SEGURIDAD DE LA INFORMACIÓN

UNIVERSIDAD TECNOLÓGICA DE JALISCO

Guadalajara, Jalisco a 6 Septiembre de 2010

Por: M.C. Felipe Belmont Polanco

Pág. 1
 SEGURIDAD DE LA INFORMACIÓN

Unidades temáticas
I.- Introducción a la seguridad informática.
1.1.- ¿Cómo definir la seguridad informática?
1.2.- Terminologías actuales en seguridad.
1.3.- Elementos esenciales de la seguridad.
1.4.- Clasificación de la seguridad informática.
1.5.- ¿Que son las normas de seguridad?
1.6.- ¿Que son las políticas de seguridad?
1.7.- La información como activo.
1.8.- Lo atractivo del delito informático.
1.9.- Malware.
1.10.- Tipos de malware.
1.11.- Virus.
1.12.- Tipos de virus.
1.13.- Criptografía.
1.14.- Criptosistemas.
1.15.- Ataques informáticos.
1.16.- Tipos de ataque.

II.- Administración de la seguridad.

2.1.- Normativas de administración de seguridad.
2.2.- Las publicaciones NIS.
2.3.- La norma COBIT.
2.4.- La norma AS/NZS ISO/IEC 17799:2001.
2.5.- Administración del riesgo.

III.- Sistemas de seguridad.

Pág. 2
 SEGURIDAD DE LA INFORMACIÓN

Evaluación.
Parciales
I II III
Examen teórico 70 % 70 % 80 %
Practicas / Tareas/ Exposición 30 % 30 %
Proyecto integradora 20 %

Bibliografía.

Pág. 3
 SEGURIDAD DE LA INFORMACIÓN

Introducción a la seguridad informática.

¿Cómo definir la seguridad informática?

Si nos atenemos a la definición de la Real Academia de la Lengua RAE, seguridad es la “cualidad de
seguro”. Buscamos ahora seguro y obtenemos “libre y exento de todo peligro, daño o riesgo”.

A partir de estas definiciones no podríamos aceptar que seguridad informática es “la cualidad de un
sistema informático exento de peligro”, por lo que habrá que buscar una definición más apropiada,
considerando para ello que la seguridad no es un producto, sino un proceso..

Podríamos aceptar una primera definición más o menos aceptable de seguridad informática sería, un
conjunto de métodos y herramientas destinados a proteger la información y por ende los sistemas
informáticos ante cualquier amenaza, un proceso en el cual participan además personas. Concienciarlas
de su importancia en el proceso será algo crítico.

La seguridad informática no es un bien medible, en cambio sí podríamos desarrollar diversas

herramientas para cuantificar de alguna forma nuestra inseguridad informática

Casos para ver cómo está el mundo de la seguridad informática.

19 de Enero de 2001: Un intruso borra la página web de la Presidencia de Bulgaria.

25 de Enero de 2001: Denegación de servicio de las páginas web de Microsoft en los Estados
Unidos y Europa.

Febrero 2001: Cientos de empresas austríacas sufrieron robos de datos que permitieron a los
crackers hacer llamadas telefónicas a lugares de todo el mundo, a cuenta de dichas empresas,
por supuesto.

4 de Febrero de 2001: Los sistemas del Foro Económico Internacional, reunido en Davos, fue
invadido por intrusos.
Consiguieron información altamente confidencial y con el número de las tarjetas de crédito de
los más altos mandatarios mundiales.

9 de Marzo de 2001: Crackers rusos y ucranianos consiguieron cerca de un millón de números

de tarjetas de crédito robadas de las bases de datos de bancos norteamericanos y empresas de
comercio electrónico por Internet.

¿Quién va a querer atacarme, si no tengo nada importante?

Es un error este planteamiento: todo sistema es extremadamente valioso como plataforma de ataque
contra otro sistema verdaderamente importante. Como por ejemplo, hacker utiliza el ordenador de Juan
Pérez para entrar al Ministerio de Fomento.

Pág. 4
 SEGURIDAD DE LA INFORMACIÓN
Terminologías actuales en seguridad
El nombre hacker: neologismo utilizado para referirse a un experto (Gurú) en varias o alguna
rama técnica relacionada con las tecnologías de la información y las telecomunicaciones:
programación, redes, sistemas operativos.

Cracker: (criminal hacker, 1985). Un cracker es alguien que viola la seguridad de un sistema
informático de forma similar a como lo haría un hacker, sólo que a diferencia de este último, el
cracker realiza la intrusión con fines de beneficio personal o para hacer daño a su objetivo.

Hacker ético: profesionales de la seguridad que aplican sus conocimientos de hacking con fines
defensivos y legales.

Diremos hacker siempre, pero hay que fijarse en el contexto.

Elementos esenciales de la seguridad.

Confidencialidad: tiene que ver con la ocultación de información o recursos.
Autenticidad: es la identificación y garantía del origen de la información.
Integridad: Se refiere a cambios no autorizados en los datos.
Disponibilidad: Posibilidad de hacer uso de la información y recursos deseados.

Clasificación de la seguridad informática.

Seguridad Organizacional: Dentro de este, se establece el marco formal de seguridad que debe
sustentar la institución, incluyendo servicios o contrataciones externas a la infraestructura de
seguridad, Integrando el recurso humano con la tecnología, denotando responsabilidades y
actividades complementarias como respuesta ante situaciones anómalas a la seguridad.

Seguridad Lógica: Trata de establecer e integrar los mecanismos y procedimientos, que

permitan monitorear el acceso a los activos de información, que incluyen los procedimientos de
administración de usuarios, definición de responsabilidades, perfiles de seguridad, control de
acceso a las aplicaciones y documentación sobre sistemas, que van desde el control de cambios
en la configuración de los equipos, manejo de incidentes, selección y aceptación de sistemas,
hasta el control de software malicioso.

Seguridad Física: Identifica los límites mínimos que se deben cumplir en cuanto a perímetros
de seguridad, de forma que se puedan establecer controles en el manejo de equipos,
transferencia de información y control de los accesos a las distintas áreas con base en la
importancia de los activos.

Seguridad Legal: Integra los requerimientos de seguridad que deben cumplir todos los
empleados, socios y usuarios de la red institucional bajo la reglamentación de la normativa
interna de políticas y manuales de procedimientos institucionales en cuanto al recurso humano,
sanciones aplicables ante faltas cometidas, así como cuestiones relacionadas con la legislación
del país y contrataciones externas.

Pág. 5
 SEGURIDAD DE LA INFORMACIÓN
¿Que son las normas de seguridad?
Las normas son un conjunto de lineamientos, reglas, recomendaciones y controles con el propósito de
dar respaldo a las políticas de seguridad y a los objetivos desarrollados por éstas, a través de funciones,
delegación de responsabilidades y otras técnicas, con un objetivo claro y acorde a las necesidades de
seguridad establecidas para el entorno administrativo de la red institucional.

¿Que son las políticas de seguridad?

Son una forma de comunicación con el personal, ya que las mismas constituyen un canal formal de
actuación, en relación con los recursos y servicios informáticos de la organización. Estas a su vez
establecen las reglas y procedimientos que regulan la forma en que una organización previene, protege
y maneja los riesgos de diferentes daños, sin importar el origen de estos.

Importancia de los manuales de normas y políticas

Como parte integral de un Sistema de Gestión de Seguridad de la Información (SGSI), un manual de

normas y políticas de seguridad, trata de definir; ¿Qué?, ¿Por qué?, ¿De qué? y ¿Cómo? se debe
proteger la información. Estos engloban una serie de objetivos, estableciendo los mecanismos
necesarios para lograr un nivel de seguridad adecuado a las necesidades establecidas dentro de la
institución. Estos documentos tratan a su vez de ser el medio de interpretación de la seguridad para toda
la organización.

La información como activo.

Podemos definir como activo al conjunto de los bienes y derechos tangibles e intangibles de propiedad
de una persona natural o jurídica que por lo general son generadores de renta o fuente de beneficios, en
el ambiente informático llámese activo a los bienes de información y procesamiento, que posee la
institución.

Recurso del sistema de información o relacionado con éste, necesario para que la organización
funcione correctamente y alcance los objetivos propuestos.

La información es un activo que como cualquier otro activo importante del negocio, tiene valor para la
organización, consecuentemente necesita “Protección Adecuada”.

Tipos de información.

Por la cantidad de datos que procesa una organización, es posible requerir de diversos elementos en los
que se debe plasmar o almacenar la información y algunos de estos elementos pueden ser.

Impresos o escritos en papel.

Almacenada electrónicamente.
La que se transmite por correo o en forma electrónica.
La que se muestra en videos corporativos.
Lo que se habla en conversaciones.
Estructura corporativa de información.

Pág. 6
 SEGURIDAD DE LA INFORMACIÓN

Lo atractivo del delito informático.

Suponiendo que todos entendemos más o menos qué es un delito informático, algo no muy banal dado
que muchos países no se ponen de acuerdo, parece ser que es un buen negocio.

Objeto pequeño: la información que se ataca está almacenada en contenedores pequeños, no es

necesario un camión para robar un banco, llevarse las joyas, el dinero, etc.

Contacto físico: no existe contacto físico en la mayoría de los casos. Se asegura el anonimato y
la integridad física del propio delincuente.

Alto valor: el objeto codiciado tiene un alto valor. Los datos (el contenido a robar) puede valer
mucho más que el soporte que los almacena: servidor, computador, disco, CD, etc.

Malware.
Hoy en día ya no se habla sencillamente de virus, ni de gusanos, la jerga utilizada para este tipo de
programas nocivos que infectan continuamente nuestras computadoras ha cambiado de tal manera que
se podría decir que existe una amplia variedad de malware o de estos códigos maliciosos.

Desde una página perteneciente a Kaspersky Labs: Los programas maliciosos pueden dividirse en los
siguientes grupos: gusanos, virus, caballos de Troya o troyanos, utilidades para hackers y otros tipos de
programas maliciosos. Todos ellos han sido diseñados para causar daños al equipo infectado o a otros
equipos conectados a redes.

Según Wikipedia: Malware (del inglés malicious software, también llamado badware, software
malicioso o software malintencionado), es un software que tiene como objetivo infiltrarse o dañar un
ordenador sin el conocimiento de su dueño y con finalidades muy diversas ya que en esta categoría
encontramos desde un troyano hasta un spyware.

Esta expresión es un término general muy utilizado por profesionales de la computación para definir
una variedad de software o programas de códigos hostiles e intrusivos.

Se puede concluir que Malware es un término de amplio espectro, que abarca a todos los programas
creados con el fin de realizar comandos no autorizados e intrusivos en una computadora o sistema
computacional. Sus consecuencias pueden ser variadas, yendo de prácticamente imperceptibles a
catastróficamente perjudiciales, pero en general, el simple hecho de cometer una intrusión y realizar
actividades no establecidas y permitidas por el usuario, define el programa como Malware.

Existe la CME (Common Malware Enumeration), una organización que tiene como finalidad
identificar a los nuevos malware que aparecen en la red.

Pág. 7
 SEGURIDAD DE LA INFORMACIÓN
Tipos de Malware.
Adware: Contracción de Advertisement y software, este software muestra o baja anuncios
publicitarios que aparecen inesperadamente en el equipo, pudiendo hacerlo simultáneamente
cuando se está utilizando la conexión a una página Web o después de que se ha instalado en la
memoria de la computadora.

Spyware: Es un software espía. Cualquier aplicación informática que recolecta información

valiosa de la computadora desde donde está operando. Es un tipo de malware que por lo general
se introduce y opera en las PCs sin que el usuario lo advierta. Este es uno de los programas
maliciosos más comunes hoy en día.

Keylogger: Un keylogger es un malware del tipo daemon. Son programas espías para espiar y
robar información, monitorear el sistema, registrando las pulsaciones del teclado, para robar las
claves, tanto de páginas financieras y correos electrónicos como cualquier información
introducida por teclado, en el equipo utilizado para saber lo que la víctima ha realizado como
conversaciones que la misma tuvo, saber donde ha entrado, qué ha ejecutado, qué ha movido,
etc.

Rootkit: El Rootkit es un conjunto de herramientas usadas frecuentemente por los intrusos

informáticos o crackers que consiguen acceder ilícitamente a un sistema informático. Estas
herramientas sirven para esconder los procesos y archivos que permiten al intruso mantener el
acceso al sistema, a menudo con fines maliciosos.

Exploit: Exploit (del inglés to exploit, explotar, aprovechar) es el nombre con el que se
identifica un programa informático malicioso, o parte del programa, que trata de forzar alguna
deficiencia o vulnerabilidad de otro programa (Sistema operativo).

Ransomware: El término se utiliza para hacer referencia a aquellos malware que "secuestran"
archivos y piden "rescate" en dinero por ellos. Por lo general estos programas malignos
encriptan la información de algunos archivos considerados importantes para el usuario, y no
entregan la clave para lograr desencriptarlos si el usuario no paga. Estos virus también son
llamados criptovirus.

Scumware: Scumware es cualquier software que hace cambios significativos en la apariencia y

funciones de las páginas Web sin permiso del Administrador (Webmaster) o propietarios.

Crimeware: Un crimeware puede robar datos confidenciales, contraseñas, información

bancaria, etc. y también puede servir para robar la identidad o espiar a una persona o empresa.

El término fue ideado por Peter Cassidy, secretario general del Anti-Phishing Working Group,
para distinguir este tipo de programas de otros malignos como malwares, spywares, adwares,
etc. (aunque muchas veces éstos emplean técnicas similares para propagarse o actuar).

Pág. 8
 SEGURIDAD DE LA INFORMACIÓN
Virus (Malware infecciosos).
A mediados de los ‘80, Basit y Amjad Alvi de Lahore, de Pakistán, descubrieron que la gente pirateaba
sus programas. Ellos respondieron escribiendo el primer virus informático, un programa que se copiaría
a sí mismo y un mensaje de copyright en cada copia de un disquete que sus clientes hicieran.

A partir de esta simple idea surgió una nueva contracultura. Hoy nuevos virus se extienden por todo el
planeta en horas y las amenazas víricas son noticia.

Un virus informático es un programa con la capacidad de transmitirse entre ordenadores y redes,

generalmente sin el conocimiento de los usuarios.

Los virus pueden tener indeseables efectos secundarios. Desde molestar con absurdos mensajes hasta
borrar todo el contenido del disco duro.

Características comunes.

Dañino: Todo virus causa daño, ya sea de forma implícita, borrando archivos o modificando
información, o bien disminuyendo el rendimiento del sistema. A pesar de esto, existen virus
cuyo fin es simplemente algún tipo de broma.

Autoreproductor: La característica que más diferencia a los virus es ésta, ya que ningún otro
programa tiene la capacidad de autoreplicarse en el sistema.

Subrepticio: Característica que le permite ocultarse al usuario mediante diferentes técnicas,

como puede ser mostrarse como una imagen, incrustarse en librerías o en programas.

Tipos de virus.
Encriptados: Más que un tipo de virus, son una técnica que usan diversos virus, los cuales se
descifran ellos mismos para poderse ejecutar y acto seguido se vuelven a cifrar. De esta manera
lo que intentan es evitar o dificultar ser detectados por los antivirus.

Virus polimórficos: La diferencia esencial con los virus encriptados es que éstos se
cifran/descifran de forma distinta en cada una de sus infecciones. Así consiguen impedir que los
antivirus los localicen a través de la búsqueda de cadenas o firmas. Por esta característica, este
tipo de virus son los más difíciles de detectarse.

Troyanos: Un caballo de Troya es un programa que en su ejecución realiza tareas no previstas

de antemano, pero no poseen la autoreproducción. El usuario ejecuta lo que cree un programa
normal, permitiendo al troyano realizar tareas ocultas y, a menudo, malignas.

Los troyanos de puerta trasera: Son programas que permiten a otros tomar el control de tu
ordenador a través de Internet.

Pág. 9
 SEGURIDAD DE LA INFORMACIÓN
Gusanos (Worms): Los gusanos son similares a los virus pero no necesitan portador, los
gusanos crean copias (sin tener que infectar ningún otro fichero) y, utilizan enlaces entre
ordenadores para enviarse través de la red.

Virus falsos: Hoy en día han surgido ciertos mensajes de correo electrónico, o programas, que
pueden ser confundidos con virus. El principal tipo son los hoaxes, emails engañosos que
pretenden alarmar sobre supuestos virus. Tratan de engañar al usuario proponiendo una serie de
acciones a realizar para eliminar dicho virus que en realidad no existe. Lo más probable es que
dichas acciones sean dañinas.

Bombas lógicas: Tampoco se replican, por lo que no son considerados estrictamente virus. Son
segmentos de código, incrustados dentro de otro programa. Su objetivo principal es destruir
todos los datos del ordenador en cuanto se cumplan una serie de condiciones.

Bug-Ware: Quizás no deban de ser considerados como virus, ya que en realidad son programas
con errores en su código. Dichos errores pueden llegar a afectar o al software o al hardware
haciendo pensar al usuario que se trata de un virus.

De MIRC: Tampoco son considerados virus. El uso de estos está restringido al uso del IRC, ya
que consiste en un script, denominado [Link], programado de forma maliciosa, que se enviará
a la máquina cliente por DCC. Si la victima acepta dicho envío se sustituirá su [Link] por el
malicioso, lo que provocará que el atacante tenga acceso a archivos de claves, etc.

Los virus más famosos.

Blaster (2003): Daño Estimado: 2 a 10 billones de dólares, aproximadamente cientos de miles

de ordenadores infectados.

Melissa (1999): Daño Estimado: 300 a 600 millones de dólares, una estimación asegura que
este script afecto del 15% a 20% de los ordenadores del mundo.

ILOVEYOU (2000): Daño Estimado: 10 a 15 billones de dólaresMiles de usuario fueron

seducidos por el asunto y clickearon en el adjunto infectado.

MyDoom (2004): Daño Estimado: Disminuyó el rendimiento de internet en un 10% y la carga

de páginas en un 50%.

SQL Slammer (2003): Slammer apareció un sábado su daño económico fue bajo, pero infectó
75,000 ordenadores en 10 minutos.

Pág. 10
 SEGURIDAD DE LA INFORMACIÓN

Criptografía.
Rama inicial de las matemáticas y en la actualidad también de la informática y la telemática, que hace
uso de métodos y técnicas con el objeto principal de cifrar, y por tanto proteger, un mensaje o archivo
por medio de un algoritmo, usando una o más claves.

Cifra o cifrado: Técnica que, en general, protege o autentica a un documento o usuario al

aplicar un algoritmo criptográfico.

Encriptar: En algunos países de Latinoamérica, por influencia del inglés, se usará la palabra
encriptar, si bien se entiende, esta palabra todavía no existe y podría ser el acto de “introducir a
alguien dentro de una cripta”.

Criptología: Ciencia que estudia e investiga todo aquello relacionado con la criptografía:
incluye cifra y criptoanálisis.

Criptógrafo: Máquina o artilugio para cifrar.

Criptoanalista: Persona cuya función es romper algoritmos de cifra en busca de debilidades, en

la clave o del texto en claro.

Claves: Datos (llaves) privados o públicos, que permiten cifrar un documento y descifrar el
correspondiente criptograma.

Criptograma: Documento cifrado.

Criptoanálisis: El arte de descifrar criptogramas.

Pág. 11
 SEGURIDAD DE LA INFORMACIÓN
Criptosistemas
Existen diferentes tipos de sistemas de cifra, denominados criptosistemas, que nos permiten asegurar
tres aspectos básicos de la seguridad informática, la confidencialidad o secreto del mensaje, la
integridad del mensaje y autenticidad del emisor.

Simétricos: Existirá una única clave (secreta) que deben compartir emisor y receptor. Con la
misma clave se cifra y se descifra por lo que la seguridad reside en mantener dicha clave en
secreto. Algunos algoritmos de este tipo son: Blowfish, IDEA, DES.

Asimétricos: Cada usuario crea un par de claves, una privada y otra pública, inversas dentro de
un cuerpo finito. Lo que se cifra en emisión con una clave, se descifra en recepción con la clave
inversa. La seguridad del sistema reside en la dificultad computacional de descubrir la clave
privada a partir de la pública. Para ello, usan funciones matemáticas de un solo sentido o con
trampa. Ejemplos de este cifrado son: DSA, RSA, Diffie-Hellman.

Híbridos: A menudo las conexiones seguras de Internet se sirven de una mezcla de los dos tipos
de cifrado anteriores. Aprovechan la ligereza de uno y la fortaleza del otro. Lo que suelen hacer
protocolos de comunicación seguros como HTTPS (basado en la capa SSL),

Cifrado en bloque: El mismo algoritmo de cifra se aplica a un bloque de información o grupo

de caracteres, número de bytes, etc., repetidas veces, usando la misma clave. El bloque de texto
o información a cifrar normalmente será de 64 ó 128 bits.

Cifrado en flujo: El algoritmo de cifra se aplica a un elemento de información (carácter, bit),

mediante un flujo de clave en teoría aleatoria, y de mayor longitud que el mensaje. La cifra se
hace carácter a carácter o bit a bit.

DES
Data Encryption Standard, (estándar de cifrado de datos), es un algoritmo desarrollado originalmente
por IBM a requerimiento del NBS (National Bureau of Standards), Oficina Nacional de
Estandarización, en la actualidad denominado NIST (National Institute of Standards and Technology),
Instituto Nacional de Estandarización y Tecnología de [Link].

Se trata de un sistema de cifrado simétrico por bloques de 64 bits, de los que 8 bits (un byte) se utilizan
como control de paridad o sea para la verificación de la integridad de la clave.

Cada uno de los bits de la clave de paridad (1 cada 8 bits) se utiliza para controlar uno de los bytes de
la clave por paridad impar, es decir, que cada uno de los bits de paridad se ajusta para que tenga un
número impar de "1" dentro del byte al que pertenece. Por lo tanto, la clave tiene una longitud "útil" de
56 bits, es decir, realmente sólo se utilizan 56 bits en el algoritmo.

Pág. 12
 SEGURIDAD DE LA INFORMACIÓN
El algoritmo se encarga de realizar combinaciones, sustituciones y permutaciones entre el texto a cifrar
y la clave, asegurándose al mismo tiempo de que las operaciones puedan realizarse en ambas
direcciones (para el descifrado). La combinación entre sustituciones y permutaciones se llama cifrado
del producto.

La clave es codificada en 64 bits y se compone de 16 bloques de 4 bits, generalmente anotadas de k1 a

k16. Dado que "solamente" 56 bits sirven para el cifrado, puede haber hasta 2^56 claves diferentes.

IDEA.
Data Encryption Algorithm o IDEA (del inglés, Algoritmo Internacional de Cifrado de Datos) es un
cifrador por bloques diseñado por Xuejia Lai y James L. Massey de la Escuela Politécnica Federal de
Zúrich y descrito por primera vez en 1991. Fue un algoritmo propuesto como reemplazo del DES.

El IDEA usa una clave de 128 bits. Difiere notablemente del DES en la función de etapa así como en la
función de generación de subclaves. Para la función de etapa el IDEA cuenta con tres operaciones
matemáticas diferentes XOR, suma binaria de enteros de 16 bits, y multiplicación binaria de enteros de
16 bits.

RSA.
El algoritmo fue descrito en 1977 por Ron Rivest, Adi Shamir y Len Adleman, del Instituto
Tecnológico de Massachusetts (MIT); RSA (Rivest, Shamir y Adleman) es un sistema criptográfico de
bloque que usa clave pública desarrollado en 1977.

Los dos algoritmos de clave pública más usados son el RSA y el DiffieHellman, y RSA es válido tanto
para cifrar como para firmar digitalmente.

RC4.
El algoritmo RC4 fue diseñado por Ron Rivest de la RSA Security en el año 1987; su nombre completo
es Rivest Cipher 4, teniendo el acrónimo RC un significado alternativo al de Ron's Code utilizado para
los algoritmos de cifrado RC2, RC5 y RC6.

RC4 o ARC4 es el sistema de cifrado de flujo Stream cipher más utilizado y se usa en algunos de los
protocolos más populares como Transport Layer Security (TLS/SSL) (para proteger el tráfico de
Internet) y Wired Equivalent Privacy (WEP) (para añadir seguridad en las redes inalámbricas). RC4 fue
excluido enseguida de los estándares de alta seguridad por los criptógrafos y algunos modos de usar el
algoritmo de criptografía RC4 lo han llevado a ser un sistema de criptografía muy inseguro.

WPA.
Es un sistema para proteger las redes inalámbricas Wi-Fi (Protected Access - Acceso Protegido Wi-Fi);
creado para corregir las deficiencias del sistema previo WEP (Wired Equivalent Privacy - Privacidad
Equivalente a Cableado), y se utiliza en un modo poco seguro de clave pre-compartida (PSK - Pre-
Shared Key) para usuarios de casa o pequeña oficina. Una de las mejoras sobre WEP, es la
implementación del Protocolo de Integridad de Clave Temporal (TKIP - Temporal Key Integrity
Protocol), que cambia claves dinámicamente a medida que el sistema es utilizado. Los fabricantes
comenzaron a producir puntos de accesos apoyados en el protocolo WPA2 que utiliza el algoritmo de
cifrado AES (Advanced Encryption Standard).

Pág. 13
 SEGURIDAD DE LA INFORMACIÓN

Ataques informáticos.
Un ataque informático consiste en aprovechar alguna debilidad o falla (vulnerabilidad) en el software,
en el hardware, e incluso, en las personas que forman parte de un ambiente informático; a fin de
obtener un beneficio, por lo general de índole económico, causando un efecto negativo en la seguridad
del sistema, que luego repercute directamente en los activos de la organización.

Según Wikipedia, un ataque informático es un método por el cual un individuo, mediante un sistema
informático, intenta tomar el control, desestabilizar o dañar otro sistema informático ordenador, red
privada, etcétera.

Tipos de ataque.

Los ataques a la seguridad logran algunos objetivos como acceder a recursos, obtener información,
alterar sistemas, o incluso alteran recursos.

Ataques pasivos: En los ataques pasivos el atacante no altera la comunicación, sino que
únicamente la escucha o monitoriza, para obtener información que está siendo transmitida.

Sus objetivos son la intercepción de datos y el análisis de tráfico, una técnica muy sutil para
obtener información de la comunicación, en donde se obtiene el origen y destinatario de la
comunicación, leyendo las cabeceras de los paquetes monitorizados.

Ataques activos : Estos ataques implican algún tipo de modificación del flujo de datos
transmitido o la creación de un falso flujo de datos.

Denegación de servicio DoS (Deny of Service): es un ataque a un sistema de computadoras o

red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos, normalmente
provocando la pérdida de la conectividad de la red por el consumo del ancho de banda de la red
de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.

Man in the middle, abreviado MitM: es una situación donde un atacante supervisa
(generalmente mediante un rastreador de puertos) una comunicación entre dos partes y falsifica
los intercambios para hacerse pasar por una de ellas.

REPLAY: una forma de ataque de red, en el cual una transmisión de datos válida es maliciosa o
fraudulentamente repetida o retardada. Es llevada a cabo por el autor o por un adversario que
intercepta la información y la retransmite, posiblemente como parte de un ataque enmascarado.

Pág. 14
 SEGURIDAD DE LA INFORMACIÓN

Día cero: El ataque es realizado contra un ordenador, a partir del cual se explotan ciertas
vulnerabilidades, o agujeros de seguridad de algún programa o programas antes de que se
conozcan las mismas, o que, una vez publicada la existencia de la vulnerabilidad, se realice el
ataque antes de la publicación del parche que la solvente.

Fuerza bruta: No es necesariamente un procedimiento que se deba realizar por procesos

informáticos, aunque este sistema ahorraría tiempos, energías y esfuerzos. El sistema de ataque
por fuerza bruta, trata de recuperar una clave probando todas las combinaciones posibles hasta
encontrar aquella que se busca, y que permite el acceso al sistema, programa o archivo en
estudio.

Anatomía de un ataque.

Conocer las diferentes etapas que conforman un ataque informático brinda la ventaja de aprender a
pensar como los atacantes y a jamás subestimar su mentalidad.

Fase 1 - Reconnaissance (Reconocimiento): Esta etapa involucra la obtención de información

(Information Gathering) con respecto a una potencial víctima que puede ser una persona u
organización.

Fase 2 - Scanning (Exploración): En esta segunda etapa se utiliza la información obtenida en

la fase 1 para sondear el blanco y tratar de obtener información sobre el sistema víctima como
direcciones IP, nombres de host, datos de autenticación, entre otros.

Fase 3 - Gaining Access (Obtener acceso): En esta instancia comienza a materializarse el

ataque a través de la explotación de las vulnerabilidades y defectos del sistema (Flaw
exploitation) descubiertos durante las fases de reconocimiento y exploración. Algunas de las
técnicas que el atacante puede utilizar son ataques de Buffer Overflow, de Denial of Service
(DoS), Distributed Denial of Service (DDos), Password filtering y Session hijacking.

Fase 4 - Maintaining Access (Mantener el acceso): Una vez que el atacante ha conseguido
acceder al sistema, buscará implantar herramientas que le permitan volver a acceder en el futuro
desde cualquier lugar donde tenga acceso a Internet. Para ello, suelen recurrir a utilidades
backdoors, rootkits y troyanos.

Fase 5 - Covering Tracks (Borrar huellas): Una vez que el atacante logró obtener y mantener
el acceso al sistema, intentará borrar todas las huellas que fue dejando durante la intrusión para
evitar ser detectado por el profesional de seguridad o los administradores de la red. En
consecuencia, buscará eliminar los archivos de registro (log) o alarmas del Sistema de
Detección de Intrusos (IDS).

Pág. 15
 SEGURIDAD DE LA INFORMACIÓN

Administración de la seguridad.

Normativas de administración de seguridad

La implementación de esquemas de Administración de la Seguridad Informática en la institución debe
seguir estándares y mejores prácticas del mercado.

Existen algunos obstáculos que el administrador del área de tecnologías de información debe tener en
cuenta como la falta de conciencia de usuarios finales, el presupuesto, la falta de apoyo de la alta
gerencia, la falta de entrenamiento, la pobre definición de responsabilidades, la falta de herramientas, y
los aspectos legales.

Las publicaciones NIS.

El Instituto Nacional de Normas y Tecnología (NIST por sus siglas en inglés, National Institute of
Standards) es una agencia de la Administración de Tecnología del Departamento de Comercio de los
Estados Unidos. La misión de este instituto es promover la innovación y la competencia industrial en
Estados Unidos mediante avances en metrología, normas y tecnología de forma que mejoren la
estabilidad económica y la calidad de vida.

La serie 800 del NIST son una serie de documentos de interés general sobre Seguridad de la
Información, estas publicaciones comenzaron en 1990 y son un esfuerzo de industrias, gobiernos y
organizaciones académicas para todos los interesados en la seguridad.

La norma COBIT.
COBIT (Control OBjetives for Information and related Tecnology, Objetivos de Control para
Tecnología de Información y Tecnologías relacionadas), lanzado en 1996, es una herramienta de
gobierno de TI, se aplica a los sistemas de información de toda la empresa, incluyendo las
computadoras personales, mini computadoras y ambientes distribuidos. Esta basado en la filosofía de
que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados
para proveer la información pertinente y confiable que requiere una organización para lograr sus
objetivos; COBIT se divide en tres niveles:

Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o una

responsabilidad organizacional.
Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control.
Actividades: Acciones requeridas para lograr un resultado medible.

Pág. 16
 SEGURIDAD DE LA INFORMACIÓN

Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI. Estos
procesos están agrupados en cuatro grandes dominios:

Dominio de Planificación y organización: Este dominio cubre la estrategia y las tácticas y se

refiere a la identificación de la forma en que la tecnología de información puede contribuir de la
mejor manera al logro de los objetivos de negocio.

Dominio de Adquisición e implementación: Para llevar a cabo la estrategia de TI, las soluciones
de Ti deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas
dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento
realizados a sistemas existentes.

Dominio de Prestación y soporte: En este dominio se hace referencia a la entrega de los

servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento,
pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán
establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los
datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación.

Dominio de Monitoreo: Todos los procesos de una organización necesitan ser evaluados
regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los
requerimientos de control, integridad y confidencialidad. Este es, precisamente, el ámbito de
este dominio.

La norma AS/NZS ISO/IEC 17799:2001.

Es un conjunto de controles (Australian/New Zealand Standard, International Organization for
Standardization/International Electronics Community), dan una serie de recomendaciones en el
desarrollo de un proceso de administración de la seguridad informática, lo constituyen 127 controles
estructurados en diez grandes áreas, que genera la confianza entre las instituciones que se relacionan.

Las diez áreas que cubre el estándar 17799.

Políticas de seguridad: La administración superior debe definir una política clara y apoyar la
seguridad de la información a lo largo de la organización.

Seguridad organizacional: Se divide en seguridad de la infraestructura, en el que deben ser

claramente definidas las responsabilidades para la protección de información ó elementos
físicos y de procesos de seguridad; la otra es el acceso a terceros, que se refiere a mantener la
seguridad de los dispositivos de procesamiento de la información organizacional y activos de
información al que acceden terceras partes. Revisar los tipos de acceso (físicos y lógicos).

Pág. 17
 SEGURIDAD DE LA INFORMACIÓN

Clasificación y control de activos: Cada activo deberá ser claramente identificado y se debe
documentar la propiedad y su ubicación actual, clasificar el nivel de seguridad; controles a la
información deben tomar en cuenta las necesidades del negocio para compartir o restringir
información, así como su clasificación.

Seguridad del personal: Reducir los riesgos de errores humanos, robo, fraude o mal uso de las
facilidades organizacionales; todo empleado y usuario externo de los servicios de
procesamiento de la información deberían firmar un acuerdo de confidencialidad.
Entrenamiento de usuarios, asegurarse que conozcan las amenazas y preocupaciones de
seguridad de la información, todos los empleados deberán recibir entrenamiento apropiado en
los procedimientos y políticas organizacionales. Respuestas a eventos de seguridad, debe
establecerse un procedimiento formal de reporte de incidentes.

Seguridad física y ambiental: Prevenir el acceso no autorizado, daño e interferencia a la

información y premisas del negocio. Los activos del procesamiento de información sensitiva o
crítica del negocio deberán ser resguardados y protegidos por un perímetro de seguridad
definido con controles apropiados incluidas las caídas de electricidad.

Administraciones de las operaciones y comunicaciones: Asegurar la correcta y segura

operación de todos los elementos de procesamiento de la información; los procedimientos de
operación identificados por la política de seguridad deberán ser documentados y revisados
constantemente; los cambios en los sistemas y elementos de procesamiento de información
deben ser controlados.

Se deben establecer procedimientos y responsabilidades para el manejo de incidentes, y contar

con planes de contingencia, análisis e identificación de las causas de un incidente, la
recolección de pistas de auditoría, y reporte a las autoridades. Acciones a seguir para
recuperarse de problemas de seguridad y corrección de fallas en los sistemas. Se debe
monitorear y proyectar los requerimientos de capacidad a fin de asegurar que hay disponible
una adecuada capacidad de procesamiento y almacenamiento.

Política para el cumplimiento con licencias de software y prohibir el uso de software No

autorizado. Instalación y actualización regular de Antivirus y software scaneador de
computadoras cono una medida preventiva. Revisar los documentos adjuntos en correos
electrónicos así como cualquier archivo que se baje de Internet contra código malicioso.
Procedimientos y responsabilidades administrativas para lidiar con la protección de virus en los
sistemas, entrenamiento, reporte y recuperación de ataques.

Hacer copias en forma regular de la información esencial del negocio y del software.
Documentación de los Backups, copias adicionales y almacenadas en una localidad remota. Los
Back-ups se deben proteger físicamente y contra las condiciones del ambiente.

Pág. 18
 SEGURIDAD DE LA INFORMACIÓN

Asegurar la protección de la información en las redes así como de su infraestructura. Los

administradores de la red deben implementar controles que aseguren a los datos en la red, de
accesos no autorizados, y también para los datos que pasan sobre redes públicas.

Manejo de los medios, se deben definir procedimientos para la protección de documentos,

discos, cintas, bases de datos, etc., del robo o acceso no autorizado. Los medios que no se
ocupen más en la empresa deben ser desechados en forma segura.

Intercambio de información, se debe prevenir la pérdida, modificación o mal uso de la

información intercambiada entre organizaciones.

Control de accesos: Son los requerimientos del negocio para el control de accesos, se deben
establecer las reglas y derechos para el control de acceso de usuarios o grupos de usuarios, y
estas deben estar bien claras en un documento de políticas de acceso. Deben existir
procedimientos formales para el registro y eliminación de usuarios. Deben existir procesos
formales para el control de los password, y que los usuarios sigan buenas prácticas para la
selección y uso de passwords.

Control de acceso a aplicaciones, se busca prevenir el acceso no autorizado a los sistemas de

información, por lo que se debe monitorear el uso y acceso a los sistemas, para detectar
desviaciones de las políticas de control de accesos y grabar eventos específicos para proveer de
evidencia en caso de incidentes de seguridad. Asegurar la seguridad de la información cuando
se utilizan dispositivos móviles.

Desarrollo y mantenimiento de sistemas: Se debe asegurar que los proyectos de TI y

actividades de soporte son conducidas en una manera segura, así también que la seguridad es
incluida en los Sistemas de Información, para prevenir la pérdida, modificación, o mal uso de
los datos en las aplicaciones.

Administración de la continuidad del negocio: Es actuar ante interrupciones de las

actividades del negocio y proteger los procesos críticos de los efectos de fallas o desastres
considerables, por lo que se deben probar con frecuencia los planes de continuidad o
contingencia.

Cumplimiento de aspectos legales: Evitar brechas o violaciones a cualquier ley criminal o

civil, reguladora o contractual. Se deben implementar procedimientos apropiados para
asegurarse del cumplimiento de las restricciones legales en el uso de materiales.

Pág. 19
 SEGURIDAD DE LA INFORMACIÓN

Administración del riesgo

Administración de riesgos es el término aplicado a un método lógico y sistemático de establecer el
contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados con una
actividad, función o proceso de una forma que permita a las organizaciones minimizar pérdidas y
maximizar oportunidades.

AS/NZS 4360:1999

El Australian/New Zealand Standard 4360, este estándar provee una guía genérica para el
establecimiento e implementación del proceso de administración del riesgos involucrando el
establecimiento del contexto y la identificación, análisis, evaluación, tratamiento, comunicación y el
monitoreo en curso de los riesgos.

La administración de riesgos es una parte integral del proceso de administración. La administración de

riesgos es un proceso multifacético, de aspectos apropiados del cual son a menudo llevados a cabo
mejor por un equipo multidisciplinario. Es un proceso iterativo de mejora continua.

Elementos principales del estándar del proceso de administración de riesgos, se describen enseguida de
una forma breve.

Establecer el contexto: Involucra establecer el contexto estratégico, organizacional y de

administración de riesgos en el cual tendrá lugar el resto del proceso. Deberían establecerse
criterios contra los cuales se evaluarán los riesgos y definirse la estructura del análisis.

Identificar riesgos: Identificar qué, por qué y cómo pueden surgir las cosas como base para
análisis posterior.

Analizar riesgos: Determinar los controles existentes y analizar riesgos en términos de

consecuencias y probabilidades en el contexto de esos controles. El análisis debería considerar
el rango de consecuencias potenciales y cuán probable es que ocurran esas consecuencias.
Consecuencias y probabilidades pueden ser combinadas para producir un nivel estimado de
riesgo.

Evaluar riesgos: Comparar niveles estimados de riesgos contra los criterios preestablecidos.
Esto posibilita que los riesgos sean ordenados como para identificar las prioridades de
administración. Si los niveles de riesgo establecidos son bajos, los riesgos podrían caer en una
categoría aceptable y no se requeriría un tratamiento.

Tratar riesgos: Aceptar y monitorear los riesgos de baja prioridad. Para otros riesgos,
desarrollar e implementar un plan de administración específico que incluya consideraciones de
fondeo.

Pág. 20
 SEGURIDAD DE LA INFORMACIÓN

Monitorear y revisar: Monitorear y revisar el desempeño del sistema de administración de

riesgos y los cambios que podrían afectarlo.

Comunicar y consultar: Comunicar y consultar con interesados internos y externos según

corresponda en cada etapa del proceso de administración de riesgos y concibiendo al proceso
como un todo.

Para cada etapa del proceso deberían llevarse registros adecuados, suficientes como para satisfacer a
una auditoria independiente.

La administración de riesgos se puede aplicar en una organización a muchos niveles. Se lo puede

aplicar a nivel estratégico y a niveles operativos. Se lo puede aplicar a proyectos específicos, para
asistir con decisiones específicas o para administrar áreas específicas reconocidas de riesgo.

La administración de riesgos es un proceso iterativo que puede contribuir a la mejora organizacional.

Con cada ciclo, los criterios de riesgos se pueden fortalecer para alcanzar progresivamente mejores
niveles de administración de riesgos.

Pág. 21
 SEGURIDAD DE LA INFORMACIÓN

Otro esquema determina mediante una formula la manera de estimar el riesgo. Ecuación básica del
análisis de riesgo.
¿B > P * L?

B: Es la carga o gasto que significa la prevención de una pérdida específica debido a una
vulnerabilidad.

P: Es la probabilidad de que se vea afectada dicha vulnerabilidad y ocurra esa pérdida

específica.

L: es el impacto o coste total que significa la pérdida específica debido a esa vulnerabilidad que
ha sido afectada por una amenaza.

Mediante esta simple formula muy básico es posible determinar ¿cuándo y cuánto invertir en
seguridad?, siguiendo las siguiente premisas.

Si B < P * L : Hay que implementar una medida de prevención.

Si B > P * L : No es necesaria una medida de prevención.

En varios casos, el verdadero problema está en la dificultad de calcular de forma más o menos precisa
el impacto económico que puede suponer el hecho de que ocurra un riesgo. La pérdida de datos puede
llevar a una pérdida de oportunidades por el llamado efecto cascada, por lo que siempre habrá una parte
de valoración subjetiva.

El factor de impacto total L es difícil de evaluar. Incluye daños a la información, a los equipos,
pérdidas por reparación, por volver a levantar el sistema, pérdidas por horas de trabajo, etc., que se
deben considerar para tener la estimación más acertada.

El factor P está relacionado con la determinación del impacto total L y depende del entorno en el que
ocurra el riesgo. Como este valor es difícil de cuantificar, dicha probabilidad puede asociarse a una
tendencia o frecuencia conocida.

No obstante, siempre puede ocurrir una desgracia que esté fuera de todo cálculo, sin embargo se debe
considerar que no tiene sentido alguno, invertir más dinero en la protección del bien que el propio valor
de éste. Como ley básica el costo del control ha de ser menor que el activo que se desee proteger.

Pág. 22
 SEGURIDAD DE LA INFORMACIÓN

La autenticación.
La autenticidad es una de las causas principales de riesgos y amenazas existentes para la seguridad de
la información en nuestros días. Dada la gran cantidad de usuarios en servidores, sitios web y en
general en los grandes sistemas y redes, los riesgos de suplantación de personalidad, repudio de
transaccionalidad, perdida de identidad, violación de autoría y demás son de aparición diaria en los
ambientes del manejo de la información.

La autenticación es el proceso por el que una entidad prueba su identidad ante otra. Normalmente la
primera entidad es un cliente (usuario, ordenador, etc) y la segunda un servidor (ordenador). La
autenticación se consigue mediante la presentación de una propuesta de identidad (vg. un nombre de
usuario) y la demostración de estar en posesión de las credenciales que permiten comprobarla.
Ejemplos posibles de estas credenciales son las contraseñas, los testigos de un sólo uso (one-time
tokens), o los certificados digitales.

Protocolos de autenticación y control de acceso.

Un protocolo de autenticación es el intercambio programado de mensajes entre un objeto usuario y un

objeto servidor teniendo como finalidad la autenticación, autorización de uso de recursos informáticos
a los que tiene derecho y contabilización del uso de los mismos.

En seguridad informática, el acrónimo AAA corresponde a un tipo de protocolos que realizan tres
funciones: Autenticación, Autorización y Contabilización (Authentication, Authorization and
Accounting en inglés). La expresión protocolo AAA no se refiere pues a un protocolo en particular,
sino a una familia de protocolos que ofrecen los tres servicios citados.

Autenticación por token.

Password Authentication Protocol (PAP): El método PAP, provee una manera simple para que un
usuario establezca su identidad a un autenticador en un intercambio de 2 vías.

Challenge-Handshake Authentication Protocol (CHAP): El Protocolo de autenticación por reto, es muy

usado como herramienta de verificación de identidad de un host o de un usuario final usando un
intercambio de 3 mensaje. CHAP normalmente se ejecuta al inicio de una conexión y puede repetirse
en cualquier momento de ella.

Pág. 23
 SEGURIDAD DE LA INFORMACIÓN

Protocolos que usan mecanismos de autenticación.

El Protocolo TACACS+.

El Protocolo TACACS+ “Terminal Access Controller Access Control System”: El protocolo de

autenticación TACACS+ es la última generación de TACACS. TACACS es un acceso basado en
simple UDP originalmente desarrollado por BBN para la red MILNET. Cisco lo ha reforzado
(extendido)TACACS varios veces, y la aplicación de Cisco es llamada XTACACS.

TACACS: Combina procesos de autenticación y autorización.

XTACACS: Separa autenticación, autorización y contabilización.
TACACS+: Es los mismo que XTACACS pero con atributos extendidos y contabilidad mas
importante.

TACACS+ es un protocolo cliente/servidor; el cliente de TACACS+ es típicamente un Report

Application Server (RAS). El servidor de TACACS+ normalmente es un proceso daemon que corre en
algún UNIX o servidor Microsoft Windows, usa TCP para su transporte, y el demonio del servidor
usualmente escucha en el puerto 49, el puerto asignado para el LOGIN del TACACS. Una
característica fundamental de TACACS+ es la separación que hace de autenticación, autorización, y
contabilidad.

El protocolo e RADIUS.

El protocolo Remote Address Dial-In User Service (RADIUS), fue enviada al IETF. La especificación
es ahora una norma en 2 partes: “The RADIUS specification (RFC 2058) y “RADIUS accounting
Standard (RFC 2059)”. RADIUS usa UDP como su protocolo de transporte.

El cliente RADIUS es típicamente un servidor de acceso a la red o Network Access Server (NAS), el
servidor RADIUS es un proceso daemon corriendo en Linux o WNT. Un servidor de control de acceso
(SCA) RADIUS puede actuar como” proxy client”.

En el RADIUS, se acoplan la autenticación y funcionalidades de la autorización y van juntos. Si el

nombre de usuario es encontrado y la contraseña es correcta, el servidor del RADIUS devuelve un
“Acces-Accept” como contestación, incluyendo una la lista de pares de atributo valor que describen los
parámetros a ser usados para esta sesión. Los parámetros típicos incluyen el tipo de servicio
(shell,framed), el tipo de protocolo , modo de asignación de la dirección IP (estática o dinámica), si
aplica a lista de acceso, o una ruta estática para instalar en el RAS.

El protocolo Kerberos.

Kerberos es un protocolo de autenticación de clave secreta usado como metodología de referencia

desarrollado en el Massachusetts Institute of Technology (MIT), el cual usa el algoritmo de encripción
Data Encryption Standard (DES). Kerberos Version 5 (la versión actual) es un estándar Internet
especificado en el RFC 1510.

Pág. 24
 SEGURIDAD DE LA INFORMACIÓN

Kerberos fue diseñado para autenticar requerimientos de usuarios por recursos de la red (equipos
activos, servidores, aplicaciones, uso de equipos de salida). Kerberos se basa en el concepto de una
tercera parte confiable (denominada Servidor de Control de Acceso-SCA) la cual ejecuta la
verificación segura del usuario y los servicios a los que tienen derecho acceder.

Para cumplir con su trabajo un servidor confiable de Kerberos emite o genera "tickets" a los usuarios.
Estos “tickets” tienen un ciclo de vida limitado y se almacenan en repositorios cache durante un tiempo
limitado, tanto en los clientes usuarios como en los key distribution center (KDC) denominado
credenciales de usuarios cache. Ellos puedes ser usados en lugar de los nombres de usuarios y
contraseña como mecanismos de autenticación en las aplicaciones y servicios a los que requiera
acceder el usuario

Certificados digitales.

Hoy en día, debido al constante crecimiento de usuarios en Internet y al incremento en las operaciones
en línea que se realizan diariamente (comercio electrónico, banca en línea, etc), el tema de seguridad en
la red se vuelve cada vez más relevante.

El certificado digital es un documento digital mediante el cual una autoridad certificadora garantiza la
relación entre la identidad de un usuario o entidad y su llave pública.

La autoridad certificadora: Es una organización confiable que emite o revoca certificados de

entidades, mediante la validación y autentificación de dichas solicitudes.

Llave pública: La llave pública permite cifrar el mensaje enviado (puede ser compartida con
cualquier persona), mientras que la llave privada permite descifrarlo (solo tiene acceso el
propietario del certificado, misma que puede ser almacenada en una tarjeta inteligente por
ejemplo).

Existen diversos formatos para certificados digitales, sin embargo los más comunes (utilizados por los
navegadores) se rigen por el estándar UIT-T X.509. Un certificado digital, que vaya de acuerdo al
standard X509v3, contiene la siguiente información.

Identificación del titular del certificado: Nombre, dirección, etc.

Copia de la llave pública del titular del certificado.
Copia del certificado.
Fecha de validez del certificado (fecha de expiración).
Número de serie.
Nombre de la Autoridad Certificadora (identificación).
Firma digital de la Autoridad Certificadora.

Pág. 25
 SEGURIDAD DE LA INFORMACIÓN

Emisores de certificados.

Cualquier individuo o institución puede generar un certificado digital, pero si éste emisor no es
reconocido por quienes interactúen con el propietario del certificado, el valor del mismo es
prácticamente nulo. Por ello los emisores deben acreditarse.

La gran mayoría de los emisores tiene fines comerciales, y otros, gracias al sistema de anillo de
confianza pueden otorgar gratuitamente certificados en todo el mundo, como la [Link], emisor
administrado por la comunidad con base legal en Australia.

Pero para que un certificado digital tenga validez legal, el prestador de Servicios de Certificación debe
acreditarse en cada país de acuerdo a la normativa que cada uno defina.

Los encargados de autorizar la creación de una autoridad de certificación o prestador de servicios de

certificación de algunos países hispanos son:

En Chile: El Ministerio de Economía.

En Colombia: La sociedad Cameral de Certificación Digital Certicámara y GSE Gestión de
Seguridad Electrónica.
En Costa Rica: El Ministerio de Ciencia y Tecnología, bajo el Sistema Nacional de
Certificación Digital.
En Ecuador: El Banco Central del Ecuador.
En España: La Fábrica Nacional de Moneda y Timbre, el Ministerio de Industria, Turismo y
Comercio, la Agencia Catalana de Certificación.
En Guatemala: El Ministerio de Economía.
En México: La Secretaría de Economía.
En Perú: El Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad
Intelectual.
En la República Dominicana: El Instituto Dominicano de las Telecomunicaciones.

Pág. 26
 SEGURIDAD DE LA INFORMACIÓN

Detección y prevención de intrusos.

Mediante un sistema de detección y prevención de intrusos, se consigue detectar cualquier tipo de
intrusión o acceso no autorizado a la red privada de una organización, tanto externo como generado en
el interior, y aportando una respuesta automática rápida y adecuada según el riesgo detectado.

Las soluciones IDPS (Intrusion Detection Prevention System) aportan un valor añadido de prevención
y vigilancia a la hora de asegurar entornos de trabajo en red.

IDS.

El término IDS (Intrusion Detection System) sistema de detección de intrusiones, hace referencia a un
mecanismo que, sigilosamente, escucha el tráfico en la red para detectar actividades anormales o
sospechosas, y de este modo, reducir el riesgo de intrusión.

Existen dos claras familias importantes de IDS:

El grupo N-IDS: Sistema de detección de intrusiones de red, que garantiza la seguridad dentro
de la red.

El grupo H-IDS: Sistema de detección de intrusiones en el host, que garantiza la seguridad en

el host.

Un N-IDS, normalmente necesita un hardware exclusivo, esta herramienta se integra con un firewall.
El detector de intrusos es incapaz de detener los ataques por sí solo, excepto los que trabajan
conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall, convirtiéndose en
una herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del firewall,
al ser el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar
en la red.

El H-IDS se encuentra en un host particular. Por lo tanto, su software cubre una amplia gama de
sistemas operativos como Windows, Solaris, Linux, HP-UX, Aix, etc.

El H-IDS actúa como un daemon o servicio estándar en el sistema de un host. Tradicionalmente, el H

IDS analiza la información particular almacenada en registros como registros de sistema, mensajes,
lastlogs y wtmp, también captura paquetes de la red que se introducen/salen del host para poder
verificar las señales de intrusión, como ataques por denegación de servicio, puertas traseras, troyanos,
intentos de acceso no autorizado, ejecución de códigos malignos o ataques de desbordamiento de búfer.

Pág. 27
 SEGURIDAD DE LA INFORMACIÓN

IPS.

Un Sistema de Prevención de Intrusos (IPS, Intrusion Prevention Systems), es un dispositivo que ejerce
el control de acceso en una red informática para proteger a los sistemas computacionales de ataques y
abusos.

Un Sistema de Prevención de Intrusos establece políticas de seguridad para proteger el equipo o la red
de un ataque; se podría decir que un IPS protege al equipo proactivamente.

IPS basados en host (HIPS): Esta aplicación de prevención de intrusos reside en la dirección IP
específica de un solo equipo, permite prevenir posibles ataques en los nodos débiles de una red

IPS basada en red (PIN): Esta aplicación IPS es en hardware esto podría ser en un front-end de
cortafuegos, y son desarrollados específicamente para la plataformas hardware / software que
analizan, detectan e informan sobre eventos relacionados con la seguridad. PIN están diseñados
para inspeccionar el tráfico y la configuración de la política de seguridad, sobre la cual pueden
verificar el tráfico malicioso.

Un IPS es un sistema de prevención/protección para defenderse de las intrusiones y no sólo para

reconocerlas e informar sobre ellas, como hacen la mayoría de los IDS, conforman la nueva tecnología
de seguridad informática para protección de servidores y redes que bloquean de forma eficiente ataques
externos e internos y todo tipo de amenazas conocidas.

La tecnología IPS permite a las organizaciones proteger la información crítica de una forma proactiva,
esta tecnología supone un beneficio continuo y una inversión verdaderamente inteligente para cualquier
entorno de red, así mismo protegen infraestructuras, aplicaciones y en muchos mejora el rendimiento
de las redes porque a través de ella no circulará código dañino, algunas características de los IPS son el
bloqueo automático de ataques, protección de sistemas no parcheados, y optimización del rendimiento
de la red.

Pág. 28
 SEGURIDAD DE LA INFORMACIÓN
Sistemas de seguridad.
Analiza toda la información que circula por una red de datos e identifica posibles ataques son algunas
de las necesidades de una red, el cual deberá cerrar las puertas al posible intruso reconfigurando
elementos de la red como firewalls, switches y routers.

Uso de VLAN.
Una de las tecnologías que contribuyen al excelente rendimiento de la red es la división de los grandes
dominios de broadcast en dominios más pequeños con las LAN Virtuales (VLAN). Los dominios de
broadcast más pequeños limitan el número de dispositivos que participan en los broadcasts y permiten
que los dispositivos se separen en agrupaciones funcionales.

Mediante las VLAN, puede segmentar de manera lógica las redes conmutadas basadas en equipos de
proyectos, funciones o departamentos. Las VLAN permiten que el administrador de la red implemente
las políticas de acceso y seguridad para grupos particulares de usuarios.

Las VLAN deben darse de alta en un Switch y cada puerto asignarse a la VLAN correspondiente. Un
puerto de switch con una VLAN singular configurada en el mismo se denomina puerto de acceso.

Si dos computadoras están conectadas físicamente en el mismo switch no significa que se puedan
comunicar. Los dispositivos en dos redes y subredes separadas se deben comunicar a través de un
router de capa 3, se utilicen o no las VLAN. No necesita las VLAN para tener redes y subredes
múltiples en una red conmutada.

Las VLAN proporcionan seguridad, el grupo de puertos asignados a una VLAN que tienen datos
sensibles se separan del resto de la red, disminuyendo las posibilidades de que ocurran violaciones de
información confidencial.

Agregar una VLAN.

Existen dos modos diferentes para configurar las VLAN en un switch Cisco Catalyst: modo de
configuración de base de datos y modo de configuración global, pesar de que la documentación de
Cisco menciona el modo de configuración de base de datos de la VLAN, se utilizará el modo de
configuración global de la VLAN.

Al configurará las VLAN con los ID en el rango normal. Existen dos rangos de ID de la VLAN. El
rango normal incluye los ID 1 a 1001 y el rango ampliado consiste en los ID 1006 a 4094. VLAN 1 y
1002 a 1005 son números de ID reservados. Cuando configura las VLAN de rango normal, los detalles
de configuración se almacenan automáticamente en la memoria flash del switch en un archivo llamado
[Link].

Pág. 29
 SEGURIDAD DE LA INFORMACIÓN

El proceso es ingresar en modo de configuración global, e ingresar en modo de configuración global de

VLAN, con (vlan ID), enseguida agregar un nombre para identificar a la VLAN con (name nombre), y
para terminar se pude escribir (exit), y por último el comando (show vlan brief) mostrará el contenido
del archivo [Link].

Agregar un puerto a la VLAN.

Una vez que haya creado una VLAN, asígnele uno o más puertos. Cuando asigna un puerto de switch a
una VLAN en forma manual, se le conoce como puerto de acceso estático. Un puerto de acceso estático
puede pertenecer a sólo una VLAN por vez.

El proceso es ingresar en modo de configuración global, e ingresar a la interfaz involucrada una vez en
él ingrese el comando (switchport mode access) para establecer el modo estático, y enseguida asignarlo
a la VLAN correspondiente con (switchprot acces vlan ID), y para terminar y salir de la interfaz con
(exit).

Para reasignar un puerto a la VLAN 1, el usuario puede usar el comando (no switchport access vlan) en
el modo de configuración de interfaz, no se necesita quitar primero un puerto de una VLAN para
cambiar de VLAN. Cuando se reasigne el puerto de acceso estático a una VLAN existente, la VLAN se
elimina automáticamente del puerto anterior.

Pág. 30
 SEGURIDAD DE LA INFORMACIÓN

Configurar un enlace troncal 802.1Q

Para configurar un enlace troncal en el puerto de un switch, use el comando (switchport mode trunk) en
modo de configuración de interfaz. Cuando ingresa al modo enlace troncal, la interfaz cambia al modo
permanente de enlace troncal y el puerto ingresa a una negociación de DTP para convertir el vínculo a
un vínculo de enlace troncal. Es posible utilizar el comando (switchport trunk native valn), del IOS de
Cisco para especificar una VLAN nativa diferente a la VLAN 1.

Para la verificación de la configuración de un puerto de switch, es utilizado es el comando show

interfaces id de la interfaz switchport, esto muestra los datos del puerto, si tiene establecido el modo de
Enlace Troncal, indica cual es la VLAN nativa, la VLAN de administración, y por último muestra que
VLAN’s del enlace troncal están habilitadas.

Pág. 31
 SEGURIDAD DE LA INFORMACIÓN

Enrutamiento de VLAN.

Configurar el enrutamiento entre VLAN

Como muestra la figura, el router R1 está conectado a los puertos del switch F0/4 y F0/5, que se
configuraron para las VLAN 10 y 30 respectivamente.

Para repasar, las VLAN se crean en el modo de configuración global mediante el comando vlan id de la
VLAN. En este ejemplo las VLAN 10 y 30 se crearon en el switch S1.

Una vez creadas las VLAN, se asignan a los puertos del switch a los que se conectará el router. Para
realizar esta tarea, se ejecuta el comando switchport access vlan id de la VLAN desde el modo de
configuración de la interfaz en el switch para cada interfaz a la cual se conectará el router.

En este ejemplo, las interfaces F0/4 y F0/11 se configuraron en la VLAN 10 con el comando switchport
access vlan 10. El mismo proceso se utilizó para asignar la VLAN30 a la interfaz F0/5 y F0/6 en el
switch S1.

Finalmente, para proteger la configuración y no perderla después de una recarga del switch, se ejecuta
el comando copy running-config startup-config en el modo EXEC privilegiado para guardar una copia
de seguridad de la configuración en ejecución en la configuración de inicio.

Luego, se puede configurar el router para realizar el enrutamiento entre VLAN.

Como muestra la figura, cada interfaz está configurada con una dirección IP mediante el comando ip
address dirección ip máscara de subred en el modo configuración de la interfaz.

Las interfaces del router están deshabilitadas de manera predeterminada y es necesario habilitarlas con
el comando no shutdown antes de utilizarlas.

Pág. 32
 SEGURIDAD DE LA INFORMACIÓN

En este ejemplo, la interfaz F0/0 se asignó a la dirección IP de [Link] mediante el comando ip

address [Link] [Link]. Observará además que luego de haber ejecutado el comando de
modo de configuración de interfaz no shutdown se muestra una notificación que indica que el estado de
la interfaz ha cambiado a activado. Esto indica que la interfaz ahora está habilitada.

El proceso se repite para todas las interfaces del router. Es necesario asignar cada interfaz del router a
una subred única para que se produzca el enrutamiento. En este ejemplo, la otra interfaz del router,
F0/1, se configuró para utilizar la dirección IP [Link], que está en una subred diferente a la
interfaz F0/0.

Los routers Cisco están configurados de manera predeterminada para enrutar el tráfico entre las
interfaces locales. Por lo tanto, no es necesario que esté habilitado el enrutamiento. Sin embargo, si se
configuran múltiples routers para realizar el enrutamiento entre VLAN, tal vez desee habilitar un
protocolo de enrutamiento dinámico para simplificar la administración de la tabla de enrutamiento.

Interfaces y subinterfaces

La configuración de las subinterfaces del router es similar a la configuración de las interfaces físicas,
excepto que es necesario crear la subinterfaz y asignarla a una VLAN.

En el ejemplo, ingrese el comando interface f0/0.10 en el modo de configuración global para crear la
subinterfaz del router. La sintaxis para la subinterfaz es siempre la interfaz física, en este caso f0/0,
seguida de un punto y un número de subinterfaz. El número de la subinterfaz es configurable, pero
generalmente está asociado para reflejar el número de VLAN. En el ejemplo, las subinterfaces utilizan
10 y 30 como números de subinterfaz para recordar con más facilidad las VLAN a las que se
encuentran asociadas. La interfaz física está especificada porque puede haber múltiples interfaces en el
router, cada una configurada para admitir muchas subinterfaces.

Antes de asignar una dirección IP a una subinterfaz, es necesario configurar la subinterfaz para que
funcione en una VLAN específica mediante el comando encapsulation dot1q id de la VLAN. En el
ejemplo, la subinterfaz Fa0/0.10 está asignada a la VLAN10. Una vez asignada la VLAN, el comando
ip address [Link] [Link] asigna la subinterfaz a la dirección IP apropiada para esa VLAN.

Pág. 33
 SEGURIDAD DE LA INFORMACIÓN

A diferencia de una interfaz física típica, las subinterfaces no están habilitadas con el comando no
shutdown en el nivel de modo de configuración de la subinterfaz del software IOS de Cisco. En
cambio, cuando la interfaz física está habilitada con el comando no shutdown, todas las subinterfaces
configuradas están habilitadas. De manera similar, si la interfaz física está deshabilitada, todas las
subinterfaces están deshabilitadas

VLAN con direcciones IP para un protocolo virtual troncal (VTP)

Establezca Lab4 como nombre de dominio VTP y cisco como contraseña de VTP en los tres switches.
Configure S1 en modo servidor, S2 en modo cliente.

S1(config)#vtp mode server

S1(config)#vtp domain Lab4
S1(config)#vtp password cisco

S2(config)#vtp mode client

S2(config)#vtp domain Lab4
S2(config)#vtp password cisco

S1(config)#interface vlan 99
S1(config-if)#ip address [Link] [Link]
S1(config-if)#no shutdown

S2(config)#interface vlan 99
S2(config-if)#ip address [Link] [Link]
S2(config-if)#no shutdown

S3(config)#interface range fa0/6-10

S3(config-if-range)#switchport access vlan 30

Pág. 34
 SEGURIDAD DE LA INFORMACIÓN

Uso de FireWall.
El término Firewall se referiere a un cortafuegos informático, es un software o hardware utilizado en
redes de computadoras para controlar las comunicaciones, permitiéndolas o prohibiéndolas.

Un uso típico es situarlo entre una red local y la red Internet, como dispositivo de seguridad para evitar
que los intrusos puedan acceder a información confidencial.

Un firewal es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la
otra y en función de lo que sean permite o deniega su paso. Para permitir o denegar una comunicación
el firewal examina el tipo de servicio al que corresponde, como pueden ser el WEB, el correo o el IRC.
Dependiendo del servicio el firewall decide si lo permite o no. Además, el firewall examina si la
comunicación es entrante o saliente y dependiendo de su dirección puede permitirla o no.

Políticas de Diseño de Firewalls.

Las políticas de accesos en un Firewalls se deben diseñar poniendo principal atención en sus
limitaciones y capacidades pero también pensando en las amenazas y vulnerabilidades presentes en una
red externa insegura.

Conocer los puntos a proteger es el primer paso a la hora de establecer normas de seguridad. También
es importante definir los usuarios contra los que se debe proteger cada recurso, ya que las medidas
diferirán notablemente en función de esos usuarios.

Routers.

Cuando los paquetes de información viajan entre su destino y origen, vía TCP/IP, estos pasan por
diferentes Routers (enrutadores a nivel de Red).

Los Routers son dispositivos electrónicos encargados de establecer comunicaciones externas y de

convertir los protocolos utilizados en las LAN en protocolos de WAN y viceversa.

La evolución tecnológica les ha permitido transformarse en computadoras muy especializadas capaz de

determinar, si el paquete tiene un destino externo y el camino más corto y más descongestionado hacia
el Router de la red destino.

Pág. 35
 SEGURIDAD DE LA INFORMACIÓN
En los routers de Cisco, existe un sistema de protección bastante bien elaborado conocido como listas
de control de acceso (ACL), que pueden ser implementadas para la creación de un firewall. Hay dos
tipos de ACL Cisco: estándar y extendidas.

ACL estándar

Las ACL estándar le permiten autorizar o denegar el tráfico desde las direcciones IP de origen. No
importan el destino del paquete ni los puertos involucrados. El ejemplo permite todo el tráfico desde la
red [Link]/24. Debido a la sentencia implícita "deny any" (denegar todo) al final, todo el otro
tráfico se bloquea con esta ACL. Las ACL estándar se crean en el modo de configuración global.

ACL extendidas

Las ACL extendidas filtran los paquetes IP en función de varios atributos, por ejemplo: tipo de
protocolo, direcciones IP de origen, direcciones IP de destino, puertos TCP o UDP de origen, puertos
TCP o UDP de destino e información opcional de tipo de protocolo para una mejor disparidad de
control. En la figura, la ACL 103 permite el tráfico que se origina desde cualquier dirección en la red
[Link]/24 hacia cualquier puerto 80 de host de destino (HTTP). Las ACL extendidas se crean en
el modo de configuración global.

Numeración y denominación de las ACL.

Utilizar ACL numeradas es un método eficaz para determinar el tipo de ACL en redes más pequeñas
con más tráfico definido de manera homogénea. Sin embargo, un número no le informa el propósito de
la ACL. Por ello, si se parte del IOS de Cisco Versión 11.2, puede utilizar un nombre para identificar
una ACL de Cisco.

En cuanto a las ACL, si se pregunta por qué se saltean los números del 200 al 1299, la respuesta es
porque esos números son utilizados por otros protocolos. Este curso se centra sólo en las ACL IP. Por
ejemplo, los números del 600 al 699 son utilizados por AppleTalk y los números del 800 al 899 por
IPX.

Pág. 36
 SEGURIDAD DE LA INFORMACIÓN
Donde ubicar las ACL.

La ubicación adecuada de las ACL para filtrar el tráfico no deseado proporciona un funcionamiento
más eficiente de la red. Las ACL pueden actuar como firewalls para filtrar paquetes y eliminar el
tráfico no deseado. El lugar donde ubique las ACL puede reducir el tráfico innecesario. Por ejemplo, el
tráfico que se deniega en un destino remoto no debe usar los recursos de la red en el camino hacia ese
destino.

Ubicar las ACL extendidas lo más cerca posible del origen del tráfico denegado. De esta manera, el
tráfico no deseado se filtra sin atravesar la infraestructura de red.

Como las ACL estándar no especifican las direcciones de destino, colóquelas lo más cerca del destino
posible.

En la figura, el administrador desea que el tráfico que se origina en la red [Link]/24 no ingrese a
la red [Link]/24. Una ACL en la interfaz de salida de R1 deniega a R1 la posibilidad de enviar
tráfico a otros lugares. La solución es colocar una ACL estándar en la interfaz de entrada de R3 para
detener todo el tráfico desde la dirección de origen [Link]/24. Una ACL estándar cumple con los
requerimientos porque sólo se centra en las direcciones IP de origen.

Máscaras wildcard

Las sentencias de las ACL incluyen máscaras, también denominadas máscaras wildcard. Una máscara
wildcard es una secuencia de dígitos binarios que le indican al router qué partes del número de subred
observar. Aunque las máscaras wildcard no tienen una relación funcional con las máscaras de subred, sí
proporcionan una función similar. La máscara determina qué parte de la dirección IP de origen y
destino aplicar a la concordancia de direcciones. Los bits 1 y 0 de wildcard se utilizan con distintos
propósitos y siguen distintas reglas.

Las máscaras wildcard tienen una longitud de 32 bits y utilizan unos (1) y ceros (0) binarios. Las
máscaras wildcard utilizan unos y ceros binarios para filtrar direcciones IP individuales o en grupo para
permitir o denegar el acceso a recursos según la dirección IP.

Las máscaras wildcard y máscaras de subred difieren en la forma en la que concuerdan sus unos y ceros
binarios. Las reglas para hacer coincidir sus unos y ceros binarios son.

Bit 0 de máscara wildcard: hacer coincidir el valor de bits correspondiente de la dirección

Bit 1 de máscara wildcard: ignorar el valor de bits correspondiente de la dirección

Pág. 37
 SEGURIDAD DE LA INFORMACIÓN

La figura muestra la forma en la que las diferentes máscaras wildcard filtran direcciones IP. Como
puede observar en el ejemplo, recuerde que el 0 binario representa una coincidencia, y el 1 binario,
ignorar.

La tabla de la figura muestra los resultados de aplicar una máscara wildcard [Link] a una
dirección IP de 32 bits. Recuerde que un 0 binario indica un valor coincidente.

Máscaras wildcard para hacer coincidir subredes IP

Calcular la máscara wildcard puede ser un tanto confuso al principio. La figura proporciona tres
ejemplos de máscaras wildcard.

En el primer ejemplo, la máscara wildcard indica que cada bit de la dirección IP [Link] debe
coincidir en forma exacta. La máscara wildcard es equivalente a la máscara de subred [Link].

En el segundo ejemplo, la máscara wildcard indica que todo coincide. La máscara wildcard es
equivalente a la máscara de subred [Link].

En el tercer ejemplo, la máscara wildcard indica que coincide cualquier host dentro de la red
[Link] /24. La máscara wildcard es equivalente a la máscara de subred [Link].

Pág. 38
 SEGURIDAD DE LA INFORMACIÓN

Los dos ejemplos de la figura son más complicados que los últimos tres que se mostraron. En el
ejemplo 1, los primeros dos octetos y los primeros cuatro bits del tercer octeto deben coincidir de
manera exacta. Los últimos cuatro bits del tercer octeto y el último octeto pueden ser cualquier número
válido. Esto da como resultado una máscara que verifica de [Link] a [Link].

El ejemplo 2 muestra una máscara wildcard que coincide con los primeros dos octetos y el bit más
insignificante del tercero. El último octeto y los primeros siete bits del tercer octeto pueden ser
cualquier número válido. El resultado es una máscara que permite o deniega todos los hosts desde
subredes impares de la red principal [Link].

Calcular máscaras wildcard puede ser complicado, pero puede hacerlo fácilmente restando la máscara
de subred de [Link].

En el tercer octeto, la máscara wildcard es 15 (00001111), y la dirección IP es 16 (00010000). Los

primeros cuatro ceros en la máscara wildcard indican al router que debe comparar los primeros cuatro
bits de la dirección IP (0001). Como los últimos cuatro bits se ignoran, todos los números dentro del
intervalo de 16 (00010000) a 31 (00011111) coinciden porque comienzan con el patrón 0001. Para los
cuatro bits finales (menos significativos) en este octeto, la máscara wildcard ignora el valor porque en
estas posiciones, el valor de la dirección puede ser cero o uno binarios

Por ejemplo 1, supongamos que desea permitir el acceso a todos los usuarios de la red [Link]. Si
la máscara de subred es [Link], puede tomar [Link] y restar de la máscara de subred
[Link] o como se muestra en la figura. La solución genera la máscara wildcard [Link].

Pág. 39
 SEGURIDAD DE LA INFORMACIÓN

Ejemplo 2, supongamos que desea permitir el acceso a la red a los 14 usuarios de la subred
[Link] /28. La máscara de subred para la subred IP es [Link]; tome [Link] y
reste de la máscara de subred [Link]. Esta vez la solución genera la máscara wildcard
[Link].

En este tercer ejemplo, supongamos que desea hacer coincidir sólo las redes [Link] y
[Link]. Nuevamente, tome [Link] y reste la máscara de subred regular que, en este
caso, es [Link]. El resultado es [Link].

Puede obtener el mismo resultado con las siguientes dos sentencias:

R1(config)# access-list 10 permit [Link]

R1(config)# access-list 10 permit [Link]

Es más eficaz configurar la máscara wildcard de la siguiente manera:

R1(config)# access-list 10 permit [Link] [Link]

No parece ser más eficaz, pero considere hacer coincidir la red [Link] a [Link] de la
siguiente manera:

R1(config)# access-list 10 permit [Link]

R1(config)# access-list 10 permit [Link]
R1(config)# access-list 10 permit [Link]
:
:
R1(config)# access-list 10 permit [Link]
R1(config)# access-list 10 permit [Link]

Puede ver que es más eficiente al configurar la siguiente máscara wildcard:

R1(config)# access-list 10 permit [Link] [Link]

Pág. 40
 SEGURIDAD DE LA INFORMACIÓN

Palabras clave de la máscara de bits wildcard

Trabajar con representaciones decimales de bits wildcard binarios puede ser una tarea muy tediosa.
Para simplificarla, las palabras clave host y any ayudan a identificar los usos más comunes de las
máscaras wildcard. Con estas palabras clave no necesita ingresar las máscaras wildcard al identificar un
host o red específicos. También facilitan la lectura de una ACL al proporcionar pistas visuales en
cuanto al origen o destino del criterio.

La opción host reemplaza la máscara [Link]. Esta máscara indica que todos los bits de direcciones IP
deben coincidir o que sólo un host coincide.
La opción any reemplaza la dirección IP y la máscara [Link]. Esta máscara indica que debe
ignorarse toda la dirección IP o que deben aceptarse todas las direcciones.

Ejemplo 1: Proceso de las máscaras wildcard con una única dirección IP, en lugar de ingresar
[Link] [Link], puede utilizar host [Link].

Ejemplo 2: Proceso de las máscaras wildcard con una dirección IP que coincide con todas, en lugar de
ingresar [Link] [Link], puede usar la palabra clave any.

Palabras clave any y host

En la figura tenemos dos ejemplos. El Ejemplo 1 muestra cómo utilizar la opción any para reemplazar
[Link] por la dirección IP con máscara wildcard de [Link].

El Ejemplo 2 muestra cómo utilizar la opción host para reemplazar la máscara wildcard.

Pág. 41
 SEGURIDAD DE LA INFORMACIÓN

Procedimientos de configuración de las ACL estándar

Luego de configurar una ACL estándar, se la vincula a una interfaz con el comando ip access-group:

Router(config-if)#ip access-group {número de lista de acceso | nombre de lista de acceso} {in | out}

Para eliminar una ACL de una interfaz, primero ingrese el comando no ip access-group en la interfaz y
luego el comando global no access-list para eliminar toda la ACL.

En la figura aparecen los pasos y la sintaxis para configurar y aplicar una ACL estándar numerada en
un router.

En la figura se tiene un ejemplo de una ACL que permite una única red. Esta ACL sólo permite que el
tráfico de la red de origen [Link] sea enviado por la interfaz S0/0/0. Se bloquea el tráfico de las
demás redes, excepto la [Link].

La primera línea identifica la ACL como lista de acceso 1. Permite el tráfico que coincide con los
parámetros seleccionados. En este caso, la dirección IP y la máscara wildcard que identifica la red de
origen es [Link] [Link]. Recuerde que existe la sentencia implícita y oculta "deny all",
equivalente a agregar la línea access-list 1 deny [Link] [Link].

El comando de configuración de interfaz ip access-group 1 out vincula y adjunta la ACL 1 a la interfaz

Serial 0/0/0 como filtro de salida. Por ello, la ACL 1 sólo permite hosts de la red [Link] /24 para
salir del router R1. Deniega cualquier otra red, incluso la [Link].

Pág. 42
 SEGURIDAD DE LA INFORMACIÓN
En otro ejemplo que aparece en la figura se obtiene una ACL que deniega un host específico.

Esta ACL reemplaza el ejemplo anterior, pero además bloquea el tráfico de una dirección específica. El
primer comando borra la versión anterior de la ACL 1. La siguiente sentencia de ACL deniega el host
PC1 ubicado en [Link]. Está permitido cualquier otro host de la red [Link] /24.
Nuevamente, la sentencia implícita de denegación coincide con cualquier otra red.

Nuevamente se aplica la ACL a la interfaz S0/0/0 en dirección saliente.

En otro ejemplo que aparece en la figura se obtiene una ACL que deniega una subred específica.

Esta ACL reemplaza el ejemplo anterior pero aún bloquea tráfico del equipo host PC1. Permite,
además, que todo el tráfico de LAN salga del router R1.

Los primeros dos comandos son los mismos que el ejemplo anterior. El primer comando borra la
versión anterior de la ACL 1 y la siguiente sentencia de ACL deniega el host PC1 ubicado en
[Link].

La tercera línea es nueva y permite todos los hosts de las redes 192.168.x.x /16. Ahora, esto significa
que todos los hosts de la red [Link] /24 sí coinciden, pero ahora también coinciden los hosts de
la red [Link].

Nuevamente se aplica la ACL a la interfaz S0/0/0 en dirección saliente. Por ello, las dos LAN
conectadas al router R1 pueden salir de la interfaz S0/0/0, a excepción del host PC1.

Uso de las ACL para controlar el acceso VTY

Cisco recomienda utilizar SSH para conexiones administrativas a routers y switches. Si la imagen del
software IOS de Cisco en su router no admite SSH, puede mejorar parcialmente la seguridad de las
líneas administrativas restringiendo el acceso VTY. Restringir el acceso VTY es una técnica que le
permite definir qué direcciones IP tienen acceso Telnet al proceso EXEC del router. Puede controlar la
estación de trabajo o red administrativa que administra su router con una ACL y una sentencia access-
class a sus líneas VTY. También puede utilizar esta técnica con SSH para mejorar más la seguridad del
acceso administrativo.

Pág. 43
 SEGURIDAD DE LA INFORMACIÓN

El comando access-class del modo de configuración de línea restringe las conexiones entrantes y
salientes entre una VTY particular (en un dispositivo Cisco) y las direcciones de una lista de acceso.

Las listas de acceso extendidas y estándar se aplican a paquetes que viajan a través de un router. No
están diseñadas para bloquear paquetes que se originan dentro del router. De forma predeterminada, la
ACL Telnet extendida de salida no impide las sesiones Telnet iniciadas por el router.

Filtrar el tráfico de Telnet generalmente es una función de una ACL IP extendida, porque filtra un
protocolo de nivel superior. Sin embargo, como usted utiliza el comando access-class para filtrar
sesiones de Telnet entrantes y salientes mediante direcciones de origen y para aplicar filtros a las líneas
VTY, puede utilizar las sentencias de ACL estándar para controlar el acceso VTY.

La sintaxis del comando access-class es:

access-classaccess-list-number {in [vrf-also] | out}

El parámetro in restringe las conexiones entrantes entre un dispositivo Cisco particular y las
direcciones de la lista de acceso, mientras que el parámetro out restringe las conexiones salientes entre
un dispositivo Cisco particular y las direcciones de la lista de acceso.

En la figura se muestra un ejemplo donde se permite VTY 0 y 4. Por ejemplo, la ACL de la figura se
configura para permitir el acceso de las redes [Link] y [Link] a las VTY 0 - 4. Todas las
demás redes no tienen acceso a las VTY.

Cuando configure las listas de acceso en las VTY, tenga en consideración lo siguiente:

Sólo se pueden aplicar listas de acceso numeradas a las VTY.

Deben establecerse las mismas restricciones en todas las VTY porque un usuario puede intentar
conectarse a cualquiera de ellas.

Pág. 44
 SEGURIDAD DE LA INFORMACIÓN

Uso de VPN.
Una red privada virtual o VPN (siglas en inglés de virtual private network), es una tecnología de red
que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo
Internet.

Requerimientos básicos.

Identificación de usuario: las VPN deben verificar la identidad de los usuarios y restringir su acceso a
aquellos que no se encuentren autorizados.

Codificación de datos: los datos que se van a transmitir a través de la red pública (Internet), antes deben
ser cifrados, para que así no puedan ser leídos. Esta tarea se realiza con algoritmos de cifrado como
DES o 3DES que sólo pueden ser leídos por el emisor y receptor.

Administración de claves: las VPN deben actualizar las claves de cifrado para los usuarios.

Tipos de VPN
Básicamente existen tres arquitecturas de conexión VPN:

VPN de acceso remoto: Es quizás el modelo más usado actualmente, y consiste en usuarios o
proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios,
hoteles, aviones preparados, etcétera), utilizando Internet como vínculo de acceso. Una vez
autentificados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa.
Muchas empresas han reemplazado con esta tecnología su infraestructura dial-up (módems y líneas
telefónicas).

VPN punto a punto: Este esquema se utiliza para conectar oficinas remotas con la sede central de la
organización. El servidor VPN, que posee un vínculo permanente a Internet, acepta las conexiones vía
Internet provenientes de los sitios y establece el túnel VPN. Los servidores de las sucursales se
conectan a Internet utilizando los servicios de su proveedor local de Internet, típicamente mediante
conexiones de banda ancha. Esto permite eliminar los costosos vínculos punto a punto tradicionales,
sobre todo en las comunicaciones internacionales. Es más común el siguiente punto, también llamado
tecnología de túnel o tunneling.

Tunneling: La técnica de tunneling consiste en encapsular un protocolo de red sobre otro (protocolo de
red encapsulador), creando un túnel dentro de una red de computadoras. El establecimiento de dicho
túnel se implementa incluyendo una PDU determinada dentro de otra PDU con el objetivo de
transmitirla desde un extremo al otro del túnel sin que sea necesaria una interpretación intermedia de la
PDU encapsulada. De esta manera se encaminan los paquetes de datos sobre nodos intermedios que son
incapaces de ver en claro el contenido de dichos paquetes. El túnel queda definido por los puntos
extremos y el protocolo de comunicación empleado, podría ser SSH.

Pág. 45
 SEGURIDAD DE LA INFORMACIÓN

La comunicación segura implica conectar redes remotas mediante líneas dedicadas. Sin embargo, como
la mayoría de las compañías no pueden conectar dos redes de área local remotas con una línea
dedicada, a veces es necesario usar Internet como medio de transmisión.

Una solución consiste en utilizar Internet como medio de transmisión con un protocolo de túnel, que
significa que los datos se encapsulan antes de ser enviados de manera cifrada. El término Red privada
virtual (abreviado VPN) se utiliza para hacer referencia a la red creada artificialmente de esta manera.

Se dice que esta red es virtual porque conecta dos redes físicas “redes de área local”, a través de una
conexión poco fiable Internet, y privada porque sólo los equipos que pertenecen a una red de área local
de uno de los lados de la VPN pueden ver los datos.

Configuración de una VPN

Se crea un pool de direcciones

r1(Config)#ip local pool VPNPOOL [Link] [Link]

La autenticación

Activa la funcionalidad AAA

r1(config)# aaa new-model

Define la lista de métodos de autenticacion cuando un usuario hace login (local, RADIUS)
r1(config)# aaa authentication login VPN-USER local

Establece los parametros que restringen el acceso de los usuarios a la red

r1(config)# aaa authorization network VPN-GROUP local

Se crea una cuenta de usuario usarán los clientes VPN para autenticarse contra el servidor
r1(config)# username vpnuser password miclave

Configurar las políticas IKE

Crea una nueva politica IKE. Cada política se identifica por su número de prioridad (de 1 a 10,000); 1
es la prioridad más alta.
r1(config)# crypto isakmp policy 10

Especifica el algoritmo de cifrado a utilizar

r1(config-isakmp)# encryption aes 192

Pág. 46
 SEGURIDAD DE LA INFORMACIÓN

Elegir el algoritmo de hash a usar: Message Diges 5(MD5) o Secure Hash Algoritm (SHA).
r1(config-isakmp)# hash sha

Determina el método de autenticación: pre-shared keys, RSAI encrypted nonces (rsa-ener) o RSA
signatures(rsa-sig).
r1(config-isakmp)# authentication pre-share

Especifica el identificador del grupo Diffie-Helman

r1(config-isakmp)# group 5

Crea un grupo Ike para los clientes VPN

r1(config)# crypto isakmp client configuration group VPN-GROUP

Establece el secreto compartido para el grupo VPN-GROUP

r1(config-isakmp-group)# key SECRETOCOMPARTIDO

Se selecciona el pool de direcciones para los clientes

r1(config-isakmp-group)# pool VPNPOOL

Configurar la política IPSec

Establece las políticas de seguridad IPSEC que se usarán en las comunicaciones.

r1(config)# crypto ipsec transform-set VPNSET esp-aes esp-sha-hmac

Crea un crypto map dinámico que se usa cuando la IP del host remoto no se conoce, como es el caso en
las VPN de acceso remoto.
r1(config)# crypto dynamic-map VPN-DYNAMIC 10

Asocia el transfrom set VPNSET al crypto map dinámico.

r1(config-crypto-map)# set transform-set VPNSET

Activa Reverse Route injection (RRI)

r1(config-crypto-map)# reverse-route

Configura un crypto map estático que puede ser asociado a una interfaz
r1(config)# crypto map VPN-STATIC client configuration address respond

Define el conjunto de usuarios con permisos de autenticación.

r1(config)# crypto map VPN-STATIC client authentication list VPN-USER

Establece el grupo de usaurios y los parametros de acceso a la red.

r1(config)# crypto map VPN-STATIC isakmp authorization list VPN-GROUP

Pág. 47
 SEGURIDAD DE LA INFORMACIÓN

Asocia el crypto map dinámico creado para los clientes de acceso remoto.
r1(config)# crypto map VPN-STATIC 20 ipsec-isakmp dynamic VPN-DYNAMIC

Accedemos a la configuracion de la interfaz por la que se conectrán los clientes VPN

r1(config)# interface serial1/0

Asociamos el crypto map a la interfaz

r1(config-if)# crypto map VPN-STATIC

Lograr el enlace con el cliente

Pág. 48