FUNDAMENTOS DE

SEGURIDAD INFORMÁTICA

Ricardo López

EJE 1
Conceptualicemos

Fuente: Shutterstock/258980774
 Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Introducción a los fundamentos de seguridad informática . . . . . . . . . . . . . . 4

Hablemos ahora de la seguridad informática . . . . . . . . . . . . . . . . . . . . . . 8

Analicemos ahora el riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Amenaza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Ataque informático . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Protección de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Política de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
ÍNDICE
 Introducción

¿De qué y qué se debe proteger en los sistemas informáticos y la información?

La asignatura fundamentos de seguridad informática, ofrece una visión inicial

de la seguridad de la información y los sistemas informáticos, con el objetivo de
acercar a los estudiantes a este maravilloso mundo, y ofrecer una alternativa
más, a profesionales de la ingeniería.

El marco metodológico que ofrece esta asignatura es teórico – práctico, el estu-

diante aprenderá conceptos, definiciones y temas, para posteriormente ponerlos
INTRODUCCIÓN

en práctica.

En este primer eje del conocimiento, se abarcarán los conceptos básicos de

la seguridad informática y se inducirá al estudiante a tomar una postura crítica
reflexiva, frente a los problemas de seguridad a los que está expuesta la informa-
ción y los dispositivos que la contienen.

Para un mejor entendimiento de los temas, nos apoyaremos de video cáp-

sulas, video relatos, lecturas complementarias, casos prácticos, talleres, entre
otros recursos.
 Introducción
a los fundamentos
de seguridad
informática
 Como elemento introductorio los invito a ver el video “Especial Ciberseguridad C24 –
2017- Min TIC” el cual nos dará una visión general sobre la ciberseguridad y ciberdefensa
en Colombia.

Video
Información
Especial Ciberseguridad C24 – 2017- Min TIC Se entiende como el conjunto de
datos que forman el mensaje.
[Link]

En la actualidad vivimos en el mundo de la información, de ahí la famosa frase “Quien

tiene la información tiene el poder” pero en realidad no es suficiente tener la información,
se le debe dar un correcto tratamiento a esta, para que se convierta en el poder.

El desarrollo de las Tic ha generado un estrecho lazo entre la información y la tecno-

logía y cada día se vuelve más dependiente de la misma.

Por otra parte, la tecnología ha masificado la información y la ha llevado a todos los

rincones del mundo lo cual es un excelente valor agregado pero esta misma expo-
sición de la información la hace vulnerable a robo, daño, modificación, alteración,
denegación, entre otros muchos elementos que la pueden afectar.

Es importante entender que cualquier información

subida a internet estará expuesta al riesgo indiferente del Personal de TI
lugar donde la guarde. Se entiende como las personas que
trabajan en el departamento de
Tecnologías de la Información y la
Parte de nuestra labor como personal de TI es desarrollar comunicación, comúnmente conoci-
procesos y políticas de seguridad tendientes a minimizar el do como departamento de sistemas.

riesgo y el impacto de algún evento fortuito.

Lectura recomendada

Para comenzar esta sección de conceptos los invito a realizar la lectura del Título
dos de la norma ISO 17799, en la cual se definen términos y conceptos utilizados en
la seguridad informática

Título dos de la norma ISO 17799

Norma Técnica Colombiana

Fundamentos de seguridad informática - eje 1 conceptualicemos 5

 La información es el conjunto de datos ordenados que sirven para construir
un mensaje, esta información, es empleada por el ser humano para construir
el conocimiento y desarrollar actividades, permite tomar decisiones y gene-
rar nuevas ideas, emplea el uso de códigos, símbolos o señales para dar un
Información mensaje y poder usar un lenguaje en común, también permite enriquecerla
constantemente y puede ser transmitida, modificada y adaptada de acuerdo
a la necesidad de las personas.

La informática se entiende como el procesamiento automático de la infor-

mación por medio de dispositivos electrónicos y/o equipos de cómputo, esta
permite a la rama de la computación y/o Tecnologías de la Información y
Comunicación (TIC), estudiar y emplear diferentes procesos (métodos o téc-
Informática nicas), para su sistematización, almacenamiento, procesamiento, transmisión
de la información en formatos o medios digitales. Informática
Elemento que emplea el ser hu-
mano para adquirir o transformar
los conocimientos para su optimi-
zación y mejoramiento continuo.

En computación los datos se definen como el conjunto de valores y operaciones Datos

Representa la simbología que de-
los cuales son interpretados por el lenguaje de programación que representa, fine un lenguaje (natural, cultural,
interpreta y estructura los objetos o valores que se almacenan en la memoria del científico, financiero, estadístico,
geográfico, etc.).
ordenador. Encontramos diferentes tipos de datos como numéricos, alfabéticos,
algorítmicos, al agrupar estos nos da como resultado información útil para su Empírica
Datos Hace referencia al desarrollo de
posterior tratamiento, ya sea de forma empírica, cualitativa o cuantitativa. actividades basadas en la expe-
riencia, la práctica y en la obser-
vación.
Cualitativa
Hace referencia a las cualidades
y/o comportamientos.
La seguridad expresa la condición de estar libre o tener la libertad física de
Cuantitativa
cualquier peligro o daño ante cualquier circunstancia. Es decir, es la garantía Se refiere a cantidades, valores
que tienen las personas, animales, elementos o cosas de estar exento de todo numéricos o elementos contables.
perjuicio, amenaza, peligro o riesgo, la seguridad está asociada con el término Seguridad
Seguridad de protección, contra todo aquello que pueda alterar o infringir contra su Se puede ver como un estado o
una sensación de tranquilidad,
integridad ya sea en forma física, social, moral, económica. que me trasmite algo o alguien.

Fundamentos de seguridad informática - eje 1 conceptualicemos 6

Ejemplo

Veamos un ejemplo sobre el concepto de seguridad, para ello suponga la siguiente

situación:

Usted se encuentra en el lugar más inseguro de la ciudad, en horas de la noche y usted

lleva consigo un smartphone, un computador portátil, un reloj, una tablet, documentos
y dinero.

¿Qué siente? Probablemente angustia, miedo, inseguridad, entre otros muchos

sentimientos.

¿Por qué se dan esos sentimientos? Los sentimientos se generan porque tiene referentes
como saber lo inseguro que es el sector, y se han creado una serie de imaginarios previos.

Si ve un policía ¿Que le genera ese policía? probablemente una sensación de tranqui-

lidad, pero esto no garantiza que no le vaya a pasar nada.

De igual forma el departamento de TI debe generar una sensación de tranquilidad a los

usuarios finales, aunque en ningún momento puede garantizar que nada les va a pasar.

Figura 1. Inseguridad
Fuente:Shutterstock/220804708

Fundamentos de seguridad informática - eje 1 conceptualicemos 7

 Video

Para reafirmar los conceptos vistos hasta el momento los

invito a ver la video cápsula “conceptos básicos de seguridad”.

Seguridad informática - conceptos básicos

[Link]

Hablemos ahora de la seguridad informática

La seguridad informática, es la disciplina que se encarga de proteger la integridad,

disponibilidad y confidencialidad de la información y los sistemas informáticos que la
contienen, expresa la condición de aplicar la protección hacia la rama computacional y
la teleinformática, la cual busca ante todo, prevalecer el cuidado y la prevención de la
información que se maneja y circula en estos medios informáticos.

De igual forma emplea diferentes pro-

cesos (métodos o técnicas), políticas, nor- Seguridad informática
mas, procedimientos y estrategias para Los pilares de la seguridad informática son la integridad, disponibi-
lidad y confidencialidad.
salvaguardar, mitigar y minimizar poten-
ciales riesgos, amenazas o vulnerabilidades
en que la información está expuesta (físico
y lógico) y pueda así asegurar sus principios
básicos asociados como confidencialidad,
integridad y disponibilidad, lo que contri-
buye a mantener un sistema de informa-
ción (SI) de forma segura y confiable.

Un elemento importante en la seguri-

dad informática es la criptografía y esta se
define como la rama de la criptología que
se encarga de ocultar la información, aplica
diferentes técnicas que permiten proteger
archivos y/o datos. Para esto se emplean
mecanismos de cifrados o códigos para
escribir algo de manera secreta u oculta en Figura 2. Seguridad informática
la información que se considerada altamente Fuente: [Link]/147258695
confidencial y que es enviada o transmitida
por medios informáticos en redes, datos o el
uso de internet. Su procedencia viene desde Criptografía
tiempos antiguos, ya que, a lo largo de nues- Es el arte o técnica de ocultar la información y protegerla de per-
sonal no autorizado.
tra historia, antiguas civilizaciones utilizaban

Fundamentos de seguridad informática - eje 1 conceptualicemos 8

símbolos como lenguajes en común y sólo
ellos, que conocían este dialecto o simbolo-
gía, podían conocer su significado.

En la actualidad, los sistemas computa-

cionales permiten aplicar diversos procesos
de operaciones matemáticas para poder
ocultar la información que se desee enviar,
y así, sólo el receptor del mensaje podrá
interpretarlo. Esto se conoce como cifrar y
descifrar información.

Otro elemento fundamental en la segu-

ridad informática es el criptoanálisis, el cual
viene asociado a la criptografía, consiste
en el estudio o análisis de los sistemas crip-
tográficos, con el fin de encontrar debili-
dades en el mensaje cifrado, de tal forma
que permitan descubrir la información (sin
tener la llave o clave).

Se llama criptoanalista a la persona que

evalúa y trata de vulnerar la seguridad, es
decir, descifrar el mensaje.

Otra técnica importante en la seguridad

informática es la llamada esteganografía la
cual consiste en ocultar mensajes u obje-
tos dentro de otro mensaje ya sea imagen,
video, audio, texto, etc.

Figura 3 Criptografía
Fuente: Shutterstock/512410459

Instrucción

Para reafirmar los conceptos los

invito a desarrollar la actividad de
Criptoanálisis
repaso “Técnicas criptográficas”
Técnicas de descifrar el mensaje sin tener la clave o llave.

Fundamentos de seguridad informática - eje 1 conceptualicemos 9

 Analicemos ahora el riesgo

El riesgo informático se entiende como el impacto ocasionado por un evento particular,

así mismo, define la probabilidad latente en que ocurra un hecho y se produzcan ciertos
efectos que son derivados en función de la amenaza y la vulnerabilidad. Para determinar
un riesgo, intervienen los factores de la probabilidad de ocurrencia de un evento, por la
magnitud del impacto.

¡Impor tante! Riesgo

Es la probabilidad que una vulnera-
bilidad sea aprovechada por la ame-
RT (Riesgo Total) = Probabilidad x Impacto promedio naza, para afectar el sistema y el im-
pacto que esto genere a la compañía.

Probabilidad

Vulnerabilidades Amenazas

Riesgo

Impacto Activos

Figura 4 Riesgo
Fuente: propia

Fundamentos de seguridad informática - eje 1 conceptualicemos 10

 Definimos vulnerabilidad como la debilidad o grado de
exposición de cualquier tipo, que puede comprometer par- Vulnerabilidad
cial o totalmente la seguridad del sistema informático. Está Exposición de debilidad de un sistema
o activo informático que tiene un ries-
directamente relacionado con el riesgo y la amenaza.
go o amenaza latente.

Podemos agrupar las vulnerabilidades en función de:

Grupo Definición

Mal diseño de protocolos en redes de datos y deficiente políti-

Diseño
cas de seguridad establecidas.

Existencias de backdoors “Puertas-traseras” en dispositivos y

sistemas informáticos.
Implementación Buffers u overflows en las aplicaciones desarrolladas.
No implementación de parches y no contar con el soporte de
los fabricantes.

Malas configuraciones de los sistemas.

La no concientización o capacitación a los usuarios y responsa-
Uso
bles de TI sobre manejo o fallas de los sistemas informáticos.
Carencia de recursos de seguridad en TI.

Se considera aquellos ataques contra las aplicaciones que eje-

Vulnerabilidad día cero cutan código malicioso en las vulnerabilidades detectadas en
los sistemas y son desconocidas por los usuarios y fabricantes.

Tabla 1. Vulnerabilidades según su función

Fuente: propia

Amenaza

Una amenaza informática es toda ocurrencia, evento o

persona, que tiene el potencial para causar daño a un sistema
informático, algunas de las tipificaciones más relevantes que Amenaza Informática
Evento que tiene el potencial de
encontramos son: destrucción, divulgación, robo, modificación causar daño.
de datos e indisponibilidad del servicio. La amenaza se mani-
fiesta en un lugar específico, tiene una duración e intensidad
determinadas, lo que conlleva a la materialización del riesgo en que se encuentra, es decir,
sólo puede existir si una vulnerabilidad existe y de la cual pueda ser aprovechada inde-
pendientemente de que se comprometa o no la seguridad de un sistema de información.

Fundamentos de seguridad informática - eje 1 conceptualicemos 11

Tipos de amenazas

Las amenazas se pueden clasificar en dos tipos generales:

Intencionales No intencionales

Como su nombre lo indica es con Cuando se producen acciones u

un fin o propósito específico (inten- omisiones de acciones que, si bien no
cionalidad), y pretende obtener un buscan explotar una vulnerabilidad,
beneficio personal, produce o intenta ponen en riesgo los activos de infor-
producir un daño hacia algún sis- mación y pueden producir un daño
tema informático, por ejemplo: el (por ejemplo, las amenazas relaciona-
hurto o la falsificación de la informa- das con fenómenos naturales, errores
ción mediante el uso de técnicas de de usuarios por falta de conocimiento,
trashing (obtención de información capacitación o descuido, entre otras).
sin autorización), la transmisión de
código malicioso (malware, troya-
nos, virus) y la aplicación de técnicas
de la ingeniería social.

Tabla 2. Clasificación de amenazas

Fuente: propia

Ataque informático

Se entiende como ataque informá-

tico aquellas acciones deliberadas rea-
lizadas por actores internos /externos
que afectan un sistema informático,
redes de datos alámbricas o inalám-
bricas, estos ataques pueden ser pro-
piciados por una o más personas para
causar un perjuicio o inconvenientes
hacia las infraestructuras tecnológicas.
El tipo de persona o atacante que rea-
liza este tipo de acción es denominado
pirata informático, existen diferentes
clasificaciones de acuerdo al propósito
de su objetivo.
Figura 5. Ataque informático
Fuente: Shutterstock/680078920

Fundamentos de seguridad informática - eje 1 conceptualicemos 12

Protección de datos

La protección de datos es una disciplina a nivel jurídico que se

encarga de proteger la intimidad y demás derechos fundamen- Ley 1581 del 2012
tales de las personas frente al riesgo que supone la exposición de “Por la cual se dictan disposicio-
nes generales para la protección
su datos o información en el uso de medios tecnológicos, inclusive de datos personales”.
si estos están reposados de forma física.

La protección de datos ampara la información, la recopilación,

divulgación y el uso indiscriminado de los datos personales, ya que
forma parte de su contexto privado y que puede ser utilizada para Habeas data
evaluar determinados aspectos de su personalidad como historial Es el derecho que tienen todas las
personas a conocer, actualizar y
de salud, antecedentes judiciales, hábitos de compra, relaciones rectificar las informaciones que
personales, creencias, entre otros. En Colombia el artículo 15 de la se hayan recogido sobre ellas en
bancos de datos y en archivos de
Constitución Política, y la Ley 1581 del 2012 y/o Habeas data, velan entidades públicas y privadas.
por la protección de la información y el buen nombre.

Lectura recomendada

Para profundizar en el tema lo invito a leer la Ley 1581 del 2012:

Ley 1581 de 2012 - “Por la cual se dictan disposiciones generales

para la protección de datos personales”

Congreso Nacional de la República de Colombia

El papel de la informática es recoger, ordenar, utilizar y transmitir información, por

ello, se ha generado la necesidad de desarrollar normas destinadas a limitar el uso de los
datos personales para garantizar el respeto, el honor, la intimidad personal y familiar de
los ciudadanos.

Es de tener en cuenta que la Ley de protección de datos personales, reconoce y protege

el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar
las informaciones que se hayan recogido sobre ellas como medios en bases de datos o
archivos, demás derechos, libertades y garantías constitucionales, a que se refiere el Art.
No. 15 de la constitución política y el derecho de la información consagrado en el Art.
No. 20 de la misma, que sean susceptibles de tratamiento por entidades de cualquier
naturaleza (pública o privada).

Fundamentos de seguridad informática - eje 1 conceptualicemos 13

¡Datos!
Existen dispositivos dedicados a la protección en un entorno de
seguridad informática:

Firewalls o cortafuegos
IPS – Sistema de Prevención de Intrusos
IDS – Sistema de Detección de Intrusos
UTM – Gestión Unificada de Amenazas

Figura 6. Sistemas de seguridad

Fuente: [Link]
[Link]

Fundamentos de seguridad informática - eje 1 conceptualicemos 14

Política de seguridad

Una política de seguridad permite definir los diferentes pro-

cedimientos, métodos o técnicas y herramientas necesarias
Política de seguridad
para cumplir con normas y controles que expresan los directi-
Reglas, normas, procedimientos
vos de la organización y que establecen el conjunto de reglas, o métodos para dirigir, proteger y
leyes, y buenas prácticas que estandarizan la manera de dirigir, distribuir los recursos informáticos.

proteger y distribuir recursos en una organización, alineados a

los objetivos de seguridad informática dentro de la empresa.

Las políticas de seguridad están ligadas a la norma ISO 27001 SGSI (Sistema de Gestión
de Seguridad de la Información).

Lectura recomendada

Los invito a leer la norma ISO 27001 SGSI numeral de intro-

ducción y subtítulos derivados de la misma, el cual define
la política de seguridad y el proceso para desarrollarla.

Norma ISO 27001 SGSI - Tecnología de la información -

Técnicas de seguridad - Sistemas de gestión de la seguri-
dad de la información (SGSI) – Requisitos.

Norma Técnica Colombiana

Fundamentos de seguridad informática - eje 1 conceptualicemos 15

 Bibliografía

Álvarez, M. y Pérez, G. (2004). Seguridad informática para empresas y particulares.

Madrid: McGraw-Hill

Austin, R. y Darby, C. (2004). El mito de la seguridad informática. Madrid:

Ediciones Deusto - Planeta de Agostini Profesional y Formación S.L.

Baca, U. G. (2016). Introducción a la seguridad informática. México: Grupo

Editorial Patria.

Chicano, T. (2014). Gestión de incidentes de seguridad informática (MF0488_3).

Madrid: IC Editorial.
BIBLIOGRAFÍA

Chicano, T. (2014). Auditoría de seguridad informática (MF0487_3). Madrid: IC

Editorial.

Costas, S. J. (2014). Seguridad informática. Madrid: RA-MA Editorial.

Costas, S. (2014). Mantenimiento de la seguridad en sistemas informáticos.

Madrid: RA-MA Editorial.

Escrivá, G., Romero, S. y Ramada, D. (2013). Seguridad informática. Madrid:

Macmillan Iberia, S.A.

Ficarra, F. (2006). Antivirus y seguridad informática: el nuevo. Revista

Latinoamericana de Comunicación CHASQUI.

Giménez, A. J. F. (2014). Seguridad en equipos informáticos (MF0486_3). Madrid:

IC Editorial.

Gómez, F. y Fernández, R. (2015). Cómo implantar un SGSI según UNE-ISO/IEC

27001:2014 y su aplicación en el Esquema Nacional de Seguridad. Madrid:
AENOR - Asociación Española de Normalización y Certificación.

Gómez, V. (2014). Auditoría de seguridad informática. Madrid: RA-MA Editorial.

Gómez, V. (2014). Gestión de incidentes de seguridad informática. Madrid: RA-

MA Editorial.

Hernández, E. (2016). La criptografía. Madrid: Editorial CSIC Consejo Superior de

Investigaciones Científicas.

Lamadrid, V., Méndez, G. y Díaz, H. (2009). CERT-MES: sitio Web de seguridad

informática para REDUNIV. La Habana: Editorial Universitaria.
 McClure, S., Scambray, J. y Kurtz, G. (2010). Hackers 6: secretos y soluciones de
seguridad en redes. México: McGraw-Hill Interamericana.

Molina, M. (2000). Seguridad de la información. Criptología. Córdoba: El Cid

Editor.

Paredes, F. (2009). Hacking. Córdoba: El Cid Editor | apuntes.

UNED. (2014). Procesos y herramientas para la seguridad de redes. Madrid:

Universidad Nacional de Educación a Distancia.

Roa, B. (2013). Seguridad informática. Madrid: McGraw-Hill

Sanz, M. (2008). Seguridad en linux: guía práctica. Madrid: Editorial Universidad

Autónoma de Madrid.
BIBLIOGRAFÍA

Zayas, D. y Sánchez, R. (2010). Sistema de apoyo al entrenamiento en seguridad

informática: SEGURIN. La Habana: Editorial Universitaria.