2013

INFORMÁTICA

SERGIO POVEDA
INDICE

 Seguridad informática
o Objetivos
o Amenazas
 Tipos de amenazas
o Analices de riesgos
o Elementos de un análisis
 Firewall
 2013

o H icas
i
 Virus informáticos
s
t o Historia
o
o Características
r
i o Métodos de propagación
a
o Métodos de protección
o T
o Tipos de virus
i
p
o
s
o V
e
n
t
a
j
a
s
o L
i
m
i
t
a
c
i
o
n
e
s
o P
o
l
í
t
SEGURIDAD INFORMÁTICA

La seguridad informática o seguridad de tecnologías de la información es el área de la

informática que se enfoca en la protección de la infraestructura computacional y todo
lo relacionado con esta y, especialmente, la información contenida o circulante. Para
ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes
concebidas para minimizar los posibles riesgos a la infraestructura o a la información.
La seguridad informática comprende software (bases de datos, metadatos, archivos),
hardware y todo lo que la organización valore (activo) y signifique un riesgo si esta
información confidencial llega a manos de otras personas, convirtiéndose, por
ejemplo, en información privilegiada.

El concepto de seguridad de la información no debe ser confundido con el de

«seguridad informática», ya que este último solo se encarga de la seguridad en el
medio informático, pero la información puede encontrarse en diferentes medios o
formas, y no solo en medios informáticos.

La seguridad informática es la disciplina que se ocupa de diseñar las normas,

procedimientos, métodos y técnicas destinados a conseguir un sistema de información
seguro y confiable.

Objetivos
La seguridad informática debe establecer normas que minimicen los riesgos a la
información o infraestructura informática. Estas normas incluyen horarios de
funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles
de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen
nivel de seguridad informática minimizando el impacto en el desempeño de los
trabajadores y de la organización en general y como principal contribuyente al uso de
programas realizados por programadores.

La seguridad informática está concebida para proteger los activos informáticos, entre
los que se encuentran:

La infraestructura computacional: Es una parte fundamental para el

almacenamiento y gestión de la información, así como para el funcionamiento
mismo de la organización. La función de la seguridad informática en esta área
es velar que los equipos funcionen adecuadamente y anticiparse en caso de
fallas, robos, incendios, boicot, desastres naturales, fallas en el suministro
eléctrico y cualquier otro factor que atente contra la infraestructura
informática.

Los usuarios: Son las personas que utilizan la estructura tecnológica, zona de
comunicaciones y que gestionan la información. Debe protegerse el sistema en
general para que el uso por parte de ellos no pueda poner en entredicho la
seguridad de la información y tampoco que la información que manejan o
almacenan sea vulnerable.
 La información: es el principal activo. Utiliza y reside en la infraestructura
computacional y es utilizada por los usuarios.

Amenazas

Una vez que la programación y el funcionamiento de un dispositivo de

almacenamiento (o transmisión) de la información se consideran seguras, todavía
deben ser tenidos en cuenta las circunstancias «no informáticas» que pueden afectar a
los datos, las cuales son a menudo imprevisibles o inevitables, de modo que la única
protección posible es la redundancia en el caso de los datos y la descentralización -por
ejemplo mediante estructura de redes- en el caso de las comunicaciones.

Estos fenómenos pueden ser causados por:

El usuario: causa del mayor problema ligado a la seguridad de un sistema

informático (porque no le importa, no se da cuenta o a propósito).
Programas maliciosos: programas destinados a perjudicar o a hacer un uso
ilícito de los recursos del sistema. Es instalado (por inatención o maldad) en el
ordenador abriendo una puerta a intrusos o bien modificando los datos. Estos
programas pueden ser un virus informático, un gusano informático, un troyano,
una bomba lógica o un programa espía o spyware.
Un intruso: persona que consigue acceder a los datos o programas de los
cuales no tiene acceso permitido (cracker, defacer, script kiddie o Script boy,
viruxer, etc.).
Un siniestro (robo, incendio, inundación): una mala manipulación o una mala
intención derivan a la pérdida del material o de los archivos.
El personal interno de Sistemas. Las pujas de poder que llevan a disociaciones
entre los sectores y soluciones incompatibles para la seguridad informática.
Fallos electrónicos o lógicos de los sistemas informáticos en general.
Tipos de amenaza

Existen infinidad de modos de clasificar un ataque y cada ataque puede recibir más de
una clasificación. Por ejemplo, un phishing puede llegar a robar la contraseña de un
usuario de una red social y con ella realizar una suplantación de la identidad para un
posterior acoso, o el robo de la contraseña puede usarse simplemente para cambiar la
foto del perfil y dejarlo todo en una broma (sin que deje de ser delito, al menos en
países con legislación para el caso, como lo es España).

Amenazas por el origen

El hecho de conectar una red a un entorno externo nos da la posibilidad de que algún
atacante pueda entrar en ella, con esto, se puede hacer robo de información o alterar
el funcionamiento de la red. Sin embargo el hecho de que la red no sea conectada a un
entorno externo no nos garantiza la seguridad de la misma. De acuerdo con el
Computer Security Institute (CSI) de San Francisco aproximadamente entre 60 y 80 por
ciento de los incidentes de red son causados desde adentro de la misma. Basado en el
origen del ataque podemos decir que existen dos tipos de amenazas:

Amenazas internas: Generalmente estas amenazas pueden ser más serias que
las externas por varias razones como son:

Los usuarios conocen la red y saben cómo es su funcionamiento.

Tienen algún nivel de acceso a la red por las mismas necesidades de su
trabajo.
Los sistemas de prevención de intrusos, IPS, y firewalls son mecanismos
no efectivos en amenazas internas.

Amenazas externas: Son aquellas amenazas que se originan fuera de la red. Al

no tener información certera de la red, un atacante tiene que realizar ciertos
pasos para poder conocer qué es lo que hay en ella y buscar la manera de
atacarla. La ventaja que se tiene en este caso es que el administrador de la red
puede prevenir una buena parte de los ataques externos.

Amenazas por el efecto

El tipo de amenazas por el efecto que causan a quien recibe los ataques podría
clasificarse en:

Robo de información.
Destrucción de información.
Anulación del funcionamiento de los sistemas o efectos que tiendan a ello.
Suplantación de la identidad, publicidad de datos personales o confidenciales,
cambio de información, venta de datos personales, etc.
Robo de dinero, estafas,...
Amenazas por el medio utilizado

Se pueden clasificar por el modus operandi del atacante, si bien el efecto puede ser
distinto para un mismo tipo de ataque:

Virus informático: malware que tiene por objeto alterar el normal

funcionamiento de la computadora, sin el permiso o el conocimiento del
usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros
infectados con el código de este. Los virus pueden destruir, de manera
intencionada, los datos almacenados en una computadora, aunque también
existen otros más inofensivos, que solo se caracterizan por ser molestos.
Phishing.
Ingeniería social.
Denegación de servicio.
Spoofing: de DNS, de IP, de DHCP, etc.

Amenaza informática del futuro

Si en un momento el objetivo de los ataques fue cambiar las plataformas tecnológicas

ahora las tendencias cibercriminales indican que la nueva modalidad es manipular los
certificados que contienen la información digital. El área semántica, era reservada para
los humanos, se convirtió ahora en el núcleo de los ataques debido a la evolución de la
Web 2.0 y las redes sociales, factores que llevaron al nacimiento de la generación 3.0.

Se puede afirmar que “la Web 3.0 otorga contenidos y significados de manera
tal que pueden ser comprendidos por las computadoras, las cuales -por medio
de técnicas de inteligencia artificial- son capaces de emular y mejorar la
obtención de conocimiento, hasta el momento reservada a las personas”.
Es decir, se trata de dotar de significado a las páginas Web, y de ahí el nombre
de Web semántica o Sociedad del Conocimiento, como evolución de la ya
pasada Sociedad de la Información

En este sentido, las amenazas informáticas que viene en el futuro ya no son con la
inclusión de troyanos en los sistemas o software espías, sino con el hecho de que los
ataques se han profesionalizado y manipulan el significado del contenido virtual.

“La Web 3.0, basada en conceptos como elaborar, compartir y significar, está
representando un desafío para los hackers que ya no utilizan las plataformas
convencionales de ataque, sino que optan por modificar los significados del
contenido digital, provocando así la confusión lógica del usuario y permitiendo
de este modo la intrusión en los sistemas”, La amenaza ya no solicita la clave de
homebanking del desprevenido usuario, sino que directamente modifica el
balance de la cuenta, asustando al internauta y, a partir de allí, sí efectuar el
robo del capital”.
 Obtención de perfiles de los usuarios por medios, en un principio, lícitos:
seguimiento de las búsquedas realizadas, históricos de navegación,
seguimiento con geo posicionamiento de los móviles, análisis de las imágenes
digitales subidas a Internet, etc.

Para no ser presa de esta nueva ola de ataques más sutiles, se recomienda:

Mantener las soluciones activadas y actualizadas.

Evitar realizar operaciones comerciales en computadoras de uso público.
Verificar los archivos adjuntos de mensajes sospechosos y evitar su descarga en
caso de duda.

Análisis de riesgos
El activo más importante que se posee es la información y, por lo tanto, deben existir
técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los
equipos en los cuales se almacena. Estas técnicas las brinda la seguridad lógica que
consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los
datos y sólo permiten acceder a ellos a las personas autorizadas para hacerlo.

Existe un viejo dicho en la seguridad informática que dicta: "lo que no está permitido
debe estar prohibido" y ésta debe ser la meta perseguida.

Los medios para conseguirlo son:

1. Restringir el acceso (de personas de la organización y de las que no lo son) a los

programas y archivos.
2. Asegurar que los operadores puedan trabajar pero que no puedan modificar los
programas ni los archivos que no correspondan (sin una supervisión
minuciosa).
3. Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el
procedimiento elegido.
4. Asegurar que la información transmitida sea la misma que reciba el destinatario
al cual se ha enviado y que no le llegue a otro.
5. Asegurar que existan sistemas y pasos de emergencia alternativos de
transmisión entre diferentes puntos.
6. Organizar a cada uno de los empleados por jerarquía informática, con claves
distintas y permisos bien establecidos, en todos y cada uno de los sistemas o
aplicaciones empleadas.
7. Actualizar constantemente las contraseñas de accesos a los sistemas de
cómputo.

Elementos de un análisis de riesgo

Cuando se pretende diseñar o crear una técnica para implementar un análisis de riesgo
informático se pueden tomar los siguientes puntos como referencia a seguir:

Planes para reducir los riesgos.

Análisis de impacto al negocio

El reto es asignar estratégicamente los recursos para cada equipo de seguridad y

bienes que intervengan, basándose en el impacto potencial para el negocio, respecto a
los diversos incidentes que se deben resolver. Para determinar el establecimiento de
prioridades, el sistema de gestión de incidentes necesita saber el valor de los sistemas
de información que pueden ser potencialmente afectados por incidentes de seguridad.

Esto puede implicar que alguien dentro de la organización asigne un valor monetario a
cada equipo y un archivo en la red o asignar un valor relativo a cada sistema y la
información sobre ella. Dentro de los Valores para el sistema se pueden distinguir:
Confidencialidad de la información, la Integridad (aplicaciones e información) y
finalmente la Disponibilidad del sistema. Cada uno de estos valores es un sistema
independiente del negocio, supongamos el siguiente ejemplo, un servidor Web público
pueden poseer los requisitos de confidencialidad de baja (ya que toda la información
es pública), pero de alta disponibilidad y los requisitos de integridad. En contraste, un
sistema de planificación de recursos empresariales (ERP), sistema puede poseer alto
puntaje en los tres variables. Los incidentes individuales pueden variar ampliamente
en términos de alcance e importancia.

Puesta en marcha de una política de seguridad

Actualmente las legislaciones nacionales de los Estados, obligan a las empresas,

instituciones públicas a implantar una política de seguridad. Por ejemplo, en España, la
Ley Orgánica de Protección de Datos de carácter personal o también llamada LOPD y
su normativa de desarrollo, protege ese tipo de datos estipulando medidas básicas y
necesidades que impidan la pérdida de calidad de la información o su robo. También
en ese país, el Esquema Nacional de Seguridad establece medidas tecnológicas para
permitir que los sistemas informáticos que prestan servicios a los ciudadanos cumplan
con unos requerimientos de seguridad acordes al tipo de disponibilidad de los servicios
que se prestan.

Generalmente se ocupa exclusivamente a asegurar los derechos de acceso a los datos

y recursos con las herramientas de control y mecanismos de identificación. Estos
mecanismos permiten saber que los operadores tienen sólo los permisos que se les
dio.

La seguridad informática debe ser estudiada para que no impida el trabajo de los
operadores en lo que les es necesario y que puedan utilizar el sistema informático con
toda confianza. Por eso en lo referente a elaborar una política de seguridad, conviene:

Elaborar reglas y procedimientos para cada servicio de la organización.

Definir las acciones a emprender y elegir las personas a contactar en caso de
detectar una posible intrusión
Sensibilizar a los operadores con los problemas ligados con la seguridad de los
sistemas informáticos.
Los derechos de acceso de los operadores deben ser definidos por los responsables
jerárquicos y no por los administradores informáticos, los cuales tienen que conseguir
que los recursos y derechos de acceso sean coherentes con la política de seguridad
definida. Además, como el administrador suele ser el único en conocer perfectamente
el sistema, tiene que derivar a la directiva cualquier problema e información relevante
sobre la seguridad, y eventualmente aconsejar estrategias a poner en marcha, así
como ser el punto de entrada de la comunicación a los trabajadores sobre problemas y
recomendaciones en término de seguridad informática.

Técnicas para asegurar el sistema

Dos firewalls permiten crear una DMZ donde alojar los principales servidores que dan
servicio a la empresa y la relacionan con Internet. Por ejemplo, los servidores web, los
servidores de correo electrónico,... El router es el elemento expuesto directamente a
Internet y, por tanto, el más vulnerable.

Cada tipo de ataque y cada sistema requiere de un medio de protección o más (en la
mayoría de los casos es una combinación de varios de ellos)

A continuación se enumeran una serie de medidas que se consideran básicas para

asegurar un sistema tipo, si bien para necesidades específicas se requieren medidas
extraordinarias y de mayor profundidad:

Utilizar desarrollos que cumplan con los criterios de seguridad al uso para todo
el software que se implante en los sistemas.
Implantar medidas de seguridad físicas: sistemas antiincendios, vigilancia de los
centros de proceso de datos, sistemas de protección contra inundaciones,
protecciones eléctricas contra apagones y sobretensiones, sistemas de control
de accesos, etc.
Codificar la información: criptología, criptografía y criptociencia. Esto se debe
realizar en todos aquellos trayectos por los que circule la información que se
quiere proteger, no solo en aquellos más vulnerables. Por ejemplo, si los datos
de una base muy confidencial se han protegido con dos niveles de firewall, se
ha cifrado todo el trayecto entre los clientes y los servidores y entre los propios
servidores, se utilizan certificados pero se deja sin cifrar las impresiones
enviadas a la fotocopiadora de red, tendríamos un punto de vulnerabilidad.
Contraseñas difíciles de averiguar, por ejemplo a partir de los datos personales
del individuo o por comparación con un diccionario, y que se cambien con la
suficiente periodicidad. Las contraseñas, además, deben tener la suficiente
complejidad como para que un atacante no pueda deducirla por medio de
programas informáticos. El uso de certificados digitales mejora la seguridad
frente al simple uso de contraseñas.
Vigilancia de red. Las redes transportan toda la información, por lo que además
de ser el medio habitual de acceso de los atacantes, también son un buen lugar
para obtener la información sin tener que acceder a las fuentes de la misma.
 Por la red no solo circula la información de ficheros informáticos como tal,
también se transportan por ella: correo electrónico, conversaciones telefónica
(ToIP), mensajería instantánea, navegación Internet, lecturas y escrituras a
bases de datos, etc. Por todo ello, proteger la red es una de las principales
tareas para evitar robo de información.

Redes perimetrales de seguridad.

Tecnologías repelentes o protectoras: cortafuegos, sistema de detección de
intrusos - antispyware, antivirus, llaves para protección de software, etc.
Mantener los sistemas de información con las actualizaciones que más
impacten en la seguridad.
Copias de seguridad e, incluso, sistemas de respaldo remoto que permiten
mantener la información en dos ubicaciones de forma asíncrona.

Respaldo de información

La información constituye el activo más importante de las empresas, pudiendo verse

afectada por muchos factores tales como robos, incendios, fallas de disco, virus u
otros. Desde el punto de vista de la empresa, uno de los problemas más importantes
que debe resolver es la protección permanente de su información crítica.

La medida más eficiente para la protección de los datos es determinar una buena
política de copias de seguridad o backups: Este debe incluir copias de seguridad
completa (los datos son almacenados en su totalidad la primera vez) y copias de
seguridad incrementales (sólo se copian los ficheros creados o modificados desde el
último backup). Es vital para las empresas elaborar un plan de backup en función del
volumen de información generada y la cantidad de equipos críticos.

Un buen sistema de respaldo debe contar con ciertas características indispensables:

Continuo
El respaldo de datos debe ser completamente automático y continuo. Debe
funcionar de forma transparente, sin intervenir en las tareas que se encuentra
realizando el usuario.

Seguro
Muchos software de respaldo incluyen cifrado de datos (128-448 bits), lo cual
debe ser hecho localmente en el equipo antes del envío de la información.

Remoto
Los datos deben quedar alojados en dependencias alejadas de la empresa.
 Mantenimiento de versiones anteriores de los datos
Se debe contar con un sistema que permita la recuperación de, por ejemplo,
versiones diarias, semanales y mensuales de los datos.

Hoy en día los sistemas de respaldo de información online, servicio de backup remoto,
están ganando terreno en las empresas y organismos gubernamentales. La mayoría de
los sistemas modernos de respaldo de información online cuentan con las máximas
medidas de seguridad y disponibilidad de datos.

Estos sistemas permiten a las empresas crecer en volumen de información derivando

la necesidad del crecimiento de la copia de respaldo a proveedor del servicio.

Consideraciones de software

Tener instalado en la máquina únicamente el software necesario reduce riesgos. Así

mismo tener controlado el software asegura la calidad de la procedencia del mismo (el
software obtenido de forma ilegal o sin garantías aumenta los riesgos). En todo caso
un inventario de software proporciona un método correcto de asegurar la
reinstalación en caso de desastre. El software con métodos de instalación rápidos
facilita también la reinstalación en caso de contingencia.

Existe un software que es conocido por la cantidad de agujeros de seguridad que

introduce. Se pueden buscar alternativas que proporcionen iguales funcionalidades
pero permitiendo una seguridad extra.

Consideraciones de una red

Los puntos de entrada en la red son generalmente el correo, las páginas web y la
entrada de ficheros desde discos, o de ordenadores ajenos, como portátiles.

Mantener al máximo el número de recursos de red sólo en modo lectura, impide que
ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los
permisos de los usuarios al mínimo.

Se pueden centralizar los datos de forma que detectores de virus en modo batch
puedan trabajar durante el tiempo inactivo de las máquinas.

Controlar y monitorizar el acceso a Internet puede detectar, en fases de recuperación,

cómo se ha introducido el virus.
Algunas afirmaciones erróneas comunes acerca de la seguridad

«Mi sistema no es importante para un hacker»

Esta afirmación se basa en la idea de que no introducir contraseñas seguras en una

empresa no entraña riesgos pues ¿quién va a querer obtener información mía?
Sin embargo, dado que los métodos de contagio se realizan por medio de programas
automáticos, desde unas máquinas a otras, estos no distinguen buenos de malos,
interesantes de no interesantes, etc. Por tanto abrir sistemas y dejarlos sin claves es
facilitar la vida a los virus.

«Estoy protegido pues no abro archivos que no conozco»

Esto es falso, pues existen múltiples formas de contagio, además los programas
realizan acciones sin la supervisión del usuario poniendo en riesgo los sistemas.

«Como tengo antivirus estoy protegido»

En general los programas antivirus no son capaces de detectar todas las posibles
formas de contagio existentes, ni las nuevas que pudieran aparecer conforme los
ordenadores aumenten las capacidades de comunicación, además los antivirus son
vulnerables a desbordamientos de búfer que hacen que la seguridad del sistema
operativo se vea más afectada aún.

«Como dispongo de un firewall no me contagio»

Esto únicamente proporciona una limitada capacidad de respuesta. Las formas de

infectarse en una red son múltiples. Unas provienen directamente de accesos al
sistema (de lo que protege un firewall) y otras de conexiones que se realizan (de las
que no me protege). Emplear usuarios con altos privilegios para realizar conexiones
puede entrañar riesgos, además los firewalls de aplicación (los más usados) no brindan
protección suficiente contra el Spoofing.

«Tengo un servidor web cuyo sistema operativo es un Unix actualizado a la

fecha»

Puede que esté protegido contra ataques directamente hacia el núcleo, pero si alguna
de las aplicaciones web (PHP, Perl, Cpanel, etc.) está desactualizada, un ataque sobre
algún script de dicha aplicación puede permitir que el atacante abra una Shell y por
ende ejecutar comandos en el Unix.
Firewall

Un cortafuegos (firewall en inglés) es

una parte de un sistema o una red que
está diseñada para bloquear el acceso
no autorizado, permitiendo al mismo
tiempo comunicaciones autorizadas.

Se trata de un dispositivo o conjunto

de dispositivos configurados para
permitir, limitar, cifrar, descifrar, el
tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros
criterios.

Los cortafuegos pueden ser implementados en hardware o software, o una

combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los
usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a
Internet, especialmente intranets. Todos los mensajes que entren o salgan de la
intranet pasan a través de los cortafuegos, que examina cada mensaje y bloquea
aquellos que no cumplen los criterios de seguridad especificados. También es
frecuente conectar al cortafuegos a una tercera red, llamada «zona desmilitarizada» o
DMZ, en la que se ubican los servidores de la organización que deben permanecer
accesibles desde la red exterior.

Un cortafuegos correctamente configurado añade una protección necesaria a la red,

pero que en ningún caso debe considerarse suficiente. La seguridad informática abarca
más ámbitos y más niveles de trabajo y protección.

Historia delcortafuegos

El término firewall / fireblock significaba originalmente una pared para confinar un

incendio o riesgo potencial de incendio en un edificio. Más adelante se usa para
referirse a las estructuras similares, como la hoja de metal que separa el
compartimiento del motor de un vehículo o una aeronave de la cabina. La tecnología
de los cortafuegos surgió a finales de 1980, cuando Internet era una tecnología
bastante nueva en cuanto a su uso global y la conectividad. Los predecesores de los
cortafuegos para la seguridad de la red fueron los routers utilizados a finales de 1980,
que mantenían a las redes separadas unas de otras.

La visión de Internet como una comunidad relativamente pequeña de usuarios con

máquinas compatibles, que valoraba la predisposición para el intercambio y la
colaboración, terminó con una serie de importantes violaciones de seguridad de
Internet que se produjo a finales de los 80:

Clifford Stoll, que descubrió la forma de manipular el sistema de espionaje

alemán.
 Bill Cheswick, cuando en 1992 instaló una cárcel simple electrónica para
observar a un atacante.
En 1988, un empleado del Centro de Investigación Ames de la NASA, en
California, envió una nota por correo electrónico a sus colegas que decía:

"Estamos bajo el ataque de un virus de Internet” Ha llegado a Berkeley, UC San

Diego, Lawrence Livermore, Stanford y la NASA Ames."

El Gusano Morris, que se extendió a través de múltiples vulnerabilidades en las

máquinas de la época. Aunque no era malicioso, el gusano Morris fue el primer
ataque a gran escala sobre la seguridad en Internet; la red no esperaba ni
estaba preparada para hacer frente a su ataque.

Primera generación – cortafuegos de red: filtrado de paquetes

El primer documento publicado para la tecnología firewall data de 1988, cuando el

equipo de ingenieros Digital Equipment Corporation (DEC) desarrolló los sistemas de
filtro conocidos como cortafuegos de filtrado de paquetes. Este sistema, bastante
básico, fue la primera generación de lo que se convertiría en una característica más
técnica y evolucionada de la seguridad de Internet.

El filtrado de paquetes actúa mediante la inspección de los paquetes (que representan

la unidad básica de transferencia de datos entre ordenadores en Internet). Si un
paquete coincide con el conjunto de reglas del filtro, el paquete se reducirá (descarte
silencioso) o será rechazado (desprendiéndose de él y enviando una respuesta de error
al emisor). Este tipo de filtrado de paquetes no presta atención a si el paquete es parte
de una secuencia existente de tráfico.

En su lugar, se filtra cada paquete basándose únicamente en la información contenida

en el paquete en sí (por lo general utiliza una combinación del emisor del paquete y la
dirección de destino, su protocolo, y, en el tráfico TCP y UDP, el número de puerto).
Los protocolos TCP y UDP comprenden la mayor parte de comunicación a través de
Internet, utilizando por convención puertos bien conocidos para determinados tipos
de tráfico, por lo que un filtro de paquetes puede distinguir entre ambos tipos de
tráfico (ya sean navegación web, impresión remota, envío y recepción de correo
electrónico, transferencia de archivos…); a menos que las máquinas a cada lado del
filtro de paquetes estén a la vez utilizando los mismos puertos no estándar.

Segunda generación – cortafuegos de estado

Durante 1989 y 1990, tres colegas de los laboratorios AT&T Bell, Dave Presetto,
Janardan Sharma, y Nigam Kshitij, desarrollaron la segunda generación de servidores
de seguridad. Esta segunda generación de cortafuegos tiene en cuenta, además, la
colocación de cada paquete individual dentro de una serie de paquetes.
Esta tecnología se conoce generalmente como la inspección de estado de paquetes, ya
que mantiene registros de todas las conexiones que pasan por el cortafuegos, siendo
capaz de determinar si un paquete indica el inicio de una nueva conexión, es parte de
una conexión existente, o es un paquete erróneo. Este tipo de cortafuegos pueden
ayudar a prevenir ataques contra conexiones en curso o ciertos ataques de denegación
de servicio.

Tercera generación - cortafuegos de aplicación

Son aquellos que actúan sobre la capa de aplicación del modelo OSI. La clave de un
cortafuegos de aplicación es que puede entender ciertas aplicaciones y protocolos (por
ejemplo: protocolo de transferencia de ficheros, DNS o navegación web), y permite
detectar si un protocolo no deseado se coló a través de un puerto no estándar o si se
está abusando de un protocolo de forma perjudicial.

Un cortafuegos de aplicación es mucho más seguro y fiable cuando se compara con un

cortafuegos de filtrado de paquetes, ya que repercute en las siete capas del modelo de
referencia OSI. En esencia es similar a un cortafuegos de filtrado de paquetes, con la
diferencia de que también podemos filtrar el contenido del paquete. El mejor ejemplo
de cortafuegos de aplicación es ISA (Internet Security and Acceleration).

Un cortafuegos de aplicación puede filtrar protocolos de capas superiores tales como

FTP, TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS).

Por ejemplo, si una organización quiere bloquear toda la información relacionada con
una palabra en concreto, puede habilitarse el filtrado de contenido para bloquear esa
palabra en particular. No obstante, los cortafuegos de aplicación resultan más lentos
que los de estado.

Tipos de cortafuegos

Nivel de aplicación de pasarela

Aplica mecanismos de seguridad para aplicaciones específicas, tales como servidores

FTP y Telnet. Esto es muy eficaz, pero puede imponer una degradación del
rendimiento.

Circuito a nivel de pasarela

Aplica mecanismos de seguridad cuando una conexión TCP o UDP es establecida. Una
vez que la conexión se ha hecho, los paquetes pueden fluir entre los anfitriones sin
más control. Permite el establecimiento de una sesión que se origine desde una zona
de mayor seguridad hacia una zona de menor seguridad.
Cortafuegos de capa de red o de filtrado de paquetes

Funciona a nivel de red (capa 3 del modelo OSI, capa 2 del stack de protocolos TCP/IP)
como filtro de paquetes IP. A este nivel se pueden realizar filtros según los distintos
campos de los paquetes IP: dirección IP origen, dirección IP destino. A menudo en este
tipo de cortafuegos se permiten filtrados según campos de nivel de transporte (capa 3
TCP/IP, capa 4 Modelo OSI), como el puerto origen y destino, o a nivel de enlace de
datos (no existe en TCP/IP, capa 2 Modelo OSI) como la dirección MAC.

Cortafuegos de capa de aplicación

Trabaja en el nivel de aplicación (capa 7 del modelo OSI), de manera que los filtrados
se pueden adaptar a características propias de los protocolos de este nivel. Por
ejemplo, si trata de tráfico HTTP, se pueden realizar filtrados según la URL a la que se
está intentando acceder, e incluso puede aplicar reglas en función de los propios
valores de los parámetros que aparezcan en un formulario web.

Un cortafuegos a nivel 7 de tráfico HTTP suele denominarse proxy, y permite que los
ordenadores de una organización entren a Internet de una forma controlada. Un proxy
oculta de manera eficaz las verdaderas direcciones de red.

Cortafuegos personal

Es un caso particular de cortafuegos que se instala como software en un ordenador,

filtrando las comunicaciones entre dicho ordenador y el resto de la red. Se usa por
tanto, a nivel personal.

Ventajas de un cortafuegos

Bloquea el acceso a personas y/o aplicaciones no autorizadas a redes privadas.

Limitaciones de un cortafuegos

Las limitaciones se desprenden de la misma definición del cortafuegos: filtro de tráfico.

Cualquier tipo de ataque informático que use tráfico aceptado por el cortafuegos (por
usar puertos TCP abiertos expresamente, por ejemplo) o que sencillamente no use la
red, seguirá constituyendo una amenaza.

La siguiente lista muestra algunos de estos riesgos:

Un cortafuegos no puede proteger contra aquellos ataques cuyo tráfico no

pase a través de él.
El cortafuegos no puede proteger de las amenazas a las que está sometido por
ataques internos o usuarios negligentes. El cortafuegos no puede prohibir a
espías corporativos copiar datos sensibles en medios físicos de
almacenamiento (discos, memorias, etc.) y sustraerlas del edificio.
 El cortafuegos no puede proteger contra los ataques de ingeniería social.
El cortafuegos no puede proteger contra los ataques posibles a la red interna
por virus informáticos a través de archivos y software. La solución real está en
que la organización debe ser consciente en instalar software antivirus en cada
máquina para protegerse de los virus que llegan por cualquier medio de
almacenamiento u otra fuente.
El cortafuegos no protege de los fallos de seguridad de los servicios y
protocolos cuyo tráfico esté permitido. Hay que configurar correctamente y
cuidar la seguridad de los servicios que se publiquen en Internet.

Políticas del cortafuegos

Hay dos políticas básicas en la configuración de un cortafuegos que cambian

radicalmente la filosofía fundamental de la seguridad en la organización:

Política restrictiva: Se deniega todo el tráfico excepto el que está

explícitamente permitido. El cortafuegos obstruye todo el tráfico y hay que
habilitar expresamente el tráfico de los servicios que se necesiten. Esta
aproximación es la que suelen utilizar la empresas y organismos
gubernamentales.
Política permisiva: Se permite todo el tráfico excepto el que esté
explícitamente denegado. Cada servicio potencialmente peligroso necesitará
ser aislado básicamente caso por caso, mientras que el resto del tráfico no será
filtrado. Esta aproximación la suelen utilizar universidades, centros de
investigación y servicios públicos de acceso a Internet.

La política restrictiva es la más segura, ya que es más difícil permitir por error tráfico
potencialmente peligroso, mientras que en la política permisiva es posible que no se
haya contemplado algún caso de tráfico peligroso y sea permitido por omisión.

VIRUS INFORMÁTICOS

Un virus informático es un malware que tiene por objeto alterar el normal

funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Los
virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el
código de este. Los virus pueden destruir, de manera intencionada, los datos
almacenados en unacomputadora, aunque también existen otros más inofensivos, que
solo se caracterizan por ser molestos.

Los virus informáticos tienen, básicamente, la función de propagarse a través de un

software, no se replican a sí mismos porque no tienen esa facultad [cita requerida] como el
gusano informático, son muy nocivos y algunos contienen además una carga dañina
(payload) con distintos objetivos, desde una simple broma hasta realizar daños
importantes en los sistemas, o bloquear las redes informáticas generando tráfico inútil.
El funcionamiento de un virus informático es conceptualmente simple. Se ejecuta un
programa que está infectado, en la mayoría de las ocasiones, por desconocimiento del
usuario. El código del virus queda residente (alojado) en la memoria RAM de la
computadora, incluso cuando el programa que lo contenía haya terminado de
ejecutarse. El virus toma entonces el control de los servicios básicos del sistema
operativo, infectando, de manera posterior, archivos ejecutables que sean llamados
para su ejecución. Finalmente se añade el código del virus al programa infectado y se
graba en el disco, con lo cual el proceso de replicado se completa.

Historia
El primer virus atacó a una máquina IBM Serie 360 (y reconocido como tal). Fue
llamado Creeper, creado en 1972. Este programa emitía periódicamente en la pantalla
el mensaje: «I'm a creeper... catch me if you can» (¡Soy una enredadera... agárrame si
puedes!). Para eliminar este problema se creó el primer programa antivirus
denominado Reaper (cortadora).

Sin embargo, el término virus no se adoptaría hasta 1984, pero éstos ya existían desde
antes. Sus inicios fueron en los laboratorios de Bell Computers. Cuatro programadores
(H. Douglas Mellory, Robert Morris, Victor Vysottsky y Ken Thompson) desarrollaron
un juego llamado Core War, el cual consistía en ocupar toda la memoria RAM del
equipo contrario en el menor tiempo posible.

Después de 1984, los virus han tenido una gran expansión, desde los que atacan los
sectores de arranque de disquetes hasta los que se adjuntan en un correo electrónico.

Características

Dado que una característica de los virus es el consumo de recursos, los virus ocasionan
problemas tales como: pérdida de productividad, cortes en los sistemas de
información o daños a nivel de datos.

Una de las características es la posibilidad que tienen de diseminarse por medio de

réplicas y copias. Las redes en la actualidad ayudan a dicha propagación cuando éstas
no tienen la seguridad adecuada.

Otros daños que los virus producen a los sistemas informáticos son la pérdida de
información, horas de parada productiva, tiempo de reinstalación, etc.

Hay que tener en cuenta que cada virus plantea una situación diferente.

Métodos de propagación

Existen dos grandes clases de contagio. En la primera, el usuario, en un momento

dado, ejecuta o acepta de forma inadvertida la instalación del virus. En la segunda, el
programa malicioso actúa replicándose a través de las redes. En este caso se habla de
gusanos.
En cualquiera de los dos casos, el sistema operativo infectado comienza a sufrir una
serie de comportamientos anómalos o imprevistos. Dichos comportamientos pueden
dar una pista del problema y permitir la recuperación del mismo.

Dentro de las contaminaciones más frecuentes por interacción del usuario están las
siguientes:

Mensajes que ejecutan automáticamente programas (como el programa de

correo que abre directamente un archivo adjunto).
Ingeniería social, mensajes como ejecute este programa y gane un premio, o,
más comúnmente: Haz 2 clics y gana 2 tonos para móvil gratis.
Entrada de información en discos de otros usuarios infectados.
Instalación de software modificado o de dudosa procedencia.

En el sistema Windows puede darse el caso de que la computadora pueda infectarse

sin ningún tipo de intervención del usuario (versiones Windows 2000, XP y Server
2003) por virus como Blaster, Sasser y sus variantes por el simple hecho de estar la
máquina conectada a una red o a Internet.

Este tipo de virus aprovechan una vulnerabilidad de desbordamiento de buffer y

puertos de red para infiltrarse y contagiar el equipo, causar inestabilidad en el sistema,
mostrar mensajes de error, reenviarse a otras máquinas mediante la red local o
Internet y hasta reiniciar el sistema, entre otros daños. En las últimas versiones de
Windows 2000, XP y Server 2003 se ha corregido este problema en su mayoría.

Métodos de protección

Los métodos para disminuir o reducir los riesgos asociados a los virus pueden ser los
denominados activos o pasivos.

Activos

Antivirus: son programas que tratan de descubrir las trazas que ha dejado un software
malicioso, para detectarlo y eliminarlo, y en algunos casos contener o parar la
contaminación. Tratan de tener controlado el sistema mientras funciona parando las
vías conocidas de infección y notificando al usuario de posibles incidencias de
seguridad. Por ejemplo, al verse que se crea un archivo llamado Win32.EXE.vbs en la
carpeta C:\Windows\%System32%\ en segundo plano, ve que es comportamiento
sospechoso, salta y avisa al usuario.

Filtros de ficheros: consiste en generar filtros de ficheros dañinos si el computador

está conectado a una red. Estos filtros pueden usarse, por ejemplo, en el sistema de
correos o usando técnicas de firewall. En general, este sistema proporciona una
seguridad donde no se requiere la intervención del usuario, puede ser muy eficaz, y
permitir emplear únicamente recursos de forma más selectiva.
Pasivos

Evitar introducir a tu equipo medios de almacenamiento extraíbles que

consideres que pudieran estar infectados con algún virus.
No instalar software "pirata", pues puede tener dudosa procedencia.
No abrir mensajes provenientes de una dirección electrónica desconocida.
No aceptar e-mails de desconocidos.
Informarse y utilizar sistemas operativos más seguros.
No abrir documentos sin asegurarnos del tipo de archivo. Puede ser un
ejecutable o incorporar macros en su interior.

Tipos de virus

Existen diversos tipos de virus, varían según su función o la manera en que este se
ejecuta en nuestra computadora alterando la actividad de la misma, entre los más
comunes están:

Troyano: Consiste en robar información o alterar el sistema del hardware o en un caso

extremo permite que un usuario externo pueda controlar el equipo.

Gusano: Tiene la propiedad de duplicarse a sí mismo. Los gusanos utilizan las partes
automáticas de un sistema operativo que generalmente son invisibles al usuario
 2013

Bombas lógicas o de tiempo: Son programas que se activan al producirse un

acontecimiento determinado. La condición suele ser una fecha (Bombas de Tiempo),
una combinación de teclas, o ciertas condiciones técnicas (Bombas Lógicas). Si no se

produce la condición permanece oculto al usuario.

Hoax: Los hoax no son virus ni tienen capacidad de reproducirse por si solos. Son
mensajes de contenido falso que incitan al usuario a hacer copias y enviarla a sus
contactos. Suelen apelar a los sentimientos morales ("Ayuda a un niño enfermo de
cáncer") o al espíritu de solidaridad ("Aviso de un nuevo virus peligrosísimo") y, en
cualquier caso, tratan de aprovecharse de la falta de experiencia de los internautas

novatos.

Joke: Al igual que los hoax, no son virus, pero son molestos, un ejemplo: una página
pornográfica que se mueve de un lado a otro, y si se le llega a dar a cerrar es posible
que salga una ventana que diga: OMFG!! No se puede cerrar!.
Otros tipos por distintas características son los que se relacionan a continuación:

Virus residentes

La característica principal de estos virus es que se ocultan en la memoria RAM de

forma permanente o residente. De este modo, pueden controlar e interceptar todas las
operaciones llevadas a cabo por el sistema operativo, infectando todos aquellos ficheros
y/o programas que sean ejecutados, abiertos, cerrados, renombrados, copiados. Algunos
ejemplos de este tipo de virus son: Randex, CMJ, Meve, MrKlunky.

Virus de acción directa

Al contrario que los residentes, estos virus no permanecen en memoria. Por tanto, su
objetivo prioritario es reproducirse y actuar en el mismo momento de ser ejecutados. Al
cumplirse una determinada condición, se activan y buscan los ficheros ubicados dentro
de su mismo directorio para contagiarlos.

Virus de sobre escritura

Estos virus se caracterizan por destruir la información contenida en los ficheros que
infectan. Cuando infectan un fichero, escriben dentro de su contenido, haciendo que
queden total o parcialmente inservibles.

Virus de boot (bot_kill) o de arranque

Los términos boot o sector de arranque hacen referencia a una sección muy importante
de un disco o unidad de almacenamiento CD, DVD, memorias USB etc. En ella se
guarda la información esencial sobre las características del disco y se encuentra un
programa que permite arrancar el ordenador. Este tipo de virus no infecta ficheros, sino
los discos que los contienen. Actúan infectando en primer lugar el sector de arranque de
los dispositivos de almacenamiento. Cuando un ordenador se pone en marcha con un
dispositivo de almacenamiento, el virus de boot infectará a su vez el disco duro.

Los virus de boot no pueden afectar al ordenador mientras no se intente poner en

marcha a éste último con un disco infectado. Por tanto, el mejor modo de defenderse
contra ellos es proteger los dispositivos de almacenamiento contra escritura y no
arrancar nunca el ordenador con uno de estos dispositivos desconocido en el ordenador.

Algunos ejemplos de este tipo de virus son: Polyboot.B, AntiEXE.

Virus de enlace o directorio

Los ficheros se ubican en determinadas direcciones (compuestas básicamente por

unidad de disco y directorio), que el sistema operativo conoce para poder localizarlos y
trabajar con ellos.

Los virus de enlace o directorio alteran las direcciones que indican donde se almacenan
los ficheros. De este modo, al intentar ejecutar un programa (fichero con extensión EXE
o COM) infectado por un virus de enlace, lo que se hace en realidad es ejecutar el virus,
ya que éste habrá modificado la dirección donde se encontraba originalmente el
programa, colocándose en su lugar.
Una vez producida la infección, resulta imposible localizar y trabajar con los ficheros
originales.

Virus cifrados

Más que un tipo de virus, se trata de una técnica utilizada por algunos de ellos, que a su
vez pueden pertenecer a otras clasificaciones. Estos virus se cifran a sí mismos para no
ser detectados por los programas antivirus. Para realizar sus actividades, el virus se
descifra a sí mismo y, cuando ha finalizado, se vuelve a cifrar.

Virus polimórficos

Son virus que en cada infección que realizan se cifran de una forma distinta (utilizando
diferentes algoritmos y claves de cifrado). De esta forma, generan una elevada cantidad
de copias de sí mismos e impiden que los antivirus los localicen a través de la búsqueda
de cadenas o firmas, por lo que suelen ser los virus más costosos de detectar.

Virus multipartites

Virus muy avanzados, que pueden realizar múltiples infecciones, combinando diferentes
técnicas para ello. Su objetivo es cualquier elemento que pueda ser infectado: archivos,
programas, macros, discos, etc.

Virus del fichero

Infectan programas o ficheros ejecutables (ficheros con extensiones EXE y COM). Al

ejecutarse el programa infectado, el virus se activa, produciendo diferentes efectos.

Virus de FAT

La tabla de asignación de ficheros o FAT (del inglés File

Allocation Table) es la sección de un disco utilizada para
enlazar la información contenida en éste. Se trata de un
elemento fundamental en el sistema. Los virus que atacan a
este elemento son especialmente peligrosos, ya que
impedirán el acceso a ciertas partes del disco, donde se
almacenan los ficheros críticos para el normal
funcionamiento del ordenador.
Acciones de los virus

Algunas de las acciones de algunos virus son:

Unirse a un programa instalado en el computador permitiendo su propagación.

Mostrar en la pantalla mensajes o imágenes humorísticas, generalmente molestas.
Ralentizar o bloquear el computador.
Destruir la información almacenada en el disco, en algunos casos vital para el sistema,
que impedirá el funcionamiento del equipo.
Reducir el espacio en el disco.
Molestar al usuario cerrando ventanas, moviendo el ratón.