Seguridad y Protección

Tema VII
Seguridad Informática
Podemos definir a la Seguridad Informática como:
“El conjunto de normas, mecanismos, herramientas,
procedimientos y recursos, orientados a brindar protección
a la información resguardando su disponibilidad,
integridad y confidencialidad”
Por ello la seguridad abarca temas como el mantenimiento de equipos,
la ocultación de datos, la protección de los mismos con claves de
acceso o protocolos de administración de una red
“El único sistema seguro es aquél que está apagado en el interior de un bloque de
hormigón protegido en una habitación sellada rodeada por guardias armados”.
Gene Spafford

El sistema operativo, como administrador de los recursos del sistema: cumple una
función muy importante en la instrumentación de la seguridad pero no engloba a
todos los aspectos de la seguridad; debe ser complementado con medidas
externas al sistema.

La seguridad es inversamente proporcional a la facilidad de uso.(Mayor

seguridad, menor utilidad y viceversa)
Elementos a Proteger
1. Información: es el objeto de mayor valor para la organización, el
objetivo es el resguardo de la información, independientemente de
donde se encuentra registrada, en algún medio electrónico o físico
2. Equipos que la soportan: software, hardware y organización.
3. Usuarios: Individuos que utilizan la estructura tecnológica y de
comunicaciones que manejan la información
PRINCIPIOS DE LA SEGURIDAD
• La Integridad de la Información
• La Disponibilidad u Operatividad
• La Confidencialidad o Privacidad
• La Autenticidad
• No Repudio
• El Control de Acceso
PRINCIPIOS DE LA SEGURIDAD
• La Integridad de la Información
es la característica que hace que su contenido permanezca
inalterado a menos que sea modificado por personal autorizado
Una falla de integridad puede estar dada por anomalías en el
hardware, software, virus informáticos y/o modificación por personas
que se infiltran en el sistema.
• La Disponibilidad u Operatividad de la Información es
su capacidad de estar siempre disponible para ser
procesada por las personas autorizadas.

• La Privacidad o Confidencialidad de la Información es

la necesidad de que la misma sólo sea conocida por
personas autorizadas.

• El Control de Acceso sobre la información permite

asegurar que sólo los usuarios autorizados pueden
decidir cuando y como permitir el acceso a la misma.
Seguridad y Protección
• La seguridad : es la ausencia de un riesgo. Aplicando esta definición, se hace
referencia al riesgo de accesos no autorizados, de manipulación de
información, manipulación de las configuraciones, entre otros
• La protección : son los diferentes mecanismo utilizados por el SO para
cuidar la información, los procesos, los usuarios, etc
• Para poder garantizar la seguridad es fundamental proteger nuestro
sistema, por eso básicamente los mecanismo articulados para la protección
son los que nos llevan a un sistema seguro;
• Existen diferentes formas de realizar la protección tal vez la mas común y
mas básica sea definir cuales son los archivos u objetos a proteger para que
posteriormente se delimite que usuarios pueden acceder a que información
Seguridad y Protección - Distinción
CONTROLES DE ACCESO
Estos controles pueden implementarse en el Sistema Operativo, sobre los
sistemas de aplicación, en bases de datos, en un paquete específico de
seguridad o en cualquier otro utilitario.

• IDENTIFICACIÓN Y AUTENTIFICACIÓN Es la primera línea de defensa

para la mayoría de los sistemas computarizados, permitiendo prevenir
el ingreso de personas no autorizadas.

• Se denomina Identificación al momento en que el usuario se da a conocer

en el sistema; y Autenticación a la verificación que realiza el sistema sobre
esta identificación.
 CONTROL DE ACCESO
MODALIDAD DE ACCESO Se refiere al modo de acceso que se permite al usuario
sobre los recursos y a la información. Esta modalidad puede ser:

• Lectura: el usuario puede únicamente leer o visualizar la información pero no puede

alterarla. Debe considerarse que la información puede ser copiada o impresa.
• Escritura: este tipo de acceso permite agregar datos, modificar o borrar
información.
• Ejecución: este acceso otorga al usuario el privilegio de ejecutar programas.
• Borrado: permite al usuario eliminar recursos del sistema (como programas, campos
de datos o archivos). El borrado es considerado una forma de modificación.
• Todas las anteriores.

Además existen otras modalidades de acceso especiales, que generalmente se incluyen en

los sistemas de aplicación:

• Creación: permite al usuario crear nuevos archivos, registros o campos.

• Búsqueda: permite listar los archivos de un directorio determinado.
Técnicas de Autenticación
Las técnicas de autenticación se suelen dividir en tres grandes categorías
(a) algo que el usuario sabe, ej. Una contraseña
(b) algo que éste posee, ej. Una tarjeta inteligente.
(c) una característica física del usuario. Esta última categoría se conoce con el
nombre de autenticación biométrica. Ej. Huella digital.
Cualquier sistema de identificación debe ser factible: ha de ser fiable con una
probabilidad muy elevada, económica para la organización y ha de soportar con
éxito cierto tipo de ataques
Aparte de estas características tenemos otra, no técnica sino humana, pero
quizás la más importante: un sistema de autenticación ha de ser aceptable para
los usuarios que serán al fin y al cabo quienes lo utilicen
Sistemas basados en algo
conocido: contraseñas
• El modelo de autenticación más básico consiste en decidir si un
usuario es quien dice ser simplemente basándonos en una prueba de
conocimiento que a priori sólo ese usuario puede superar;
• Esta prueba de conocimiento no es más que una contraseña que en
principio es secreta
• También se utiliza como complemento a otros mecanismos de
autenticación, por ejemplo en el caso del Número de Identificación
Personal (PIN) a la hora de utilizar cajeros automáticos.
Sistemas basados en algo que
se posee: tarjetas inteligentes
• Desde un punto de vista formal, una tarjeta inteligente (o smartcard)
es un dispositivo de seguridad del tamaño de una tarjeta de crédito,
resistente a la adulteración, que ofrece funciones para un
almacenamiento seguro de información y también para el
procesamiento de la misma en base a tecnología VLSI.
• En la práctica, las tarjetas inteligentes poseen un chip empotrado en
la propia tarjeta que puede implementar un sistema de ficheros
cifrado y funciones criptográficas, y además puede detectar
activamente intentos no válidos de acceso a la información
almacenada
Sistemas de autenticación
biométrica
Estos sistemas son los denominados biométricos, basados en
características físicas del usuario a identificar.
La autenticación basada en características físicas existe desde que existe
el hombre y, sin darnos cuenta, es la que más utiliza cualquiera de
nosotros en su vida cotidiana: a diario identificamos a personas por los
rasgos de su cara o por su voz.
Obviamente aquí el agente reconocedor lo tiene fácil porque es una
persona, pero en el modelo aplicable a redes o sistemas Unix el agente
ha de ser un dispositivo que, basándose en características del sujeto a
identificar, le permita o deniegue acceso a un determinado recurso.
Verificación de voz
• En los sistemas de reconocimiento de voz no se intenta, como mucha
gente piensa, reconocer lo que el usuario dice, sino identificar una
serie de sonidos y sus características para decidir si el usuario es
quien dice ser.
Verificación de escritura
• Aunque la escritura (generalmente la firma) no es una característica
estrictamente biométrica, se suele agrupar dentro de esta categoría;
el objetivo aquí no es interpretar o entender lo que el usuario escribe
en el lector, sino autenticarlo basándose en ciertos rasgos tanto de la
firma como de su rúbrica.
Autenticación de usuarios en Unix
Autenticación clásica
Cada usuario posee un nombre de entrada al sistema o login y una clave o password;
Ambos datos se almacenan generalmente en el fichero /etc/passwd. Este archivo contiene una
línea por usuario donde se indica la información necesaria para que los usuarios puedan
conectar al sistema y trabajar en él

En primer lugar aparecen el login del usuario y su clave cifrada;

a continuación tenemos dos números que serán el identificador de usuario UID y el de grupo
GID respectivamente.

El quinto campo, denominado GECOS es simplemente información administrativa sobre la

identidad real del usuario, como su nombre, teléfono o número de despacho.
Los dos últimos campos corresponden al directorio del usuario (su $HOME inicial) y al shell que
le ha sido asignado.
Unix no es capaz de distinguir a sus usuarios por su nombre de
entrada al sistema.
Para el sistema operativo lo que realmente distingue a una
persona de otra es el UID del usuario en cuestión;
El login es algo que se utiliza principalmente para comodidad de
las personas (es más fácil acordarse de un nombre de entrada
como toni que de un UID como 2643)
Modelo formal de protección
• En un computador, en materia de protección, consideramos que un
conjunto de sujetos (entidades activas=procesos o usuarios) realiza
operaciones sobre objetos (cualquier recurso, archivo, información,
etc.)

• Cada objeto admite un conjunto de operaciones sobre él.

• Los sujetos y objetos pueden aparecer y desaparecer en el transcurso

de la existencia del sistema (ej. nuevos procesos, nuevos ficheros)
• Derecho de acceso: Autoridad de un sujeto para ejecutar una
operación
Cada sujeto posee un conjunto de derechos de acceso sobre
cada recurso.
• Dominio de protección: conjunto de derechos de acceso, como una
lista de pares <objeto, conjunto de derechos>
En cada momento, un proceso se ejecuta dentro de un dominio
de protección.
Dominios de protección – Matriz
de Accesos
Ejemplo de representación de dominios de protección:
prog1.cp prog2.cp cc a.obj impresora
p p
leer borrar
D1 escribir ejecutar crear imprimir
ejecutar
leer borrar
D2 escribir ejecutar crear
ejecutar

Al conjunto de dominios de protección se le llama a veces matriz de acceso

¿Qué representa un dominio de protección?

un usuario (UNIX) o un grupo de usuarios
un proceso
un procedimiento
Malware
• Son todos aquellos programas diseñados para causar daños al
hardware, software, redes...
• Está creado para insertar gusanos, spyware, virus, troyanos ,
intentando conseguir algún objetivo, como por ejemplo recoger
información sobre el usuario de internet o sacar información del
propio pc de un usuario.
Virus, Gusanos y troyanos
• Un virus informático es un malware que tiene como objetivo alterar
funcionamiento del ordenador, sin el permiso o el conocimiento del
usuario.
• Los virus pueden destruir, de manera intencionada los datos
almacenados en un ordenador.
• Tienen, básicamente, la función de propagarse a través de un software.
• Son muy nocivos.
• Un gusano informático es un malware que tiene la propiedad de
duplicarse a sí mismo.
• utilizan las partes automáticas de un sistema operativo que
generalmente son invisibles al usuario.
• se propagan de ordenador a ordenador
• tienen la capacidad de propagarse sin la ayuda de una persona.
• Un troyano o caballo de troya es una pieza de software dañino
disfrazado de un software muy limpio que se introduce en tu equipo
sin que te des cuenta.
• Los troyanos no son capaces de replicarse por sí mismos
• pueden ser adjuntados con cualquier tipo de software por un
programador puede infectar los equipos por medio del engaño.
Ad-aware y Pop-ups
Ad-Aware es cualquier programa que automáticamente se ejecuta, muestra o
baja publicidad web al computador después de instalar el programa o
mientras se está utilizando la aplicación.

Un pop-up es un tipo de ventana web que aparece delante de la ventana

de un navegador al visitar una página web.

• Otro nombre para el pop-up es "ventana emergente".

• Suelen ser molestos porque obstruyen la vista, especialmente cuando se
abren múltiples ventanas tipo pop-up.
• Suelen utilizarse para publicidad online
Spyware
• El spyware es un software que recopila información de un
ordenador y después transmite esta información a una entidad
externa sin el conocimiento o el consentimiento del propietario del
ordenador.
Clasificación de los virus
Phishing