leer versión resumida ...
Desde el punto de vista
profesional todos vemos la información como un activo muy valioso. Tanto si
somos empresarios, directivos, empleados, usuarios o miembros de una organización, manejamos información que es vital para desempeñar
eficientemente nuestra actividad. Es por tanto lógico que nos preocupemos de
salvaguardar dicha información, teniéndola a nuestro alcance siempre que la
necesitemos
Generalmente cuando hablamos de
Seguridad de la Información lo primero que se nos viene a la cabeza es que
nuestra información debe estar protegida contra miradas indiscretas. Sin
embargo la difusión de la información a personas no autorizadas causa generalmente pequeñas molestias o perjuicios, pero no es la principal preocupación de la mayoria de las organizaciones o afecta a lo sumo a unos pocos datos entre el total de información que ésta maneja. Sin embargo hay otros aspectos de la seguridad que
no son tan populares pero que, paradójicamente, son casi siempre mucho más
importantes. ¿Que ocurre cuando necesitamos alguna información y ésta no está
disponible o no es correcta? En estos casos el perjuicio es inmediato y puede ser
bastante grave.
Pues bien, todos estos aspectos
deben ser tenidos en cuenta cuando implantamos un Sistema de Gestión de la
Seguridad de la Información (SGSI), así como otros que se derivan de nuestras
obligaciones legales, léase LOPD, reglamentaciones y/o acuerdos con clientes,
organismos, comunidades, etc. En términos de seguridad estos aspectos se
definen como confidencialidad, disponibilidad e integridad, y vistos en
conjunto hacen que no sea necesario que trabajemos para una agencia de
inteligencia nacional para que la Seguridad de la Información deba
preocuparnos.
Una de las primeras preguntas que
nos viene a la mente al hablar de seguridad es: ¿Cuáles son los riesgos que me
acechan? Y seguramente, a continuación, pensemos: ¿Y que posibilidades hay de
que esto me ocurra a mi? En lo referente a la información tenemos muchos tipos
de riesgos y aunque no todos los negocios o empresas deben preocuparse por
todos ellos por igual, es cierto que la mayor parte de las veces, el mayor de
los riesgos (o al menos el más probable, aunque no siempre el más desastroso)
nos viene a través de Internet ya sea por falta de disponibilidad de un
servicio o por pérdida o substracción de nuestros datos.
Y bien, ¿Cuáles son los riesgos
que nos acechan?
Aclaremos primero que los riesgos
no siempre son ataques. Muchas veces los principales problemas vienen de
dentro, los datos no están disponibles o son erróneos porque nuestro sistema no
es perfecto. Alguien puede borrar los datos de forma fortuita o hacer una
modificación que no debería hacer o podemos tener problemas con un servicio en
Internet por que el ancho de banda contratado es insuficiente, etc, etc, etc.
Sin embargo aquí nos centraremos en los ataques y no en los problemas que se
derivan de un sistema mal planificado. Así, si agrupamos los tipos de amenazas,
todos estaremos de acuerdo es diferenciar dos grandes grupos: ataques físicos y
ataques lógicos.
Amenazas físicas:
En este grupo incluiríamos todas aquellas
amenazas que no están basadas en aplicaciones o servicios informáticos. Pueden
tener naturaleza muy distinta, desde desastres naturales, hasta robos (no
ciber-robos) pasando por terrorismo o vandalismo. Este tipo de amenazas puede
tener consecuencias nefastas en muchos casos lo que nos obliga a tomar medidas
preventivas, sin embargo en la mayoría de las ocasiones la probabilidad de que
ocurran es baja. También suele ocurrir que otras medidas preventivas que hemos
tomado para salvaguardar la seguridad de las personas, los edificios, etc sean
suficientes para dar un nivel aceptable de seguridad en cuanto a la información
nos referimos.
En todo caso debemos analizar que
amenazas nos afectan, que nivel de riesgo tenemos y si es necesario que tomemos
nuevas medidas preventivas.
Las principales amenazas físicas son:
- incendios:
Acostumbra a ser una amenaza real en todas las empresas y potencialmente
muy grave pues puede destruir fácilmente nuestros archivos de datos. Además
podemos caer en la tentación de pensar que las medidas que hemos instalado para
preservar la seguridad de las personas son suficientes para que nuestros datos
estén seguros … ERROR!!! En muchas ocasiones los sistemas anti-incendios son
veneno puro para nuestros equipos informáticos y si el fuego no acaba con ellos
lo hará el agua que usamos para apagar el fuego. El problema está en que muchas
veces la alternativa al agua que mata
el fuego y no mata a nuestros
queridos PCs nos mata a nosotros, por
eso parece conveniente buscar un sistema que sea lo bastante bueno para ambos,
nosotros y nuestros datos.
Debemos siempre plantearnos si existen elementos que pueden hacer que
nuestra empresa sea más vulnerable al riesgo de incendios: uso de materiales y
productos inflamables, gestión inadecuada del almacén, instalaciones eléctricas
obsoletas o deterioradas, etc.
Existe un área que nos debe preocupar especialmente: el CPD ó Centro de
Proceso de Datos, allí donde instalamos los servidores que nos permiten
gestionar nuestro negocio (servidores de red, servidores de almacenamiento de
datos, servidores de aplicaciones, etc). En el CPD, por ejemplo, los materiales
estructurales y el mobiliario deben ser no inflamables, tampoco deben
almacenarse en él productos peligrosos, ni estar el CPD ubicado en zonas de
influencias de almacenes o líneas de producción potencialmente peligrosas. Se
debe restringir el acceso de personal no autorizado y tomar una serie de
medidas de prevención: detección de humos y temperatura (T<= 18ºC, HR <= 65%), medias
anti-incendios adecuadas al tipo de riesgo y equipos, paredes-suelo-techo de
materiales especiales no inflamables e impermeables, planes de actuación y
notificación.
- inundaciones:
Es un factor de riesgo real para los CPDs, aunque lógicamente depende
mucho de la ubicación de la empresa en general y de su CPD en particular. Se
puede dar por causas naturales ó por la acción del hombre como el almacenaje
inadecuado de productos líquidos, actuaciones contra el fuego en el propio CPD
o en zonas adyacentes o superiores. Para reducir estos aspectos es conveniente
seguir las recomendaciones que se hacían para reducir el riesgo o consecuencias
del fuego, como restringir accesos, no almacenar productos potencialmente
peligrosos o usar materiales estructurales impermeables.
- condiciones ambientales extremas y otros desastres:
Nos referimos a las tormentas, tempestades, tifones, terremotos, etc. Es
importante seleccionar una ubicación y unas especificaciones técnicas de
construcción adecuadas a la zona y al riesgo que estemos dispuestos a asumir.
Es también importante estar al tanto de las previsiones de las autoridades y
las organizaciones de prevención de desastres sísmicos y climatológicos.
- señales radioeléctricas:
El riesgo de interferencia en nuestros equipos de proceso y comunicación
es muy improbable, por lo que en la mayoría de los casos el nivel de riesgo es
asumible.
- fallos en la alimentación eléctrica:
Una fuente de electricidad segura y fiable es fundamental para nuestros
datos por lo que si no hacemos (o nos hacen) un análisis adecuado y profesional
de la instalación eléctrica podemos tener sorpresas muy desagradables. Una
instalación adecuada depende tanto del tipo de cableado (de pares, coaxial,
fibra óptica) como de su diseño (ubicación, redundancia, protección,
señalización, apantallamiento, etc): reducir el riesgo de picos y el nivel de
ruido (con ellos el proceso de datos puede ser erróneo, lento y susceptible de
ser interceptado), reducir interferencias electromagnéticas e interceptaciones,
reducir cortes y daños en la protección o el propio cable.
Amenazas lógicas:
Son ataques lógicos aquellos que
se llevan a cabo a través de código informático. Programas ó similares que se
han creado para robar, atacar o aislar a nuestros datos ó programas que se usan
de manera inadecuada con tales fines.
Cuando hablamos de ataques
lógicos debemos hacer el esfuerzo de distinguir entre el agente que realiza el
ataque (virus, gusano, …), el ataque en si mismo (ataque de día cero, man in
the middle, …) y el daño que busca producir en la confidencialidad, disponibilidad o integridad de
nuestra información (destrucción de nuestros datos, envío de información falsa,
…).
Los problemas que los ataques pueden
producirnos son entre otros:
- envío de información falsa: dar información
falsa suplantando la identidad de un miembro o aplicación autorizada de la
organización, se puede dar mediante mensajes de correo electrónico, descargas y
otros servicios en Internet en los cuales los interlocutores se intercambian
información.
- realizar operaciones en nombre de la organización:
también mediante suplantación de identidad realizar acciones como por ejemplo
una transferencia bancaria o un pedido o cualquier otra cosa que pueda
beneficiar al atacante y/o perjudicarnos a nosotros.
- denegación de servicio (DoS – denial of service).
Consiste en saturar un servicio para que no sea capaz de ser prestado. Una
avalancha de peticiones de servicio produce su inutilización, como ocurre con
las llamadas de móvil en nochevieja. Se basa en la premisa que es más fácil
saturar un sistema que acceder a él. Algunos de los objetivos que se persiguen
son:
o
molestar, crear alarma social, perjudicar al
prestador del servicio.
o
obligarle a reiniciar el sistema para activar un
troyano previamente colocado
o
encubrir acciones del intruso y/o entretener a la víctima
- manipulación de los datos del propio sistema:
acceso a información reservada, modificación o destrucción de la información o
las aplicaciones. Se conoce como tampering
o data diddling y puede ser encubierto para que el ataque pase inadvertido y
multiplicar sus efectos ó buscar efectos destructivos inmediatos como la
destrucción del sistema o su paro hasta que los datos o las aplicaciones
afectadas sean revisadas y/o restauradas.
- borrado de huellas: este efecto normalmente se
combina con otros como por ejemplo la manipulación de los datos y se usa para
enmascarar tanto la acción como la autoría de la acción, modificando los logs
que permiten conocer que y quién ha hecho determinadas cosas en el sistema ó
escondiendo un proceso fraudulento que se encuentra en ejecución.
Los agentes que producen estos ataques
se diferencia entre si según como actúan y según como se diseminan. Los agentes
pueden realizar ataques de diferentes tipos o varios agentes pueden combinarse
para realizar un ataque. A continuación listamos alguno de los principales:
- virus: un virus es un programa que se introduce
en nuestro sistema con el fin de dañar la información contenida en él. Al ser cronológicamente
una de las primeras amenazas conocidas el término virus se usa en ocasiones
para hacer referencia a todo tipo de ataques ocasionados por código malicioso, sin
embargo el uso del término virus de forma genérica no es correcto y debería
substituirse por el término malware. Los virus entran en el sistema al ser
copiados desde un dispositivo de almacenamiento externo (CDs, DVDs, pen-drives,
etc) ó a través de una red (intranets o Internet), por ejemplo cuando se copian
los ficheros adjuntos a un correo electrónico desde el servidor a nuestro
ordenador o cuando copiamos un fichero desde nuestro ordenador al servidor de
ficheros. El virus inicialmente solo está latente, siendo inocuo hasta que el
usuario ejecuta un fichero infectado, momento en el cual se copia en nuevos
ficheros para diseminarse y se ejecuta para producir los efectos para los que
fue creado. Los ficheros susceptibles de resultar infectados son los ejecutables,
ya sean ejecutables a través del propio sistema operativo, .exe ó .bat por
ejemplo, ó desde alguna aplicación como las macros de Word. Hay muchos tipos de
virus según su objetivo y las técnicas que usan para conseguirlo por lo que no
nos detendremos más en este asunto. El virus poco a poco está dejando paso a
otro tipo de amenazas por diferentes causas, principalmente por que son menos
dañinos que otros tipos de malware y porque la generalización de anti-virus
hace a los sistemas cada vez menos vulnerables.
- gusanos: las características de los gusanos son
muy parecidas a los virus pero a diferencia de estos pueden difuminarse por una
red interna o por Internet sin necesidad de que alguien los copie adjuntos a un
fichero infectado. Los medios que usualmente usan para diseminarse son el envío
de correos a los contactos de la libreta de direcciones o la explotación de las
vulnerabilidades de una red interna. La mayor capacidad de infección de los
gusanos los hacen más atractivos para los atacantes, ejerciendo en muchas
ocasiones de simples transportistas
de la amenaza real.
- troyanos: es un término genérico que se refiere
a algún fichero que tenemos en nuestro sistema y que ha camuflado su
funcionalidad real. Se distinguen diversos tipos:
o descargador: se encarga de descargar
otras amenazas desde páginas de Internet a nuestro ordenador.
o lanzador: su misión es lanzar otras
amenazas existentes en el sistema.
o puerta trasera: proporciona un acceso al
sistema a atacantes remotos.
o registrador de pulsaciones: registra las
teclas pulsadas y envía la información remotamente, normalmente para extraer
contraseñas.
o marcador: en desuso ya que los modems de
marcación son poco usados actualmente, en el pasado realizaban llamadas a
servicios de pago.
- rootkits: al instalarse en nuestro sistema
aprovechan sus vulnerabilidades para ocultarse (borrando logs ó ocultando
procesos en ejecución, por ejemplo) y abrir un canal de conexión que el
atacante aprovecha para tomar control de nuestro sistema.
- adware: son programas publicitarios que se
adhieren normalmente a programas útiles y que se descargan con el
consentimiento del usuario. Por ejemplo, una toolbar que se nos instala en el
navegador cuando descargamos una aplicación y no deseleccionamos la casilla
correspondiente en la que aceptamos su instalación. O una funcionalidad
publicitaria asociada a una aplicación de la cual se advierte en las
condiciones de uso. No son programas peligrosos, pero si generalmente molestos.
- spyware: se da cuando el adware realiza tareas
de espionaje, como por ejemplo informar a un tercero de los sitios que
visitamos en Internet o los contactos de nuestra libreta de direcciones.
- aplicaciones potencialmente peligrosas: son
aquellas aplicaciones que en si no son perjudiciales pero que usadas
fraudulentamente pueden servir para controlar nuestro sistema permitiendo la
apertura de puertos, operaciones remotas de control, encubrimiento de huellas,
utilización indiscriminada de los recursos del sistema, etc.
Por último veamos que tipo de
ataques puede producir el malware con el objeto de obtener información
confidencial, suplantar nuestra identidad, borrar nuestros datos o impedir que
usemos o demos un servicio determinado.
- flooding o hamming (DoS): consisten en saturar
el sistema, por ejemplo ocupando toda la memoria (lanzando múltiples y
repetidas peticiones de servicio y usando estrategias para obligar al prestador
del servicio a mantener abiertas las comunicaciones establecidas hasta saturar
la memoria o el canal, ej, ping de la muerte) u otros recursos del sistema
(avalancha de emails falsos).
o ataques
ICMP (DoS): Consiste en usar
las particularidades del protocolo ICMP (Internet Control Message Protocol)
para producir ataques DoS principalmente. Este protocolo es unidireccional sin
identificación para enviar mensajes de error desde los equipos de una red, por
lo que es ideal para producir saturación en la misma.
- connection flood (DoS): no se satura el servicio
en si pero si el canal de comunicación. Si el servicio admite N conexiones
simultáneas, el ataque por DoS consistirá en acaparar el mayor número de ellas
hasta bloquear o, al menos, ralentizar el servicio prestado.
- scanning o búsqueda de puertos: consiste en
enviar paquetes a los posibles puertos de un equipo y ver cuales aceptan
peticiones y de que tipo. El estudio de los mismos puede servir para detectar
vulnerabilidades e incluso tomar el control del sistema. Es recomendable
bloquear los puertos no usados y proteger aquellos que se usan para prestar
servicios al exterior.
- suplantación de identidad (spoofing): en
intercambios de información para poder usar privilegios de la misma o para
confundir al interlocutor, puede ser realizada por personas de la propia
organización para acceder a datos a los que no están autorizados o para
enmascarar las huellas de lo que han hecho, como también por personas o
sistemas externos a la propia organización. El spoofing es un término genérico
que se presenta de formas muy diversas y se usa para facilitar un ataque
posterior:
o robo de
contraseñas: la suplantación se consigue mediante el conocimiento ilícito de
la contraseña de un miembro o servicio de la organización. Este
robo se puede materializar de diversas maneras:
§ cesión:
un miembro de la organización informa de su contraseña personal. No es un robo
pero si un uso ilícito de la misma.
§ cartoneo ó
trashing: al igual que la anterior se basa en la negligencia de la propia
víctima, la cual anota su contraseña en notas que luego lanza a la papelera.
§ monitorización:
hacer seguimiento de la víctima para obtener sus datos de acceso al sistema:
· shoulder
surfing ó “espiar por encima del hombro” hasta obtener estos datos. Se
incluye otras formas de espionaje, como registrar documentos, teléfono,
ordenador, etc.
· señuelos,
son programas que imitan las pantallas de acceso al sistema con la única
intención de engañar a la victima y obtener su usuario y contraseña; otra forma
de señuelos serian los programas que guardan la secuencia de teclas pulsadas
para análisis posterior.
· sniffing y
snooping, interceptación del tráfico de red y descarga/acceso a documentos
(snooping) con el objeto de obtener los datos de acceso.
· looping, la
reiteración del snooping, el acceso a
un sistema nos puede dar acceso a otro y así sucesivamente hasta llegar al que
nos interesa, de este modo el rastrear el origen del ataque se hace muy
complicado.
§ ataques
por fuerza bruta: consiste en la verificación repetida y sistemática de
todas las combinaciones posibles de una clave hasta dar con la correcta.
o man in the
middle ó MitM: se espía una comunicación y se suplanta a una de las partes
para interceptar información confidencial o transmitir información falsa. Otra
versión consistiría en la interceptación de los mensajes y la alteración de los
mismos (ataques de replay). Una manera particular de MitM se conoce como
SMBrelay ya que incide sobre el protocolo SMB que se usa en Windows para
compartir ficheros en una red.
o secuestro
de TCP: Se realiza mediante la desincronización de TCP. Las comunicaciones
en Internet (por ejemplo la descarga de una página web) se basan en el
protocolo TCP que se utiliza para transportar las peticiones y las respuestas.
Cualquiera de estas comunicaciones se divide en paquetes que se envían por la
red y se reconstruyen en el destino. Si un atacante modifica las secuencias de
identificación de los paquetes producirá su rechazo de los mismos consiguiendo
la interrupción de la comunicación o incluso generando la oportunidad de
infiltrar paquetes falsos con la identificación correcta. Para evitarlo es
necesario autentificar los paquetes.
o envenenamiento
de DNS (Domain Name Server): Consiste falsear las DNS que procesa el pc de
la victima para que acceda a sitios web diferentes de los deseados, las
consecuencias pueden ser muy diversas: uso de señuelos, descarga de virus,
troyanos, etc. El sistema de la víctima se introduce en una cache que permite
al atacante alterar la correlación entre nombres e IPs.
- ataques de día cero. Consiste en aprovechar
vulnerabilidades de las aplicaciones y sistemas operativos para atacar o entrar
en el servidor de una organización o el pc de uno de sus miembros antes de que
la vulnerabilidad sea detectada y corregida con el parche correspondiente.
Entradas
