario de correo
tomas.fernandez@educantabria.es, descarga el correo ve un mensaje que proviene de
tomas@no.valido.
En la imagen se puede ver como el mensaje parece venir de la direccin tomas@no.valido, que obviamente
no existe. En este caso es fcil ver que algo va mal, pero si las direcciones son parecidas a direcciones reales
distinguir el engao es ms difcil.
El robo de usuarios y contraseas para suplantar la identidad se puede hacer de varias formas, una de las ms
comunes es la utilizacin de la ingeniera social. Ejemplo de este tipo de tcnica es el phising, donde a
travs de la ingeniera social se intenta conocer los datos bancarios o de tarjetas de crdito. La tctica del
phising suele ser enviar un correo electrnico a un cliente con una direccin URL muy parecida a la entidad

bancaria, en este correo se requieren las claves o nmero de la cuenta bancaria para poder actualizarlas o
algo parecido.
En la imagen se ve un mensaje tpico empleado en las tcnicas de phising.
Si el usuario ejecuta el hipervnculo "Clique Aqu", no sabr que le espera y lo ms seguro es que acceda a
un sitio con una apariencia similar a la que utiliza habitualmente, donde se le requerirn datos confidenciales
que permitirn al atacante causarle un dao econmico.

Autoevaluacin
Falsear una IP se utiliza siempre que:
Se produzca IP Spoofing o un DNS Spoofing.
Si se falsea la IP en la consulta DNS se puede producir DNS Spoofing.

Modificacin del trfico y las tablas de enrutamiento.

Este tipo de ataques consiguen variar la ruta de los paquetes en la red. Pueden hacerlo interfiriendo en
protocolos de rutas predeterminadas o tablas de enrutamiento. Para conseguir esto existen mtodos como el
envo de paquetes ICMP Redirect.
Este tipo de paquetes los emplean los routers para indicar a los dems que existen otras rutas alternativas sin
pasar por l.
En una red estos tipos de paquetes deben ser filtrados con sumo cuidado porque pueden ser la causa de
ataques "man in the middle" (MitM).
Para saber ms
En el siguiente enlace podrs ver en qu consiste un ataque "man in the middle".
Man in the middle.
En la mayora de los dispositivos que intervienen en una red se puede deshabilitar que acepten paquetes
ICMP Redirect. En una distribucin Linux Ubuntu agregando la siguiente lnea al archivo
/etc/sysctl.conf:
net.ipv4.conf.all.accept_redirects = 0

Tambin en:
root@linux-vbox:/proc/sys/net/ipv4/conf/eth0/accept_redirects
root@linux-vbox:/proc/sys/net/ipv4/conf/eth0/secure_redirects

En algunos routers con la siguiente lnea de rdenes:

router(config)# interface E0
router(config-if)#no ip redirects

Para poder enviar mensajes ICMP Redirect se puede emplear la herramienta hping. Esta herramienta tiene
muchos parmetros que se pueden consultar con la ayuda en lnea.
root@linux-vbox:/# hping2 h

La siguiente sentencia ejecutada en una shell de Linux:

root@linux-vbox:/# hping -I eth0 -C 5 -K 1 -a 192.168.1.3 --icmp-ipdst 195.235.113.3 -icmp-gw 192.168.1.254 192.168.1.5

Enva un paquete ICMP Redirect, al host 192.168.1.5, para ste, el emisor ser 192.168.1.3. Con esta
sentencia se le indica que para poder llegar al 195.235.113.3 debe pasar antes por el 192.168.1.254.

Cross-site scripting.
Es un tipo de ataque, tambin denominado XSS, que se produce cuando se ejecutan scripts diseados en
lenguajes como VBS y JavaScript en pginas web. Se producen sobre todo cuando se envan cadenas de
texto entre formularios de pginas web dinmicas.
Si en el cdigo de una pgina web tenemos escrito:
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<meta content="text/html; charset=ISO-8859-1"
http-equiv="content-type">
<title>cross-site</title>
</head>
<body>
Hola
&nbsp;esta p&aacute;gina contiene un script que os saluda.
<script>alert('Hola mi nombre es Toms Fernndez Escudero')</script><br>
</body>
</html>

Al visualizar dicha pgina con un navegador, se obtendra el siguiente resultado:

En la imagen se puede ver el efecto que causara un script al cargar la pgina web, en este caso salta un
cuadro de texto con un saludo. Cuando el script es malicioso, es capaz de hacer cosas que interfieren en el
funcionamiento del equipo atacado.
Los scripts se pueden esconder detrs de fotos, el simple hecho de mostrar una foto puede ser detonante para
la ejecucin.
Para saber ms
En el siguiente enlace podrs aprender ms cosas sobre el Cross-Site Scripting y ejemplos de cdigos
utilizados en este tipo de ataques.
Cross-Site Scripting.

Autoevaluacin
La modificacin de las tablas de enrutamiento es un tipo de ataque que:
Se produce en cualquier dispositivo que sea enrutable.
Cualquier dispositivo que tenga una tabla de enrutamiento puede ser atacado modificndose dicha tabla.

Inyeccin de cdigo SQL.

Los ataques por inyeccin de cdigo SQL se dan en aplicaciones diseadas o que emplean lenguaje SQL en
su operatividad, sobre todo bases de datos o aplicaciones que trabajan con bases de datos.
El ataque consiste en introducir cdigo SQL dentro del cdigo legtimo para alterar el funcionamiento de la
aplicacin.
Para saber ms

En el siguiente enlace podrs ver un ejemplo claro de un ataque de este tipo.

Inyeccin de cdigo SQL.
Un ejemplo tpico de inyeccin SQL sera el siguiente:
Situacin:
PHP es un lenguaje de programacin que se utiliza para disear pginas web y con el que se pueden crear
formularios de introduccin de datos como el de la imagen.
El caso ms sencillo de formulario en una web diseada en PHP, es el que permite introducir el usuario y la
contrasea.
El cdigo empleado para introducir el usuario y la contrasea almacena los valores que introducimos en dos
variables:
$usuario=$_POST['usuario'];
$password=$_POST['password'];

Estas variables son utilizadas dentro de una sentencia SQL que realiza una bsqueda en una tabla
denominada usuarios.
$sql="SELECT * FROM usuarios WHERE usuario='$usuario' AND password='$password'";
$result=mysql_query($sql);

Existe un agujero de seguridad en este cdigo si se introducen como valores del campo usuario y el campo
password: ' OR '1'='1.
La expresin de SQL quedara de la siguiente manera:
"SELECT Count(*) FROM Usuarios WHERE Usuario = ' ' or '1'='1' AND password = ' ' or
'1'='1'"

La expresin se evala como cierta, la variable $sql se llenar con un usuario con privilegios de conexin y
accederemos sin problemas al sistema.

Ataques contra usuarios y contraseas.

Este tipo de ataques tienen como objetivo, descubrir claves o contraseas con las que poder acceder a un
sistema sin tener autorizacin. Las dos tcnicas ms utilizadas son:

Fuerza bruta.
Diccionario.

Un ataque por fuerza bruta utiliza todas las combinaciones posibles hasta encontrar la correcta. Es decir, si
una clave fuera un nmero entero positivo de 3 cifras, un ataque por fuerza bruta probara todas las
combinaciones entre 000 y 999.
Existen muchas herramientas diseadas para realizar ataques por fuerza bruta, sobre todo, destinadas a
descubrir las claves de acceso a redes inalmbricas. Pero en realidad, estas herramientas combinan la fuerza
bruta con la tcnica de diccionario. Los ataques basados en diccionario, prueban todas las combinaciones
posibles de un archivo (el diccionario). La herramienta medusa se puede instalar en Linux.
root@linux-vbox:/# aptitude install medusa

Una vez instalada si ejecutamos la siguiente orden:

root@linux-vbox:/# medusa -h 127.0.0.1 -u tomas -P pasaporte.txt -M ssh -f

La herramienta medusa buscar las contraseas posibles para el usuario tomas del localhost, las posibles
contraseas se encontrarn en el archivo de texto pasaporte (el diccionario). El resultado de la orden es el
que se muestra en la figura:
En la imagen se puede ver como el root del sistema ha ejecutado el programa medusa y con l ha
descubierto que la contrasea para el usuario tomas es 123456, para ello, se ha ayudado de un fichero
denominado pasaporte.txt que contiene posibles claves. Tambin se puede apreciar la bsqueda que ha
hecho entre las posibles contraseas del fichero pasaporte.txt hasta que encuentra la solucin correcta.
Este tipo de herramientas basan su xito en la cantidad de combinaciones que tenga el diccionario. Los
diccionarios empleados en estos ataques se pueden descargar de Internet, donde hay sitios en los que
clasifican los diccionarios dependiendo del tipo de clave que se quiera desencriptar (WEP, WPA, router,
servidores, etc...).
La herramienta medusa buscar las contraseas posibles para el usuario tomas del localhost, las posibles
contraseas se encontrarn en el archivo de texto pasaporte (el diccionario). El resultado de la orden es el
que se muestra en la figura:
En la imagen se puede ver como el root del sistema ha ejecutado el programa medusa y con l ha
descubierto que la contrasea para el usuario tomas es 123456, para ello, se ha ayudado de un fichero
denominado pasaporte.txt que contiene posibles claves. Tambin se puede apreciar la bsqueda que ha
hecho entre las posibles contraseas del fichero pasaporte.txt hasta que encuentra la solucin correcta.
Este tipo de herramientas basan su xito en la cantidad de combinaciones que tenga el diccionario. Los
diccionarios empleados en estos ataques se pueden descargar de Internet, donde hay sitios en los que
clasifican los diccionarios dependiendo del tipo de clave que se quiera desencriptar (WEP, WPA, router,
servidores, etc...).
En un diccionario se encuentran palabras comunes (muy inseguras) que a veces se utilizan como claves.
luna
sol
123456
1111111
password
admin
La vulnerabilidad ante este tipo de ataques reside en la debilidad de las claves y en dejar agujeros en el
sistema que permitan que se ejecuten herramientas capaces de descubrir dichas claves por una combinacin
de fuerza bruta y diccionario.

Anatoma de ataques y anlisis de software malicioso.

Conocer como se estructura un ataque es muy importante para poder defenderse de dicho ataque, porque
ayuda a pensar como los atacantes. Las fases que forman parte de un ataque informtico suelen ser:

Reconocimiento.
Exploracin.
Acceso.
Mantenimiento del acceso.
Borrado de huellas.

La fase de reconocimiento es la encargada de recopilar informacin sobre el usuario que va a ser objeto del
ataque, en esta parte son tpicas las tcnicas de ingeniera social y las bsquedas avanzadas en Internet.
Una vez que se conocen datos del usuario, se pasa a la segunda fase en la que se realiza una exploracin o
escaneo del sistema, se utilizan sniffers, escaneo de puertos o cualquier herramienta que nos muestre las
debilidades del sistema objetivo. En esta fase se intentan encontrar direcciones IP o nombres DNS de la
vctima, as como posibles puertos abiertos o aplicaciones ms usadas.
La tercera fase es la fase del acceso, aqu es donde comienza el ataque propiamente dicho, se accede al
sistema despus de haber crackeado o robado las contraseas, o se accede a un recurso compartido del
sistema sin autorizacin o se efecta un DoS.
La siguiente fase consiste en afianzar el acceso, es decir, conseguir que el acceso se pueda repetir en
cualquier otra circunstancia. Para ello, se entra en el sistema y se modifican privilegios o se crean nuevas
vulnerabilidades que permitan un acceso posterior. Es tpico de esta fase la instalacin de backdoors y
troyanos.
Por ltimo, la fase de borrado de huellas, aqu es donde el intruso trata de borrar cualquier rastro que haya
dejado en los accesos no permitidos, se limpian en la medida de lo posible, los ficheros log y las alarmas del
sistema.

Autoevaluacin
Una aplicacin que realice un ataque por fuerza bruta para descubrir la contrasea de un usuario:
Para que tenga xito, primero se debe poder acceder al sistema.
Es necesario poder acceder al sistema y poder ejecutar la aplicacin con privilegios suficientes.

Anlisis del software malicioso.

Para contrarrestar los ataques se han diseado herramientas de software teniendo en cuenta los datos
extrados de los anlisis efectuados sobre el malware. Puesto que el malware es un cdigo programable, para
analizarlo correctamente se hacen dos tipos de anlisis, siempre en entornos aislados, denominados cajas de
arena o sandbox.
En una caja de arena, todo lo que se prueba no se ve influenciado por el exterior y el exterior no se
modifica por lo que ocurre dentro de la caja.

Esttico.
Dinmico.

El anlisis esttico consiste en analizar el cdigo lnea a lnea, instruccin a instruccin y determinar si son
maliciosas o no, pero sin ejecutar el software. Generalmente se analiza a muy bajo nivel y por lo tanto deben
ser grandes especialistas los que lo realicen. En la mayora de los casos solamente se dispone del archivo
ejecutable, sin el cdigo fuente, por tanto, analizarlo supone una labor muy compleja.

El anlisis dinmico es ms rpido y pragmtico y requiere menos especializacin. Se ejecuta el malware

en un entorno que simula el entorno real y se analizan las consecuencias de su ejecucin para poder adoptar
distintas estrategias contra l. Est basado en la ejecucin y la monitorizacin de procesos, conexiones
establecidas y maneras en la que se comunica con otro equipo remoto, se emplean para ello mquinas
virtuales.
Para saber ms
En el siguiente enlace podrs aprender ms cosas sobre el anlisis de software malicioso tanto esttico,
como dinmico.
Anlisis de software malicioso.
En el siguiente enlace podrs ver un ejemplo de anlisis efectuado sobre un malware detectado en un
producto comercial de telefona.
Ejemplo de anlisis de malware

Herramientas preventivas. Instalacin y configuracin.

Las herramientas utilizadas con carcter preventivo son aquellas utilizadas para evitar que el malware se
instale en el sistema.
Las medidas preventivas que se pueden tomar en un sistema son entre otras:

Instalacin de antivirus.
Configuracin adecuada de cortafuegos.
Encriptacin de la informacin.
Instalacin de herramientas de deteccin de intrusos.
Utilizacin segura de entornos vulnerables.

En el mercado existen muchas herramientas que cumplen con la mayora de las tareas ofreciendo soluciones
muy completas.
La herramienta ms utilizada es el antivirus, todos los antivirus los podemos descargar de Internet y
muchos de ellos de manera gratuita, con versiones para todas las plataformas, incluso Linux.
Siempre se ha tenido la creencia de que no existan virus para sistemas operativos diferentes a los diseados
por Microsoft; esto es falso. La nica razn por la que la mayora de los virus se han diseado para sistemas
fabricados por Microsoft es que los diseadores de malware no estaban interesados en ello.
Actualmente y debido al auge de sistemas como Linux, comienzan a aparecer virus para otras plataformas y
en consecuencia herramientas para contrarrestarlos.
Las siguientes lneas de cdigo instalaran un antivirus en una distribucin de Linux Ubuntu denominado
ClamAV.
root@linux-vbox:/home/tomas# apt-get install clamav
root@linux-vbox:/home/tomas# apt-get install klamav
root@linux-vbox:/home/tomas# apt-get install clamatk

Las dos ltimas lneas instalan los paquetes necesarios para poder utilizar el antivirus de manera grfica.

En la imagen se puede ver el aspecto que tendra el interfaz grfico para gnome en Linux Ubuntu del
antivirus ClamAV.
La utilizacin, como en todos los antivirus comerciales, es muy intuitiva a travs de iconos y mens muy
explicativos.

Cortafuegos y encriptacin.
En cuanto a la configuracin del cortafuegos en los sistemas, se debe hacer segn las necesidades de cada
usuario y pensando en que cuantas ms aplicaciones se permitan a travs de l ms peligro tendremos para
nuestro sistema.
En la imagen se aprecia la ventana de configuracin del cortafuegos de Windows XP.
La opcin ms segura es tenerlo activado pero en ocasiones existe la necesidad de permitir ciertas
aplicaciones o procesos para lo que se emplea la opcin de Excepciones.
Para prevenir posibles daos en archivos importantes, se puede utilizar la encriptacin. Para encriptar la
informacin existen muchas herramientas, muchas de ellas disponibles en Internet. En Linux Ubuntu se
dispone de la herramienta Seahorse en la instalacin gnome, que sirve para encriptar informacin con
GnuPG.
Para saber ms
En el siguiente enlace podrs conocer ms cosas sobre GnuPG.
GnuPG.
Para cifrar la informacin en este caso son necesarios dos pasos:

Generar las claves.

Cifrar la informacin con dichas claves.

Para saber ms
En el siguiente enlace se describe de una manera sencilla la utilizacin de Seahorse.
Seahorse.

Autoevaluacin
Si se encripta un archivo, para que el receptor de ese archivo pueda leer la informacin:
El usuario debe conocer las claves o alguna de las claves que se utilizaron para encriptar la
informacin.
Dependiendo del tipo de encriptacin, deber conocer todas o al menos una de las claves

Deteccin de intrusos.
Conocer si hay intrusos en el sistema, aunque no estn causando ningn dao en ese momento, tambin es
una buena medida preventiva. Para ello, existen herramientas diseadas especficamente para ello. Las
herramientas utilizadas para la deteccin de intrusos se denominan tambin IDS (Intrusion Detection
System). El funcionamiento de estas herramientas se basa en el anlisis del trfico de red y la comparacin
con comportamientos estndar de los intrusos.

En la imagen se puede observar el sitio de descarga de sort. Es una herramienta con muchos modificadores
para sus comandos, por lo que su manejo requiere de un tiempo de aprendizaje.
Es conveniente tener claro que se pretende de ella y en consecuencia buscar exclusivamente como poder
hacerlo sin pretender dominar todas sus posibilidades a menos que sea estrictamente necesario.
Para saber ms
Existen IDS gratuitas que se pueden descargar de Internet como snort, vlidas para plataformas Linux y
Windows.
Snort.
En el siguiente vdeo podrs ver como se instala y se realiza una configuracin bsica de snort en Linux
Ubuntu.
Snort en Linux Ubuntu.
Resumen textual alternativo
Existen dos tipos de sistemas de deteccin de intrusos:

Host IDS: Tambin llamadas HIDS. Estas herramientas detectan intrusiones en los hosts.
Network IDS: Tambin llamadas NIDS. Estas herramientas detectan las intrusiones en toda la red.

La diferencia entre ambos es que los HIDS solamente actan a nivel local, mientras que los NIDS lo hacen a
nivel de red por lo que deben tener un dispositivo de red configurado en modo promiscuo.

Autoevaluacin
Para detectar intrusiones en una LAN se debe emplear:
Un NIDS si queremos ver lo que pasa en el segmento de red.
El NIDS observa todo el trfico que circula por el segmento de la red.

Precauciones en entornos de riesgo.

En cuanto a las precauciones en el uso de entornos de riesgo como el correo electrnico, las redes sociales,
los programas de mensajera o las compras en Internet, se podran establecer una serie de recomendaciones
como medidas preventivas.

Evitar el reenvo de mensajes de correo electrnico.

Utilizar contraseas fuertes en redes sociales.
Tener precaucin con las formas de pago en las compras en Internet.

El reenvo de mensajes masivos puede causar que todas las direcciones de la agenda de correo electrnico
caigan en manos de personas que hagan un mal uso de ellas y derivar en la llegada de spam y tcnicas de
ingeniera social como el phising a la cuenta de correo. Es muy inseguro el reenvo de mensajes del tipo "si
envas esto a 10 amigos algo bueno te pasar en 5 das". Este tipo de cadenas slo tienen el objetivo de
recopilar direcciones de correo electrnico.
En los casos en los que es necesario enviar un mensaje a varios usuarios, es conveniente utilizar un solo
destinatario y a los dems ponerles en "copia oculta" para evitar que las direcciones de todos aparezcan en
todos los correos.
Las redes sociales contienen mucha informacin del usuario y de los contactos del usuario, si se utilizan
contraseas dbiles, existe el riesgo de que un usuario no autorizado acceda a la cuenta y consiga
informacin que pueda utilizar para fines dainos.
Una buena contrasea debe contener al menos 8 caracteres, mezclando nmeros y letras, en maysculas y
minsculas.

En cuanto a las compras en Internet, es conveniente comprar en sitios donde se tenga informacin del
vendedor, con datos como su direccin fsica o telfono. Adems, es imprescindible leer detenidamente lo
que se compra y todas las condiciones y garantas.
En la forma de pago, debe escogerse en la medida de lo posible un mtodo que no implique proporcionar
datos bancarios (envo contrareembolso) y si no es posible, optar por utilizar mecanismos de pago seguros.
La mayora de las entidades financieras incorporan en su banca electrnica muchas soluciones seguras, una
de ellas es:

PayPal.

En la imagen se muestran los iconos que pueden aparecer para identificar la posibilidad de pagar utilizando
el mecanismo PayPal. La ventaja es que los datos del comprador y del vendedor solamente los conoce
PayPal, es PayPal quien se encarga de transferir el dinero al vendedor y de cobrar
Para saber ms
En el siguiente enlace podrs ver cmo funciona Paypal.
PayPal.

Herramientas paliativas. Instalacin y configuracin.

Las herramientas paliativas tienen como objetivo evitar los daos producidos por el malware. Lo ms comn
es que una misma herramienta de seguridad est diseada para prevenir y paliar.
Una poltica adecuada de copias de respaldo o seguridad, tambin denominadas backup es una buena medida
paliativa, aunque tambin se puede considerar como preventiva. Para realizar copias de seguridad existen
muchas herramientas y la mayora de los sistemas incorporan funcionalidades para realizarlas. Se pueden
nombrar como ejemplo representativo:

Rsync.
Acronis True Image.

Para saber ms
En el siguiente enlace podrs ver ms cosas sobre rsync.
rsync.
En los ltimos tiempos cada vez son ms los usuarios que apuestan por el cloud computing para guardar sus
datos. El backup en la nube se realiza gracias a servicios prestados por empresas que disponen de CPD
accesibles a travs de Internet. Herramientas que permiten realizar este tipo de backup son entre otras:

Dropbox.
Windows Live Mesh 2011.
SugarSync.
Windows Live Skydrive.

Estas herramientas permiten guardar archivos en una carpeta del sistema donde se instal la aplicacin
(carpeta Public en dropbox) y con ello hacer que esos archivos sean accesibles desde cualquier lugar donde
haya conexin a travs de Internet. Realmente el archivo se guarda en el equipo y en un sitio web.

En la imagen se puede ver la apariencia de dropbox despus de una conexin. Se observa la carpeta Public
que es la que permitir la sincronizacin de los archivos a travs de la nube. Todo lo que se modifique en esa
carpeta se modificar en el equipo donde est instalado dropbox y viceversa.
Para saber ms
En el siguiente vdeo se puede ver un ejemplo de instalacin y utilizacin de dropbox.
Ejemplo y uso de Dropbox.
Resumen textual alternativo
Actualizacin de sistemas y aplicaciones.
La actualizacin de sistemas y aplicaciones quizs sea una de las medidas, tanto paliativas como
preventivas, ms adecuadas para prevenir daos en los sistemas informticos. Todos los sistemas tienen
fallos de seguridad y a medida que surgen nuevas aplicaciones y tcnicas, pueden surgir ms
vulnerabilidades. Es obvio que cuando se disea el software no se puede predecir todo lo que va a pasar en
el futuro, y por ello, siempre se debe actualizar a medida que surjan nuevas necesidades.
Citas para pensar
"Creo que hay un mercado mundial para alrededor de cinco computadoras".Thomas J. Watson (Fundador de
IBM).
Las actualizaciones tienen principalmente dos objetivos:

Corregir fallos detectados.

Aadir nuevas funcionalidades.

En la imagen se pueden ver las actualizaciones instaladas en un sistema operativo para un explorador y para
el propio sistema operativo.
Se pueden apreciar las diferentes fechas en las que se realizaron las instalaciones, deducindose con
facilidad que el navegador en este caso, para ser eficiente necesita actualizarse cada pocos meses.
Las actualizaciones mejorarn la velocidad de trabajo y tambin la seguridad. En la mayora de los casos
tambin se ofrece la posibilidad de escoger la actualizacin que se desea instalar. Esto mejora los problemas
de posibles incompatibilidades con aplicaciones instaladas o con el hardware donde se pretende instalar la
actualizacin.
Para saber ms
En el siguiente enlace podrs ver una noticia que supone un ejemplo de incompatibilidad entre una
actualizacin de sistema operativo y una aplicacin.
Incompatibilidad entre actualizacin de sistema y una aplicacin.

Autoevaluacin
Las actualizaciones de software:
Las actualizaciones se crean aunque no haya agujeros de seguridad.
Se disean para corregir y tambin para mejorar el funcionamiento de las aplicaciones.

Seguridad en la conexin con redes pblicas.

Caso prctico
Cada da hace falta ms papeleo, esto no hay que lo soporte.
Qu ha pasado?
Pues nada, que ahora nos piden un certificado de subcontratistas, para certificar que estamos en paz con
Hacienda, se lo he dicho a los de la asesora y me dicen que tardarn unos 10 das en envirmelo.
Por qu no lo haces directamente por Internet?
Por Internet?
S, la AEAT tiene un portal en el que se pueden realizar muchos trmites a travs de Internet utilizando
firma digital o certificado electrnico.
Firma digital? Yo no soy un robot.
No es necesario que seas un robot, es un software que te representa en la red, un certificado que verifica
que eres t y si no tienes el certificado no puedes hacerlo a travs de Internet.
Por qu? Les llamo y les doy mi nmero de DNI.
Qu no! Hay que seguir un proceso para evitar que se suplanten las identidades en Internet.
Y cmo se puede hacer?
Vers, lo vamos a solicitar y te explicar adems todos los mtodos utilizados para asegurar la identidad
cuando se utilizan redes pblicas.
El uso de redes pblicas y la comparticin de informacin han sido el desencadenante de la mayora de los
problemas de seguridad. Es evidente que si una red LAN no tiene conexin con el exterior, su seguridad
depende de los usuarios locales. Si por el contrario, la red LAN tiene conexin a Internet, es impredecible
acotar el nmero de personas que pueden tener acceso a la red LAN, con mayor o menor dificultad. Se
podra pensar en una primera solucin:
No conectarse a una red pblica.
Quin va a renunciar a comprar online, leer el correo electrnico o utilizar las redes sociales? La mayora
de las personas utilizan los medios informticos con alguno de estos fines, por lo que no parece una solucin
evitar el acceso a Internet.
Para los usuarios que deban utilizar redes pblicas existen varios mecanismos que les pueden ayudar a
trabajar de manera segura.

Conexiones inalmbricas cifradas (WPA2, WPA, WEP).

Conexiones SSH.
Utilizacin de VPN.
Utilizacin de HTTPS en la navegacin.
Utilizacin de mecanismos de identificacin digital.

Casi todas las soluciones anteriores tienen agujeros de seguridad puesto que todo lo que viaja por la red
tiene peligro de ser interceptado, aunque sea ms o menos difcil descifrarlo. Si se imagina una red
inalmbrica pblica sin clave como espacio de comunicaciones, los peligros son numerosos.

Si la red est abierta, cualquiera pueden entrar a formar parte de ella, sea cual sea su objetivo.

La interceptacin de datos es mucho ms fcil.

Para saber ms
En el siguiente enlace podrs ver una noticia que supone un ejemplo de vulnerabilidad cuando se utiliza una
en una red inalmbrica abierta para entrar en una red social.
Red inalmbrica abierta.

Autoevaluacin
Una red LAN sin conexin a Internet siempre es segura:
No, porque puede utilizar routers inalmbricos.
Si la red es inalmbrica est sujeta a las vulnerabilidades de la red inalmbrica.

Identificacin digital.
La identificacin digital asegura la autentificacin, la confidencialidad y la integridad de las comunicaciones
en Internet, para un usuario supone una contribucin al reconocimiento de sus derechos fundamentales.
No se debe confundir la identificacin digital con la identidad digital que un usuario se puede crear por
ejemplo en una red social, donde a veces la identidad representa lo que se quiere ser, no lo que se es
realmente. La identificacin digital es una representacin legal de la identidad y se puede conseguir con
varios mtodos.

Contraseas.
Tarjetas de identificacin.
Sistemas biomtricos.
Certificados digitales.

Todos los mecanismos anteriores tienen como objetivo aglutinar una serie de rasgos identificativos de cada
usuario en el medio digital. Cada uno de los mtodos empleados utiliza rasgos diferentes.
Las contraseas son un mtodo muy antiguo e identifican a cada usuario con una serie de caracteres. Las
tarjetas de identificacin utilizan chips para almacenar la informacin de cada individuo. Los sistemas
biomtricos utilizan rasgos fsicos de cada usuario, para crear un determinado perfil digital que lo
identifique de manera nica. Los certificados digitales emplean informacin de los usuarios para generar un
software que los identifique, representndolos en las transacciones electrnicas.
La identificacin digital no existe, es necesario crearla y asociarla al usuario que deba representar.
Para saber ms
Para asociar la identificacin digital con el usuario, existen organismos capaces de certificar la autenticidad
de dicha identidad, por ejemplo, la FNMT.
Sitio web de la FNMT.
En el uso de redes pblicas, el empleo de la identificacin digital es primordial para asegurar la identidad
tanto del emisor como del receptor de una transaccin.

Autoevaluacin
El DNI electrnico:
Muestra nuestra identificacin digital.
Posee datos que identifican al usuario y le permiten firmar documentos de forma digital.

Firma electrnica y certificado digital.

La firma y el certificado digital son la soluciones ms fiables al problema de la identificacin digital, en la
actualidad son la mejor forma de verificar que cada una de las partes que intervienen en una comunicacin a
travs de Internet son quien dicen ser.
En la vida cotidiana existen muchas situaciones en las que se requiere contrastar la identidad de una persona,
por ejemplo, recoger un envo postal.
Una persona recibe un aviso de que tiene que recoger un paquete en una oficina de correos y se dirige a ella.
En la oficina lo primero que se le exige a esa persona es que demuestre su identidad (mostrando el DNI), y
despus de entregarle el paquete se le pide que deje constancia de que se le ha entregado (firmando el recibo
de recogida).
Si la situacin en la que se requiere la verificacin de la identidad no permite un contacto visual, como es el
caso de las comunicaciones en Internet, se pueden utilizar la firma y el certificado digital.
La firma digital es una secuencia de caracteres que tiene funciones similares a las de la firma personal, es
un nmero nico que identifica a una persona fsica o jurdica. Una firma digital utiliza criptografa de clave
pblica o asimtrica.
Para saber ms
En el siguiente enlace podrs saber en qu consiste la criptografa de clave pblica o asimtrica.
Criptografa asimtrica.
Tambin es utilizado el concepto de firma electrnica en el mismo contexto que firma digital, una firma
electrnica es una firma digital que se ha almacenado en un soporte de hardware; mientras que la firma
digital se puede almacenar tanto en soportes de hardware como de software.
El certificado digital es un archivo que contiene los datos del propietario, su clave pblica y la firma digital
de una autoridad con competencias para expedir dicho certificado (FNMT en Espaa), el responsable de
verificar que los datos corresponden al propietario del certificado.
Un certificado digital est firmado digitalmente por una entidad certificadora que certific la identidad del
individuo que solicit el certificado.

Los certificados digitales pueden desempear funciones en las comunicaciones en Internet similares a las
que realizan los documentos oficiales de identificacin como el DNI o el pasaporte en situaciones donde hay
contacto visual.
En la imagen se muestra el proceso de firma digital de un documento electrnico.

Se puede ver como adems de generar la firma digital utilizando una funcin matemtica (funcin hash) que
acta sobre los datos que se quieren firmar y una clave privada de cifrado, se utiliza tambin el certificado
digital para verificar la identidad del firmante y su clave pblica.
Una firma digital es segura siempre y cuando la clave privada empleada para cifrar solamente la conozca su
dueo.
La clave pblica que el receptor necesita para descifrar el mensaje la extrae del certificado digital del
emisor.

Publicidad y correo no deseado.

El correo no deseado o spam es un trmino que se utiliza para referirse a la publicidad enviada a
destinatarios que no lo desean y cuyas direcciones de correo se han obtenido de Internet.
El spam perjudica al usuario que recibe el correo de diferentes formas:

Utiliza los servidores de correo SMTP para procesar los mensajes.

Consume recursos de la CPU.
Utiliza espacio en el disco del servidor y de los usuarios que reciben el correo.
Disminuye el ancho de banda de la red.
Aumenta la posibilidad de infeccin con virus y troyanos.

Los spammers necesitan de direcciones de correo para poder realizar el envo masivo de mensajes, para ello
pueden utilizar varias tcnicas:

Generar direcciones de correo pertenecientes a un determinado dominio de manera aleatoria, por

fuerza bruta o por diccionario.
Comprar bases de datos de usuarios.
Acceder a listas de correo de usuarios.
Emplear tcnicas de ingeniera social.

Para saber ms
En el siguiente enlace podrs leer un artculo sobre el spam y el mercado negro de medicamentos.
Spam.
Los spammers utilizan varios mtodos para enviar el correo masivo una vez tienen las direcciones destino.

Envos directos desde servidores alquilados.

Retransmisiones a travs de servidores accesibles desde el exterior.
Utilizacin de redes zombie.

De los tres mtodos anteriores el ms rentable es la utilizacin de redes zombie, este mtodo es ilegal pero al
tiempo es muy difcil de detectar y depurar responsabilidades.
Citas para pensar
"Ms del 80% del correo electrnico es SPAM".
El hecho de que haya un porcentaje tan alto de correo basura se debe a que supone un negocio. Si bien es
cierto que el xito de estos correos es muy bajo (0,001%), debido a su bajsimo coste de distribucin, este
porcentaje es suficiente para producir beneficios.

Elaboracin de un manual de seguridad y planes de contingencia.

Caso prctico
Despus de estar trabajando varios das sobre la seguridad de la empresa y de contestar a mltiples
preguntas a sus compaeros, Mara ha decidido elaborar un manual para que todo el mundo sepa lo que ha
de hacer para mantener el sistema seguro.
Qu te parece si elaboramos un manual para todos nosotros con normas que deberamos cumplir
relativas a la seguridad?
Normas?
S, cosas como no revelar las contraseas o apagar bien los equipos o como actuar si ocurre algo en el
sistema.
Lo deben cumplir todos?
S, incluso t.
Bueno pues venga, si necesitas algo me lo dices.
Necesito una persona de cada departamento.
Una de cada departamento?
S, es importante que todos den su punto de vista. As se hace en las grandes empresas.
Me vas a volver loco con tantas normas!
Mara le explicar a su jefe como se elabora un manual de seguridad y un plan de contingencia.
El objetivo de la elaboracin de un manual de seguridad es establecer los estndares de seguridad que
deben ser seguidos, suministrar un conjunto de normas que determinen como se debe actuar para evitar
problemas, mientras que los planes de contingencia, por otra parte, tienen como objetivo recuperar a la
organizacin de los desastres sufridos.
El manual de seguridad debe ser elaborado tomando como base la filosofa de la organizacin donde se
pretenda implantar, as como el grado de conocimientos de los profesionales que la integran.
Los pasos para elaborar un manual de seguridad deben ser al menos:

Formar un equipo integrado por personas de diferentes departamentos de la organizacin.

Elaborar el documento.
Publicar de manera oficial el manual.

El equipo encargado de elaborar el manual debe estar formado por personas de diferente perfil para que
todos los aspectos de la organizacin se vean representados.
Una vez formado el equipo, se pasa a elaborar el documento, que es la parte ms laboriosa porque se deben
contemplar al menos:

Los factores humanos.

Los factores tecnolgicos.
La legislacin vigente.
Los criterios que determinen la responsabilidad de cada usuario.

Los criterios de actuacin.

Una vez que el manual est elaborado, para hacerlo pblico, debe ser aprobado por los responsables de la
organizacin. Una vez aprobado se le comunicar a cada usuario de la manera ms adecuada y dejando
constancia de que todos lo han recibido.

Plan de contingencias.
El plan de contingencias est diseado para recuperar el funcionamiento normal del sistema, una vez que se
ha producido una incidencia de la que el sistema se debe recuperar, deber contemplar al menos:

Un anlisis de riesgos del sistema.

Un estudio de las protecciones actuales.
Un plan de recuperacin antes, durante y despus del desastre.

El anlisis de riesgos sobre todo debe ser capaz de responder a preguntas como:
Qu se debe proteger?
Qu puede ir mal?
Con qu frecuencia?
Cules pueden ser las consecuencias?
En cuanto al estudio de las protecciones actuales, se deben enumerar cules son y verificar que funcionan.
Una vez que se ha hecho el anlisis de los riesgos y que se sabe con qu protecciones se cuenta, se est en
disposicin de elaborar el plan de recuperacin.
Para que el plan de recuperacin sea lo ms efectivo posible, en el momento de que ocurra un fallo es muy
importante tener muy claro:

El origen del fallo.

El dao ocasionado.

Los procedimientos establecidos en el plan de contingencias para la recuperacin frente a un fallo, deben ser
cumplidos tal y como se especifican. El responsable oportuno, bajo su responsabilidad, deber verificar que
el procedimiento se ha seguido de acuerdo a lo establecido.
El plan de recuperacin se puede definir de tres maneras diferentes teniendo en cuenta la fase del desastre a
la que hagamos referencia:

Plan de respaldo: Antes.

Plan de emergencia: Durante.
Plan de recuperacin: Despus.

Para saber ms
En el siguiente enlace podrs aprender ms sobre el plan de contingencias.
Plan de contingencias.
Pautas y prcticas seguras.

Un sistema informtico es seguro si se utiliza de manera segura, de nada valen los planes diseados si se
hace un mal uso del mismo mediante prcticas de riesgo.
Citas para pensar
"Las organizaciones gastan millones de dlares en firewalls y dispositivos de seguridad, pero tiran el dinero
porque ninguna de estas medidas cubre el eslabn ms dbil de la cadena de seguridad: la gente que usa y
administra los ordenadores".Kevin Mitnick (El hacker ms famoso de todos los tiempos)

Mantener actualizado el sistema operativo y las aplicaciones.

Descargar software desde sitios de confianza, especialmente las actualizaciones de los sistemas
operativos.
Analizar los sistemas de manera peridica para mantenerlos libres de software malicioso.
Usar contraseas.
Usar certificados digitales.
Comunicar las incidencias.
Realizar copias de seguridad.

Todas las medidas anteriores contribuyen a mantener nuestro sistema seguro, adems se deben desterrar
creencias errneas como:

Creer que el software de seguridad es 100% efectivo.

Pensar que algn equipo no debe protegerse porque no almacena nada importante.
Creer que los ataques informticos solamente los sufren personas u organizaciones importantes.

Todo el software diseado, incluido el destinado a la seguridad, soluciona un problema que se ha producido
pero puede ser inocuo para un problema futuro. Cuando se instala un antivirus no se debe creer que se est
protegido totalmente y por ello es conveniente actualizarlo con regularidad.
El xito de los atacantes es directamente proporcional a la confianza de los atacados e inversamente
proporcional a la rapidez de respuesta de la vctima.
Otro de los focos de problemas suele ser el pensar que no hay que proteger a un equipo porque no contiene
nada importante. Puede ocurrir que la vctima no considere importante algo que para el atacante es muy
valioso.
En cuanto a pensar que los ataques slo los sufren grandes organizaciones, recordar cmo funcionan las
botnets. Internet es el medio para que mltiples pequeos daos se transformen en un gran beneficio, es el
medio en el que hacer dao a una vctima tiene casi los mismos costes de hacrselo a miles.
Hay sueos en los que se disea un software que roba cntimos de euro en millones de cuentas bancarias.

Autoevaluacin
La accin ms segura es:
Realizar una copia de seguridad local en nuestro equipo.
De todas es la ms segura porque no supone ningn riesgo.

Seguridad en la red corporativa.

Caso prctico
Y todas estas medidas se aplican en las redes de empresas grandes?
Estas y muchas ms.

Y las empresas que tienen varias sedes en sitios diferentes?

Esas empresas estn unidas mediante Internet, disfrutan de una especie de red local que utiliza a Internet
como vehculo.
Y cmo son capaces de controlar la seguridad?
Pues deben emplear mltiples herramientas porque se emplean muchos tipos de tecnologa.
Una red corporativa es una red que comunica lugares geogrficamente distantes y que facilita el acceso
remoto de usuarios, siendo todos los elementos comunicados propiedad de una organizacin o persona. Se
podra decir que es una interconexin de redes LAN. En este tipo de redes conviven diferentes tecnologas,
tanto inalmbricas como de cable.
Para la comunicacin distante se deben emplear lneas pblicas por lo que las comunicaciones debern
utilizar mecanismos seguros como las VPN.
En la imagen se puede ver un ejemplo de red corporativa. En este caso la red pertenece a un ayuntamiento
de una ciudad y muestra un esquema de como se conectaran los sitios ms representativos de la misma
como la universidad, el ayuntamiento, el polgono industrial y el parque de bomberos.
Las tecnologas empleadas pueden ser diversas y se deben combinar para cubrir toda el rea municipal. Esto
implica que para mantener la red segura se tendr que hacer uso de varias estrategias y de diferentes
herramientas.

Autoevaluacin
En una red corporativa los peligros:
Pueden llegar a travs de Internet.
Se puede utilizar Internet para interconectar diferentes puntos de la red

Monitorizacin del trfico en redes: aplicaciones para la captura y anlisis del

trfico, aplicaciones para la monitorizacin de redes y equipos.
El objetivo de la monitorizacin del trfico en las redes es detectar problemas en su funcionamiento para
poder solucionarlos en la mayor brevedad posible.
Las aplicaciones disponibles, tambin denominadas sniffers, para realizar estas funciones son varias, muchas
son gratuitas y de cdigo abierto.

Wireshark.
Etherape.
WinDump.
Fing.
AthTek NetWalk.
Network Traffic Monitor Experts.

El uso de todas las herramientas de monitorizacin muestra demasiada informacin porque obtiene todas las
tramas que circulan en el medio de transmisin, para poder extraer solamente la informacin buscada se
debe recurrir al uso de filtros, que pueden ser:

Filtros de captura.
Filtros de visualizacin.

Los filtros de captura hacen que se muestren solamente los paquetes que cumplan con las condiciones
establecidas y los de visualizacin seleccionan la informacin deseada despus de un anlisis efectuado.
Lo ms til es capturar todo el trfico y despus utilizar filtros de visualizacin para analizar solamente lo de
inters.
Los siguientes son ejemplos de filtros en Wireshark:
Capturar todos los paquetes con origen y destino en 192.168.1.1: host 192.168.1.1
Capturar todos los paquetes con puerto origen y destino 21: port 21
Capturar todos los paquetes con puerto origen 21: src port 21
Capturar todos los paquetes con origen en 192.168.1.1: src host 192.168.1.1
Capturar todos los paquetes con destino en 192.168.1.254: dst host 192.168.1.254
Capturar todos los paquetes con origen y destino en www.infoalisal.com: host www.infoalisal.com
Para saber ms
En el siguiente enlace podrs ver los diferentes parmetros utilizados en los filtros de Wireshark.
Filtros de Wireshark.

Seguridad en los protocolos para comunicaciones inalmbricas.

Las comunicaciones inalmbricas, sobre todo las que utilizan radiofrecuencia, tienen su principal
vulnerabilidad en el hecho de que cualquier nodo de la red puede recibir informacin de otro nodo que est a
su alcance.
En un edificio en el que conviven varias redes inalmbricas pertenecientes a varios usuarios, cualquiera de
ellos tiene la posibilidad fsica de acceder a una red en la que no est autorizado, incluso desde fuera del
edificio.
Un punto de acceso inalmbrico mal configurado es un agujero de seguridad para la red corporativa,
puesto que cualquiera que consiga entrar en su radio de cobertura, podr aprovecharse de todas sus
vulnerabilidades, el peligro puede estar hasta en un visitante ocasional con un telfono de ltima generacin.
Para mejorar la seguridad de las redes inalmbricas se pueden seguir las siguientes pautas:

Configurar en la medida de lo posible las ondas utilizadas en la transmisin.

Utilizar mecanismos de autenticacin red-cliente.
Cifrar la informacin transmitida.

Los dispositivos de conexin inalmbrica incluyen diversas opciones para poder conseguir que su
configuracin sea segura.

Filtrado de direcciones MAC.

Algoritmo WEP.
VPN.
Estndar 802.1x y servidores RADIUS.
WPA.

Portal cautivo.

El filtrado de direcciones MAC no es una buena solucin si la red es muy grande, porque hay que editar las
direcciones de cada tarjeta, adems de que el formato de las direcciones no es demasiado fcil de manejar. Si
en la red cambian los equipos que forman parte de ella o se aaden nuevos, tambin implica la modificacin
manual de la tabla de direcciones. Adems de todo lo anterior, las direcciones MAC viajan sin encriptar por
la red, por lo que un atacante con conocimientos suficientes tendra la posibilidad de clonar dicha direccin.
El algoritmo WEP encripta las conexiones inalmbricas y hace que no sea posible la conexin a la red sin la
utilizacin de una clave. Hoy en da se considera un mtodo no seguro porque existen muchas tcnicas para
romper su proteccin. El principal problema, reside en que la clave secreta utilizada se graba en el
dispositivo de interconexin y permanece esttica hasta que considere cambiarla. Un intruso puede utilizar
aplicaciones diseadas para realizar ataques de fuerza bruta y conseguir descifrarla.
El estndar 802.1x emplea un mecanismo ms robusto que WEP, para ello utiliza el protocolo EAP (o
cualquiera de sus variantes) junto con un servidor RADIUS para obligar a los usuarios a autenticarse antes
de conectarse a la red.
En la imagen se puede ver una representacin de una instalacin que usa un servidor RADIUS accesible a
travs de Internet.

Seguridad en los protocolos para comunicaciones inalmbricas I.

Una gran ventaja de utilizar esta tcnica es que la red inalmbrica pasa a ser una red en la que se pueden
administrar ms recursos, incluidos los usuarios, lo que la convierte en una red ms segura.

Limitar accesos mediante un sistema de usuario y contrasea.

Limitar tiempos o perodos de conexin.
Controlar el ancho de banda.

Esta tcnica (basada en los servidores RADIUS) es la empleada en los denominados puntos calientes
seguros y constan bsicamente de tres partes:

Solicitante: Cliente o usuario de la red inalmbrica.

Autenticador: Punto de acceso inalmbrico.
Servidor de autenticacin RADIUS: Servidor donde estn definidos los usuarios a los que se les
permitir el uso de la red inalmbrica.

El autenticador es un intermediario entre el cliente y servidor RADIUS, hasta que no se produzca la

autenticacin mediante el servidor, no se permitir otro tipo de conexin que no sea la que se pueda dar
entre solicitante, autenticador y servidor RADIUS. Una vez concedido el acceso, el cliente podr acceder a
los servicios de la red a travs del autenticador.
Para subsanar las debilidades de WEP surgi WPA. Bsicamente se basa en cambiar la clave compartida
entre el punto de acceso y el cliente cada cierto tiempo para evitar ataques que permitan revelar la clave por
fuerza bruta. En cualquiera de los casos, ni tan siquiera utilizar WPA tendr la red totalmente a salvo.
Tanto WPA como WPA2 son protocolos diseados para trabajar con y sin un servidor de autenticacin. En
el caso de no usar un servidor, todas las estaciones utilizan una clave compartida PSK, este modo tambin se
conoce como WPA2-Personal. Cuando se emplea un servidor de autenticacin IEEE 802.1x se denomina
WPA2-Corportativo.

La encriptacin a nivel de la capa de enlace (WEP, WPA, WPA2) no garantiza la confidencialidad. Se ha de

evitar el uso de WEP e intentar utilizar WPA2. La ocultacin del SSID y el filtrado de direcciones MAC no
son mtodos seguros.
Para mejorar las prestaciones en seguridad de las soluciones anteriores existe el mecanismo del portal
cautivo, en el que se fuerza a los usuarios a utilizar una determinada pgina para poder hacer uso de la red.
En la imagen se puede ver un ejemplo de la apariencia que tiene un acceso a un portal cautivo.
Existen muchas soluciones, tanto software como hardware, para conseguir esto.
Para saber ms
En el siguiente enlace podrs aprender ms cosas sobre el concepto de portal cautivo, as como diferentes
sitios de descarga de software que realiza esta funcin.
Portal cautivo.

Riesgos potenciales de los servicios de red.

Los servicios de red bsicos que generalmente se requieren a un servidor local o remoto son:

Servicio de nombres de dominio DNS.

Servicio DHCP.
Servicio de alojamiento web.
Servicio de correo electrnico.

La mayora de estos servicios tienen como principal amenaza los ataques de denegacin de servicio DoS
(Denial of Service). Con este tipo de ataques se inunda al servidor proveedor de los servicios con peticiones
capaces de impedir que el sistema proporcione correctamente los servicios, en algunos casos impidiendo la
ejecucin y en otros ejecutando el servicio de manera distinta a la deseada.
Todos los servicios son inseguros cuando se estn ejecutando porque estn abriendo puertos, por esta razn,
es importante no tener activados dichos servicios cuando no se necesiten realmente.
El servicio DNS tiene como mayor peligro en clientes y servidores el hecho de que un atacante pueda
conseguir modificar las resoluciones de DNS, con el propsito de desviar las conexiones de sus destinatarios
reales. Para ello lo primero que suele hacer es obtener informacin con comandos como:
Whois.
El ataque tpico sobre estos servicios es el AXFR, o de transferencia de zona, tambin utilizado cuando se
quiere replicar un DNS desde un dominio primario a otro secundario. Un servidor maestro debe filtrar por
direccin IP qu esclavos pueden realizar transferencias, si esto no se configura correctamente entonces
cualquier atacante podra consultar por las zonas de los dominios que administra.
Un programa que se puede utilizar para realizar estos ataques es DIG, disponible en distribuciones Linux.
Para saber ms
En el siguiente enlace podrs aprender ms sobre DIG y su relacin con DNS.
DIG.

Otro ataque sufrido por los servicios DNS es el DNS Spoofing en el que se intenta que un usuario se conecte
a un sistema controlado por el atacante y as capturar o modificar la informacin, la esencia del ataque es
una traduccin falsa de las direcciones y los nombres de dominio. Este tipo de ataques tiene dos variantes:

Hijacking de respuestas a peticiones DNS.

Envenenamiento de cach.

Riesgos potenciales de los servicios de red I.

El envenenamiento de la cach de servidores DNS de Internet para la resolucin de nombres de entidades
financieras ha dado lugar al pharming, los usuarios de esos DNS son direccionados a dominios no
deseados.
Para saber ms
En el siguiente enlace podrs aprender ms sobre el pharming.
Pharming.
Se pueden establecer una serie de medidas que aseguren el servicio DNS:

Separar los servidores DNS internos de los externos.

Controlar la recursividad empleada por los servidores DNS en las bsquedas.

Con estas dos medidas se limitan las posibles acciones que un atacante exterior pueda realizar contra la red
corporativa, puesto que se ponen a salvo los servidores DNS internos evitando la contaminacin de la cach
de los equipos, y se evita que usuarios externos utilicen el servidor DNS propio para realizar bsquedas.
El servicio DHCP es capaz de suministrar direcciones IP en una red, esto implica que un equipo puede ser:

Servidor DHCP.
Cliente DHCP.

Por definicin, DHCP es un protocolo inseguro puesto que se ejecuta sobre IP y UDP, los cuales llevan
implcita su inseguridad. Por otra parte, un equipo, tanto si acta como servidor DHCP o como cliente,
puede resultar inseguro si acta sin autorizacin.
Un servidor DHCP no autorizado se puede convertir en un servidor no deseado para unos clientes que
pierden el servicio DHCP legtimo a favor del atacante.
En la imagen se puede ver una representacin de un ataque para convertir en servidor DHCP un equipo no
legtimo (Host D).
Para saber ms
En el siguiente enlace podrs ver una breve explicacin de la figura anterior.
Ataque DHCP.
Si son los clientes DHCP los que actan sin autorizacin, entonces, se estara dando la posibilidad de
acceder a la red a equipos que no debieran tener este privilegio y recuperar la informacin destinada a los
clientes legtimos.

Otros servicios de red, web y correo electrnico.

Otro de los servicios que aaden vulnerabilidades a la red corporativa es la instalacin de un servidor web,
con ello se consigue crear un punto de vulnerabilidad puesto que se abre la red a Internet. Cuando se trabaja
con un servidor web, tanto el usuario final como el administrador web deben pensar en que existe mucho
riesgo con la confidencialidad de los datos transmitidos va web. Para los servicios web los fallos de
seguridad estn relacionados con:

Fallos de configuracin en los servidores web.

Riesgos en los navegadores.
Interceptacin de datos en la comunicacin entre el navegador y el servidor web.

En los servicios de correo electrnico, se distinguen dos partes:

Cliente de correo electrnico.

Servidor de correo electrnico.

El cliente de correo es el software que utiliza el usuario para enviar y recibir correo electrnico entre el
sistema informtico y el servidor de correo.
Los clientes reciben el nombre de MUA, ejemplos muy conocidos son:

Thunderbird.
Outlook.

El servidor es la parte que se encarga de transportar los mensajes de correo desde un servidor a otro y de
almacenar los mensajes para que el cliente pueda acceder a ellos. Para realizar estas dos funciones se
ejecutan los protocolos SMTP, IMAP y POP3. Entre los servidores de correo la transferencia de mensajes la
realizan los MTA, ejemplos son:

Sedmail.
Postfix.

permite el uso fraudulento de servidores SMTP por parte de personas ajenas a la organizacin, as como el
envo de mensajes con remite falso o correo basura. Uno de los ataques ms comunes contra los servidores
SMTP es el desbordamiento de buffer, esto se consigue atacando con una direccin de correo electrnico
muy larga. En los servidores de correo existe un parmetro que especifica la longitud mxima de la
direccin de correo electrnico, si esta longitud se alcanza, el desbordamiento de buffer puede permitir al
atacante tomar el control a travs del MAIL FROM o RCPT TO.
Para saber ms
En los siguientes enlaces podrs ver noticias relacionadas con vulnerabilidades en Sendmail y Postfix.
Sendmail.
Postfix.

Comando VRFY de SMTP.

El foco de debilidades en los servidores de correo es el protocolo SMTP, permite en muchos casos que los
clientes puedan adoptar la identidad que deseen y crear con ello spam (DNS Spoofing) mediante rdenes
lanzadas al servidor SMTP.

Una de las rdenes SMTP que se pueden utilizar es VRFY, que consulta a un determinado servidor de
correo si una direccin de correo existe o no. Esta comprobacin la suelen hacer los atacantes antes de
lanzar un ataque a un servidor. Se puede deshabilitar y as el servidor no contestar a la peticin de
comprobacin, en Linux se puede hacer desde el archivo de configuracin main.cf (en Postfix):
disable_vrfy_command = yes

Con esto se evitar que un usuario pueda preguntar utilizando telnet si una determinada direccin de correo
existe o no. En el siguiente cdigo se muestran los mensajes recibidos si se intenta comprobar la existencia
de la cuenta tomas@dominio con el comando VRFY.
# telnet correo.dominio 25
Trying 65.111.99.99...
Connected to correo.dominio (65.111.99.99).
Escape character is '^]'.
220 servidor.dominio ESMTP SMTP Ready; Sun, 14 Ago 2011 14:32:19 GMT
vrfy tomas@dominio
252 2.5.2 Cannot VRFY user; try RCPT to attempt delivery (or try finger)
expn root
502 5.7.0 Sorry, we do not allow this operation
quit
221 2.0.0 correo2.dominio closing connection
Connection closed by foreign host.

La comunicacin entre un cliente SMTP y un servidor SMTP se basa en un conjunto de comandos enviados
por el cliente SMTP, como el VRFY. La ejecucin de estos comandos implica una respuesta por parte del
servidor catalogada con cdigos numricos.
Para saber ms
En el siguiente enlace podrs ver los comandos SMTP.
Comandos SMTP.

Autoevaluacin
En el MUA se configuran:
Los protocolos POP y SMTP.
Son los protocolos que conectan el MUA con el MTA.