Es posible que mediante la implantación de una política de seguridad se logre formar una cultura de seguridad para proteger los activos y datos de una empresa y/o persona.
tics en la vida cotidiana prepa en linea modulo 1.pptx
Formación de una cultura de seguridad frente a robos informáticos
1. Proyecto de Investigación Formativa: Ensayo
Formación de una cultura de seguridad frente a robos de
información
Brandon Pérez Guevara
Universidad Católica Santo Toribio de Mogrovejo
Facultad de Ingeniería, Escuela de Sistemas y Computación, Ciclo 2015-0
Chiclayo Perú
RESUMEN
En el presente estudio se argumenta el problema del robo de información y se
analiza al Hacking de acuerdo a sus variaciones (hacking ético y crackers, entre otros
villanos informáticos). Además, presenta a la seguridad de información como requisito
necesario para toda organización o empresa y sus buenas prácticas como solución a
asaltos a través de la red. A su vez, la importancia de esta investigación radica en el buen
manejo y almacenamiento de la información, ya que esta puede estar valorizada en
grandes cantidades de dinero. Así pues, tratando de implementar una cultura de
seguridad en las empresas. En conclusión, si no existe buena práctica de seguridad de
información aparecerán, como consecuencia, los robos informáticos y una baja lucrativa
de gran repercusión.
PALABRAS CLAVE: cultura, seguridad, información
ABSTRACT
In the present study the problem of information theft is argued and analyzed by
Hacking according to their variations (ethical hacking and crackers, among other
computer villains). It presents the information security as a prerequisite for any
organization or enterprise and good practices as a solution to assaults through the
network. In turn, the importance of this research lies in the proper handling and storage of
information, as this may be valued at large amounts of money. So, trying to implement a
safety culture in companies. In conclusion, if does not exist good security practice
information will appear, as a consequence, computer and steals a lucrative high-impact
low.
KEY WORDS: culture, security, information
2. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
SUMARIO
Resumen
Sumario
Introducción
¿Por qué formar una cultura de seguridad en las empresas?
2.1 Influencia de la seguridad de información en la empresa
2.1.1. ¿De qué manera se involucra la seguridad de información en la empresa?
2.1.2. Una política de seguridad como primer requisito
2.1.3. La alternativa de la encriptación
2.1.4. ¿Cómo implementar una seguridad basada en software?
2.2 La razón del ladrón informático
2.2.1. ¿Por qué ataca un villano informático?
2.2.2. ¿Cómo ataca un villano informático?
Conclusiones
Referencias bibliográficas
Anexos
Marco Arnao Vásquez
2
3. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
I. INTRODUCCIÓN
Estamos inmersos en un mundo donde tener una cuenta bancaria, un correo
electrónico, una base de datos empresarial, etc., se ha convertido en algo primordial para
cada una de las personas, organizaciones y empresas. Así mismo, tener todo tipo de
contacto con esto demanda precaución para proteger nuestros datos y mantener la
información aislada de cualquier intruso. Términos como “hacker”, “web”, “internet”,
“sistema de información”, “cracker”, “seguridad”, etc., son últimamente unos de los
vocablos más utilizados por una sociedad tecnológica que viene evolucionando hace
décadas atrás y sobrepasará los límites y perspectiva del hombre y la tecnología. Las
organizaciones cada día dependen más de un sistema de información y estructuras
tecnológicas debido al auge producido por la implementación de tecnologías que facilitan
el control de la información generada por dichas organizaciones. Así, frente al orgullo
tecnológico, podemos encontrar a personas con altos conocimientos en redes e
informática que tratarán de alguna manera estropear la riqueza de información alcanzada
por una empresa. A su vez, estos cambios han provocado algún interés en las
organizaciones que recogen, gestionan y transmiten la información a través de las
distintas redes tecnológicas (internet, intranet, extranet, sistemas de información, etc.),
acerca de protegerlas frente a cualquier sujeto malicioso. Es decir, algo más que se
vuelve indispensable y hasta de carácter obligatorio para cualquier organización.
A estas personas, altamente instruidos informáticamente, se les conoce –
erróneamente –con un término bastante general: “Hackers”. Dentro de esta comunidad
de hackers, existen diversos tipos como, por ejemplo, los crackers, lamers, phreakers,
etc. Un hacker entra y husmea información a la que no está autorizada para lograr sus
propósitos ya sean personales o no. No obstante, existen “hackers” que causan daños al
momento de ingresar a un sistema y le ocasionan una gran variedad de problemas. Estos
son reconocidos como “crackers” y son los verdaderos villanos en la comunidad hacker.
A su vez, los “hackers éticos” no son personas maliciosas; al contrario, realizan lo mismo
(burlar la seguridad) pero a beneficio de la empresa. Es decir, un hacker que entre al
sistema de la empresa para luego brindar un informe sobre las debilidades que tiene esta
y así poder corregir las vulnerabilidades y fortalecer la seguridad de la misma.
Según Carlos Tori (2008, 11)1
, desde algunos años antes, especialistas ligados a
la seguridad informática venían estudiando y practicando metodologías de intrusión en
sus trabajos, laboratorios o casas. Así, comenzaron a brindar a las organizaciones un
servicio a modo de proveedores externos o contratados y, para darle un nombre
medianamente formal, lo llamaron ethical hacking .Este concepto incluye las
denominaciones vulnerability scanning y penetrationtest, mejor denominado network
security assessment (evaluación de la seguridad de redes). El hacking ético, desde el
punto de vista de Whitaker y Newman (2006,5)2
: “es la práctica que una entidad confiable
realiza para intentar comprometer la red de computadoras de una organización, con el
propósito de evaluar su seguridad”. Mediante la simulación de un ataque en vivo, los
administradores pueden ser testigos del daño potencial que un atacante puede provocar
al ganar acceso, destruir datos o dañar los valores de la compañía.
Cuando tocamos el tema de hacker, hablamos de un mundo extenso el cual sigue
creciendo a diario. Los primeros hackers, nominados “hackers auténticos” se divertían
con la información obtenida gracias al esfuerzo que realizaban para obtenerla. Hoy en
cambio, los nuevos hackers (Crackers) se dedican a perjudicar información sin miedo a
1 Tori, Carlos. 2008. Hacking Ético, 1a edición. Rosario, Argentina: el autor.
2 Whitaker, Andrew y Daniel Newman. 2006. Prueba de penetración y defensa de la red. Estado Unidos: Cisco Press.
Marco Arnao Vásquez
3
4. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
nada. Dicho acto es razón para ir directo a prisión, sin embargo, estos crackers siguen
realizando esta labor como si fuera un hobby. Existen varios casos de hackers que
lograron ir a prisión por estos actos ilícitos como por ejemplo del famoso hacker Kevin
Mitnick alias “el Cóndor”, quien empezó su carrera como hacker a los 10 años de edad.
Hoy en día el Cóndor se dedica a hacer Hacking Ético; ayuda a organizaciones a mejorar
sus sistemas de seguridad con el fin de contrarrestar la actividad de los crackers.
Además de otros casos como el hackeo de las redes telefónicas de la radio KIIS-FM de
los Ángeles en 1990 por Kevir Poulson; el atentado contra la red de Microsoft por Adrian
Lamo. Yendo hacia los inicio del siglo XXI, encontramos a Michael Calce, quien a los 15
años de edad lanzó un ataque a eBay, Amazon y Yahoo en el 2000. A su vez, Sven
Jaschan atacó con un virus que afectaba a los S.O. W 2000, W 2003 Server y W xp.
Dejar en claro lo que es y no un Hacker es un poco complicado ya que en la
actualidad se le ve como un villano. La verdad de los hacker es que son promovedores
de la nueva era tecnológica e informática, ya que fueron ellos quienes crearon el único
sistema operativo gratuito Linux, que hoy en día lo utilizan cientos de organizaciones para
mejorarlo y rediseñarlo a su manera. Otro punto importante que podemos mencionar
acerca de los hackers es que fueron participe de lo que es ahora Internet. No todo lo que
se escucha en la televisión acerca de estos genios informáticos es verdadero.
Como se ha podido entender, el problema abordado en esta investigación se
centra básicamente en la seguridad de información como respuesta y solución ante el
robo de la misma. Frente a tal situación, la seguridad de información puede apoyar a la
empresa a optimizar aspectos como: productividad, capacidad de supervivencia,
competitividad y buena respuesta ante diversos problemas. Además, se toman en cuenta
aspectos que establecen regímenes y estándares de seguridad, los cuales deben
comprometerse con la confidencialidad, responsabilidad, disponibilidad e integridad de la
información. Estos serán tomados como requerimientos y requisitos para una buena
gestión.
La hipótesis planteada propone que es posible que mediante la aplicación de una
política se logre establecer una cultura de seguridad en las empresas. Por su parte, las
preguntas de investigación planteadas para desarrollar y fundamentar la hipótesis que
asegura que es posible que, mediante la aplicación de una política, se logre establecer
una cultura de seguridad en las empresas. . A su vez, se tiene el objeto de responder a
cada una de las preguntas de investigación siguientes: ¿cómo influye la seguridad de
información y como se debe actuar en la gestión de una empresa, organización o activos
personales frente a robos informáticos? y ¿cómo y por qué actúa un ladrón informático?
Así pues el propósito y objetivos de la investigación son mostrar lo necesario que es
gestionar la seguridad de la información en una empresa y formar una cultura de ello en
cada uno de los trabajadores argumentando la manera en que esta influye al momento
de proteger los activos de la empresa y cómo lo hace desde un punto de vista teórico-
tecnológico. Además, explicar y fundamentar cómo y porqué actúa un ladrón informático
desde el punto de vista de la concepción de la cultura Hacker.
Las técnicas de estudio utilizadas para seleccionar la información estuvieron
basadas en la elección de libros de autores reconocidos que han persistido en los años
en cada uno de los casilleros de la biblioteca de la USAT. Además, tuvo lugar la consulta
en bases de datos electrónicas altamente confiables como Dialnet. Una vez recopilada la
información, el proceso de esta estuvo basado en resúmenes, subrayado y parafraseado.
Por último, para garantizar la información se utilizaron citas en estilo Chicago y
referencias en nota de pie de página.
Marco Arnao Vásquez
4
5. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
En este sentido la estructura de la investigación ha sido dividida en dos secciones:
influencia de la seguridad de información en la empresa y la razón de ser del ladrón
informático. En la primera sección se desarrollarán los subtemas de: aspectos de la
seguridad información, encriptación y políticas de seguridad. De esta manera se
argumentará el porqué del carácter obligatorio para una buena gestión de la información
de la empresa. Es decir, se fundamentarán los factores que se deben fortalecer y la
manera cómo hacerlo. Adicionalmente, en la segunda sección se desarrollarán los
subtemas de: ¿cómo identificar a un villano informático? ¿Por qué ataca un villano
informático? ¿Cómo ataca un villano informático? Aquí se explicará el perfil de un hacker
y villanos informáticos, sus técnicas y cómo llevan a cabo sus operaciones en red. En
otras palabras, por medio de esta sección se comprueba y argumenta la necesidad de
gestionar la información.
II. ¿POR QUÉ FORMAR UNA CULTURA DE SEGURIDAD EN LAS EMPRESAS?
II.1. Influencia de la seguridad de información en la empresa
II.1.1. ¿De qué manera se involucra la seguridad de información en la
empresa?
Un estudio, donde se encuestaron a más de dos mil directores informáticos de
empresas en 26 países diferentes, llevado a cabo por Symantec en el 2010, arrojó
resultados algo alarmantes. Por una parte el 42 % de las empresas donde trabajan
consideran la seguridad de información como un riesgo. Por la otra, un 75 % pudieron dar
conciencia de haber sufrido ataques cibernéticos en las últimas semanas y, como
consecuencia, generó grandes pérdidas de dinero. Los encuestados contestaron que la
seguridad de información en la empresa donde trabajan no es atendida de la manera que
se debe; es decir, no se cuenta con personal especializado en la seguridad de redes e
información. En pocas palabras, la seguridad de información había sido olvidada entre
largas listas de quehaceres empresariales que nunca revisan.
La seguridad de información es definida, según Eric Maiwald (2003, 4)3
, como:
“medidas adoptadas para evitar el uso no autorizado, el mal uso, la modificación o la
denegación del uso de conocimiento, hechos, datos o capacidades”. Siguiendo este
punto de vista, para Ramio (citado en Gil Fernández, 4)4
, seguridad de información es:
“un conjunto de métodos y herramientas destinadas a proteger la información y por ende
los sistemas informáticos ante cualquier amenaza, un proceso en el cual además
participan las personas”. Sin embargo en un sistema de información la seguridad de la
misma no puede estar garantizada. Es decir, se necesita de pasos preventivos tomados
para proteger la información tanto como a sus capacidades sin comprometer la
confidencialidad, integridad y disponibilidad de la información.
En primer lugar, la confidencialidad mantendrá la información en secreto. Esta
garantiza la legal entrada a los sistemas con los que trabaja la empresa. Además, permite
que tengan pase libre a la información solo los usuarios autorizados. Al efectuar esa
función, el servicio de confidencialidad protege contra el ataque de acceso (robo de
información). Por ejemplo, el famoso caso de ataque de acceso a manos de Kevin Mitnick
3 Maiwald, Eric. 2005. Fundamentos de Seguridad de Redes. Mexico: The McGraw-Hill Companies Inc.
4 Gil Fernández, Raúl J. 2011. Sistematización de la gestión de riesgos de la seguridad de la información en la red de la Universidad Centrooccidental “Lisandro Alvarado”. Venezuela: Universidad
Centrooccidental “Lisandro Alvarado”.
Marco Arnao Vásquez
5
6. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
“El Cóndor” a las oficinas de COSMOS (Computer System for Mainframe) de Pacific Bell
en 1981. COSMOS era una base de datos utilizada por la mayoría de las empresas
telefónicas en Norteamérica para llevar un control del registro de llamadas. Él, una vez
dentro del sistema, clonó claves de seguridad, las combinaciones de las puertas de
acceso a sucursales y manuales del sistema COSMOS. La información robada estuvo
valorizada en 200 000 dólares.
En segundo lugar, la integridad, mantiene la exactitud de la información. Según
Borghello (2001, 8)5
, esto quiere decir que los usuarios tienen confianza en que la
información que consultan, extraen o modifican es correcta y que no ha sido manipulada
por un individuo no autorizado. La confidencialidad trabaja junto con el servicio de
responsabilidad para identificar apropiadamente a los individuos. Además, según Jorge
Mieres (2009,7)6
, la integridad protege contra los ataques de modificación; por ejemplo,
el Bit- Flipping que significa interceptar un mensaje y realizar cambios en determinados
bits del texto con la intención de alterar la información transmitida. Un caso de esto fue la
interceptación al mensaje del presidente de Colombia, Juan Manuel Santos, en el mes de
febrero del año pasado. Según el Diario El Nacional “al menos dos correos electrónicos
enviados por el mandatario fueron interceptados ilegalmente”. Sin embargo, no pudieron
dar con el responsable de ello y lo ocurrido quedó en la larga lista de atentados
informáticos.
Por último, la disponibilidad de la información, significa mantener la utilidad de la
misma, lo que permitirá a los usuarios tener acceso a los sistemas. Según Mejía y otros
(2012,85)7
, la disponibilidad permite que los sistemas de comunicación transmitan
información entre ubicaciones o sistemas computacionales. Además se tiene en cuenta
que la disponibilidad radica en lugar y tiempo; es decir, que se puede acceder a ella
desde cualquier lugar conectado a internet y a cualquier hora del día. Sin embargo, la
disponibilidad de los archivos físicos también puede ser protegida. Por ejemplo, tener un
sistema conectado a internet en el cual los usuarios autorizados puedan ingresar a él y
modificar, consultar o gestionar información que se necesite.
Un caso de ataque de disponibilidad de la información lo sufrió Microsoft en los
últimos días de abril del 2014. Un error en la programación dejó puerta abierta a los
villanos informáticos y permitió que pudieran tomar control de las computadoras que
funcionan con el sistema operativo XP. Siendo confirmado este ataque por Symantec,
consistía en congelar la pantalla de quienes recorrían a Explorer para navegar a Internet
o acceder a bases de datos mundiales. NetMarket Share, un sitio muy conocido por las
estadísticas de tecnología en internet, estimó que más del 50% de naveradores emplean
Explorer. Por otro lado, se calculó que alrededor de 30% de computadoras utilizan
Windows XP lo que los convierte en potenciales víctimas. Como consecuencia y
respuesta a estos atentados, cambiar de navegador y sistema operativo fue una de las
principales opciones para disminuir el riesgo de momento.
Maiwald (2005,85)8
considera un aspecto más de la seguridad de información,
este es la responsabilidad. Aunque suele ser olvidado de alguna manera porque no
protege al sistema contra los ataques por sí mismo, no deja de ser importante para este.
Al contrario debe ser utilizado en conjunto junto con los demás aspectos, anteriormente
descritos, para así hacerlos más eficientes. Una desventaja de la responsabilidad es que
genera gastos. Sin embargo sin este servicio, tantos los mecanismos de integridad como
de confidencialidad fallarían.
5 Borghello, Cristian. 2001. Seguridad informática: sus implicancias e implementación. Argentina: Universidad Nacional Tecnológica.
6 Mieres, Jorge. 2009. Ataques informáticos: debilidades de seguridad comúnmente explotadas. Estados Unidos: Evil Fingers.
7 Mejía, César, Ramirez Nini y Rivera, Juan. 2012. Vulverabilidad, tipos de ataques y formas de mitigarlos en las capas del modelo OSI en las redes de datos de las organizaciones . Colombia: Universidad
de Tecnológica de Pereira.
8 Maiwald, Eric. 2005. Fundamentos de Seguridad de Redes. Mexico: The McGraw-Hill Companies Inc.
Marco Arnao Vásquez
6
7. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
En esencia, la seguridad de la Información permite desarrollar tácticas y
protección frente a ataques de adversarios. A su vez, cada uno de los aspectos debe ser
debidamente analizado y estructurado para su éxito seguro. Sin embargo, algunas
organizaciones descuidan su sistema dejando desprotegida información valiosa y costosa
para ellos. Ignorando esto, su seguridad es burlada, y su información abusada y usada
hasta de manera malintencionada. Tomar en cuenta la Seguridad de información no es
opcional sino de carácter obligatorio.
II.1.2. Una política de seguridad como primer requisito
Las políticas de seguridad son necesarias por ser lineamientos que los
funcionarios de la organización deben de seguir para así poder garantizar la confiabilidad
de los sistemas y la protección de la información. La política de seguridad permitirá a la
institución actuar proactivamente ante cualquier situación que coloque en riesgo la
información. Así mismo, las políticas de seguridad actúan en conjunto con sus actores
para asegurar la integridad de la información controlando los recursos y mecanismos de
seguridad impuestas por la organización. Según San Martín (2004)9
las políticas de
seguridad forman parte de la estructura de seguridad que tiene una empresa, pues es
obligatorio gestionar la protección de sus aplicaciones, hardware, entre otros, que son de
alto valor para la organización.
Una posible política de seguridad podría ser el caso de los controles de acceso.
Tomando en cuenta el control de claves y nombre de usuarios que cada uno de los
usuarios de un sistema elija. Además de esto, el uso de credenciales o firmas digitales
podrían servir para identificar a la persona cuando la vemos. Todos estos datos deben
estar almacenados en una base de datos externa a la intranet del lugar (una escuela,
universidad o establecimiento público o privado).
La creación de políticas de seguridad viene siendo una labor primordial que
involucra a las personas, los procesos y los recursos de la organización. Según Maiwald
(2005, 116)10
: “la política proporciona las reglas que gobiernan como deberían ser
configurados los sistemas y cómo deberían actuar los empleados de una organización en
circunstancias normales y cómo deberían reaccionar si se presentan circunstancias
inusuales”. Es decir, compromete a todos los integrantes de una empresa y los motiva a
creer esa cultura de seguridad que tanto se necesita. Además, la seguridad será para
ellos y no para otras personas, la seguridad es para su empresa y garantizar el
crecimiento de la misma, mas no de otras.
9 San Martín García, José. 2004. La seguridad de la Información. Norma UNE de Seguridad de la Información. Anales de mecánica y electricidad 81 (5)
10 Maiwald, Eric. 2005. Fundamentos de Seguridad de Redes. Mexico: The McGraw-Hill Companies Inc.
Marco Arnao Vásquez
7
Aspectos de la Seguridad de Información
Integridad
Disponibilidad
Confidencialidad
Responsabilidad
Mantener la exactidud de la información
Mantener la utilidad de la información
Mantener la información en secreto
Mantener seguras las anteriores
Figura 1. Aspectos de la Seguridad de Información
8. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
Si una empresa establece una política de seguridad, esta debe ser para todos.
Según Dussan (2006, 88)11
: “las políticas son requisitos generalizados que deben ser
escritos en papel y comunicados a ciertos grupos de personas dentro y en algunos casos
fuera de la organización”. Como ejemplo de esto existen muchas universidades en el
exterior de país como la Universidad Distrital Francisco José de Caldas en Colombia, la
cuál es su sitio web ha publicado una política de seguridad tanto para su software como
hardware. Según Carozo (2007) 12
Entre estas normas establecidas están las copias de
seguridad, la administración de configuraciones de red, internet y correo electrónico,
protección contra software malicioso, entre otras.
Las políticas deben ser claras y precisas a la hora de ser implantadas en una
organización. Por tanto, para que sea efectiva estas políticas, deben contar con
elementos indispensables que apoyen este procedimiento como lo es la cultura
organizacional, las herramientas y el monitoreo continuo de la información. Según Gil
Fernández (2011, 32)13
políticas de seguridad proporcionan dirección, gerencia y apoyo a
la seguridad de la información en concordancia con los requerimientos comerciales y
leyes y regulaciones relevantes. Es necesario tener en cuenta algunos pasos para la
elaboración de una política de seguridad como lo son: seleccionar al responsable de
definir la política, elaborar el documento donde se especifique los reglamentos que tendrá
la misma y por último hacer pública esta nueva política definida por la organización.
II.1.3. La alternativa de la encriptación
La encriptación es también una manera de proteger tu información en el momento
de acceso. La encriptación informática puede ser definida como la codificación de
información que será transmitida por una red. En caso que sea interceptada por alguien
no podrá ser descifrado. Según Granados (2006,6)14
el término encriptación está
estrechamente relacionado a la criptografía. Este último es un término que viene de dos
vocablos griegos: “kriptos” que significa “oculto” y “grafo” que significa “escrito” o
“escritura”. La criptografía es el “arte de cifrar y descifrar información”. Por su parte, la
encriptación solo consiste en volver indescifrable y codificar la información para que no
pueda ser leída por terceros. Por ejemplo, una manera de encriptación son las
contraseñas de nuestro correo electrónico, redes sociales, cuentas bancarias, entre otras.
El caso más antiguo de encriptación se remonta a 100 años a.C. cuando Julio
César, emperador romano, creó lo que hoy conocemos como Código César. Este código
11 Dussan, Ciro. 2006. Políticas de seguridad informática. Revista Entramado 2 (1).
12 Carozo, Eduardo. 2007. Implantación del Sistema de Gestión de Seguridad de la Información en una empresa compleja. Montevideo: Revista Memorias. 5 (5).
13 Gil F., Raúl. 2011. Sistematización de la gestión de riesgos de la seguridad de la información en la red. Venezuela: Universidad Centroocidental “Lisandro Alvarado”.
14 Granados, Gibrán. 2006. Introducción a la criptografía. Revista Digital Universitaria. 7 (7).
Marco Arnao Vásquez
8
Figura 2. Políticas de seguridad
Políticas de Seguridad
Normas
Alineamientos
Cultura
Organizacional
Garantizan
Cumplimiento de las
prácticas establecidas
9. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
consistía en la transposición de las letras del alfabeto un número determinado de
espacios. Es decir, si desplazabas tres espacios se comenzaba con la letra D y al
terminar las letras sobrantes (X, Y y Z) ocupaban los lugares iniciales de A, B y C. Para
cifrar un mensaje solo debemos ubicar cada letra traspuesta y colocar la verdadera letra.
Como podemos ver, fue un gran comienzo en ideas de codificación. Según Hughes
(2004,96)15
: “encriptar es manifestar el deseo de privacidad, y encriptar con criptografía
débil es manifestar poco deseo de privacidad”.
La encriptación involucra también a los aspectos de confidencialidad, integridad y
responsabilidad. Por un lado, en la confidencialidad la encriptación puede ser empleada
para ocultar la información, almacenada o en tránsito, a individuos no autorizados. Por
otro lado, la encriptación en la integridad puede ser utilizada para identificar
modificaciones en la información. Finalmente, en la responsabilidad la encriptación puede
ser empleada para autentificar el origen de la información y evitar que la fuente
desmienta que esta provino de ella. Por ejemplo, en un sistema de una organización
pública donde diariamente poco más de 100 mil personas entren a revisar sus cuentas
bancarias, la confidencialidad estará presente porque se sabe que lo consultado es
correcto y la integridad será garantizada al tener la seguridad que la información es
exactamente la misma enviada por el servidor principal.
El tipo de encriptación más común en una empresa es la encriptación de clave
privada o clave simétrica. Esta encriptación necesitará que todos los individuos
autorizados para acceder a la información, tengan la misma clave. Eso reduce todo el
problema de proteger la información a uno solo: proteger la clave. Su mayor ventaja es
que es rápida y puede ser fácil de implementar tanto en un hardware como en un
software. Esto proporciona la confidencialidad de la información y cierta garantía de que
la información no pueda ser modificada mientras se encuentra en tránsito. Sin embardo,
Según Borghello (2001,35)16
una de las desventajas es que, al estar encriptada la
contraseña, “cuando el usuario se ve en la necesidad de utilizar varias claves para
acceder a diversos sistemas, encuentra dificultoso recordarlas”.
Un caso de la encriptación de clave privada podemos ver al buscar conectividad
Wi-Fi para nuestros dispositivos y poder tener acceso a internet. Es decir, todos los router
dispensadores de red de internet poseen una única clave con la que se accede al
internet. En este caso, el internet es como el sistema al que se desea ingresar. Entonces,
solo podrán acceder a la red internet siempre y cuando se tenga la clave del router. Es
decir, todos los usuarios autorizados a entrar a esta red tendrán la misma clave. Sin
embargo, si el usuario se ve en la obligación de conectarse a varias redes Wi-Fi por
inestabilidad en las mismas, se le hará difícil recordarlas todas.
El tipo de encriptación menos común en una empresa, pero que debería ser más
empleada, es la encriptación de clave pública o clave asimétrica. Esta encriptación,
según Maiwald (2005, 249)17
, consiste en dos claves diferentes (par clave), una privada
(que pertenece al propietario legítimo del par clave) y una pública (que puede ser
divulgada para ver información compartida por el propietario). En este caso, tanto emisor
como receptor de la información deben tener una clave, las cuales deberán estar
relacionadas entre sí pero no hay forma de obtener la privada a partir de la pública. La
relación radica en que la información encriptada y enviada por K1 únicamente pueda ser
descifrada por su respectivo par K2. Así también, si K2 encripta y envía la información,
esta solo puede ser descifrada por K1.
15 Hughes, Eric. 2004. “Encriptación“, en Internet, Hackers y Sofware Libre. Argentina: Editora Fantasma. 93 – 99.
16 Borghello, Cristian. 2001. Seguridad informática: sus implicancias e implementación. Argentina: Universidad Nacional Tecnológica.
17 Maiwald, Eric. 2005. Fundamentos de Seguridad de Redes. Mexico: The McGraw-Hill Companies Inc.
Marco Arnao Vásquez
9
10. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
Al decir que debería ser más empleada en la práctica de seguridad, el punto de
vista se refiere a la mayor privacidad que tendría un mensaje al ser enviado. Es decir, el
mensaje o información publicada no sería visto por todos, sino por el destinatario exacto.
A su vez, según Symantec, esto disminuiría el número de interceptaciones o robos en un
20% aproximadamente. Entonces, se tiene el atrevimiento de decir que es la encriptación
pública la que se necesita en mayor cantidad. Sin quitar importancia al primer tipo de
encriptación, el segundo se lleva el premio mayor tomando la idea de Hughes (2004) al
procurar un mayor nivel de privacidad y protección.
II.1.4. ¿Cómo implementar una seguridad basada en software?
Se debe ser consciente que un solo tipo de seguridad para proteger la información
de una organización, no es suficiente. Mucho menos, un solo producto comercial
protegerá completamente a tu sistema. Es por eso que la seguridad lógica se encarga se
varios instrumentos que mantienen firme la seguridad del sistema. Entre estos aspectos
encontramos a los controles de acceso, los muros de fuego (firewalls), software antivirus
y un sistema de detección de intrusiones. La seguridad lógica, consiste básicamente en
la aplicación de barreras y procesos que defiendan el acceso a los activos informáticos.
Este solo permitirá acceder a aquellas personas autorizadas. Debe asegurar un viejo
dicho en la seguridad informática, el cual propone que “todo lo que no está permitido
debe estar prohibido”. Según Borghello (2001)18
entre los objetivos de la seguridad lógica
podemos recalcar que la información transmitida sea recibida sólo por el destinatario
indicado, siendo esta la misma desde su origen hasta su llegada. Además de disponer de
pasos alternativos de emergencia en caso de un atentado furtivo o sorpresivo.
Según Maiwald (2005,12)19
: “todos y cada uno de los sistemas de computación
dentro de una organización deberían tener la capacidad de restringir el acceso a los
archivos dependiendo de la identificación (ID) del usuario que intenta obtener acceso”. Es
decir, un control de acceso. Un control de acceso se implementa en el Sistema Operativo,
en las bases de datos, sobre los sistemas de aplicación, hasta las aplicaciones de
escritorio. Este tipo de seguridad lógica garantizará al sistema que quien está ingresando
a la información protegida está totalmente autorizado por la organización. Los controles
de acceso pueden ser desde lo más simple, como son los ID (identificadores) y las
contraseñas; hasta lo más complejo, como huellas dactilares, escáneres oculares y
comandos o reconocimiento de voz.
18 Borghello, Cristian. 2001. Seguridad informática: sus implicancias e implementación. Argentina: Universidad Nacional Tecnológica.
19 Maiwald, Eric. 2005. Fundamentos de Seguridad de Redes. Mexico: The McGraw-Hill Companies Inc.
Marco Arnao Vásquez
10
Figura 3. Encriptación
Encriptación
Criptografía
Cifrado de
Mensajes
Clave Privada
Clave Pública
Codificación
Contraseña
colectiva
Contraseña
individual K1 > K2
11. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
Un firewall, muros de fuego o puertas de seguridad, son herramientas que
permiten el bloqueo entre dos redes, una privada o interna y otra externa (por ejemplo,
Internet) cuando se detecta algo malicioso. Según Mejía y otros (2012, 148)20
los firewall
trabajan “restringiendo de forma eficiente esos paquetes que viajan a través de la red y
que son de carácter dudoso o malicioso. Además, “dentro de las organizaciones este es
un medio de defensa sobre sus activos y su prevención se sostiene entre la capa de red y
la capa de transporte”. Si son configurados correctamente, los firewalls se convierten en
herramientas de seguridad indispensables.
Finalmente, un software antivirus y un sistema detección de intrusiones
conformarán una parte necesaria como programa de seguridad. Por un lado, si un
software antivirus está correctamente implementado y configurado, puede disminuir las
probabilidades que tenga una organización al estar expuesta a otro software
malintencionado. Por otro lado, el sistema de detección de intrusiones (IDS)
complementará de alguna manera al software antivirus. Los IDS suelen conformarse
mediante un sistema de gestión centralizado y agentes o monitores remotos que se
encargan de analizar el tráfico en los puntos remotos de la red en los que están ubicados.
Siguiendo esta definición, se expanden dos tipos de IDS: basado en el anfitrión (HIDS) y
basado en la red (NIDS). Un HIDS reside en un anfitrión particular y busca indicaciones
de ataque en él. Un NIDS reside en un sistema separado que vigila el tráfico de la red,
buscando indicaciones de ataques que atraviesen esa parte de esta. Sin embargo ningún
sistema de este tipo es a prueba de fallas, y ninguno puede reemplazar a unas buenas
prácticas de seguridad.
II.2. La razón del villano informático
II.2.1. ¿Por qué ataca un villano informático?
A través del tiempo se ha adoptado la idea que un hacker es un villano informático
que se infiltra en sistemas privados que almacenan información. Una vez dentro, estos
piratas roban, modifican o destruyen información valiosa para la organización. Así pues,
esa definición es en realidad, errónea. A su vez, la idea equivocada pertenece a un
“cracker”. En realidad un hacker es una persona ambiciosa de la informática que posee el
20 Mejía, César, Ramirez Nini y Rivera, Juan. 2012. Vulverabilidad, tipos de ataques y formas de mitigarlos en las capas del modelo OSI en las redes de datos de las organizaciones. Colombia: Universidad
de Tecnológica de Pereira.
Marco Arnao Vásquez
11
Figura 4. Seguridad Lógica
Controles de acceso
Muros de Fuego
(Firewalls)
Software Antivirus
Sistema de detección de
intrusiones
Seguridad Lógica
Seguridad basada en software
12. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
afán de aprender acerca de los sistemas de información y de cómo innovar en su uso.
Entre las definiciones propuestas por Raymond (citado por Roig, 2006, p. 161)21
encontramos que un hacker es un “persona que disfruta con la exploración de los detalles
de los sistemas programables y cómo aprovechar sus posibilidades; al contrario que la
mayoría de los usuarios, que prefieren aprender sólo lo imprescindible”. Es por eso que
burlan la seguridad –mayormente por internet- en busca de aquella información que los
dirija hacia más conocimiento. Una vez ingresado, dejan su huella, como un “yo estuve
aquí”. Además suelen escribir alguna versión de la ética del hacker, moral que les lleva a
no hacer daño, mostrándose opuestos hacia el vandalismo realizado por los crackers.
Un hacker nunca estropeará información valiosa, de lo cual es consciente. Aun
existiendo la posibilidad que el hacker haya jugado con algún tipo de crackeo, su ética
impide atentar contra los derechos de los demás. Ellos son, según la investigación de
Giménez Solano (2011,14)22
: “personas que disfrutan investigando detalles de los
sistemas y cómo aprovechar para sacarles jugo; no como la mayoría de los usuarios, que
sólo aprenden lo imprescindible”. Le atrae el reto intelectual de superar las limitaciones
de forma creativa. Además de ser sociales, reconocen el mérito propio y ajeno.
Es necesario entender la mente de un hacker, así podríamos si nuestro sistema o
hasta nosotros mismos estamos en peligro de ser atacados. Esto nos da la capacidad de
identificar qué propósito tiene tras un intento de intrusión. Según Maiwald (2005,36)23
: “la
motivación es el componente clave para comprender a los hackers”. A un hacker le gusta
estar rodeado de retos, así, la motivación original para ingresar a un sistema de manera
ilegal es el reto que suponía hacerlo. Una vez realizado el reto, estos publican sus
“logros” en los canales de IRC (Internet Relay Chat) en donde ganan prestigio frente a los
demás por burlar la seguridad de un complejo sistema o páginas de internet que llegan a
modificar. También el hecho de ser el primero en invadir un sistema o la mayor cantidad
de ellos. Incluso algunos hackers, una vez invadido el sistema, eliminan la vulnerabilidad
del mismo, así nadie podrá hacerlo otra vez.
A su vez, los hackers también son codiciosos. Esto incluye algún deseo de ganar,
ya sea dinero, bienes, servicios o información valiosa. Eso constituye una motivación
razonable para el hacker, ya que es dificultoso identificar, arrestar y condenar a un
hacker. En el caso que la organización atacada identifique la intrusión, corregirá la
vulnerabilidad y seguirá trabajando normalmente. Pero alguna organización puede
comunicar a la ley del incidente y comienza todo un proceso de búsqueda e identificación
del hacker. Sin embargo la culpabilidad de este es difícil de comprobar. Aún el caso
termine con éxito, la condena puede no ser significativa.
Como caso de esto tenemos a Datastream, un hacker internacional. Datastream
Cowboy, en 1994, junto a Kuji, burlaron la seguridad del Centro de Desarrollo Aéreo
Roma en la Base Griffis de la Fuerza Aérea en Roma, Nueva York y hurtó software
valorizado en 200 mil dólares. Luego Datastream fue identificado como un individuo de 16
años del Reino Unido. Fue arrestado y condenado en 1997. Su castigo fue pagar una
multa de 1915 dólares. Entonces, se concluye en que el riesgo que representa para un
hacker el ser atrapado y condenado es ínfimo.
Un hacker motivado por la codicia buscará tipos específicos de información que
puedan ser vendidos o empleados para obtener alguna ganancia monetaria. Es más
probable que un hacker motivado por la codicia tenga objetivos específicos en mente.
Siendo así, los sitios que tienen algo de valor sus objetivos principales. Por otra parte,
21 Roig, Gustavo. 2006. “Los discursos del Hacking”, en Ciberactivismo: sobre los usos políticos y sociales de la red, 157 - 178. Barcelona: virus Editorial.
22 Giménez, Vicente. 2011. Hacking y Ciberdelito. España: Universidad Tecnológica de Valencia.
23 Maiwald, Eric. 2005. Fundamentos de Seguridad de Redes. Mexico: The McGraw-Hill Companies Inc.
Marco Arnao Vásquez
12
13. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
existen hackers con un propósito malintencionado el cual termina en vandalismo o
cometer actos malintencionados. En este aspecto al hacker, que ahora tomaría el nombre
de cracker, no le interesa controlar un sistema o ingresar a él por popularidad y respecto.
Por el contrario, busca causar daño a los usuarios y la información que se almacena en el
sistema denegando accesos o publicando cosas inadecuadas. Una causa del hacker
malintencionado puede que se haya sentido agraviado por la víctima. Según Steve
Mizrach (2004, p.127)24
: “La mayoría de los hackers nuevos no saben programar; sólo
son personas sin ética que no tienen problemas en robar passwords, códigos, software u
otra información e intercambiarla con sus amigos”. En conclusión, fuese cual fuese la
causa, no se trata de acceder sino de hacer mal.
Los hackers están obsesionados con aprender más y más acerca de los sistemas
de información más seguros del mundo. Joseph Weizenbaum (1976)25
describió el
fenómeno de la “programación compulsiva”: “En cualquier lugar donde se hayan
establecido centros de cómputos, es decir, en innumerables lugares de Estados Unidos, y
virtualmente en todas las demás regiones industriales del mundo, jóvenes brillantes de
aspecto descuidado, con ojos muchas veces hundidos y rojos, se pueden encontrar
sentados en consolas de computadoras, sus brazos extendidos listos para ejecutar, sus
dedos ya dispuestos para apretar los botones y teclas en los que su atención parece
estar tan absorbida como la del jugador en la tirada de dados. Cuando no se transfiguran
tanto, suelen sentarse en mesas cubiertas de impresos de computadoras sobre los que
se tienden como poseídos estudiantes de un texto cabalístico. Trabajan hasta que se
caen, veinte, treinta horas cada vez. Su comida, si la organizan, se la traen: cafés, Cocas,
sandwichs. Si se puede duermen en colchones cerca de la computadora. Pero sólo unas
pocas horas; luego, de vuelta a la consola o a los impresos. Su ropa arrugada, sus caras
sin afeitar ni lavar, y sus pelos revueltos, todo muestra que se hallan evadidos de sus
cuerpos y del mundo en el que se mueven. Existen, al menos cuando lo consiguen, sólo
a través de y para las computadoras. Son vagabundos informáticos, programadores
compulsivos. Son un fenómeno internacional”.
II.2.2. ¿Cómo ataca un villano informático?
Es necesario saber de qué manera y cómo ataca un villano informático al ingresar
a nuestro sistema para husmear o robar información, así podremos fortalecer
vulnerabilidades que podrían significar la garantía de vida para nuestra base de datos. De
esta manera se define cuatro tipos distintos de ataques posibles, según Maiwald (2005,
24 Mizrach, Steve. 2004. “Viejos hackers, nuevos hackers: ¿son distintos? “, en Internet, Hackers y Sofware Libre. Argentina: Editora Fantasma. 127 – 132.
25 Weizenbaum, Joseph. 1976. Potencia del ordenador y de la razón humana: Del juicio al cálculo. San Francisco: W.H. Freeman.
Marco Arnao Vásquez
13
Figura 5. Perfil del villano informático
Perfil del Villano Informático
Hacker
Motivación
Retos
Reconocimiento
Prestigio
Aprender de los
sistemas
Cracker
Vandalismo
informático
Robar
Dañar sistemas
14. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
19 – 33)26
, que son: ataques de acceso, modificación, denegación de servicio y
refutación. El ataque de acceso, según te permite obtener información que el propio
atacante no está autorizado a ver. Además un ataque de este tipo puede ocurrir
independientemente de la ubicación del almacenamiento de la información, incluso
durante la transmisión de datos. Este tipo de ataque apunta directo a la confidencialidad
de la información y consta de tres momentos: el fisgoneo, la escucha furtiva y la
intercepción.
En primer lugar, el fisgoneo consiste en hacer búsqueda entre los activos de
información con la intención de hallar algo de interés. Por ejemplo si estos activos se
encuentran en físico, al atacante le basta ingresar a la sección de archiveros y buscar
entre ellos. Sin embargo, si la información se encuentra en un sistema de cómputo el
atacante deberá penetrar la seguridad de este hasta encontrar la información requerida.
Para Mejía y otros (2012, 153)27
en estos casos para mitigar el fisgoneo se requiere de la
encriptación. En segundo lugar la escucha furtiva se lleva a cabo, electrónicamente, en
base a la introducción a las redes inalámbricas. Esto incrementa la oportunidad de
escuchar información confidencial. El atacante puede estar en cualquier lugar, cercano o
no, a la víctima y así obtener acceso a la información por medio de la infiltración a la
misma red de área local. En tercer lugar la intercepción hace referencia a un ataque
activo contra la información. Según Moya (2011)28
, cuando un atacante intersecta
información, se coloca en la misma ruta que lleva hacia la información y la alcanza antes
de que alcance su destino, capturándola por un momento. Luego el atacante definirá si la
información continúa hasta su destino o no.
Caso de esto tenemos al golpe al First National Bank en 1988 por Arman Devon
Moore. Si bien es cierto, Devon convención a O. Wilson y G. Taylor, trabajadores de la
empresa, para que le apoyen en el robo informático. Dicho y hecho, Devon
aprovechándose del acceso que tenían sus cómplices accedió al sistema fácilmente. Una
vez dentro seleccionó tres de los más grandes clientes corporativos de dicho banco de
Chicago: el banco Merrill Lynch & Co, United Airlines y Brown-Forman Corp. Luego de
sesenta minutos de trabajo malicioso, Devon tenía en su cuenta más de 70 millones de
dólares.
Los ataques de modificación son un intento de cambiar la información que un
atacante no está autorizado a cambiar. Este ataque ocurre en cualquier ubicación de la
información. Según Martinez (2006)29
, puede llevarse a cabo durante la transmisión de
información de un servidor a otro. Este tipo de ataques va en contra de la integridad de la
información y pueden estar dirigidos a información confidencial o información pública.
Consta de tres momentos: cambios, inserción y eliminación.
En primera instancia un cambio es fundamentalmente la modificación de la
información existente encontrada una vez ingresado al sistema. Por ejemplo, en una
empresa un atacante que modifique el salario de un empleado, ahora la organización
operara con datos incorrectos. En segunda instancia, la inserción consiste en agregar
información que no existía antes del ataque, antes en la organización. Este ataque puede
ser efectuado sobre información histórica o información en la que se harán
modificaciones futuras. Por ejemplo, un atacante puede hacer la inserción de una
transacción inexistente en un sistema bancario, que tenga como función trasladar dinero
de la cuenta de otra persona a la suya. Por último en la eliminación, como su propio
nombre lo dice, se refiere a la remoción de la información existente. Al igual que la
26 Maiwald, Eric. 2005. Fundamentos de Seguridad de Redes. Mexico: The McGraw-Hill Companies Inc.
27 Mejía, César, Ramirez Nini y Rivera, Juan. 2012. Vulverabilidad, tipos de ataques y formas de mitigarlos en las capas del modelo OSI en las redes de datos de las organizaciones . Colombia: Universidad
de Tecnológica de Pereira.
28 Moya, Eugenio. 2011. La ética Hacker y el espíritu del informacionalismo. Revista Internacional de Filosofía (4). 323-332.
29 Martínez, Benjamín. 2006. La Filosofía Hacking y Cracking. México: Universidad Autónoma del Estado de Hidalgo.
Marco Arnao Vásquez
14
15. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
inserción, la eliminación puede actuar sobre un registro histórico o sobre otro al que se le
aplicarán modificaciones futuras. Por ejemplo, un atacante que ingresa al sistema de un
banco puede borrar una deuda.
Caso de esto tenemos al ataque sufrido por la red del Ejército de EE.UU. por
piratas informáticos en enero del 2015. El ataque consistió en que ingresaron a las
cuentas de Twitter del Comando Central estadounidense y cambiaron publicaciones y las
imágenes de perfil de algunas de ellas. Por ejemplo, los hackers habían conseguido
cambiar las imágenes oficiales de @centcom y modificaron la identificación por una
imagen en la que aparecía una persona con el rostro cubierto y la bandera del Estado
Islámico. Además de esto modificaron publicaciones realizadas por distintas cuentas del
ejército estadounidense, lo que trajo consigo un caos en las redes sociales y una
vergüenza para Norteamérica.
Los ataques de denegación de servicio (DoS, Denial – Of – Service) consiste en
negar el uso de los recursos a los usuarios propietarios del sistema y la información. Los
ataques DoS hacen imposible que el atacante tenga acceso y modifique la información
existente. Este tipo de ataque es considerado vandalismo. Existen cuatro tipos de
denegaciones: a la información, aplicaciones, sistema y comunicación.
En primer lugar un ataque contra el acceso a la información provoca que esta no
esté disponible para el usuario. Esto es debido a la destrucción de la información o el
cambio de esta hasta dejarla inutilizable. También esta denegación puede presentarse de
manera que la información aún existe, pero ha sido removida a un lugar inaccesible.
Luego la denegación de acceso a las aplicaciones se dirige, explícitamente, a la
aplicación que opera o exhibe la información. Es decir, si la aplicación no está disponible,
la organización no puede realizar sus actividades con normalidad. Por su parte, la
denegación de acceso a sistemas está orientada a derribar, especialmente, sistemas de
cómputo. En este tipo de ataque el sistema se cierra a cualquier interacción con el
usuario: las aplicaciones y la información dejan de estar disponibles. Por último, la
denegación de acceso a comunicaciones puede abarcar desde cortar un alambre, para
interrumpir las comunicaciones de radio, hasta inundar las redes con tráfico informático
excesivo. Aquí el objetivo para el atacante es el medio de comunicación por sí mismo.
Así, los sistemas y la información permanecen ilesos pero la carencia de comunicación
hace imposible la interacción de estos.
Caso se esto tenemos a el atentado a Invertia en el año 2000. Hacia marzo de
este año un fallo de seguridad en el portal financiero de Terra, Invertia, dejó sin control
todas las vulnerabilidades de su sistema. Al detectar esto los hackers, todos los datos de
sus usuarios de su base de datos quedaron expuestos por unas horas mostrando
nombre, apellido, login y password además de todos los movimientos realizados por cada
uno de ellos. Por su parte, la Agencia Española de Protección de Datos impuso una
sanción de 120 00 euros por concluir en que Invertia no había adoptado las medidas de
seguridad adecuadas para proteger los datos personales de sus clientes.
Los ataques de refutación son un intento de brindar al usuario información falsa y
negar que un evento real haya ocurrido. Se conforma por la simulación y denegación de
un evento. Por un lado la simulación consiste en comportarse como alguien más u otro
sistema. Este ataque puede ser llevado a cabo en la comunicación personal, en
transacciones, o en comunicaciones entre sistemas. Por otro lado la denegación de un
evento consiste simplemente en negar que la acción haya sido realizada tal y como se
registró. Por ejemplo un sujeto realiza múltiples compras en un supermercado haciendo
uso de su tarjeta de crédito; cuando a este llega la cuenta resuelve responder que nunca
hizo esas compras. Según un reciente estudio publicado por AvanteGarde2 (citado por
Marco Arnao Vásquez
15
16. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
Tarazona, 2007)30
, que realizó una prueba que consistía en dejar unos sistemas
conectados a Internet con las protecciones básicas configuradas de fábrica, el tiempo
promedio en el que un equipo resultó “exitosamente” atacado fue de solo 4 minutos.
La empresa Sony sufrió un ataque a mediados del 2011. Este ataque significó su
peor momento en 32 años de actividad exitosa como empresa tecnológica dentro de los
campos donde se desempeña: fotografía, equipos de sonido, televisión, smartphones,
etc. En 2011 se reportó que villanos informáticos violaron la seguridad y vulneraron
información de 77 millones de usuarios de la consola PSP 3. Así pues, quedaron
expuestas información como números de tarjetas de crédito, direcciones de hogar,
nombres de usuario y reales, etc. Como consecuencia, Sony cerró el servicio de
PlayStation Network por 25 días mientras se restauraba la seguridad. Las secuelas de
esto fue el desprestigio de la empresa en más de tres décadas y la obligó a recompensar
a los usuarios de diversas maneras.
Desde el punto de vista de Mieres (2009, 5-6)31
un ataque informático posee una
anatomía conformada por cinco fases: reconocimiento, exploración, obtener acceso,
mantener acceso y borrar huellas. El reconocimiento básicamente consiste en identificar
a la víctima –persona u organización– donde se llevará a cabo el robo de información. Se
utilizan recursos básicos de internet, como Google, para conseguir datos previos. Luego,
en la exploración se utiliza la información obtenida en la primera fase para extraer
información sobre el sistema, como dirección IP, nombres de host, entre otros. Una vez
recolectada toda esta información se trata de obtener acceso; es decir, se comienza a
materializar el ataque a través de la explotación de las vulnerabilidades y defectos en la
seguridad del sistema. Ahora se busca la manera de mantener el acceso al sistema; o
sea, implantar herramientas que permitan volver a acceder desde cualquier lugar con
internet. Por último, una vez que se ha obtenido la información deseada, el atacante debe
borrar las huellas de su intrusión. Para esto, buscará eliminar los archivos de registro y
las IDS (Sistema de Detección de Intrusos).
30 Tarazona, César. 2007. Amenazas informáticas y seguridad de la información. Revista del instituto de Ciencias Penales y Criminológicas 28 (84).
31 Mieres, Jorge. 2009. Ataques informáticos: debilidades de seguridad comúnmente explotadas. Estados Unidos: Evil Fingers.
Marco Arnao Vásquez
16
Acceso
Modificación
Denegación de servicio
Refutación
Fisgoneo
Escucha furtiva
Intercepción
Cambios
Inserción
Eliminación
Información
Aplicaciones
Sistema
Comunicación
Simulación
Denegación de un
evento
Figura 6. Ataques informáticos
Ataques Informáticos
17. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
III. CONCLUSIONES
En esta sección, además de sintetizar lo argumentado inicialmente, daré
respuesta a cada una de las interrogantes planteadas en el primer paso de la elaboración
del ensayo, el plan de investigación. En primer lugar y como respuesta a la primera
pregunta de investigación podemos afirmar que la seguridad de información, como
contraataque a los villanos informáticos, desarrolla diversos aspectos. Estos son los
controles de acceso, los muros de fuego (firewalls), software antivirus y un sistema de
detección de intrusiones. De esa manera se garantiza la confidencialidad, integridad y
disponibilidad de la información. Así pues, la información se mantiene lejos de malos
usos.
Además de ello se acopla la “criptografía” y se adopta el término de “encriptación”.
Esto significa cifrar información que será transmitida para garantizar su integridad desde
el lugar de origen hasta su destino. Además, el uso de herramientas secretas, como
claves y códigos, serán importantes en una buena práctica de seguridad. Todo esto debe
estar modulado por los estándares propuestos por una política de seguridad de
información, la cual deberá seguirse para garantizar una buena gestión. En pocas
palabras, la seguridad de información, además de ser un campo laboral que la empresa
debe implementar, se impone con un carácter obligatorio respecto a su desarrollo, ya que
todos nosotros, personas o empresas, estamos propensos a sufrir un robo de nuestros
datos.
En segundo lugar y como respuesta a la segunda pregunta de investigación
concluyo que para un hacker o cracker es muy fácil ingresar a un sistema que tenga
errores de seguridad y vulnerabilidades que ellos puedan burlar sin problemas–sin tener
en cuenta las grandes bases de datos internacionales con una seguridad excepcional-.
Casos de ataque como sufridos por empresas y personas como Pacific Bell, Microsoft, el
ejército de EE.UU. y el presidente de Colombia Juan Manuel Santos, entre otros;
demandan el implemento de medidas de seguridad drásticas que pueden ir desde
contraseñas hasta toda una red de software de detección de intrusiones. En conclusión,
la seguridad de la información no es solo un espacio más que una empresa o persona
llena en una encuesta, es mucho más serio que eso y debemos implementar una cultura
de seguridad para evitar seguir siendo sorprendidos y violentados nuestros derechos de
privacidad y el respeto.
Marco Arnao Vásquez
17
18. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
REFERENCIAS BIBLIOGRÁFICAS
Andrew Whitaker y Daniel Newman, Prueba de penetración y defensa de la red (Estados
Unidos: Cisco Press, 2005)
Bejamín Martínez, La Filosofía Hacking & Cracking (México: Universidad Autónoma del
Estado de Hidalgo, 2006):
< http://repository.uaeh.edu.mx/bitstream/bitstream/handle/123456789/10812/La
%20filosofia%20hacking%20%26%20cracking.pdf?sequence=1 >
Carlos Tori, Hacking Ético. (Rosario, Argentina: el autor, 2008)
César H. Tarazona T., Amenazas informáticas y seguridad de la información. Revista del
instituto de Ciencias Penales y Criminológicas 28 (84): 137 – 146:
< http://dialnet.unirioja.es/descarga/articulo/3311853.pdf >
César Mejía, Nini Ramírez y Juan Rivera, Vulnerabilidad, tipos de ataques y formas de
mitigarlos en las capas del modelo OSI en las redes de datos de las
organizaciones (Colombia: Universidad Tecnológica de Pereira, 2012):
< http://repositorio.utp.edu.co/dspace/bitstream/11059/2734/1/0058R173.pdf >
Ciro Antonio Dussan C., Políticas de seguridad de información. Revista Entramado 2 (1):
86-92:
< http://www.redalyc.org/articulo.oa?id=265420388008 >
Cristian F. Borghello, “Seguridad Infomática: sus implicancias e implementación”
(Argentina: Universidad Tecnológica Nacional, 2001)
Eduardo Carozo Blumsztein, “Implantación del sistema de gestión de seguridad de la
información en una empresa compleja”, Memoria de Trabajos de Difusión
Científica y Técnica, ISSN 1510-7450, Nº. 5, 18págs. 77-87 (2007 – Dialnet):
disponible en
<
http://www.um.edu.uy/_upload/_investigacion/web_investigacion_67_implantacion
delsistemadegestiondeseguridad.pdf >
Marco Arnao Vásquez
18
19. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
Enrique M. Sánchez, “Una introducción al software libre”, en Ciberactivismo: sobre los
usos políticos y sociales de la red, 45 – 78 (Barcelona: virus Editorial, 2006):
< http://www.viruseditorial.net/pdf/ciberactivismo.pdf >
Eric Maiwald, Fundamentos de Seguridad de Redes (Mexico: The McGraw-Hill
Companies, Inc., 2005)
Eugenio Moya Cantero, “La ética hacker y el espíritu del informacionalismo. Wikileaks
como caso paradigmático”, Daimon: Revista de filosofía, ISSN 1130-0507, Nº
Extra 4, 19págs. 323-332 (2011 – Dialnet): disponible en
< http://revistas.um.es/daimon/article/view/152631/134891 >
Ezequiel Sallis, Claudio Caracciolo y Marcelo Rodríguez, Ethical Hacking. Un enfoque
metodológico para profesionales (Buenos Aires: Alfaomega Grupo Editor
Argentino S.A., 2010)
Gibrán Granados P., Introducción a la Criptografía. Revista Digital Universitaria 7 (7): 1 –
17:
< http://www.revista.unam.mx/vol.7/num7/art55/jul_art55.pdf >
Gustavo Roig Domínguez, “Los discursos del Hacking”, en Ciberactivismo: sobre los usos
políticos y sociales de la red, 157 – 178 (Barcelona: virus Editorial, 2006):
< http://www.viruseditorial.net/pdf/ciberactivismo.pdf >
Jorge Mieres, Ataques informáticos: debilidades de seguridad comúnmente explotadas
(Estados Unidos: Evil Fingers)
< https://www.evilfingers.com/publications/white_AR/01_Ataques_informaticos.pdf >
José Miguel San Martín García, “La Seguridad de la Información. Norma UNE de
Seguridad de la Información”, Anales de mecánica y electricidad, ISSN 0003-
2506, Vol. 81, Fasc. 5, págs. 24-34 (2004 – Dialnet): disponible en
< http://dialnet.unirioja.es/servlet/articulo?codigo=1036328 >
Marco Arnao Vásquez
19
20. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
Joseph Weizenbaum, Potencia del ordenador y de la razón humana: Del juicio al cálculo
(San Francisco: W.H. Freeman, 1979)
Karthik Krishnan, Hackers: Detección y prevención (Estados Unidos: 2004):
< http://www4.ncsu.edu/~kksivara/sfwr4c03/projects/YamKhadduri-Project.pdf >
Manuel Castells, Internet, libertad y sociedad: una perspectiva analítica. Revista de la
Universidad Bolivariana 1 (4):
< http://www.redalyc.org/pdf/305/30500410.pdf >
María del Rosario De Miguel y Juan Vicente Oltra, Deontología y aspectos legales de la
informática: cuestiones éticas, jurídicas y técnicas básicas (Valencia: ed. UPV.,
2007)
Orlando López C. 2003. , Hackers & Crackers & phreackers: una perspectiva ética.
Revista de tecnología 2 (2): 59 – 64
http://www.uelbosque.edu.co/sites/default/files/publicaciones/revistas/revista_tecnologia/v
olumen2_numero2/hackers2-2.pdf (Consultado el 15 de enero de 2015)
Raúl J. Gil Fernández, Sistematización de la gestión de riesgos de la seguridad de la
información en la red (Venezuela: Universidad Centrooccidental “Lisandro
Alvarado”, 2011):
< http://bibcyt.ucla.edu.ve/Edocs_Bciucla/Repositorio/TGEQA76.9.A25C352011.pdf >
Rosa María Pérez Ponce, El hacking y técnicas de contra-ataques a la seguridad de
información (México: Universidad Autónoma del Estado de Hidalgo México, 2008):
<http://repository.uaeh.edu.mx/bitstream/bitstream/handle/123456789/10941/El
%20hacking%20y%20tecnicas%20de%20contra-ataques%20seguridad.pdf?
sequence=1>
Steve Mizrach, “Viejos hackers, nuevos hackers: ¿son distintos?”. En Internet, Hackers y
Sofware Libre. 127 – 132 (Argentina: Editora Fantasma, 2004)
Marco Arnao Vásquez
20
21. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
Stuart McClure, Joel Scambray y George Kurt, Hackers 3. Secretos y soluciones para la
seguridad de redes (Madrid: McGraw-Hill/Interamericana de España, S. A. U.,
2002)
Vicente M. Giménez Solano, Hacking y Ciberdelito (España: Universidad Tecnológica de
Valencia, 2011):
< http://riunet.upv.es/bitstream/handle/10251/11856/memoria.pdf?sequence=1 >
Marco Arnao Vásquez
21
22. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
Anexo 01Anexo 01
Plan de investigación formativa documentalPlan de investigación formativa documental
Marco Arnao Vásquez
22
23. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
Formando una cultura de seguridad frente a los robos informáticos
Brandon Pérez Guevara
Universidad Católica Santo Toribio de Mogrovejo
Facultad de Ingeniería Escuela de Sistemas y Computación, Ciclo IV
Chiclayo - Perú
DESCRIPCIÓN BREVE DEL PROBLEMA A INVESTIGAR
Actualmente es inevitable no escuchar, en la sociedad, algunos términos como
“web”, “fan page”, “internet”, “hacker”, etc. Esto indica que las comunidades de los últimos
años viven inmersas en un mundo tecnológico, en el que los avances han superado las
expectativas iniciales y muchas veces el hombre logra mucho más de lo que se propone.
Así como podemos sentirnos orgullosos de las telecomunicaciones, el internet y los
grandes inventos; podemos sentirnos también indignados frente a un tema que no puede
pasar como desapercibido. Así como vivimos en una sociedad avanzada
tecnológicamente, podemos encontrar intenciones maliciosas de cara a información
susceptible. El problemática es la falta de cultura de seguridad en la empresa y el robo de
su información.
El título escogido es “Formando una cultura de seguridad frente a los robos
informáticos”. Este tema presenta una gran importancia en el ámbito empresarial, ya que
en todo lugar existe información vulnerable. A todas aquellas personas que roban
información son conocidas, erróneamente, como “Hackers”. Además, no se tiene
consideradas unas buenas prácticas de seguridad de información partiendo de políticas
establecidas. Para encontrar solución al problema, se plantean las siguientes preguntas
de investigación: ¿cómo influye la seguridad de información y como se debe actuar en la
gestión de una empresa, organización o activos personales frente a robos informáticos? y
¿cómo y por qué actúa un ladrón informático?
HIPÓTESIS
Es posible que mediante la aplicación de una política se logre establecer una
cultura de seguridad en las empresas.
IMPORTANCIA DEL ESTUDIO
Este trabajo es realizado porque es necesario adoptar una cultura de seguridad en
las empresas y más que todo en las personas que trabajan con la información para evitar
Marco Arnao Vásquez
23
24. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
ser burlados por los villanos informáticos. Además, dar a conocer que no todos los
conocidos como “hackers” son personas sin moral, ética o cultura. Los hackers dedicados
solamente al robo de información por diversión o fines lucrativos son llamados “crackers”.
Estos sí utilizan la información, principalmente robada, para fines lucrativos o de interés
propio. Además la seguridad de información es importante no solamente para las
empresas, sino también para cualquier persona. Esto se debe a que toda persona tiene
datos importantes que proteger como: sus claves de acceso, su domicilio, sus
propiedades, hasta el nombre es protegido en algunos casos.
Básicamente se desarrollará el tema citado para tener conocimiento acerca del
robo de información y como asegurar los activos de manera eficiente. También mantener
marcada la diferencia entre “Hackers éticos” y “Crackers”, comúnmente confundida y
generalizada con el término “hacker”. Este trabajo de investigación otorgará la
información necesaria para cumplir el objetivo planteado al inicio de este párrafo. Debido
a que, para la creación de un sistema seguro, es necesario saber los métodos de quienes
atacan a estos. En conclusión, el tema “Formando una cultura de seguridad frente a los
robos informáticos” ayuda a la solución de los robos de información personal y
empresarial y también al robo en tiempo real de información a través de la formación de
una cultura de seguridad.
METODOLOGÍA DE ESTUDIO
El punto de vista empleado para este ensayo será social, ético y moral; además
de tecnológico y metódico. En el aspecto social, ético y moral se involucrarán los valores
de la persona y las facultades que esta tiene y deben ser respetadas. Es por eso que se
hará hincapié en las buenas prácticas de seguridad de información. Así se evaluará el
perfil ético-moral de los hackers, crakers y el hacking ético, como doctrina hacker, para
lograr una diferencia estable entre ellos. Además se tendrán en cuenta los estudios
realizados por grandes autores e investigadores reconocidos como Eric Maiwald, Joseph
Weizenbaum, Cristian Borghello; entre otros.
La información se presentará utilizando el ensayo. El estilo a usar será Chicago.
Se usarán fuentes primarias como: libros físicos o en línea. Utilizaremos preguntas de
investigación que se responderán dentro de la monografía. Y por último usaremos un
plan de investigación para asegurar la eficiencia de nuestra monografía.
OBJETIVOS
Marco Arnao Vásquez
24
25. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
1. Argumentar la manera en que influye la seguridad de información al momento de
proteger los activos de la empresa y cómo lo hace desde un punto de vista
teórico-tecnológico.
2. Explicar y fundamentar cómo actúa un ladrón informático desde la concepción de
la cultura Hacker.
ESTRUCTURA DEL ENSAYO (SUMARIO O PLAN DE REDACCIÓN)
Macro
secuencia
Secuencias Microsecuencias
Referencias bibliográficas
impresas y virtuales
(Libros, artículos científicos,
monografías, etc.)
Introducción
Tema
Descripción del
problema
Importancia del
estudio
Metodología
Objetivos
Estructura del
trabajo
Desarrollo
Sección I
Influencia de
la seguridad
de
información
en la empresa
1.1. ¿De qué manera se
involucra la seguridad de
información en la empresa?
1.2. Una política de
seguridad como primer
requisito
1.3. La alternativa de la
encriptación
1.4. ¿Cómo implementar una
seguridad basada en
software?
Cristian Borghello (2001)
Eric Hughes (2004)
José San Martín García (2004)
Andrew Whitaker y Daniel Newman
(2005)
Eric Maiwald (2005)
Gibran Granados (2006)
Ciro Dussan (2006)
María del Rosario De Miguel y Juan
Vicente Oltra (2007)
Eduardo Cardozo (2007)
Rosa María Pérez Ponce (2008)
Jorge Mieres (2009)
Raúl Gil Fernández (2011)
César Mejía, Nini Ramírez y Juan Rivera
(2012)
Sección II
La razón del
ladrón
informático
1.1. ¿Por qué ataca un
villano informático?
1.2. ¿Cómo ataca un villano
informático?
Joseph Weizenbaum (1976)
Orlando López (2003)
Steve Mizrach (2004)
Karthik Krishnan (2004)
Eric Maiwald (2005)
Benjamín Martínez (2006)
Gustavo Roig (2006)
Marco Arnao Vásquez
25
26. Lenguaje y Com unicación II EL ENSAYO. Proyecto de Investigac ión Form ativa
César Tarazona (2007)
Carlos Tori (2008)
Jorge Mieres (2009)
Rodríguez (2010)
Eugenio Moya (2011)
Ezequiel Sallis, Claudio Caracciolo y
Marcelo
Vicente Giménez (2011)
César Mejía, Nini Ramírez y Juan Rivera
(2012)
Conclusione
s
CRONOGRAMA DE PRESENTACIÓN
Fecha Acción Observación
13 / 01 / 2014
Plan de
Investigación
25 / 01 / 2014 Avance 01
11 / 02 / 2014 Avance 02
17 / 02 / 2015 Avance 03
18 / 02 / 2015 Exposición
Chiclayo, enero 2015.
Marco Arnao Vásquez
26
27. Lenguaje y Com unicación II EL ENSAY O. Proyecto de Investigación Form ativa
CARTOGRAFÍA DEL PLAN DE INVESTIGACIÓN FORMATIVA: ENSAYO
Marco Arnao Vásquez
HIPÓTESIS: Es posible que mediante la aplicación de una política se logre establecer una cultura de seguridad en las empresas.
ENSAYO: FORMANDO UNA CULTURA DE SEGURIDAD FRENTE A ROBOS INFORMÁTICOS
PROBLEMA PREGUNTAS DE
INVESTIGACIÓN
OBJETIVOS SECUENCIAS REFERENCIAS
BIBLIOGRÁFIC
AS
¿Cómo influye la
seguridad de
información en la
empresa?
¿Cómo y por qué actúa
un ladrón informático?
Las organizaciones y
empresas, cada día más
dependientes de
estructuras tecnológicas
sistematizadas, son
atentadas por villanos
informáticos en busca de
débiles metodologías de
seguridad para causar
daños en los sistemas de
información vulnerables
Argumentar la manera
en que influye la
seguridad de
información al
momento de proteger
los activos de la
empresa desde un
punto de vista teórico
Fundamentar las
mejores prácticas
informáticas de
seguridad de
información desde el
punto de vista
tecnológico
SECCIÓN I: Influencia
de la seguridad de
información en la
empresa
SECCIÓN II: La razón
del villano informático
Cristian Borghello (2001)
Eric Hughes (2004)
José San Martín García (2004)
Andrew Whitaker y Daniel
Newman (2005)
Eric Maiwald (2005)
Gibran Granados (2006) ; entre
otros
Joseph Weizenbaum (1976)
Orlando López (2003)
Steve Mizrach (2004)
Karthik Krishnan (2004)
Eric Maiwald (2005)
Benjamín Martínez (2006) ;
entre otros
27
28. Lenguaje y Com unicación II EL ENSAY O. Proyecto de Investigación Form ativa
Anexo 02
Instrumentos de evaluación del Ensayo
Marco Arnao Vásquez
28
29. Lenguaje y Com unicación II EL ENSAY O. Proyecto de Investigación Form ativa
Anexo 03
Instrumentos de evaluación de la exposición
Marco Arnao Vásquez
29