Seguridad Informática (ciberseguridad o seguridad de tecnología de la información)

PRIMER CONCEPTO
Es el proceso de eludir y localizar el uso no autorizado de un sistema informático con el
objetivo de proteger la integridad y la privacidad de la información almacenada en un
sistema informático.

En otras palabras, busca proteger contra intrusos el uso de nuestros recursos informáticos
con intenciones maliciosas o con intención de obtener ganancias, o incluso la posibilidad de
acceder a ellos por accidente.

La seguridad informática es conformada por medidas de seguridad, como programas de

software de antivirus, firewalls, y otras medidas que dependen del usuario, como es la
activación de la desactivación de ciertas funciones de software.

SEGUNDO CONCEPTO

La seguridad informática es una disciplina que se encarga de proteger la integridad y la

privacidad de la información almacenada en un sistema informático. De todas formas,
no existe ninguna técnica que permita asegurar la inviolabilidad de un sistema.

Un sistema informático puede ser protegido desde un punto de vista lógico (con el

desarrollo de software) o físico (vinculado al mantenimiento eléctrico, por ejemplo). Por
otra parte, las amenazas pueden proceder desde programas dañinos que se instalan en
la computadora del usuario (como un virus) o llegar por vía remota (los delincuentes que
se conectan a Internet e ingresan a distintos sistemas).

En el caso de los virus hay que subrayar que en la actualidad es amplísima la lista de ellos
que existen y que pueden vulnerar de manera palpable cualquier equipo o sistema
informático. Así, por ejemplo, nos encontramos con los llamados virus residentes que son
aquellos que se caracterizan por el hecho de que se hallan ocultos en lo que es la memoria
RAM y eso les da la oportunidad de interceptar y de controlar las distintas operaciones que
se realizan en el ordenador en cuestión llevando a cabo la infección de programas o
carpetas que formen parte fundamental de aquellas.

De la misma forma también están los conocidos virus de acción directa que son aquellos
que lo que hacen es ejecutarse rápidamente y extenderse por todo el equipo trayendo
consigo el contagio de todo lo que encuentren a su paso.

Los virus cifrados, los de arranque, los del fichero o la sobreescritura son igualmente otros
de los peligros contagiosos más importantes que pueden afectar a nuestro ordenador.

Entre las herramientas más usuales de la seguridad informática, se encuentran

los programas antivirus, los cortafuegos o firewalls, la encriptación de la información y el
uso de contraseñas (passwords).

Herramientas todas ellas de gran utilidad como también lo son los conocidos sistemas de
detección de intrusos, también conocidos como anti-spyware. Se trata de programas o
aplicaciones gracias a los cuales se puede detectar de manera inmediata lo que son esos
programas espías que se encuentran en nuestro sistema informático y que lo que realizan es
una recopilación de información del mismo para luego ofrecérsela a un dispositivo externo
sin contar con nuestra autorización en ningún momento. Entre este tipo de espías destaca,
por ejemplo, Gator.

Un sistema seguro debe ser íntegro (con información modificable sólo por las personas
autorizadas), confidencial (los datos tienen que ser legibles únicamente para los usuarios
autorizados), irrefutable (el usuario no debe poder negar las acciones que realizó) y
tener buena disponibilidad (debe ser estable).

De todas formas, como en la mayoría de los ámbitos de la seguridad, lo esencial sigue

siendo la capacitación de los usuarios. Una persona que conoce cómo protegerse de las
amenazas sabrá utilizar sus recursos de la mejor manera posible para evitar ataques o
accidentes.

En otras palabras, puede decirse que la seguridad informática busca garantizar que los
recursos de un sistema de información sean utilizados tal como una organización o un
usuario lo ha decidido, sin intromisiones.
OBJETIVOS DE LA SEGURIDAD INFORMATICA
El objetivo de la seguridad informática es mantener la Integridad, Disponibilidad,
Privacidad, Control y Autenticidad de la información manejada por computadora.
SEGUNDO CONCEPTO DE OBJETIVO DE SEGURIDAD INFORMATICA
La seguridad informática debe establecer normas que minimicen los riesgos a
la información o infraestructura informática. Estas normas incluyen horarios de
funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de
usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de
seguridad informática minimizando el impacto en el desempeño de los trabajadores y de la
organización en general y como principal contribuyente al uso de programas realizados por
programadores.
La seguridad informática está concebida para proteger los activos informáticos, entre los
que se encuentran los siguientes:
La infraestructura computacional: es una parte fundamental para el almacenamiento y
gestión de la información, así como para el funcionamiento mismo de la organización. La
función de la seguridad informática en esta área es velar por que los equipos funcionen
adecuadamente y anticiparse en caso de fallos, robos, incendios, sabotajes, desastres
naturales, fallos en el suministro eléctrico y cualquier otro factor que atente contra la
infraestructura informática.
Los usuarios: son las personas que utilizan la estructura tecnológica, zona de
comunicaciones y que gestionan la información. Debe protegerse el sistema en general para
que el uso por parte de ellos no pueda poner en entredicho la seguridad de la información y
tampoco que la información que manejan o almacenan sea vulnerable.
La información: esta es el principal activo. Utiliza y reside en la infraestructura
computacional y es utilizada por los usuarios.

TAREA 1.
Con sus propias palabras defina que es la seguridad informática y da tu opinión de cada uno
de los objetivos de la seguridad informática.
AMENAZAS
PRIMER CONCEPTO DE AMENAZAS
No solamente las amenazas que surgen de la programación y el funcionamiento de un
dispositivo de almacenamiento, transmisión o proceso deben ser consideradas, también hay
otras circunstancias no informáticas que deben ser tomadas en cuenta. Muchas son a
menudo imprevisibles o inevitables, de modo que las únicas protecciones posibles son las
redundancias y la descentralización, por ejemplo, mediante determinadas estructuras de
redes en el caso de las comunicaciones o servidores en clúster para la disponibilidad.
Las amenazas pueden ser causadas por:

 Usuarios: causa del mayor problema ligado a la seguridad de un sistema

informático. En algunos casos sus acciones causan problemas de seguridad, si bien
en la mayoría de los casos es porque tienen permisos sobredimensionados, no se les
han restringido acciones innecesarias, etc.
 Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito
de los recursos del sistema. Es instalado en el ordenador, abriendo una puerta a
intrusos o bien modificando los datos. Estos programas pueden ser un virus
informático, un gusano informático, un troyano, una bomba lógica, un programa
espía o spyware, en general conocidos como malware.
 Errores de programación: la mayoría de los errores de programación que se
pueden considerar como una amenaza informática es por su condición de poder ser
usados como exploits por los crackers, aunque se dan casos donde el mal desarrollo
es, en sí mismo, una amenaza. La actualización de parches de los sistemas
operativos y aplicaciones permite evitar este tipo de amenazas.
 Intrusos: personas que consiguen acceder a los datos o programas a los cuales no
están autorizados (crackers, defacers, hackers, script kiddie o script boy, viruxers,
etc.).
 Un siniestro (robo, incendio, inundación): una mala manipulación o mala intención
derivan en la pérdida del material o de los archivos.
 Personal técnico interno: técnicos de sistemas, administradores de bases de datos,
técnicos de desarrollo, etc. Los motivos que se encuentran entre los habituales son:
disputas internas, problemas laborales, despidos, fines lucrativos, espionaje, etc.
 Fallos electrónicos o lógicos de los sistemas informáticos en general.
SEDGUNDO CONCEPTO DE AMENAZAS

#1. Virus informáticos

Son las amenazas más conocidas por el público no especializado en temas de informática.
Se trata, básicamente, de código con el que se infecta un programa ejecutable y que se
propaga copiándose a sí mismo e infectando a otros programas o archivos.

Sus consecuencias y su gravedad varían mucho. Algunos virus solo tienen como finalidad
gastar una broma al usuario; otros pueden provocar el mal funcionamiento del software,
dañar el hardware o incluso infectar a toda una red de usuarios.

Los virus siempre necesitan de la acción humana para activarse (por ejemplo, ejecutando el
usuario software infectado por desconocimiento).

Las pérdidas económicas si llega a dañar el software de la empresa, el sistema operativo o

los propios equipos y dispositivos pueden ser muy cuantiosas.

Mantén tu antivirus actualizado, no te puedes imaginar la cantidad de tiempo perdido y el

dinero que pierden las empresas teniendo a sus empleados de brazos cruzados por no haber
invertido un poco de tiempo y dinero en actualizar su antivirus.

#2. Gusanos
¿Qué nombre les ponen verdad? pero es que se comportan así y te aseguro que no se
convierten en mariposas. A menudo se confunden con los virus. Sin embargo, los gusanos,
a diferencia de ellos, no necesitan de la acción humana para activarse, copiarse a sí mismos
y propagarse por la red. ¡Porque eso es lo que hacen!

Pueden, por ejemplo, copiarse y enviarse a cada uno de tus contactos mediante tu servicio
de correo electrónico o mensajería instantánea, y repetir la operación con la libreta de
direcciones de cada uno de tus contactos. Su capacidad de propagación crece de forma
exponencial.

Los gusanos suelen colapsar los ordenadores, los servidores y la red, acaparando recursos,
consumiendo ancho de banda y provocando serios problemas de rendimiento.

Pero también se pueden utilizar con fines todavía más oscuros, como el de crear grandes
redes de ordenadores zombie, controlados por bots que los pueden usar para enviar spam de
forma masiva, lanzar ciberataques o descargar todo tipo de malware en el equipo.

¿Imaginas cuánto daño pueden hacer los gusanos en tus equipos informáticos y tu red de
trabajo…?

#3. Troyanos
¿Recuerdas el Caballo de Troya en el que se ocultaron los griegos para entrar en la ciudad
de los troyanos y derrotarlos? Pues el malware conocido como troyano hace lo mismo,
¡pero en tu ordenador!
Un Caballo de Troya o troyano informático habitualmente entra en tu equipo o tu
dispositivo aprovechando la descarga de software legítimo. (Ojo a la descarga de
programas, te recomiendo que lo descargues siempre desde el dominio oficial y cuidado
con la palabra gratis en este contexto, casi siempre lleva algo escondido).
De ahí su nombre, porque el Caballo de Troya era supuestamente un inofensivo regalo de
los griegos a los troyanos por su valor en la batalla.

¿Su objetivo? Abrir una puerta trasera a los hackers para que puedan controlar tu equipo y
su software.
A diferencia de virus y gusanos, el troyano no provoca daños ni se propaga. Por eso pasa
inadvertido, algo importante para cumplir su función.

#4. Adware
Otro campeón de popularidad entre los usuarios. Y es que los efectos de un adware no
pasan inadvertidos. ¿Quién no ha sufrido las molestias de navegar por Internet envuelto en
un mar de anuncios spam y ventanas emergentes que se abren en el navegador de forma
descontrolada?

El adware es un tipo de software aparentemente inofensivo si se compara con alguno de los

anteriores tipos de malware, pero que puede bajar drásticamente el rendimiento de los
trabajadores que necesitan navegar por Internet para realizar sus tareas.

A veces el adware incluye un “antivirus” o cualquier otra opción de registro mediante pago
que elimina el problema. Se trata de un engaño perpetrado por los mismos autores
del adware a erradicar.
Hace tiempo localicé un limpiador para este software que utilizamos desde hace tiempo y
este si es gratuito, eso sí te recomiendo que lo hagas con un técnico especializado, alguna
vez que otra borra algún servicio si tocas o activas alguna opción que no debes activar. Se
llama adwcleaner.

#5. Rootkit
Es un software que permite a los ciber intrusos acceder a equipos sin ser detectados para
robar información sensible. Los rootkits permiten acceso privilegiado a un usuario (el
hacker), que se conecta de forma remota, alterando el sistema operativo para ocultar la
maniobra.
Un auténtico riesgo para empresas y usuarios, que pueden ver sustraídas sus claves de
acceso, datos bancarios, etc.

#6. Keylogger
Aunque también existen versiones que funcionan a través de dispositivos o complementos
para hardware, hablamos básicamente de programas que pueden llegar a un equipo a través
de virus, troyanos, etc., y que se dedican a memorizar las pulsaciones de teclado que realiza
el usuario. La información queda registrada en un archivo y puede ser enviada a través de
Internet.
Como puedes imaginar, los ciberdelincuentes pueden hacerse con todo tipo de contraseñas,
datos bancarios y cualquier otro tipo de información privada.

#7. Ataque Man In The Middle (MITM)

Es un tipo de ataque en que el hacker intercepta tráfico que viaja de un equipo emisor a otro
receptor. Por eso se llama Man in the middle, que en español significa “Hombre en el
medio”.

Al convertirse en un punto intermedio por donde pasa la información desde su lugar de

origen (el equipo de un empleado, por ejemplo), a un emplazamiento de destino
(supongamos que es el servidor de la compañía), el ciberdelincuente puede descifrar los
datos y hacerse con claves y contraseñas.

#8. Ataques DOS

Tener la página web de empresa caída durante algún tiempo puede suponer importantes
pérdidas económicas, ¡sobre todo si se trata de una tienda online!

Ese es el objetivo de los ataques de Denial Of Service (DOS), o de “denegación de

servicio”. Un ordenador lanza peticiones al servidor en el que se aloja el sitio web hasta que
lo satura y empieza a denegar el acceso. La web cae con sus correspondientes pérdidas en
ventas, oportunidades de negocio, etc.
Para detener el ataque basta con banear la IP del atacante. Pero si el tiempo en que
permanece la web caída es el suficiente, las pérdidas ya han tenido lugar y el daño está
hecho.

#9. Ataques DDOS

El concepto es el mismo que en la amenaza anterior: se realizan peticiones masivas hasta
saturar el servidor y hacer caer la web. Sin embargo, el ataque del que hablamos ahora es
un Distributed Denial Of Service (DDOS), y es más sofisticado que el anterior.

En lugar de lanzar los ataques desde un único equipo, los ataques DDOS emplean muchos
ordenadores para distribuir las peticiones al servidor. A menudo, esos equipos pertenecen a
usuarios que no saben para qué se están utilizando sus ordenadores, que han sido añadidos a
una red zombie por los hackers infectándolos con malware.

El problema con este tipo de ataques es que al tener un origen múltiple es más difícil
averiguar todas las IP de las que parte y, por lo tanto, es más difícil de detener.

Tarea 2.

Escribe tu opinión de cada una de las amenazas y de su opinión sobre el lado oscuro del
internet
ESTRATEGIAS DE LA SEGURIDAD INFORMATICA
PRIMER CONCEPTO
1) Definir objetivos. Qué se quiere proteger. Con base en el objetivo, misión y visión
empresarial de la organización pueden identificarse sistemas de aplicación crítica.
2) Administrar riesgos. Identificar riesgos, evaluarlos y administrarlos. Qué puede pasar
si ... el riesgo identificado se materializa. 
3) Definir la política de seguridad. Establecer las reglas de actuación ante los riesgos de
seguridad y deben incluir los controles preventivos, detectivos y correctivos necesarios para
el control de los riesgos informáticos.
4) Monitorear el proceso. Evaluar la efectividad del proceso, haciendo auditorías internas y
externas que permitan identificar con oportunidad posibles problemas o riesgos, y corregir
lo que sea necesario.

COMO MANTENERNOS CON SEGURIDAD EN LA INFORMATICA

BACKUP
Es una copia de los datos originales que se realiza con el fin de disponer de un medio para
recuperarlos en caso de su pérdida. Las copias de seguridad son útiles ante distintos eventos
y usos: recuperar los sistemas informáticos y los datos de una catástrofe informática,
natural o ataque; restaurar una pequeña cantidad de archivos que pueden
haberse eliminado accidentalmente, corrompido, infectado por un virus informático u
otras causas; guardar información histórica de forma más económica que los discos
duros y además permitiendo el traslado a ubicaciones distintas de la de los datos originales;
etc.
CONTRASEÑA
Una contraseña o clave es una forma de autentificación que utiliza información secreta
para controlar el acceso hacia algún recurso. La contraseña debe mantenerse en secreto ante
aquellos a quien no se les permite el acceso. A aquellos que desean acceder a la
información se les solicita una clave; si conocen o no conocen la contraseña, se concede o
se niega el acceso a la información según sea el caso. En la Lengua inglesa se tienen dos
denominaciones distintivas para las contraseñas: password (palabra de acceso) y pass
code (código de acceso), donde la primera no implica necesariamente usar alguna palabra
existente (sin embargo, es normal emplear alguna palabra familiar o de fácil memorización
por parte del usuario), la primera suele asociarse también al uso de códigos alfanuméricos
(también llamado PIT - Personal Identification Text), mientras que la segunda
frecuentemente se liga a la utilización de algún código numérico (asimismo
llamado PIN - Personal Identification Number). Esto ocurre igualmente en el habla
española, ya que en ocasiones clave y contraseña se usan indistintamente.

ANTIVIRUS
Un antivirus es un programa cuyo objetivo es detectar o eliminar virus informáticos.
Nacieron durante la década de 1980. Con el transcurso del tiempo, la aparición de sistemas
operativos más avanzados e internet, ha hecho que los antivirus hayan evolucionado
hacia programas más avanzados que no sólo buscan detectar virus informáticos, sino
bloquearlos, desinfectar archivos y prevenir una infección de los mismos. Actualmente son
capaces de reconocer otros tipos de malware, como spyware, gusanos, troyanos, rootkits,
etc. 
FIREWALL
Un firewall es software o hardware que comprueba la información procedente de Internet o
de una red y, a continuación, bloquea o permite el paso de ésta al equipo, en función de la
configuración del firewall. Un firewall puede ayudar a impedir que hackers o software
malintencionado (como gusanos) obtengan acceso al equipo a través de una red o de
Internet. Un firewall también puede ayudar a impedir que el equipo envíe software
malintencionado a otros equipos. Un firewall crea una barrera entre Internet y el equipo,
igual que la barrera física que constituiría una pared de ladrillos.
TAREA 3.
De acuerdo a las estrategias de la seguridad informática escribe tu opinión sobre ellas

INFORMATICA FORENSE
El cómputo forense, también llamado informática forense, computación
forense, análisis forense digital o examen forense digital es la aplicación de técnicas
científicas y analíticas especializadas a infraestructuras tecnológicas que permiten
identificar, preservar, analizar y presentar datos válidos dentro de un proceso legal.
Dichas técnicas incluyen reconstruir elementos informáticos, examinar datos residuales,
autenticar datos y explicar las características técnicas del uso de datos y bienes
informáticos.
Como la definición anterior lo indica, esta disciplina no solo hace uso de tecnologías de
punta para mantener la integridad de los datos y del procesamiento de los mismos; sino que
también requiere de una especialización y conocimientos avanzados en materia de
informática y sistemas para poder detectar qué ha sucedido dentro de cualquier dispositivo
electrónico. La formación del informático forense abarca no solo el conocimiento
del software sino también de hardware, redes, seguridad, piratería, craqueo y recuperación
de información.
La informática forense ayuda a detectar pistas sobre ataques informáticos, robo de
información, conversaciones o evidencias en correos electrónicos y chats.
La evidencia digital o electrónica es sumamente frágil, de ahí la importancia de mantener
su integridad. El simple hecho de pulsar dos veces en un archivo modificaría la última
fecha de acceso del mismo.
Dentro del proceso del cómputo forense, un examinador forense digital puede llegar a
recuperar información que haya sido borrada desde el sistema operativo. El informático
forense debe tener muy presente el principio de intercambio de Locard por su importancia
en el análisis criminalístico, así como el estándar de Daubert para hacer admisibles las
pruebas presentadas por el perito forense en un juicio.
Es muy importante mencionar que la informática o cómputo forense no tiene como objetivo
prevenir delitos, por lo que resulta imprescindible tener claros los distintos marcos de
actuación de la informática forense, la seguridad y la auditoría informáticas.
* Existen diferentes términos referentes a la ciencia forense en informática. Cada uno de
estos términos trata de manera particular o general temas que son de interés para las
ciencias forenses.1?

 Computación forense (computer forensics)

1. Disciplina de la ciencia forense que considera los procedimientos en relación con

las evidencias para descubrir e interpretar la información en los medios informáticos
con el fin de establecer hipótesis o hechos relacionados con un caso. (Centrada en
las consideraciones forenses).?
2. Disciplina científica que a partir de la comprensión de las tecnologías y de los
equipos de computación ofrece un análisis de la información que contienen.
(Centrada en la tecnología).?

 Ciencia forense en las redes (network forensics):

Trata las operaciones de redes de computadores, estableciendo rastros e identificando

movimientos y acciones. Es necesario entender los protocolos, configuraciones e
infraestructura de las comunicaciones. A diferencia de la computación forense, es necesario
poder establecer relaciones entre eventos diferentes e incluso aleatorios.

 Ciencia forense digital (digital forensics):

Es una forma de aplicar los conceptos y procedimientos de la criminalística a los medios

informáticos o digitales. Tiene como fin apoyar a la justicia en el contexto de la inseguridad
informática -es decir, la perpetración de posibles delitos- al aclarar temas relacionados con
incidentes o fraudes.

Objetivos de la informática forense

La informática forense tiene tres objetivos:
  La compensación de los daños causados por los intrusos o criminales.
 La persecución y procesamiento judicial de los criminales.
 La creación y aplicación de medidas para prevenir casos similares.

Estos objetivos se alcanzan de varias formas, siendo la principal la recopilación de

evidencias.
Es importante mencionar que quienes se dedican a esto deben ser profesionales con altos
niveles de ética, pues gracias a su trabajo se toman decisiones sobre los hechos y casos
analizados.

Evidencia digital
Los discos duros, las memorias USB y las impresoras (entre otros elementos) se pueden
considerar evidencias en un proceso legal al igual que las huellas digitales o las armas. Las
evidencias digitales son las que se extraen de un medio informático.

Características
Estas evidencias comparten una serie de características que dificultan el ejercicio de la
computación forense:2?
1- Volatilidad
2- Anonimato
3- Facilidad de duplicación
4- Alterabilidad
5- Facilidad de eliminación

Categorías
Estas evidencias se pueden dividir en tres categorías:2?
1- Registros almacenados en el equipo de tecnología informática (ej. imágenes y correos)
2- Registros generados por equipos de tecnología informática (ej. transacciones, registros
en eventos)
3- Registros parcialmente generados y almacenados en los equipos de tecnología
informática (ej. consultas en bases de datos)

Dispositivos para analizar

Toda aquella infraestructura informática que tenga una memoria es susceptible de análisis:

 Disco duro de una Computadora o Servidor

 Documentación referente al caso.
 Tipo de sistema de telecomunicaciones.
 Dirección MAC.
  Inicios de sesiones.
 Información de los cortafuegos.
 IP, redes Proxy. LMhost, host, conexiones cruzadas, pasarelas.
 Software de supervisión y seguridad.
 Credenciales de autentificación.
 Rastreo de paquetes de red.
 Teléfonos móviles o celulares (telefonía móvil)
 Agendas electrónicas (PDA).
 Dispositivos de GPS.
 Impresoras.
 Memorias USB.
 BIOS.

Perspectiva de tres roles

En el análisis de un caso en el que sea necesario el cómputo forense, hay tres roles
principales que son importantes y se deben tener en cuenta: el intruso, el administrador y la
infraestructura de la seguridad informática, y el investigador.

Intrusos
El intruso es aquel que ataca un sistema, hace cambios no autorizados, manipula
contraseñas o cambia configuraciones, entre otras actividades que atentan contra la
seguridad de un sistema. La intención de los intrusos es un punto clave para poder analizar
el caso, ya que no se puede comparar un intruso cuya motivación es el dinero con otro cuya
motivación es la demostración de sus habilidades. Jeimy J. Cano hace una comparación
entre las motivaciones de diferentes tipos de atacantes en la siguiente tabla, basada en el
artículo de Steven Furnell, Cybercrime.3?
 

Motivacione Ciber- Phreaker Script Cracke Desarrollo deAtacante

s Terroristas s kiddies rs virus interno
Reto   X     X X
Ego   X X   X  
Espionaje       X X X
Ideología X          
Dinero   X   X X X
Venganza X   X   X X
Algunos intrusos y sus motivaciones
El modelo del atacante para realizar su procedimiento se explica conceptualmente por tres
fases: la fase de reconocimiento, la fase de ataque y la fase de eliminación, como se puede
ven en la siguiente imagen. 
Método conceptual intrusos/atacantes/hackers (Gráfico basado en "Hacker Model" pg 39,
del libro Hack Notes escrito por Mike Horton y Clinton Mugge)
En la primera fase (reconocimiento), se busca reconocer y recolectar información. De esta
manera, el atacante puede saber cómo puede actuar y los riesgos posibles, para así poder
avanzar. En la segunda fase (ataque) se compromete el sistema, avanzando hasta el nivel
más alto, teniendo el control del sistema atacado. Esta etapa usualmente se maneja de
manera discreta, y es por eso que es más difícil identificar al intruso. Usualmente, la
vanidad del intruso y la falta de discreción ayudan al investigador a resolver el caso con
mayor facilidad. Finalmente, (en la fase de eliminación) se altera, elimina o desaparece toda
la evidencia que pueda comprometer al intruso en algún caso judicial. Del cuidado con el
que el atacante proceda en esta fase depende el proceso del informático forense y del
caso.4?

Administradores y la infraestructura de la seguridad informática

El administrador del sistema es el experto encargado de la configuración de este, de la
infraestructura informática y de la seguridad del sistema. Estos administradores son los
primeros en estar en contacto con la inseguridad de la información, ya sea por un atacante o
por una falla interna de los equipos. Al ser los arquitectos de la infraestructura y de la
seguridad de la información del sistema, son quienes primero deberían reaccionar ante un
ataque, y deben proporcionar su conocimiento de la infraestructura del sistema para apoyar
el caso y poder resolverlo con mayor facilidad.
Las infraestructuras de seguridad informática (realizadas por el administrador) han
avanzado a medida que avanzan las tecnologías. Inicialmente, se utilizaba una
infraestructura centralizada en la cual la información se encontraba en un equipo. Por lo
tanto, en este caso la Seguridad informática se concentraba en el control del acceso a los
equipos con la información, al control del lugar en donde se encontraban, y en el
entrenamiento de quienes estaban encargados de manejar los equipos. Pero con la
tecnología fueron cambiando las infraestructuras y las inseguridades cambiaron. Así, se
crearon los proxies, Firewall, los IDS  Sistema de detección de intrusos , los IPS Sistema
de prevención de intrusos entre muchas otras herramientas para proveer una mejor
seguridad a los sistemas, ya que ahora el acceso no ocurría solo a través de la máquina, sino
a través de otras y de la Web.6?
Por otro lado, es importante hablar de la auditabilidad y trazabilidad, que son propiedades
del sistema, relacionados con la infraestructura que son útiles como evidencia para el
investigador. La auditabilidad es la capacidad del sistema para registrar los eventos de una
acción en particular con el fin de mantener la historia de estos y de realizar un control con
mayor facilidad. En cambio, la trazabilidad es la propiedad que tiene un sistema para
rastrear o reconstruir relaciones entre diferentes objetos monitoreados.6?
Es importante resaltar que el administrador debe conocer lo suficiente sobre las
infraestructuras del sistema para poder colaborar con el caso, ya que con base en su análisis
el proceso del investigador forense se puede facilitar. Adicionalmente, contar con los
rastros y registro de eventos (Auditoría informática) en los sistemas es crucial para el
administrador y su infraestructura, no solo porque genera confianza en sus clientes, sino
también porque es una buena práctica en términos de seguridad para toda la empresa.6?

Investigador
Es un nuevo profesional que actúa como perito, criminalista digital, o informático.
Comprende y conoce las nuevas tecnologías de la información, y analiza la inseguridad
informática emergente en los sistemas. El perfil del investigador es nuevo y necesario en el
contexto abierto informático en el que vivimos. Por lo tanto, es necesario formar personas
que puedan trabajar como investigadores en la disciplina emergente de la criminalística
digital y el cómputo forense. Estas prácticas emergentes buscan articular las prácticas
generales de la criminalística con las evidencias digitales disponibles en una escena del
crimen. El trabajo del informático es indagar en las evidencias, analizarlas y evaluarlas para
poder decidir cómo estas evidencias pueden ayudar a resolver el caso. Por lo tanto, es ideal
que un investigador conozca al menos sobre las siguientes áreas: Justicia criminal,
auditoría, administración y operación de tecnologías de Información.7?
En un proceso de investigación forense en informática hay ocho roles principales en un
caso: el líder del caso, el propietario del sistema, el asesor legal, el auditor/ingeniero
especialista en seguridad de la información, el administrador del sistema, el especialista
en informática forense, el analista en informática forense y el fiscal. Usualmente, entre
todos estos roles, los informáticos forenses pueden tomar los siguientes cuatro roles:

 Líder del caso: es aquel que planea y organiza todo el proceso de investigación
digital. Debe identificar el lugar en donde se realizará la investigación, quienes
serán los participantes y el tiempo necesario para esta.

 Auditor/ingeniero especialista en seguridad de la información: conoce el escenario

en donde se desarrolla la investigación. Tiene el conocimiento del modelo de
seguridad en el cual ocurrieron los hechos y de los usuarios y las acciones que
pueden realizar en el sistema. A partir de sus conocimientos debe entregar
información crítica a la investigación.

 Especialista en informática forense: es un criminalista digital que debe identificar

los diferentes elementos probatorios informáticos vinculados al caso, determinando
la relación entre los elementos y los hechos para descubrir el autor del delito.

 Analista en informática forense: examina en detalle los datos, los elementos

informáticos recogidos en la escena del crimen con el fin de extraer toda la
información posible y relevante para resolver el caso.

** Es importante recalcar que una misma persona puede tomar más de un rol, e incluso los
cuatro, en un proceso de investigación.7?
Pasos del proceso del cómputo forense
El proceso de análisis forense a una computadora se describe a continuación:

Identificación
Es muy importante conocer los antecedentes a la investigación "HotFix", situación actual y
el proceso que se quiere seguir para poder tomar la mejor decisión con respecto a las
búsquedas y las estrategias (debes estar bien programado y sincronizado con las actividades
a realizar, herramientas de extracción de los registros de información a localizar). Incluye
muchas veces (en un momento especifico Observar, Analizar Interpretar y Aplicar la
certeza, esto se llama criterio profesional que origina la investigación) la identificación del
bien informático, su uso dentro de la red, el inicio de la cadena de custodia (proceso que
verifica la integridad y manejo adecuado de la evidencia), la revisión del entorno legal que
protege el bien y del apoyo para la toma de decisión con respecto al siguiente paso una vez
revisados los resultados.

Preservación
Este paso incluye la revisión y generación de las imágenes forenses de la evidencia para
poder realizar el análisis. Dicha duplicación se realiza utilizando tecnología punta para
poder mantener la integridad de la evidencia y la cadena de custodia que se requiere
(soportes). Al realizar una imagen forense, nos referimos al proceso que se requiere para
generar una copia “bit-a-bit” (copia binaria) de todo el disco duro, el cual permitirá
recuperar en el siguiente paso, toda la información contenida y borrada del disco duro. Para
evitar la contaminación del disco duro, normalmente se ocupan bloqueadores de escritura
de hardware, los cuales evitan el contacto de lectura con el disco, lo que provocaría una
alteración no deseada en los medios.

Análisis
Proceso de aplicar técnicas científicas y analíticas a los medios duplicados por medio del
proceso forense para poder encontrar pruebas de ciertas conductas. Se pueden realizar
búsquedas de cadenas de caracteres, acciones específicas del o de los usuarios de la
máquina como son el uso de dispositivos de USB (marca, modelo), búsqueda de archivos
específicos, recuperación e identificación de correos electrónicos, recuperación de los
últimos sitios visitados, recuperación del caché del navegador de Internet, etc.

Presentación
Es el recopilar toda la información que se obtuvo a partir del análisis para realizar el reporte
y la presentación a los abogados, jueces o instancias que soliciten este informe, la
generación (si es el caso) de una pericial y de su correcta interpretación sin hacer uso de
tecnicismos; se deberá presentar de manera cauta, prudente y discreta al solicitante la
documentación ya que siempre existirán puertas traseras dentro del sistema en observación
y debe ser muy especifica la investigación dentro del sistema que se documenta porque se
compara y vincula una plataforma de telecomunicación y computo forense y que están muy
estrechamente enlazadas no omitiendo los medios de almacenamiento magnéticos portables
estos son basamentos sobre software libre y privativo. Deberá ser muy cuidadosa la
información a entregar porque se maneja el prestigio técnico según la plataformas y
sistemas
Para poder realizar con éxito su trabajo, el investigador nunca debe olvidar:

 Ser imparcial. Solamente analizar y reportar lo encontrado.

 Realizar una investigación formal sin conocimiento y experiencia.
 Mantener la cadena de custodia (proceso que verifica la integridad y manejo
adecuado de la evidencia).
 Documentar toda actividad realizada.

El especialista debe conocer también sobre:

 Desarrollo de los exploit (vulnerabilidades), esto le permite al informático forense

saber qué tipo de programas se pondrán de moda, para generar una base de estudio
que le permita observar patrones de comportamiento.

Retos y riesgos en la informática Forense

Al estar en un escenario que evoluciona constantemente, cada vez surgen más retos y
riesgos en el área de la computación forense. Entre ellos la formación de informáticos
forenses, la confiabilidad de las herramientas, la facilidad de la destrucción de las
evidencias, las amenazas estratégicas y tácticas que plantea el ciberterrorismo; y las
tecnologías emergentes como la nube, las tecnologías móviles, y las redes sociales. 8?
Algunos de estos temas se abordarán a continuación:

Formación de informáticos forenses

Los criminales informáticos son una nueva generación de delincuentes, en este contexto, es
necesario desarrollar un nuevo tipo de investigadores: los informáticos forenses. En este
momento es un desafío encontrar personas que tengan este perfil, ya que no existen
suficientes programas que realicen este tipo de formación. Adicionalmente, en este
momento, las personas del común ignoran la importancia de los informáticos forenses
porque ignoran la dimensión del cibercrimen. Usualmente se cree que no es algo tan grave
y se le da mayor importancia a otro tipo de crímenes.
Por lo tanto, se deben plantear programas e iniciativas para poder realizar esta formación.
Según investigaciones e iniciativas ya realizadas, hay cuatro componentes principales que
deben estar presentes en un programa de computación forense o forensia digital: contenido
multidisciplinario, ejercicios prácticos, profesores de calidad y ejemplos del mundo
real (investigación de Taylor Endicott-Popovsky y Phillips, 2007)8?

 Contenido multidisciplinario: técnico en informática, conocimiento de

criminalística, seguridad y delitos informáticos, entre otros.
 Ejercicios prácticos en el laboratorio: con herramientas tecnológicas forenses, en
diferentes niveles de dificultad y variedad de componentes a analizar.
 Profesores calificados con alto conocimiento en el tema
  Ejemplos del mundo real: con el fin de dar mayor profundidad al aprendizaje.

Confiabilidad de las herramientas

Las herramientas existentes disponibles para el cómputo forense presentan otro reto. Las
herramientas licenciadas exigen a los investigadores inversiones altas (tanto en hardware,
como en software), al adquirirlas y para mantenerlas. Adicionalmente, como las
herramientas están avanzando constantemente requieren técnicos y usuarios que estén
constantemente aprendiendo de sus actualizaciones, modificaciones y posibles errores. Por
otro lado, las herramientas de código abierto son cuestionadas en muchos tribunales por su
confiabilidad. Por lo tanto, no se recomiendan a la hora de usarse en una audiencia.
Es por esto que el NIST (National Institute of Standards and Technlogy de Estados Unidos)
ha planteado importantes investigaciones para probar y poner reglas para las herramientas
del cómputo forense, en su proyecto NIST Computer Forensic Tool Testing Program. Las
pruebas realizadas serán útiles para cumplir las exigencias del test de Daubert standard,
prueba que establece la confiabilidad de las herramientas en computación forense.8?

Herramientas de informática Forense
La siguiente tabla compara cuatro herramientas reconocidas internacionalmente al ser muy
completas. Luego, se encuentra una lista más completa de herramientas útiles para la labor
del investigador.1?
 
Licenci Imáge Control de Administración del
Herramienta
a n Integridad caso
Encase SÍ SÍ SÍ SÍ
Forensic
SÍ SÍ SÍ SÍ
Toolkit
Winhex SÍ SÍ SÍ SÍ
Sleuth Kit NO SÍ SÍ SÍ
Herramientas utilizadas en procesos de cómputo forense

 Air (Forensics Imaging GUI)

 Autopsy (Forensics Browser for Sleuth Kit)Cryptcat (Command Line)Deep Freeze
 Dcfldd (DD Imaging Tool command line tool and also works with AIR)
 Dumpzilla (Forensics Browser: Firefox, Iceweasel and Seamonkey)
 Encase: https://www.guidancesoftware.com/encase-forensic?cmpid=nav_r
 Exif Viewer (Visor de metadatos en imágenes)
 Faces
 Foremost (Data Carver command line tool)
 Forensik Toolkit: https://accessdata.com/products-services/forensic-toolkit-ftk
 Helix
  Hetman software (Recuperador de datos borrados por los criminales)
 Hiren´s boot
 Md5deep (MD5 Hashing Program)
 Metashield Analyser Online (Analizador de metadatos online)
 Mini XP
 NTFS-Tools
 Netcat (Command Line)
 Net resident
 NetFlow
 Py-Flag (Forensics Browser)
 Qtparted (GUI Partitioning Tool)
 R-Studio Emergency (Bootable Recovery media Maker)
 R-Studio Network Edtion
 R-Studio RS Agent
 Regviewer (Windows Registry)
 Sleuth Kit (Forensics Kit. Command Line): https://www.sleuthkit.org/
 Snort
 Viewer
 Volatility (Reconstrucción y análisis de memoria RAM)
 X-Ways Forensics
 X-Ways WinHex https://www.x-ways.net/winhex/
 X-Ways WinTrace

Herramientas para el análisis de discos duros

 AccessData Forensic ToolKit (FTK)

 Guidance Software EnCase
 Kit Electrónico de Transferencia de datos

Herramientas para el análisis de correos electrónicos

 Paraben
 AccessData Forensic ToolKit (FTK)

Herramientas para el análisis de dispositivos móviles

 Cellebrite UFED Touch 2, Physical Analyzer.

 AccessData Mobile Phone Examiner Plus (MPE+)

Herramientas para el análisis de redes

 E-Detective - Decision Computer Group

 SilentRunner - AccessData
 NetworkMiner
  Netwitness Investigator

Herramientas para filtrar y monitorear el tráfico de una red tanto interna como a internet

 Tcpdump
 USBDeview
 SilentRunner - AccessData
 WireShark

Términos importantes para la informática Forense

 Cadena de Custodia: la identidad de personas que manejan la evidencia en el

tiempo del suceso y la última revisión del caso. Es responsabilidad de la persona
que maneja la evidencia asegurar que los artículos son registrados y contabilizados
durante el tiempo en el cual están en su poder, y que son protegidos, así mismo
llevando un registro de los nombres de las personas que manejaron la evidencia o
artículos durante el lapso y fechas de entrega y recepción.
 Imagen Forense: Técnica Llamada también "Espejeo" (en inglés "Mirroring"), la
cual es una copia binaria de un medio electrónico de almacenamiento. En la imagen
quedan grabados los espacios que ocupan los archivos y las áreas borradas
incluyendo particiones escondidas.
 Análisis de Archivo: Examina cada archivo digital descubierto y crea una base de
datos de información relacionada al archivo (metadatos, etc.), consistente entre otras
cosas en la firma del archivo o hash (indica la integridad del archivo).

TAREA 4
Que significa para usted
1. Informática Forense
2. Laboratorio Forense
3. Recolección de Evidencias
10 LEYES DE LA SEGURIDAD INFORMATICA
1. Deficiente control de acceso a las aplicaciones: El 48% de los
participantes ha detectado que, en su compañía, el acceso de los trabajadores
a las aplicaciones debería estar mejor controlado. 2. Existencia de
vulnerabilidades web: El 47% de las empresas afirman que este año han
detectado vulnerabilidades web mediante ‘hacking éticos’ que pueden
permitir accesos indebidos a información sensible de la compañía. 3. Falta
de formación y concienciación: La necesidad de potenciar la formación y
concienciación en materia de seguridad de la información tanto al personal
interno como a los socios de negocio se ha detectado en un 45% de las
empresas encuestadas. El factor humano es de vital relevancia para prevenir
los ciberataques avanzados. Seguridad de Sistemas Informáticos

2. Proceso de gestión de incidentes de seguridad: La inexistencia o

necesidad de mejora de la respuesta ante un incidente de seguridad ha sido
identificada por el 44,6% de los interlocutores que han participado en el
estudio. 5. Existencia de cambios regulatorios: El 43% ha reflejado la
complejidad de adaptarse a los nuevos cambios regulatorios tanto legales
como normativos que aplican a cada sector.

3. Control de acceso a la red: El 42% de las empresas dicen que están en

riesgo debido a la falta o, en ocasiones, inexistencia de control de los
accesos de los usuarios internos y terceros tales como proveedores o
invitados a la red corporativa. Fugas de información: La fuga de datos es
uno de los mayores riesgos a los que se exponen las compañías en la
actualidad, según reconoce el 41’3% de las empresas. Seguridad de Sistemas
Informáticos

4. Fraude y robo de información: El 40’3% de las compañías afirman que

existe una gran vulnerabilidad en los llamados filtros informativos, lo que
provoca que el fraude y robo de la información sea más común de lo que
aparenta ser. 9. Falta de planificación de continuidad de negocio: Una
pandemia, un pequeño incendio o un cambio significativo sobre todo entre
los miembros de la cúpula directiva de una compañía provoca que sea
estrictamente necesario contar con una planificación de la continuidad del
 negocio, según un 32,5% de las empresas. 10. Desarrollo de software
seguro: La creciente utilización de herramientas informáticas para mecanizar
los procesos de negocio ha provocado que el 39,8% de los encuestados
identifique los aspectos de seguridad de la información como aspectos clave
en el ciclo de vida del desarrollo de software. Seguridad de Sistemas
Informáticos

5. AMENAZAS DE SEGURIDAD Se entiende por AMENAZA una

condición del entorno del sistema de información (persona, maquina, etc.)
que dada una oportunidad podría dar lugar a que se genere una
VIOLACION DE SEGURIDAD. Seguridad de Sistemas Informáticos

6. De los sistemas informáticos, ya sean operativos, bases de datos, servicios o

aplicaciones se dice que son seguros si cumplen las siguientes
características: CONFIDENCIALIDAD: Requiere que la información sea
accesible únicamente por las entidades autorizadas INTEGRIDAD:
Requiere que la información solo pueda ser modificada por las entidades
autorizadas. La modificación incluye escritura, cambio, borrado, creación y
reactivación de la información trasmitida. NO REPUDIO: Ofrece
protección a un usuario frente a otro usuario que niegue posteriormente que
realzo cierta operación. Esta protección se efectúa por medio de una
colección de evidencias irrefutables que permitirán la resolución de
cualquier controversia. DISPONIBILIDAD: Requiere que los recursos del
sistema informático ya sean operativos, bases de datos, servicios o
aplicaciones estén disponibles a las entidades autorizadas cuando los
necesiten. Seguridad de Sistemas Informáticos

7. Scout Group, de Microsoft Security Response Center publicaron en el

año 2000 un artículo titulado “The Ten Laws of Security” en el que indica
las leyes que hay que tener en cuenta para mantener la seguridad de un
sistema informático.
LEY # 1 Si alguien lo puede persuadir para que usted ejecute el programa de él en su
computadora, ésta ya deja de ser su computadora. Normalmente el intruso o atacante hará
uso de la INGENIERÍA SOCIAL para convencerlo de ejecutar una aplicación
aparentemente “inofensiva”, tiende a verse a través de correos electrónicos, tarjetas de
felicitación electrónicas, que incluyen algún tipo de troyano o virus diseñado para hacer
daño.
Por ejemplo, la difusión del virus ILOVEYOU tuvo éxito porque los usuarios impacientes
abrieron el correo que tenía una secuencia de comandos que llegaba oculta en el mismo
correo electrónico. Una vez instalado el código este supervisaba as actividades del equipo
informando los resultados al atacante
LEY # 2 Si alguien puede alterar el sistema operativo de su computadora, ésta ya deja de
ser su computadora. Estrecha relación con la Ley 1, pues si de alguna manera el atacante
altera el sistema operativo de su equipo, lo siento, pero lo has perdido. El sistema operativo
es de manera metafórica el “alma” del PC, es quien efectúa y controla cada proceso que se
debe realizar. Tiene acceso a toda la información almacenada en el equipo pues es este
quien permite esa interacción entre el hardware y el usuario. Al ser alterado el sistema
operativo quedara a merced del atacante.
LEY # 3 Si alguien tiene acceso físico sin restricción a su computadora, ésta ya no es su
computadora. Algo común entre las 3 primeras leyes es que su computadora ya no será
suya. Suena intimidatorio, pero creo que para esta ley aplica el doble. Si alguien puede
acceder a su computadora físicamente está absolutamente deja de ser su computadora. Es
una ley que aplica para todos, pero sobre todo aquellos que utilizan equipos móviles como
portátiles, SmartPhone´s, PDA´s, etc. donde almacenan información importante. Sin
embargo, cualquiera que pueda acceder a su PC de escritorio puede entre tantas cosas,
retirar el disco duro (o rígido) y llevárselo robando su información, que después de todo es
lo más valioso para cada uno por la información personal y única que posee.
LEY # 4 Si usted le permite a alguien subir programas a su sitio Web, éste sitio deja de ser
suyo. Muy acorde esta ley con el «Movimiento de la libertad de compartir
información». Si se tiene un sitio web o ftp que desea compartir con el mundo, se debe
limitar el acceso de sus visitantes y usuarios y con más razón si se tiene que compartir con
público en general. No permita que se suban a su sitio Web o FTP archivos desconocidos o
de dudosa procedencia. Estos se descargaran en su equipo y el de sus visitantes y las 2
primeras leyes entraran en vigor. Restringa a sus usuarios y solo permita privilegios a sus
colaboradores y no saboteadores. Al final esto repercutirá en la imagen de la organización y
en posibles problemas de virus y hasta sabotajes.
LEY # 5 Las contraseñas débiles atentan contra la seguridad fuerte Los mejores sistemas de
seguridad se han visto violentados por la existencia de usuarios con passwords débiles que
pueden sucumbir ante un ataque de fuerza bruta. Como administrador de red se debe
obligar a que los usuarios implementen passwords fuertes y que incluyan caracteres
especiales como @ $ & # así como letras en mayúsculas, minúsculas y números.
LEY # 6 Un sistema o máquina es tan segura como confiable sea el administrador. Una
mala, pero muy arraigada práctica es dejar a los usuarios como administradores de los
equipos o a nivel personal, logearse o ingresar a nuestros equipos con una cuenta con
privilegio de administrador.
Importante: Este tipo de usuario tiene control total sobre el sistema sobre el cual está
trabajando lo que permitirá ejecutar procesos desconocidos y tal vez dañinos para el
sistema.
LEY # 7 Los datos encriptados son tan seguros como la clave de desencriptación. Ningún
algoritmo de cifrado protegerá el texto cifrado de cualquier ataque en caso de que este
posea o pueda conseguir la clave de descifrado.
LEY # 8 Un antivirus desactualizado sólo es ligeramente mejor que ningún antivirus virus
en absoluto. Siempre aparecerán nuevos virus, gusanos y caballo s de Troya y los ya
existentes evolucionan.
LEY # 9 El anonimato absoluto no es práctico, ni en la vida real ni en la Web. Hay dos
aspectos que se confunden: PRIVACIDAD y ANONIMATO. El ANONIMATO
significa que la identidad y detalles de u usuario son desconocidos e imposibles de rasrear,
mientras que PRIVACIDAD significa que la identidad y detalles de la misma nos e
revelaran.
LEY # 10 La tecnología no es una panacea Se dice que si algo no está en Google es porque
no existe.
Tarea
De una breve opinión de las 10 leyes de la Seguridad informática

SEGURIDAD INFORMATICA EMPRESARIAL

Desde hace varios años las prácticas delictivas han ido superando barreras. Desde el spam
masivo, hasta robos de credenciales, infecciones de los equipos, ataques de denegación de
servicio o secuestro de pcs.
No solo el aumento de las amenazas es preocupante, sino que se añade un panorama más
diverso, con atacantes que han descubierto una mina de oro con la extorsión de sus
víctimas.
No hace tanto, estos ciberdelincuentes se centraban en perjudicar a las grandes
corporaciones, con una petición de recompensa elevada, pero las cosas han cambiado.
Han descubierto que poco (dinero) a muchos es más lucrativo.
Con el añadido de que los grandes disponen de medidas de seguridad elevadas y que las
pequeñas y medianas empresas suelen tener fisuras desde donde puedan colarse.
Con barreras elementales de seguridad empresarial, un par de líneas de código en un correo
malintencionado ya tiene entrada libre para bloquearnos el acceso a servidores, datos o
dejar inutilizable dispositivos de procesamiento.
En 2017, los daños generados por ‘ransomware’ en todo el mundo pasó de los 1.000
millones de dólares registrados en 2016  a  5.000 millones de dólares. Un aumento
considerable de cinco veces más en un periodo de un año. Y lo que se prevé para el 2019 ,
según un informe de CyberSecurity Ventures, son unos perjuicios por ‘ransomware’ 
valorados en 11.500 millones de dólares, o su equivalencia en 9.418 millones de euros.
A estas cifras podemos añadir otros perjuicios muy serios y que cada empresa valora por
sí misma como sistemas bajo control del atacante, datos privados de clientes sacados a la
luz pública, caídas de productividad, inactividad empresarial, sustitución en algunos casos
de determinadas infraestructuras TIC, daños a la reputación e imagen, etc.
Así como en el 2016 uno de cada 131 correos electrónicos contenía programas maliciosos,
en lo que va de año la proporción es equivalente a uno de cada 50 correos recibidos.
Y suma y sigue…
Por ello, necesitamos un plan de seguridad efectivo y enfocado específicamente a nuestra
empresa. ¿Tu empresa está protegida? ¿Son efectivos los sistemas de seguridad actuales?
¿Debes de implementar nuevos métodos de seguridad?

La seguridad informática interna, externa y perimetral

La ciberseguridad de una empresa está dividida en tres partes:

1. Seguridad interna, que establece medidas de seguridad a nivel local dentro de la

misma red para proteger los sistemas ante un atacante local e incluso ante las
acciones, voluntarias o involuntarias, de los usuarios.
2. Seguridad externa, la cual integra elementos defensivos a todos los sistemas
informáticos de la empresa para protegerlos frente a amenazas externas, procedentes
en su mayoría de Internet.
3. Seguridad perimetral, que se define como los elementos y dispositivos
electrónicos para la protección física de los sistemas.

La seguridad perimetral impide el acceso a los sistemas físicos (servidores, ordenadores,

routers) de la empresa y es el tipo de seguridad más visible que existe. Por ejemplo, una
cámara de seguridad, un escáner de retina para acceder a una sala y un vigilante de
seguridad, son integrantes de la seguridad perimetral de una empresa.
Las empresas modernas que confían en la nube de Garatu Cloud Computing no necesitan
invertir en este tipo de seguridad, pues es el proveedor, es decir, nosotros, los que nos
ocupamos íntegramente de ella con los dispositivos y técnicas más avanzadas del mercado.
 
Seguridad externa:
actualmente uno de los puntos fundamentales en la empresa.
No obstante, no es normal que intenten atacar nuestras instalaciones físicamente por
motivos evidentes, así que los delincuentes recurren a ciber amenazas como ataques de
denegación de servicio, búsqueda y explotación de vulnerabilidades, inyecciones de código
y virus, hackeos…
Dependiendo del grado de implicación de la empresa en la seguridad informática, los
hackers suelen verse frustrados por la seguridad externa de la empresa: routers con
protección DDoS, análisis de paquetes en tiempo real, detección de intrusos en la red
mediante avanzados firewall, análisis de todos los datos que salen y entran por la red
mediante antivirus.
No menos importante es la seguridad interna, encargada de proteger todos los sistemas de
la empresa en la red local. A simple vista parece el tipo de seguridad menos importante y
más sencilla, pero la realidad es otra.
En 2016, la mayoría de los ataques que comprometieron datos privados fueron de carácter
interno, por lo que adoptar medidas de seguridad interna es crucial:

 Antivirus locales en todos los ordenadores y servidores

 Límites a los usuarios según sus cuentas de usuario
 Límite de privilegios en sistemas operativos
 Obligación de uso de tarjetas identificativas
 …

Estas y muchas más medidas se pueden adoptar fácilmente a los sistemas de nuestra
empresa.
En Garatu IT Solutions contamos con medidas específicamente diseñadas para empresas,
con ingenieros certificados en ITIL.
Monitoriza tus infraestructuras con GaratuCloud

Hay vida más allá del firewall y del antivirus

Si preguntásemos a gente al azar sobre medidas de ciberseguridad, el antivirus y
el firewall serían las dos más nombradas.
El antivirus escanea -normalmente en tiempo real– todos los archivos y documentos que
utilizamos en busca de amenazas como virus, malware, ransomware, etc.
El firewall actúa de manera parecida, pero con la red, escaneando los paquetes que
recibimos y enviamos, protegiéndonos de intrusos y otras amenazas.
Aunque dichas medidas sean muy útiles e imprescindibles, en una empresa no son
suficientes. Existen muchas otras medidas de seguridad, tanto internas como externas, que
también debemos adoptar en adición a los antivirus y firewalls:

 Sistemas de Detección y Prevención de Intrusos (IDS/IDPS). Son dispositivos

que monitorizan los sistemas de la empresa y generan alarmas si se detectan
patrones de comportamiento sospechosos.
 Honeypots. Vulnerabilidades falsas puestas a propósito para recopilar información
sobre los ataques a nuestra empresa.
 Antispam. Las medidas contra los correos no deseados son muy necesarias, pues
actualmente el 80% de las amenazas de Internet llegan a los sistemas de la empresa
a través del correo electrónico de los empleados. Aquí también entra en juego la
seguridad interna de la plataforma. Si un empleado de tu empresa se infecta, ¿se
infecta toda la red?
  Redes Virtuales Privadas (VPN). Túneles virtuales creados a través de la red para
aislar y proteger comunicaciones. Se suelen utilizar para conectar usuarios de
manera remota, pero también se utilizan en entornos locales muy seguros.
 Análisis y prevención de vulnerabilidades web. En el caso de que tengamos
alguna web App, también es importante protegerla frente a ataques, pues un hacker
podría lograr acceder a datos privados de la empresa si logra explotar una
vulnerabilidad.
 Capa de punto final. Medidas de seguridad que impiden la ejecución de programas
y servicios sospechosos, restringen los privilegios y reducen la probabilidad de
infección de los sistemas.

Además, tener un equipo técnico profesional, eficaz y de confianza es un valor añadido

muy importante.
El equipo técnico que trabaja con los sistemas de la empresa tiene que tener altos
conocimientos técnicos, tanto de los propios sistemas en sí como en la seguridad de los
mismos y renovar sus conocimientos cada poco, pues las amenazas son muy cambiantes y
siempre hay que estar preparado para lo último.

¿Qué aporta exactamente la seguridad a mi empresa?

Ahora que ya sabemos que la seguridad informática es importante, cuáles son las amenazas
y cómo combatirlas, dispositivos y técnicas de protección… necesitamos comprender el
uso real de la misma en entornos empresariales. 
La seguridad informática existe para garantizar la confidencialidad, integridad y
disponibilidad de los datos y sistemas. La privacidad de la información y la continuidad
del servicio son dos puntos clave en toda empresa moderna. ¿Qué pasaría si hubiese una
filtración de documentos confidenciales en tu empresa? ¿Qué sucedería si atacan la
infraestructura de nuestra empresa y dejan los servidores fuera de servicio durante 1
semana? Sería, en ambos supuestos, una situación terrible.
La seguridad informática existe para garantizar la confidencialidad, integridad y
disponibilidad de los datos y sistemas
Por ello invertir en seguridad informática es necesario en empresas modernas que busquen
máxima calidad de servicio, privacidad e integridad.
Todos los tipos de seguridad anteriormente mencionados son igual de importantes, así
como mantener informados a los trabajadores de la empresa en todo momento
sobre medidas de protección y sobre toda medida de precaución que deben de tomar en
todos los ámbitos informáticos, desde el WhatsApp hasta el correo electrónico.

1. Integridad. Mantener la información de la empresa en un entorno fiable y

consistente, lejos de amenazas informáticas.
2. Privacidad. Limitar el acceso a la información y sistemas de la empresa,
estableciendo privilegios sólo a ciertos usuarios.
3. Disponibilidad. Continuidad del servicio sin que ninguna amenaza afecte a los
servicios de la empresa.
 4. Parte física. Protección de los sistemas físicos (como el hardware), protegiendo
sistemas muy caros que su reparación o reposición supondrían un gran perjuicio
económico a la empresa.
5. Parte lógica. Protección de los sistemas operativos, aplicaciones e información de
los trabajadores y usuarios que también podría llegar a suponer un perjuicio
económico para la empresa y un gran problema legal.

TAREA:
De una breve opinión sobre la seguridad informática empresarial