Conceptos Básicos de Seguridad

Informática

Curso de Seguridad Informática

Curso de Seguridad Informática © Jorge Ramió Aguirre

 ¿Conectado o desconectado?
No podemos aceptar esa
... es aquel que está
afirmación popular que
apagado y, por tanto,
dice que el computador
desconectado de la red.
más seguro ...

A pesar de todas las

amenazas del entorno
que, como veremos,
serán muchas y variadas.

Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 2

© Jorge Ramió Aguirre Madrid (España) 2002
 ¿Conciencia de las debilidades?

internas o externas

Amenazas

La seguridad informática
será un motivo de
preocupación.
... y las empresas, organismos y particulares comienzan a
tener verdadera conciencia de su importancia.
Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 3
© Jorge Ramió Aguirre Madrid (España) 2002
 Las dos últimas décadas
• A partir de los años 80 el uso del ordenador
personal comienza a ser común. Asoma ya la
preocupación por la integridad de los datos.
• En la década de los años 90 proliferan los ataques
a sistemas informáticos, aparecen los virus y se
toma conciencia del peligro que nos acecha como
usuarios de PCs y equipos conectados a Internet.
• Las amenazas se generalizan a finales de los 90.
Se toma en serio la seguridad: década de los 00s

Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 4

© Jorge Ramió Aguirre Madrid (España) 2002
 ¿Qué hay de nuevo en los 00s?
• Principalmente por el uso de Internet, el tema de la
protección de la información se transforma en una
necesidad y con ello se populariza la terminología
técnica asociada a la criptología:
– Cifrado, descifrado, criptoanálisis, firma digital.
– Autoridades de Certificación, comercio electrónico.
• Ya no sólo se transmiten estas enseñanzas en las
universidades. El usuario final desea saber, por
ejemplo, qué significa firmar un e-mail.
• Productos futuros: Seguridad añadida
Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 5
© Jorge Ramió Aguirre Madrid (España) 2002
 Una definición de criptografía
Criptografía:
Rama de las Matemáticas -y en la actualidad de la
Informática- que hace uso de métodos matemáticos
con el objeto principal de cifrar un mensaje o archivo
por medio de un algoritmo y una o más claves, dando
lugar a distintos criptosistemas que permiten asegurar,
al menos, dos aspectos básicos de la seguridad como
son la confidencialidad y la integridad de la información.
He aquí una definición menos afortunada
de criptografía por parte de la Real
Academia de la Lengua Española...

Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 6

© Jorge Ramió Aguirre Madrid (España) 2002
 La criptografía según la RAE
 Criptografía:
“Arte de escribir mensajes con una
clave secreta o de modo enigmático”.
Desde el punto de vista de la ingeniería y la informática,
es difícil encontrar una definición menos apropiada .
 Hoy ya no es un arte sino una ciencia.
 No sólo se protegen mensajes que se escriben, sino
archivos y documentos en general que se generan.
 Muchos sistemas tienen dos claves: secreta y pública.
 No hay nada de enigmático  en una cadena de bits.
Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 7
© Jorge Ramió Aguirre Madrid (España) 2002
 ¿Cifrar o encriptar? 
Cifra o cifrado:
Técnica que, en general, protege o autentica a un documento
o usuario al aplicar un algoritmo criptográfico. Sin conocer
una clave específica, no será posible descifrarlo o recuperarlo.
En algunos países por influencia del inglés se usará la palabra
encriptar. Si bien esta palabra no existe, podría ser el acto de
“meter a alguien dentro de una cripta”,  ... algo bastante
distinto a lo que deseamos expresar.
Ejemplos como éstos encontraremos muchísimos. Sin ir más
lejos, aceptamos la palabra “privacidad” e incluso está escrita
en Leyes, aunque no esté recogida en la última edición del
diccionario de la RAE ().
Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 8
© Jorge Ramió Aguirre Madrid (España) 2002
 Algunas definiciones previas
Criptólogo: persona que trabaja de forma legítima para
proteger la información creando algoritmos criptográficos.
Criptoanalista: persona cuya función es romper algoritmos
de cifra en busca de debilidades, la clave o del texto en claro.
Criptógrafo: máquina o artilugio para cifrar.
Criptología: ciencia que estudia e investiga todo aquello
relacionado con la criptografía: incluye cifra y criptoanálisis.
Texto en claro: documento original. Se denotará como M.
Criptograma: documento/texto cifrado. Se denotará como C.
Claves: datos (llaves) privados/públicos que permitirán cifrar.
Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 9
© Jorge Ramió Aguirre Madrid (España) 2002
 Interés en el delito informático
• El delito informático parece ser un “buen negocio”:
– Objeto Pequeño: la información está almacenada en
“contenedores pequeños”: no es necesario un camión
para robar el banco, joyas, dinero, ...
– Contacto Físico: no existe contacto físico en la mayoría
de los casos. Se asegura el anonimato y la integridad
física del delincuente.
– Alto Valor: el objeto codiciado tiene un alto valor. El
contenido (los datos) vale mucho más que el soporte que
los almacena (disquete, disco compacto, ...).
• Unica solución: el uso de técnicas criptográficas.
Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 10
© Jorge Ramió Aguirre Madrid (España) 2002
 Seguridad Física v/s Seguridad Lógica
• El estudio de la seguridad informática puede
plantearse desde dos enfoques:
– Seguridad Física: protección del sistema ante las
amenazas físicas, planes de contingencia, control
de acceso físico, políticas de backups, etc.
– Seguridad Lógica: protección de la información
en su propio medio mediante el enmascaramiento
de la misma usando técnicas de criptografía. Este
enfoque propio de las Aplicaciones Criptográficas
será tratado a lo largo de todo el curso.

Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 11

© Jorge Ramió Aguirre Madrid (España) 2002
 1er principio de la seguridad informática
• “El intruso al sistema utilizará cualquier artilugio
que haga más fácil su acceso y posterior ataque”.
• Existirá una diversidad de frentes desde los que
puede producirse un ataque. Esto dificulta el
análisis de riesgos porque el delincuente aplica la
filosofía del punto más débil de este principio.
PREGUNTA:
¿Cuáles son los puntos débiles
de un sistema informático?
Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 12
© Jorge Ramió Aguirre Madrid (España) 2002
 Debilidades del sistema informático (1)
HARDWARE - SOFTWARE - DATOS
MEMORIA - USUARIOS
Los tres primeros puntos conforman el llamado Triángulo
de Debilidades del Sistema:

– Hardware: Errores intermitentes, conexión suelta, desconexión de

tarjetas, etc.
– Software: Sustracción de programas, modificación, ejecución
errónea, defectos en llamadas al sistema, etc.
– Datos: Alteración de contenidos, introducción de datos falsos,
manipulación fraudulenta de datos, etc.

Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 13

© Jorge Ramió Aguirre Madrid (España) 2002
 Debilidades del sistema informático (2)

– Memoria: Introducción de virus, mal uso de la gestión

de memoria, bloqueo del sistema, etc.
– Usuarios: Suplantación de identidad, acceso no
autorizado, visualización de datos confidenciales, etc.
• Es muy difícil diseñar un plan que contemple de
forma eficiente todos estos aspectos.
• Debido al Principio de Acceso más Fácil, no se
deberá descuidar ninguno de los cinco elementos
susceptibles de ataque del sistema informático.

Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 14

© Jorge Ramió Aguirre Madrid (España) 2002
 Amenazas del sistema

• Las amenazas afectan

Flujo Normal
principalmente al
Hardware, al Software
Interrupción Interceptación
y a los Datos. Estas se
deben a fenómenos de:
– Interrupción
Modificación Generación
– Interceptación
– Modificación
– Generación
Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 15
© Jorge Ramió Aguirre Madrid (España) 2002
 Amenazas de interrupción
Interrupción

Intruso

• Se daña, pierde o deja de funcionar un punto del

sistema.
• Detección inmediata.
Ejemplos: Destrucción del hardware.
Borrado de programas, datos.
Fallos en el sistema operativo.
Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 16
© Jorge Ramió Aguirre Madrid (España) 2002
 Amenazas de interceptación
Interceptación

Intruso

• Acceso a la información por parte de personas no

autorizadas. Uso de privilegios no adquiridos.
• Detección difícil, no deja huellas.

Ejemplos: Copias ilícitas de programas.

Escucha en línea de datos.

Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 17

© Jorge Ramió Aguirre Madrid (España) 2002
 Amenazas de modificación
Modificación

Intruso

• Acceso no autorizado que cambia el entorno para

su beneficio.
• Detección difícil según circunstancias.
Ejemplos: Modificación de bases de datos.
Modificación de elementos del HW.

Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 18

© Jorge Ramió Aguirre Madrid (España) 2002
 Amenazas de generación
Generación

Intruso

• Creación de nuevos objetos dentro del sistema.

• Detección difícil. Delitos de falsificación.

Ejemplos: Añadir transacciones en red.

Añadir registros en base de datos.

Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 19

© Jorge Ramió Aguirre Madrid (España) 2002
 El triángulo de debilidades
Interrupción Interceptación Modificación Generación
(pérdida) (acceso) (cambio) (alteración)

Los datos serán la DATOS Ejemplos de ataques

parte más vulnerable
del sistema.

HD SW
Interrupción (denegar servicio) Modificación (falsificación)
Interceptación (robo) Interrupción (borrado)
Interceptación (copia)

Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 20

© Jorge Ramió Aguirre Madrid (España) 2002
 Ataques característicos

• Hardware:
– Agua, fuego, electricidad, polvo, cigarrillos, comida.
• Software:
– Borrados accidentales, intencionados, fallos de líneas
de programa, bombas lógicas, robo, copias ilegales.
• Datos:
– Los mismos puntos débiles que el software.
– Dos problemas: no tienen valor intrínseco pero sí su
interpretación y algunos son de carácter público.

Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 21

© Jorge Ramió Aguirre Madrid (España) 2002
 2º principio de la seguridad informática

• “Los datos deben protegerse sólo hasta que

pierdan su valor”.
• Se habla, por tanto, de la caducidad del sistema de
protección: tiempo en el que debe mantenerse la
confidencialidad o secreto del dato.
• Esto nos llevará a la fortaleza del sistema de cifra.
PREGUNTA:
¿Cuánto tiempo deberá
protegerse un dato?
Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 22
© Jorge Ramió Aguirre Madrid (España) 2002
 3er principio de la seguridad informática

• “Las medidas de control se implementan para ser

utilizadas de forma efectiva. Deben ser eficientes,
fáciles de usar y apropiadas al medio”.
– Que funcionen en el momento oportuno.
– Que lo hagan optimizando los recursos del sistema.
– Que pasen desapercibidas para el usuario.
• Ningún sistema de control resulta efectivo hasta
que es utilizado al surgir la necesidad de aplicarlo.

Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 23

© Jorge Ramió Aguirre Madrid (España) 2002
 Elementos de la seguridad informática (1)

• Confidencialidad
– Los componentes del sistema son accesibles sólo por
los usuarios autorizados.
• Integridad
– Los componentes del sistema sólo pueden ser creados
y modificados por los usuarios autorizados.
• Disponibilidad
– Los usuarios deben tener disponibles todos los
componentes del sistema cuando así lo deseen.

Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 24

© Jorge Ramió Aguirre Madrid (España) 2002
 Elementos de la seguridad informática (2)

• No Repudio
– Este término se ha introducido en los últimos años
como una característica más de los elementos que
conforman la seguridad en un sistema informático.
– Está asociado a la aceptación de un protocolo de
comunicación entre emisor y receptor (cliente y
servidor) normalmente a través del intercambio de
sendos certificados digitales.
– Se habla entonces de No Repudio de Origen y No
Repudio de Destino, forzando a que se cumplan todas
las operaciones por ambas partes en una comunicación.

Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 25

© Jorge Ramió Aguirre Madrid (España) 2002
 Datos seguros
Si se cumplen estos principios, diremos en general
que los datos están protegidos y seguros.

DATOS DATOS DATOS

Confidencialidad Integridad Disponibilidad

DATOS

Datos Seguros

Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 26

© Jorge Ramió Aguirre Madrid (España) 2002
 Sistema de cifra
Medio de
Transmisor Transmisión Receptor
M C C M
T MT R

Cifrador Mensaje cifrado Descifrador

Usurpación de identidad Interceptación del mensaje

por un intruso por un intruso

Sea cual sea el medio de transmisión (enlace, red telefónica,

red de datos, disco magnético, disco óptico, etc.) éste por
definición es INSEGURO.
Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 27
© Jorge Ramió Aguirre Madrid (España) 2002
 Esquema de un criptosistema
Texto Transmisor Receptor Texto
Base Texto cifrado Base
Cifrador Descifrador

Canal inseguro

Clave

Espacio de MENSAJES
Espacio de TEXTOS CIFRADOS
Espacio de CLAVES
Transformaciones de CIFRADO y DESCIFRADO

Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 28

© Jorge Ramió Aguirre Madrid (España) 2002
 Espacio de mensajes M

Hola amigos, este es un

texto en claro...
M = {m1, m2, ..., mn}
– Componentes de un mensaje inteligible (bits, bytes,
pixels, signos, caracteres, etc.) que provienen de un
alfabeto.
– El lenguaje tiene unas reglas sintácticas y semánticas.
– En algunos casos y para los sistemas de cifra clásicos
la longitud del alfabeto indicará el módulo en el cual
se trabaja. En los modernos, no guarda relación.
– Habrá mensajes con sentido y mensajes sin sentido.
Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 29
© Jorge Ramió Aguirre Madrid (España) 2002
 Espacio de textos cifrados C

VjbmljYSBkZSBNYWRyaW
QgQ0ExLTArBgN... C = {c1, c2, ..., cn}
– Normalmente el alfabeto es el mismo que el utilizado
para crear el mensaje en claro.
– Supondremos que el espacio de los textos cifrados C y
el espacio de los mensaje M (con y sin sentido) tienen
igual magnitud.
– En este caso, a diferencia del espacio de mensajes M,
serán válidos todo tipo de criptogramas.

Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 30

© Jorge Ramió Aguirre Madrid (España) 2002
 Espacio de claves K

K = {k1, k2, ..., kn}

– Si el espacio de claves K es tan grande como el de los
mensajes M, se obtendrá un criptosistema con secreto
perfecto.
– Se supone que es un conjunto altamente aleatorio de
caracteres, palabras, bits, bytes, etc., en función del
sistema de cifra. Al menos una de las claves en un
criptosistema se guardará en secreto.

Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 31

© Jorge Ramió Aguirre Madrid (España) 2002
 Transformaciones de cifrado Ek

Ek: M  C kK

– Ek es una aplicación con una clave k, que está en el

espacio de claves K, sobre el mensaje M y que lo
transforma en el criptograma C.
– Es el algoritmo de cifra. Sólo en algunos sistemas
clásicos el algoritmo es secreto. Por lo general será de
dominio público y su código fuente estará disponible
en Internet.

Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 32

© Jorge Ramió Aguirre Madrid (España) 2002
 Transformaciones de descifrado Dk

Dk: C  M kK

– Dk es una aplicación con una clave k, que está en el

espacio de claves K, sobre el criptograma C y que lo
transforma en el texto en claro M.
– Se usa el concepto de inverso. Dk será la operación
inversa de Ek o bien -que es lo más común- se usa la
misma transformación Ek para descifrar pero con una
clave k’ que es la inversa de k dentro de un cuerpo.

Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 33

© Jorge Ramió Aguirre Madrid (España) 2002
 Requisitos de un criptosistema

– Algoritmo de cifrado/descifrado rápido y fiable.

– Posibilidad de transmitir ficheros por una línea de
datos, almacenarlos o transferirlos.
– No debe existir retardo debido al cifrado o descifrado.
– La seguridad del sistema deberá residir solamente en
el secreto de una clave y no de las funciones de cifra.
– La fortaleza del sistema se entenderá como la
imposibilidad computacional de romper la cifra o
encontrar la clave secreta.

Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 34

© Jorge Ramió Aguirre Madrid (España) 2002
 Clasificación de los criptosistemas
• Sistemas de cifra: clásicos
v/s modernos
– Clasificación histórica y
cultural.
• Sistemas de cifra: en bloque
v/s en flujo
– Clasificación de acuerdo a
cómo se produce la cifra.
• Sistemas de clave: secreta v/s pública
– Clasificación de acuerdo a la cifra usando una única
clave secreta o bien sistemas con dos claves, una de
ellas pública y la otra privada.
Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 35
© Jorge Ramió Aguirre Madrid (España) 2002
 Fortaleza: tipos de ataques

Conociendo el algoritmo de cifra, el criptoanalista

intentará romper la cifra:
1. Contando únicamente con el criptograma.
2. Contando con texto en claro conocido.
3. Eligiendo un texto en claro. Mayor trabajo
4. A partir de texto cifrado elegido.
ATAQUE POR FUERZA BRUTA
5. Buscando combinaciones de claves.

Curso de Seguridad Informática. Tema 1: Conceptos Básicos de Seguridad Informática. 36

© Jorge Ramió Aguirre Madrid (España) 2002
 Teoría de la Información

• El estudio hecho por Claude Shannon en años

posteriores a la 2ª Guerra Mundial ha permitido:
– Cuantificar la cantidad de información.
– Medir la entropía y la entropía condicional.
– Definir un sistema con secreto perfecto.
– Calcular la redundancia y ratio del lenguaje.
– Encontrar la distancia de unicidad.
No obstante, todo está orientado hacia el estudio
de los criptosistemas clásicos que cifran letras.
Curso de Seguridad Informática. Tema 2: Calidad de Información y Virus. 37
© Jorge Ramió Aguirre Madrid (España) 2002
 La información en la empresa
• Se entenderá como:
– Todo el conjunto de datos.
– Todos los mensajes intercambiados.
– Todo el historial de clientes y proveedores.
– Todo el historial de productos, ... etc.
– En definitiva, el know-how de la organización.

• Si esta información se pierde o deteriora, le será

muy difícil a la empresa recuperarse y seguir
siendo competitiva  políticas de seguridad.

Curso de Seguridad Informática. Tema 2: Calidad de Información y Virus. 38

© Jorge Ramió Aguirre Madrid (España) 2002
 Importancia de la información
• El éxito de una empresa dependerá de la calidad
de la información que genera y gestiona.
• Diremos entonces que una empresa tiene una
información de calidad si ésta presenta, entre
otras características: confidencialidad, integridad
y disponibilidad.
• La implantación de unas medidas de seguridad
informática en la empresa comienza a tener un
peso específico en este sector sólo a finales de la
década pasada.

Curso de Seguridad Informática. Tema 2: Calidad de Información y Virus. 39

© Jorge Ramió Aguirre Madrid (España) 2002
 Vulnerabilidad de la información
• La información (datos) se verá afectada
por muchos factores, incidiendo
básicamente en los aspectos de
confidencialidad, integridad y
disponibilidad de la misma.

• Desde el punto de vista de la empresa,

uno de los problema más importantes
puede ser el que está relacionado con el
delito o crimen informático, por
factores externos e internos. descontento

Curso de Seguridad Informática. Tema 2: Calidad de Información y Virus. 40

© Jorge Ramió Aguirre Madrid (España) 2002
 Disminuir las vulnerabilidades

Esto se verá agravado por otros temas,

entre ellos los aspectos legales y las
características de los nuevos entornos de
trabajo de la empresa del siglo XXI.

Solución Política 1
Política 2
La solución es Política 3
sencilla: aplicar Política 4
... sólo ahora el
técnicas y políticas tema comienza a
de seguridad... tomarse en serio.

Curso de Seguridad Informática. Tema 2: Calidad de Información y Virus. 41

© Jorge Ramió Aguirre Madrid (España) 2002
 Acciones contra los datos

• Una persona no autorizada podría:

– Clasificar y desclasificar los datos.
– Filtrar información.
– Alterar la información. Deberemos
proteger
– Borrar la información. nuestros datos
– Usurpar datos.
– Hojear información clasificada.
– Deducir datos confidenciales.
Curso de Seguridad Informática. Tema 2: Calidad de Información y Virus. 42
© Jorge Ramió Aguirre Madrid (España) 2002
 Protección de los datos
• La medida más eficiente para la protección de los datos es
determinar una buena política de copias de seguridad o
backups:
– Copia de seguridad completa
• Todos los datos (la primera vez).
– Copias de seguridad incrementales
• Sólo se copian los ficheros creados o modificados desde el
último backup.
– Elaboración de un plan de backup en función del
volumen de información generada
• Tipo de copias, ciclo de esta operación, etiquetado correcto.
• Diarias, semanales, mensuales: creación de tablas.

Curso de Seguridad Informática. Tema 2: Calidad de Información y Virus. 43

© Jorge Ramió Aguirre Madrid (España) 2002
 Hackers y crakers
Algunas definiciones
• Hacker:
– Definición inicial de los ingenieros del MIT que hacían alardes de sus conocimientos en informática.

– Pirata Informático.

• Cracker:
– Persona que intenta de forma ilegal romper la seguridad de un sistema por diversión o interés.

No existe uniformidad de criterios...

Curso de Seguridad Informática. Tema 2: Calidad de Información y Virus. 44

© Jorge Ramió Aguirre Madrid (España) 2002
 ¿Dónde está el enemigo?
Las empresas relacionadas con las Nuevas Tecnologías
de la Información NTIs hacen uso de varias técnicas y
herramientas de redes para el intercambio de datos:

• Transferencia de ficheros (ftp)

• Transferencia de datos e información a través de
Internet (http)
• Conexiones remotas a máquinas y servidores
(telnet)

Todo esto presentará graves riesgos de ataques de

hackers y otros delincuentes informáticos, pero ...
Curso de Seguridad Informática. Tema 2: Calidad de Información y Virus. 45
© Jorge Ramió Aguirre Madrid (España) 2002
 ¿El enemigo en casa?
Por muy organizados que puedan estar
estos grupos de vándalos, hay que ponerse
en el lugar que nos corresponde y no caer
en la paranoia. Y además debemos pensar
que el peor enemigo bien puede estar
dentro de casa...
La solución sigue siendo la misma: la
puesta en marcha de una adecuada
política de seguridad en la empresa.

Curso de Seguridad Informática. Tema 2: Calidad de Información y Virus. 46

© Jorge Ramió Aguirre Madrid (España) 2002
 Delitos informáticos
Son acciones que vulneran la confidencialidad,
integridad y disponibilidad de la información.
– Ataques a un sistema informático: Veamos algunos

 Fraude  Malversación  Robo

 Sabotaje  Espionaje  Chantaje

 Revelación  Mascarada  Virus

 Gusanos  Caballos de Troya ... etc.

Curso de Seguridad Informática. Tema 2: Calidad de Información y Virus. 47

© Jorge Ramió Aguirre Madrid (España) 2002
 Algunos delitos informáticos (1)

Fraude
Acto deliberado de manipulación de datos perjudicando a una persona física o jurídica que sufre de esta forma
una pérdida económica. El autor del delito logra de esta forma un beneficio normalmente económico.

Sabotaje
Acción con la que se desea perjudicar a una empresa entorpeciendo deliberadamente su marcha, averiando sus
equipos, herramientas, programas, etc. El autor no logra normalmente con ello beneficios económicos pero
pone en jaque mate a la organización.

Curso de Seguridad Informática. Tema 2: Calidad de Información y Virus. 48

© Jorge Ramió Aguirre Madrid (España) 2002
 Algunos delitos informáticos (2)

Chantaje
Acción que consiste en exigir una cantidad de dinero a cambio de no dar a conocer información privilegiada o
confidencial y que puede afectar gravemente a la empresa, por lo general a su imagen corporativa.

Mascarada
Utilización de una clave por una persona no autorizada y que accede al sistema suplantando una identidad. De
esta forma el intruso se hace dueño de la información, documentación y datos de otros usuarios con los que
puede, por ejemplo, chantajear a la organización.

Curso de Seguridad Informática. Tema 2: Calidad de Información y Virus. 49

© Jorge Ramió Aguirre Madrid (España) 2002
 Algunos delitos informáticos (3)

Virus
Código diseñado para introducirse en un programa, modificar o destruir datos. Se copia automáticamente a
otros programas para seguir su ciclo de vida. Es común que se expanda a través de plantillas, las macros de
aplicaciones y archivos ejecutables.

Gusanos
Virus que se activa y transmite a través de la red. Tiene como finalidad su multiplicación hasta agotar el espacio
en disco o RAM. Suele ser uno de los ataques más dañinos porque normalmente produce un colapso en la red
(p.e. el gusano de Internet de Robert Morris Jr.).

Curso de Seguridad Informática. Tema 2: Calidad de Información y Virus. 50

© Jorge Ramió Aguirre Madrid (España) 2002
 Algunos delitos informáticos (4)

Caballos de Troya
Virus que entra al ordenador y posteriormente actúa de forma similar a este hecho de la mitología griega. Así,
parece ser una cosa o programa inofensivo cuando en realidad está haciendo otra y expandiéndose. Ejemplo: el
huevo de Pascua de Windows 95.

Y hay muchos más delitos. Incluso aparecerán nuevos delitos y ataques a los sistemas informáticos y redes que a fecha de
hoy no sabemos cómo serán ni qué vulnerabilidad atacarán... Este enfrentamiento entre el “bien” y el “mal” es inevitable en
un sistema abierto ... y las comunicaciones hoy son así.

Curso de Seguridad Informática. Tema 2: Calidad de Información y Virus. 51

© Jorge Ramió Aguirre Madrid (España) 2002
 Historia y tipos de virus
• Primer ejemplo: John von Neuman (1949)
• Primer virus: M. Gouglas de Bell Laboratories
crea el Core War en 1960.
• Primeros ataques a PCs entre 1985 y 1987:
– Virus Jerusalem y Brain.

• Inofensivos (pelota, letras, etc.)

– Sólo molestan y entorpecen el trabajo pero no destruyen información. Pueden residir en el PC.

• Malignos (Viernes 13, Melissa, Navidad, etc.)

– Destruyen los datos y afectan a la integridad y la disponibilidad del sistema. Hay que eliminarnos.

Curso de Seguridad Informática. Tema 2: Calidad de Información y Virus. 52

© Jorge Ramió Aguirre Madrid (España) 2002
 Transmisión de un virus
• Se transmisten sólo mediante la ejecución de un
programa. Esto es muy importante recordarlo.
• El correo electrónico por definición no puede
contener virus al ser sólo texto. No obstante, sí
puede contener archivos añadidos que se ejecuten
en el cliente de correo del usuario y éstos pueden
tener incluido un virus. ¡Ahí está el peligro!
• El entorno web es mucho más peligroso. Un
hiperenlace puede lanzar un programa en Java u
otro que se ejecute en el disco duro del cliente.
Curso de Seguridad Informática. Tema 2: Calidad de Información y Virus. 53
© Jorge Ramió Aguirre Madrid (España) 2002
 Tipos de ataque de un virus

• Aquellos que infectan a programas .EXE, .COM y

.SYS por ejemplo.
– Residen en memoria al ejecutarse el huésped y de
ahí se propagan a otros archivos.
• Aquellos que infectan el sistema y el sector de
arranque y tablas de entrada (áreas determinadas
del disco).
– Se instalan directamente allí y por lo tanto residen
en memoria.

Curso de Seguridad Informática. Tema 2: Calidad de Información y Virus. 54

© Jorge Ramió Aguirre Madrid (España) 2002
 Algunas medidas básicas de prevención
• Escanear de vez en cuando el disco duro (por
ejemplo una vez al mes) y siempre los discos o
unidades de memoria usb
• Usar software con licencia.
• Controlar el acceso de extraños al disco duro.
• Instalar un antivirus.
– Dejarlo en modo residente y actualizar la versión al menos una vez al mes a través de Internet.

Curso de Seguridad Informática. Tema 2: Calidad de Información y Virus. 55

© Jorge Ramió Aguirre Madrid (España) 2002
 ¿Qué hacer en caso de estar infectado?
• Detener las conexiones remotas.
• No mover el ratón ni activar el teclado.
• Apagar el sistema.
• Arrancar con un arranque o emergencia limpio y
ejecutar un programa antivirus.
• Hacer copia de seguridad de ficheros del sistema.
• Formatear el disco duro a bajo nivel si no queda otra
solución .
• Instalar nuevamente el sistema operativo y restaurar
las copias de seguridad. Fin del Tema 2

Curso de Seguridad Informática. Tema 2: Calidad de Información y Virus. 56

© Jorge Ramió Aguirre Madrid (España) 2002
 Seguridad Física

Los datos deben protegerse aplicando:

• Seguridad Lógica
– Uso de herramientas de protección de la información
en el mismo medio en el que se genera o transmite.
• Seguridad Física
– Procedimientos de protección física del sistema
(incendios, agua, terremotos, etc.).
– Medidas de prevención de riesgos tanto físicos como
lógicos.

Curso de Seguridad Informática. Tema 3: Seguridad Física. 57

© Jorge Ramió Aguirre Madrid (España) 2002
 Seguridad Física en entornos de PCs
 Anclajes a mesas de trabajo. Temas a tener
 Cerraduras. en cuenta en un
entorno PC
 Tarjetas con alarma.
 Etiquetas con adhesivos especiales.
 Bloqueo de unidad lectora cd. Dvd usb.
 Protectores de teclado.
 Tarjeta de control de acceso al hardware.
 Suministro ininterrumpido de corriente.
 Toma de tierra.
 Eliminación de la estática... etc.
Curso de Seguridad Informática. Tema 3: Seguridad Física. 58
© Jorge Ramió Aguirre Madrid (España) 2002
 Análisis de riesgos

• Proceso de identificación y evaluación del riesgo

a sufrir un ataque y perder datos, tiempo y horas
de trabajo, comparándolo con el costo de la
prevención de esta pérdida.

• Su análisis no sólo lleva a establecer un nivel

adecuado de seguridad: permite conocer mejor el
sistema que vamos a proteger.

Curso de Seguridad Informática. Tema 3: Seguridad Física. 59

© Jorge Ramió Aguirre Madrid (España) 2002
 Información del análisis de riesgos (1)

• Información que se obtiene en un análisis

de riesgos:
– Determinación precisa de los recursos
sensibles de la organización.
– Identificación de las amenazas del sistema.
– Identificación de las vulnerabilidades
específicas del sistema.
– Identificación de posibles pérdidas.

Curso de Seguridad Informática. Tema 3: Seguridad Física. 60

© Jorge Ramió Aguirre Madrid (España) 2002
 Información del análisis de riesgos (2)

• Información que se obtiene en un análisis

de riesgos (continuación):
– Identificación de la probabilidad de
ocurrencia de una pérdida.
– Derivación de contramedidas efectivas.
– Identificación de herramientas de seguridad.
– Implementación de un sistema de seguridad
eficiente en costes y tiempo.

Curso de Seguridad Informática. Tema 3: Seguridad Física. 61

© Jorge Ramió Aguirre Madrid (España) 2002
 Conceptos teóricos de análisis de riesgos
¿BPL?

– B: Peso o carga que significa la prevención

de una pérdida específica.
– P: Probabilidad de ocurrencia de una pérdida
específica.
– L: Impacto total de una pérdida específica.

Curso de Seguridad Informática. Tema 3: Seguridad Física. 62

© Jorge Ramió Aguirre Madrid (España) 2002
 ¿Cuándo y cuánto invertir en seguridad?

Si BPL
Hay que implementar una medida de
prevención.

Si BPL
No es necesaria una medida de prevención.

Curso de Seguridad Informática. Tema 3: Seguridad Física. 63

© Jorge Ramió Aguirre Madrid (España) 2002
 Efectividad del coste

• El control ha de tener menos coste que el valor de

las pérdidas debido al impacto de ésta si se
produce el riesgo temido.

• Ley básica: el costo del control ha de ser menor

que el activo que protege.

Curso de Seguridad Informática. Tema 3: Seguridad Física. 64

© Jorge Ramió Aguirre Madrid (España) 2002
 El factor L en la ecuación de riesgo (1)

Factor L
• El factor de impacto total L es difícil de evaluar.
Incluye daños a la información, equipos,
pérdidas por reparación, por levantar el sistema y
pérdidas por horas de trabajo.
• Hay una parte subjetiva.
• La pérdida de datos puede llevar a una pérdida
de oportunidades. Efecto cascada.

Curso de Seguridad Informática. Tema 3: Seguridad Física. 65

© Jorge Ramió Aguirre Madrid (España) 2002
 El factor L en la ecuación de riesgo (2)

Recomendación:
• En la organización debe existir una comisión
especializada interna o externa que sea capaz de
evaluar todas las posibles pérdidas y
cuantificarlas.

Curso de Seguridad Informática. Tema 3: Seguridad Física. 66

© Jorge Ramió Aguirre Madrid (España) 2002
 El factor P en la ecuación de riesgo

Factor P
• El factor P está relacionado con la determinación
de impacto total L. Depende del entorno en el
que esté la posible pérdida. La probabilidad
puede asociarse a una tendencia o frecuencia
conocida.
– Conocido P para un L dado, se obtiene la
probabilidad de pérdida relativa de la ocurrencia PL
que se comparará con B, el peso que supone
implantar la medida de prevención respectiva.

Curso de Seguridad Informática. Tema 3: Seguridad Física. 67

© Jorge Ramió Aguirre Madrid (España) 2002
 El factor B en la ecuación de riesgo (1)

Factor B
• Indica qué se requiere para prevenir una pérdida.

– Ejemplo: el peso o carga de prevención para que un

vehículo vaya sin gasolina es el costo de echarle
gasolina. El peso incluye los valores de tiempo y
costo: ir a la gasolinera, esperar a que esté libre un
surtidor, poner gasolina y pagar.

Curso de Seguridad Informática. Tema 3: Seguridad Física. 68

© Jorge Ramió Aguirre Madrid (España) 2002
 El factor B en la ecuación de riesgo (2)

Factor B
• ¿Cuánta protección es necesaria?
– ¿Cuánta gasolina debemos echar en el depósito?
Depende de hasta dónde queramos desplazarnos con
el coche.

• ¿De qué forma nos protegeremos?

– Una casa puede protegerse con puertas, cerraduras,
barras en ventanas, sistemas de alarmas, etc.

Curso de Seguridad Informática. Tema 3: Seguridad Física. 69

© Jorge Ramió Aguirre Madrid (España) 2002
 Pasos en un análisis de riesgos

1. Identificación de posibles pérdidas (L)

3. Identificar posibles acciones y sus
implicaciones. (B)
Seleccionar acciones a implementar.
Identificar amenazas

2. Determinar susceptibilidad.
Posibilidad de pérdida (P)

Curso de Seguridad Informática. Tema 3: Seguridad Física. 70

© Jorge Ramió Aguirre Madrid (España) 2002
 Ejemplo de análisis de riesgo

• Con valores ficticios, se trata de encontrar

a cuánto puede ascender nuestro
presupuesto en materia de seguridad (B) si
conocemos el impacto económico (L) que
eso supone y hemos especificado un factor
de probabilidad (P) de que esta catástrofe
ocurra.
Si B  P  L instalamos las medidas.

Curso de Seguridad Informática. Tema 3: Seguridad Física. 71

© Jorge Ramió Aguirre Madrid (España) 2002
 Políticas de seguridad

• Políticas administrativas
– Procedimientos administrativos.
• Políticas de control de acceso
– Privilegios de acceso del usuario o programa.
• Políticas de flujo de información
– Normas bajo la cuales se comunican los
sujetos dentro del sistema.

Curso de Seguridad Informática. Tema 3: Seguridad Física. 72

© Jorge Ramió Aguirre Madrid (España) 2002
 Políticas administrativas

• Políticas administrativas

– Se establecen aquellos procedimientos de

carácter administrativo en la organización
como por ejemplo en el desarrollo de
programas: modularidad en aplicaciones,
revisión sistemática, etc.

Curso de Seguridad Informática. Tema 3: Seguridad Física. 73

© Jorge Ramió Aguirre Madrid (España) 2002
 Control de accesos

• Políticas de control de acceso

– Política de menor privilegio

• Acceso estricto a objetos determinados

– Política de compartición
• Acceso de máximo privilegio

– Granularidad
• Número de objetos accesibles (gruesa y fina)

Curso de Seguridad Informática. Tema 3: Seguridad Física. 74

© Jorge Ramió Aguirre Madrid (España) 2002
 Control de flujo

• Políticas de control de flujo

– La información a la que se accede se envía
por
• ¿Canales lícitos o canales ocultos?

– ¿Qué es lo que hay que potenciar?

• ¿La confidencialidad?
• ¿La integridad?
• ¿La disponibilidad?
• Según organización  diferencias

Curso de Seguridad Informática. Tema 3: Seguridad Física. 75

© Jorge Ramió Aguirre Madrid (España) 2002
 Modelos de seguridad (1)

• Modelo de Bell and LaPadula (BLP)

– Rígido. Confidencialidad y autoridad.
• Modelo de Taque-Grant (TG)
– Derechos especiales: tomar y otorgar.
• Modelo de Clark-Wilson (CW)
– Orientación comercial: integridad.

Curso de Seguridad Informática. Tema 3: Seguridad Física. 76

© Jorge Ramió Aguirre Madrid (España) 2002
 Modelos de seguridad (2)

• Modelo de Goguen-Meseguer (GM)

– No interferencia entre usuarios.
• Modelo de Matriz de Accesos
– Estados y transiciones entre estados
• Graham-Dennig (GD)
• Harrison-Ruzzo-Ullman (HRU)

Curso de Seguridad Informática. Tema 3: Seguridad Física. 77

© Jorge Ramió Aguirre Madrid (España) 2002
 Criterios de seguridad

• Criterio de evaluación TSEC

– Trusted Computer System Evaluation Criteria,
también conocido como Orange Book
• Criterio de evaluación ITSEC
– Information Technology Security Evaluation
Criteria
• Criterio de evaluación CC
– Common Criteria (los dos anteriores)
Curso de Seguridad Informática. Tema 3: Seguridad Física. 78
© Jorge Ramió Aguirre Madrid (España) 2002
 Modelo de Bell LaPadula BLP

• Escritura hacia abajo prohibida

• Lectura hacia arriba prohibida
• Principio de tranquilidad
No lectura hacia arriba Secreto máximo

(usuario dado de alta

con nivel secreto) Secreto

No escritura hacia abajo No clasificado

Curso de Seguridad Informática. Tema 3: Seguridad Física. 79

© Jorge Ramió Aguirre Madrid (España) 2002
 Modelo Take Grant (TG)

• Se describe mediante grafos orientados:

– el vértice es un objeto o sujeto.
– un arco es un derecho.

• Se ocupa sólo de aquellos derechos que

pueden ser transferidos.

Curso de Seguridad Informática. Tema 3: Seguridad Física. 80

© Jorge Ramió Aguirre Madrid (España) 2002
 Modelo Clark Wilson (CW)

• Basado en políticas de integridad

– Elementos de datos restringidos
• sobre éstos debe hacerse un chequeo de consistencia

– Elementos de datos no restringidos

– Procedimientos de transformación
• trata los dos elementos

– Procedimientos de verificación de integridad

Curso de Seguridad Informática. Tema 3: Seguridad Física. 81

© Jorge Ramió Aguirre Madrid (España) 2002
 Planes de contingencia

• ¿Qué es un Plan de Contingencia?

• ¿Por qué es necesario implementarlo?
• ¿Qué gana la empresa con este plan?
• Y si no lo tiene ¿a qué se expone?

Lo veremos a continuación

Curso de Seguridad Informática. Tema 3: Seguridad Física. 82

© Jorge Ramió Aguirre Madrid (España) 2002
 Definición de plan de contingencia

• Un Plan de Contingencia consiste en un

análisis pormenorizado de las áreas que
componen nuestra organización que nos
servirá para establecer una política de
recuperación ante un desastre.
– Es un conjunto de datos de la empresa que se
plasma en un documento con ese fin.

Curso de Seguridad Informática. Tema 3: Seguridad Física. 83

© Jorge Ramió Aguirre Madrid (España) 2002
 Desastres naturales y su prevención

• Desastres naturales • Medidas prevención

– Huracán – Emplazamientos
– Tormenta adecuados
– Inundación – Protección fachadas,
– Tornado ventanas, puertas
– Vendaval, etc
• Destruyen nuestro
sistema

Curso de Seguridad Informática. Tema 3: Seguridad Física. 84

© Jorge Ramió Aguirre Madrid (España) 2002
 Vandalismo informático y su prevención

• Terrorismo • Medidas de prevención

• Sabotaje – Fortificación entradas
– Guardia Jurado
• Robo – Patrullas
– Circuito cerrado TV
– Control de accesos

– Protección de software y
• Virus hardware con un
• Programas malignos antivirus.

Curso de Seguridad Informática. Tema 3: Seguridad Física. 85

© Jorge Ramió Aguirre Madrid (España) 2002
 Amenazas del agua y su prevención

• Inundaciones por • Medidas prevención

causas propias de la – Revisar conductos de
empresa agua
• Inundaciones por – Localizar la sala con
los equipos más caros
causas ajenas
en un sitio libre de
• Pequeños incidentes estos problemas
personales (botella de – Instalar sistemas de
agua, taza con café) drenaje emergencias

Curso de Seguridad Informática. Tema 3: Seguridad Física. 86

© Jorge Ramió Aguirre Madrid (España) 2002
 Amenazas del fuego y su prevención

• Debido a una mala • Medidas prevención

instalación eléctrica – Detector humo y calor
• Debido a descuidos – Materiales ignífugos
(fumar en la sala de – Almacén de papel
ordenadores) separado de máquinas
• Papeleras mal – Estado del falso suelo
ubicadas (se tira un – Extintores revisados
cigarrillo no apagado) • Es la amenaza más
• Problemas del humo temida por su rápido
poder destructor.

Curso de Seguridad Informática. Tema 3: Seguridad Física. 87

© Jorge Ramió Aguirre Madrid (España) 2002
 ¿Y si se produce una catástrofe?

• Las empresas dependen hoy en día de los

equipos informáticos y de los datos que hay
allí almacenados.
• Dependen también cada vez más de las
comunicaciones a través de redes de datos.
• Si falla el sistema informático y no puede
recuperarse, la empresa puede desaparecer.

Curso de Seguridad Informática. Tema 3: Seguridad Física. 88

© Jorge Ramió Aguirre Madrid (España) 2002
 Importancia de contar con un plan

• Además de seguridad, la empresa gana en

conocimiento real de sus fortalezas y
debilidades.

• Si no lo hace se expone a sufrir una pérdida

irreparable mucho más costosa que la
implantación de este plan.

Curso de Seguridad Informática. Tema 3: Seguridad Física. 89

© Jorge Ramió Aguirre Madrid (España) 2002
 Pérdidas por no contar con un plan

• Pérdida de clientes
• Pérdida de imagen
• Pérdida de ingresos por beneficios
• Pérdida de ingresos por ventas y cobros
• Pérdida de ingresos por producción
• Pérdida de competitividad
• Pérdida de credibilidad en el sector
Curso de Seguridad Informática. Tema 3: Seguridad Física. 90
© Jorge Ramió Aguirre Madrid (España) 2002
 Tiempo de recuperación ante desastres

• Período máximo de paro de una empresa

sin poner en peligro su supervivencia:
– Sector Seguros: 5,6 días
– Sector Fabricación: 4,9 días
– Sector Industrial: 4,8 días
– Sector Distribución: 3,3 días
– Sector Financiero: 2,0 días
Ref. Estudio de la Universidad de Minnesota

Curso de Seguridad Informática. Tema 3: Seguridad Física. 91

© Jorge Ramió Aguirre Madrid (España) 2002
 Implantación de medidas

• Plan de emergencia
– Vidas, heridos, activos, evacuación personal
– Inventariar recursos siniestrados
– Evaluar el coste de la inactividad

• Plan de recuperación
– Acciones tendentes a volver a la situación que
existía antes del desastre.
Curso de Seguridad Informática. Tema 3: Seguridad Física. 92
© Jorge Ramió Aguirre Madrid (España) 2002
 Plan de continuidad
• Instalaciones alternativas
– Oficina de servicios propia
– Acuerdo con empresa vendedora hardware
– Acuerdo recíproco entre dos o más empresas
– Arranque en frío; sala vacía propia
– Arranque en caliente: centro equipado
– Sistema Up Start: caravana, unidad móvil
– Sistema Hot Start: centro gemelo
Fin del Tema 3

Curso de Seguridad Informática. Tema 3: Seguridad Física. 93

© Jorge Ramió Aguirre Madrid (España) 2002