En este grupo En todos

Foro de Administración de redes



Tecnología informática, amenazas y vulnerabilidades

Alexey
Técnico de nivel medio en informática ...
Escrito por Alexey Cantero Bernal
el 01/11/2010

Tecnología informática, amenazas y vulnerabilidades

En sentido general podemos definir la tecnología informática como los medios técnicos de computación, comunicación y sus soportes de información, que pueden ser empleados para el procesamiento, intercambio, reproducción y conservación de la información. Y es esta tecnología conjuntamente con las aplicaciones, redes, sistemas automatizados de control de procesos y la información propiamente dicha en cualquiera de sus formas de representación, algunos de los elementos fundamentales que pudieran conformar lo que se conoce como sistema informático.

Dichos elementos, también llamados bienes informáticos, se pueden agrupar en seis grupos para su análisis. Ellos son:

1. Hardware:

• Módem de Comunicación WAN

• Ruteador de Comunicación WAN-LAN

• Servidor de Comunicación

• Servidores de Red

• Conmutador de Red Local

• Estaciones de Trabajo

• Fuentes de Respaldo

• Cableado de Red

• Línea de Comunicación

2. Software

• Sistemas Operativos

• Software de Comunicaciones

• Aplicaciones y Servicios

• Programas de Diagnósticos y otros

3. Datos

• Durante la ejecución

• Auxiliares (Back- up)

• Almacenados (en línea, fuera de línea)

• En tránsito sobre los medios de comunicación

4. Personal

• Usuarios, personas que operan los sistemas.

5- Documentación

• Hardware

• Sistemas

• Programas

• Procedimientos administrativos locales

6. Accesorios

• Papel

• Formulario

• Cintas

• Información grabada

Son precisamente estos elementos los blancos del accionar de los "tirosbyte", "bombas electrónicas" y todo tipo de "armamento informático" que utilizan los intrusos en un escenario de este tipo y que constituyen los bienes informáticos a proteger en nuestras instituciones ante las posibles amenazas.

Las amenazas informáticas no son más que situaciones o acontecimientos que pueden causar daños a los sistemas de este tipo. En forma de esquema pudiéramos representar la clasificación de las amenazas de la siguiente forma:
Los ataques o agresiones informáticas no son más que amenazas intencionales que logran materializarse. Las amenazas internas se manifiestan cuando usuarios autorizados de un sistema actúan de forma ilegítima (indebida). En su lugar, las amenazas externas se producen de manera remota con el uso de permisos habilitados para los usuarios autorizados. Veamos entonces cuáles son las amenazas más frecuentes que podríamos encontrar en nuestro "campo de batalla":

• Destrucción o modificación de la información

• Contaminación por virus informáticos

• Accesos no autorizados a intrusos

• Alteración de la configuración

• Modificación de los controles de seguridad

• Fallas de hardware

• Fallo de energía eléctrica

• Mala manipulación

• Traslado indebido

• Descargas eléctricas

• Interrupción de las líneas de comunicación

• Desperfecto del cableado de red

• Penetraciones del mar

• Fallo de software

• Hurto parcial o total

• Deterioro físico

Se conoce como vulnerabilidad de un sistema informático a cualquier debilidad que pueda propiciar la violación de éste o la información que contenga. Las vulnerabilidades de un sistema caracterizan el nivel de riesgo de éste y se obtiene como resultado de un análisis de riesgos. En términos prácticos, es innegable que todos los sistemas informáticos son vulnerables. La tarea consiste entonces en minimizar las debilidades e indicadores de riesgos. Existe un elemento que merece especial atención por nuestros especialistas en cuanto a las amenazas a tener en cuenta y es el referente al factor humano y sus posibles errores. Las estadísticas internacionales demuestran que el 70 % de los problemas de seguridad en sistemas basados en redes vienen dados por errores humanos causados por desconocimiento o descuidos. Este por ciento se desglosa en 50 % por la primera causa y 20% por la segunda. Para hacer frente a los problemas de desconocimiento es necesario desarrollar estrategias de entrenamientos constantes, que mantengan actualizados a los especialistas y usuarios de las PCs y de igual manera establecer procedimientos formales e informales que obliguen a un accionar reglamentado en las prácticas cotidianas. Los descuidos requieren también medidas educativas y un trabajo sistemático de divulgación de la importancia de la seguridad y su impacto económico en la gestión empresarial.

Ataques informáticos

Una vez que conocemos los probables bienes informáticos que pudieran ser objeto de las agresiones, las posibles amenazas y vulnerabilidades presentes en nuestro sistema informático, se puede hablar acerca de los ataques en sí y sus consecuencias.

Un ataque informático como se señaló en el punto anterior no es más que una amenaza del tipo intencional, que logra impactar en el blanco y producir consecuencias no deseadas por los propietarios o usuarios auténticos del sistema. Probablemente todos estarían de acuerdo con que las personas serían el punto más crítico y sensible a proteger ante cualquier ataque, y es que el humano no se puede comparar con las computadoras, las aplicaciones o los datos de cualquier entidad. Sin embargo, al menos en la actualidad, la guerra informática no se orienta directamente hacia las personas (aunque indirectamente sí, pues afecta su economía y les produce también grandes preocupaciones), su blanco principal son los datos y de manera general la información.
Las cualidades deseables en la información desde el punto de vista de seguridad son:

Confidencialidad: Cualidad que se caracteriza por exigir que lo de importancia sea revelado sólo a los usuarios autorizados, en la forma y tiempo determinado.

Disponibilidad: Se caracteriza por exigir que ésta se encuentre asequible y utilizable en el momento y forma que requieran los usuarios autorizados.

Integridad: Cualidad en la información caracterizada por ser sólo modificada por personal autorizado (incluye la creación y borrado de la información).

Referente al atacante debemos hacer una aclaración que en ocasiones tiende a confusión. El cracker (intruso) es una persona que intenta acceder a un sistema informático sin autorización. Estas personas tienen a menudo malas intenciones y suelen disponer de muchos medios para introducirse en un sistema. Por su parte, el hacker es la persona que tiene un conocimiento profundo de cómo funcionan las redes y puede advertir acerca de errores y fallas de seguridad en éstas, lo que demuestra se puedan superar las barreras de seguridad establecidas. El hacker, al igual que un cracker, busca acceder por diversas vías a los sistemas informáticos, pero con fines de protagonismo, no obstante, ambos son considerados intrusos y se deben combatir.

El intruso siempre tiene como meta alterar alguna de las cualidades deseables de la información, para lo que usan diferentes métodos como:

Por ejemplo, cuando alguien inhabilita el funcionamiento del servidor de comunicación o produce alguna avería que afecta el suministro de fluido eléctrico está usando el método de ataque de interrupción y por tanto produce afectaciones al correo electrónico, al hardware instalado y a los servicios telemáticos en general. Si de igual manera, el intruso logró instalar un dispositivo en nuestra infraestructura de red que permite analizar paquetes y extraer su información estaríamos en presencia de un ataque de intercepción que afecta la confidencialidad de la información. En la actualidad toman auge los ataques a sitios Web donde el intruso suplanta de alguna forma al Webmaster y así altera el contenido del sitio, al igual que redirecciona los accesos a éste hacia otro creado por él. En ese caso estaríamos en presencia de un ataque de modificación y producción que altera siempre la integridad de la información.

De acuerdo con el criterio de muchos especialistas, la guerra informática puede ser de tres tipos:

Guerra antipersonal:

Esta clase de "guerra" incluye los ataques contra la privacidad de los datos personales, que implica la revelación (o búsqueda no autorizada) de datos existentes en bases de datos que se suponen confidenciales o su alteración. Un ciudadano promedio tiene hoy muy poca posibilidad de controlar los datos que le conciernen y que han sido recopilados por diversas empresas (al abrir una cuenta corriente, al obtener y utilizar una tarjeta de crédito, al contestar encuestas, etc.). Estos datos no sólo pueden ser obtenidos ilegalmente por piratas, sino que pueden ser vendidos por las empresas que los poseen y utilizados para fines de marketing u otro. Lo peor es que esta información puede ser alterada y cualquiera de nosotros podría aparecer con un prontuario judicial (falso), sin saberlo y sin poder reclamar.

Guerra corporativa:

Este es el tipo de guerra que pueden mantener corporaciones y empresas de todo el orbe, recurriendo a métodos de piratería computacional para penetrar los sistemas de sus competidores, obtener acceso a sus bases de datos y a los resultados de sus investigaciones. Podrían incluso destruir antecedentes y hacer que tal mal parezca un accidente fortuito producto de un virus, con lo cual ganarían ventaja en el desarrollo de un nuevo producto. Este tipo de acción no es nuevo y se conocen varios casos ocurridos durante la Guerra Fría en EE. UU. Y la entonces URSS. Una nueva forma de ataque de este tipo se ha desarrollado desde entonces: se trata del envío de estudiantes al extranjero con la misión de "mantener los ojos abiertos", tanto en sus universidades como en las empresas que visiten o donde hagan su práctica, para luego informar a sus patrocinadores. Parecida es la táctica -ya casi diaria- de contratar talentos en empresas competidoras o de un sector en el cual se desea ingresar, para que traigan su "know-how" y se fortalezcan con él las propias potencialidades o nuevos proyectos. Aunque algunos consideran que este fenómeno es algo conatural al mercado del trabajo, otros lo consideran una práctica desleal y algunos han llegado incluso a entablar por ellos demandas ante los tribunales (Amazon, la famosa librería online, fue demandada en 1998 por contratar un conocedor de otra firma experta en ventas bajo esa modalidad). Otra forma de ataque es la difusión por Internet de información falsa acerca de productos de la competencia.

Guerra global:

Esta categoría se aplica tanto a las relaciones entre industrias y poderes económicos, como entre naciones. Ya no se trata de robar secretos o producir algún daño limitado, sino de recurrir a métodos que permitan destruir al enemigo. Aquí los recursos a invertir son lo de menor importancia porque -aunque cuantiosos- resultan menores que los que se requerirían para una guerra convencional. Una inversión de 200 millones de dólares en recursos para la guerra informática serían suficientes para "poner de rodillas" cualquier sistema económico en el mundo, lo cual está al alcance de muchos países. La relación "costo-beneficio" es -desgraciadamente- muy ventajosa para los terroristas y gobiernos enemigos. La distancia no juega ningún papel y no existen medidas preventivas que puedan dar una seguridad absoluta.

Estrategias y medidas de seguridad

Como se expresó en el punto anterior no existe un remedio seguro para garantizar un sistema informático invulnerable. Quizás la mejor solución es estar alertas constantemente y tener implementado un sistema de medidas y un plan de contingencias actualizado y con un nivel técnico elevado.

Previo a elaborar un sistema de medidas, es necesario definir un conjunto de estrategias y políticas de seguridad.

Una política no es más que una directiva que rige la implementación de las acciones a tomar, mientras una estrategia es un conjunto de pasos que deben implementarse antes del ataque (estrategia proactiva) o posterior al mismo (estrategia reactiva). Esta última es de gran importancia en la identificación de los daños causados y los puntos vulnerables a los que fue dirigido el ataque y por supuesto "no tropezar dos veces con la misma piedra".

Con el objetivo de definir de manera detallada las acciones a tomar, el sistema de medidas se divide en:

• Medidas administrativas y organizativas

• Medidas de seguridad física

• Medidas de seguridad técnica o lógica

• Medidas de seguridad de operaciones

• Medidas educativas y de concientización

• Medidas legales

• Medidas generales

Es necesario interiorizar que todas estas medidas son de vital importancia ya que se complementan y del éxito de la implementación consciente y profesional dependerá que el sistema sea igualmente hermético en cada una de sus aristas y los puntos débiles se reduzcan al mínimo. Como bien plantea la conocida estrategia de seguridad "Eslabón más débil": un sistema es tan fuerte como su parte más débil

Un atacante, como regla, primero analiza cuál es el punto más débil del sistema y concentra sus esfuerzos en ese lugar.

La experiencia diaria nos ha demostrado que como regla general la tarea de seguridad y su importancia no es comprendida del todo por los administrativos e incluso por los especialistas informáticos ya que en ocasiones les he escuchado expresar que ésta resulta tediosa y poco interesante. Quizás entre las medidas más importantes de las ya mencionadas se hallan las relacionadas con la divulgación y educación del personal acerca de la importancia que para la empresa constituye contar con un sistema de seguridad informática seguro. Muchas veces se realizan grandes esfuerzos para definir las políticas y estrategias de seguridad y definirlas en documentos que orienten las acciones con relativo éxito, sin embargo muchas veces se observa aquello que "del dicho al hecho hay un gran trecho" y su implementación es nconsecuente e incompleta. Y es que resulta una labor ardua convencer a los operadores y usuarios de las tecnologías informáticas de la necesidad de buenas políticas y prácticas de seguridad.

La implementación de las medidas de seguridad es un proceso técnico-administrativo y como este proceso debe abarcar toda la organización sin exclusión, ha de estar fuertemente apoyado por el sector administrativo, ya que sin dicho apoyo, las medidas que se tomen no tendrán la fuerza necesaria. Por todo, esto es responsabilidad de los especialistas informáticos trasmitir a los directivos sin muchos tecnicismos los asuntos importantes de la seguridad y asegurarse de que comprendan su alcance y estén de acuerdo con las decisiones tomadas en relación con estos asuntos. Los trabajadores deben conocer las consecuencias de sus decisiones, incluyendo lo mejor y lo peor que podría ocurrir, de esta manera implementaríamos lo que se conoce como "visibilidad del proceso de seguridad" que permite el aporte de todos los trabajadores a la necesaria tarea de proteger la información y los bienes informáticos en general.

Como es conocido, la seguridad tiene un costo y determinado impacto en la operatoria de la empresa, por lo que es necesario llegar a un compromiso entre la ganancia en seguridad respecto de los costos administrativos y técnicos que se generen.

Por último se relacionan algunas ideas generales a tener en cuenta cuando desarrollen el sistema de medidas de seguridad:

• Determinar las prioridades para la seguridad, el uso de los recursos y los riesgos.

•Crear planes de contingencia avanzados sobre qué hacer en caso de una emergencia.

• Trabajar para educar a los usuarios del sistema sobre las necesidades y ventajas de una buena seguridad.

• Estar atentos a los incidentes inusuales y comportamientos extraños. Habilitar en el servidor las auditorías y contabilidad de las acciones que realizan el sistema y los usuarios.

• Asegurarse de que cada persona utilice su propia cuenta.

• Resguardar adecuadamente las copias de seguridad. No almacenarlas en el mismo sitio donde se realizan. Si se realizan copias de seguridad de directorios/archivos críticos usar chequeo de comparación para detectar modificaciones sin autorización.

• Asegurarse de que los permisos básicos de seguridad son de sólo lectura.

• Tener sensores de fuego y humo fundamentalmente en el área de los servidores. De igual manera contar con medios de extinción de fuego distribuidos en las diferentes áreas.

• Entrenar a los usuarios sobre qué hacer cuando se disparan las alarmas.

• Instalar y limpiar regularmente los filtros de aire en las diferentes áreas. Instalar UPS, filtros de línea y protectores gaseosos al menos en el cuarto de los servidores.

• Considerar usar fibra óptica como medio de transmisión en la red. Por la fibra es más difícil a los intrusos detectar los datos.

• Nunca usar teclas de función programables para guardar información de nombre de usuario y contraseña.

• Considerar realizar "autolog" de cuentas de usuarios. Considerar la generación automática de contraseña.

• Concientizar a los usuarios de pulsar la tecla escape antes de ingresar su nombre de usuario y contraseña a fin de prevenir los "Caballos de Troya".

• Asegurarse de que cada cuenta tenga una contraseña.

• No crear cuentas por defecto o invitado para alguien que trabaje temporalmente en la empresa. Deshabilitar las cuentas de personas que se encuentran fuera de la empresa por largo tiempo.

•Deshabilitar o resguardar las bocas de conexión de red no usadas. Limitar el acceso físico a cables de red, ruteadores, repetidores, terminadores, etc.

• Los usuarios deben tener diferentes contraseñas sobre diferentes segmentos de red.

• Monitorear regularmente la actividad de las pasarelas.

Implementar un sistema antivirus capaz de realizar, entre otras funciones, filtrado de paquetes, direcciones y chequeo de mensajes de correo antes de ser manipulados por los usuarios.

• Implementar servidores de aproximación y cortinas de fuego flexibles, robustos y con un alto grado de integración con el proveedor de servicios telemáticos.

A manera de conclusiones

Cada sistema informático y su entorno es un mundo, pero muy dependiente hoy día de otros mundos junto a los cuales conforman un universo informático extremadamente complejo y versátil. Independientemente de las particularidades de cada sistema, los fundamentos de una buena seguridad siguen siendo los mismos y la aplicación consecuente de ellos deberá contribuir a levantar una muralla anti-intruso contra la que se estrellará el enemigo informático con todo su "arsenal infobélico".

Aunque las políticas, estrategias, planes y medidas pueden ser de gran utilidad para la estabilidad de una empresa y proporcionar importantes recomendaciones de lo que se debe hacer, la seguridad no es una actividad puntual. Es una parte integrante del ciclo vital de los sistemas.

La labor de seguridad suele requerir actualizaciones periódicas o las revisiones correspondientes. Estos cambios se realizan cuando las configuraciones, así como otras condiciones y circunstancias cambian considerablemente o cuando hay que modificar las leyes y normas organizativas. Este es un proceso iterativo.

Nunca termina y debe revisarse y probarse con periodicidad. De la seriedad y sistematicidad con que nos desempeñemos en este campo dependerá nuestra seguridad. Todo lo explicado resulta un reto y es seguro que se logrará su cumplimiento.