UNIVERSIDAD TECNOLÓGICA ISRAEL

INGENIERIA EN SISTEMAS
QUITO - ECUADOR

OCTAVO NIVEL

UNIDAD 1: GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

– ACCESO LÓGICO

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 INDICE DE CONTENIDO

1.9 Acceso Lógico

1.9.1 Exposiciones de Acceso Lógico
1.9.2.Familiarización con el Entorno de TI de la Empresa
1.9.3 Las vías de acceso lógico
1.9.4 Software de Control de Acceso Lógico
1.9.5 Identificación y Autenticación
1.9.6 Aspectos relacionados con la Autorización
1.9.7 Almacenar, Recuperar, Transportar y Desechar Información
Confidencial

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 INDICE DE CONTENIDO

1.10 Seguridad de la Infraestructura en la Red

1.10.1 Seguridad de la LAN
1.10.2 Seguridad Cliente/Servidor
1.10.3 Amenazas de Seguridad Inalámbrica y Mitigación de Riesgos
1.10.4 Amenazas y Seguridad de Internet
1.10.5 Encriptación
1.10.6 Virus
1.10.7 Voz IP
1.10.8 Centrales Telefónicas

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 OBJETIVOS

1. Identificar los aspectos relevantes en

seguridad lógica.
2. Conocer las diferentes técnicas para
mantener seguros los datos dentro de
los sistemas informáticos.

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

SEGURIDAD LÓGICA

Concepto de Seguridad Lógica

Seguridad Lógica

- Amenazas
Contraseñas
- Políticas
Acceso a Sistemas Operativos y
aplicaciones

Listas de Control de
- ACL en Windows y Linux
Acceso

Acceso a aplicaciones por internet

- Contraseñas de un solo uso
Autenticación de
- Security Token
usuarios
- Identificación biométrica
Otras alternativas de gestión de
identidades
- Single sign-on SSO
Autorización de - Web Single Sing-on
usuarios - Identidad federada
- OpenID

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

CONTROLES DE ACCESO – MAC – DAC - RBAC

Los controles de acceso obligatorio (Mandatory Acces

Control - MAC´s) son filtros lógicos de control de acceso
usados para validar las credenciales de acceso que no
pueden ser controladas o modificadas por usuarios
normales o propietarios de datos, estos actúan por
defecto.

El mecanismo MAC se basa en un "etiquetado" de todo

elemento del sistema y sobre las cuales se aplicarán las
políticas de control de acceso configuradas.

Es responsabilidad de un usuario privilegiado establecer

las políticas centrales MAC que gobernarán los controles
a aplicar según el etiquetado establecido.
Sujetos: Los sujetos del sistema son los usuarios, procesos, programas
o hilos que operan sobre los recursos del dispositivo.
Objetos: referiremos como objetos los recursos del sistema como
El ejemplo más representativo es el mecanismo de
ficheros, directorios, servicios, dispositivos de entrada/salida, puertos permisos establecido por el dueño (usuario/grupo) del
TCP/UDP, etc. sujeto.

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

CONTROLES DE ACCESO – MAC – DAC - RBAC

Los controles de acceso discrecional (Discretionary Acces

Control - DAC´s) son filtros que los usuarios o los propietarios
de los datos pueden configurar.

En este tipo de control de acceso es habitual el uso de

atributos (lectura, escritura, ejecución,etc) para marcar los
permisos aplicado al objeto. De igual forma hay un usuario
propietario y unas opciones para compartir (grupos, otros
usuarios..)

La diferencia, una vez descritas las dos políticas, salta a la

vista. En DAC el acceso esta descentralizado, siendo el
propietario de cada objeto el encargado de asignar los
permisos de los diversos sujetos (grupos en el caso de unix)
que accederán a ellas. En cambio con el MAC los objetos y los
sujetos tan solo tienen atributos, pero son las políticas las que
se encargan de autorizar o denegar una acción.

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

CONTROLES DE ACCESO – MAC – DAC - RBAC

Control de acceso basado en roles. (Role Base

Access Control, RBAC)
El control de acceso basado en roles consiste en la
definición de perfiles (roles) a los que se les atribuyen
una serie de características que aplican sobre los
permisos y acciones que pueden llevar a cabo,
incluyendo el control sobre otros perfiles.
Casos muy representativos de estos mecanismos son
entre otros LDAP, Active Directory de Microsoft Windows
o FreeIPA de Fedora/Redhat. Algunos sistemas UNIX
como Solaris o AIX también implementan este sistema
de privilegios.
Desde el punto de vista de la seguridad, MAC es más
completo que DAC. MAC es un sistema centralizado, en el
cual las decisiones de seguridad no recaen en el propietario de
un objeto y es el sistema el que fuerza el cumplimiento de las
políticas por encima de las decisiones de los sujetos, además de
permitir una granularidad y control mayores.

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

EXPOSICIONES DE ACCESO LÓGICO

Las exposiciones pueden tener como consecuencia

desde inconvenientes menores hasta una
paralización total de las funciones de la
computadora.

Las exposiciones técnicas son un tipo de exposición

que existen a partir de las explotación accidental o
intencional de las debilidades de control de acceso.

Por ejemplo, implementación o modificación de

datos y software bloqueando o haciendo uso
Fuga de datos. indebido de los servicios de usuario, destruyendo los
Intercepción de línes ( Wire-Tapping) datos, comprometiendo la utilización del sistema,
Paralización o caída de la computadora distrayendo los recursos de procesamiento, o
Malware espiando el flujo de datos o las actividades de los
Virus usuarios ya sea en la red, plataforma, base de datos
o a nivel de aplicación.

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

FAMILIARIZACIÓN CON EL ENTORNO DE TI

Determinar desde el punto de vista de riesgo las

exposiciones, incluyendo todos los niveles de seguridad
asociados con la arquitectura de los sistemas de
información

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

VÍAS DE ACCESO LÓGICO

Las rutas directas, como el caso de un usuario de

terminal PC que esta conectado directamente al
mainframe.
Mas complejo es el caso de una red LAN, donde los
recursos específicos de Sistemas de Información están
conectados a una estructura común de enlace.

Actualmente, es común encontrar una combinación de

rutas de acceso directo/local de red/remoto.

Un cliente ingresa al sitio web desde el exterior para La complejidad aumenta por un número de dispositivos
iniciar transacciones que conectan con una aplicación en intermedios que actúan como “puertas abiertas” entre los
un servidor proxy que a su vez se conecta por ejemplo a diversos ambientes y por la necesidad de utilizar baja
un sistema de base de datos Back end para actualizar la seguridad o acceder a espacios de TI totalmente abiertos
base de datos de un cliente como Internet.

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

VÍAS DE ACCESO LÓGICO

Los puntos de entrada tanto a sistemas Front end como

Back end se relacionan con la infraestructura de redes o
de telecomunicaciones utilizada para controlar el acceso
a sus recursos de información.

El enfoque más común es Cliente/Servidor.

Los métodos generales de acceso a infraestructura

ocurren a través de:
1. Conectividad a la red.
2. Acceso remoto.

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

SOFTWARE DE CONTROL DE ACCESO LÓGICO

Funciones Generales de Control de Acceso

El propósito del software de control de acceso es
Sistema Operativo Base de Datos impedir el acceso y la modificación no autorizados
• Crear o cambiar perfiles de usuario • Crear o cambiar los archivos de a los datos valiosos de la organización y el uso de
• Asignar identificación y datos y los perfiles las funciones críticas del sistema.
autenticación de usuarios • Verificar las autorizaciones de
• Aplicar reglas de limitación de inicio usuarios al nivel de aplicación y
de sesión transacción El software de control de acceso del sistema
• Notificación respecto al uso y • Verificar autorizaciones de usuarios
acceso apropiado antes del login dentro de la aplicación operativo interactúa con el software de control de
• Crear responsabilidad y • Verificar las autorizaciones a nivel acceso de red, que gestionan y controlan el
auditabilidad de campo para los cambios dentro
• Establecer reglas de acceso de la BD acceso externo a las redes de la organización.
• Eventos de registro • Verificar las autorizaciones de Adicional interactúa con la base de datos y/o los
subsistemas para el usuario al nivel
• Generación de informe controles de acceso a sistemas de aplicación para
de archivo
• Registrar las actividades de acceso proteger las bibliotecas del sistema y los
a la BD/comunicaciones de datos
para monitoreo de violaciones de conjuntos de datos de usuario
acceso

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

IDENTIFICACIÓN Y AUTENTICACIÓN – I&A

La I&A es el proceso de establecer y probar la identidad de

Métodos de autenticación: alguien, es el proceso por el cual el sistema obtiene de un
Algo que uno posee: Tarjeta usuario su identidad y las credenciales necesarias para
Algo que uno es: Huella digital, autenticar esta identidad, y valida ambas piezas de
reconocimiento facial u ocular
información.
Algo que uno sabe/conoce: Password

Esta es la primera línea de defensa técnica que impide que

personas no autorizadas entren a un sistemas informático.

Algunas vulnerabilidades de I&A para lograr acceso son:

1. Métodos débiles de autenticación
2. El potencial para que los usuarios evadan el mecanismo de
autenticación
3. Falta de Confidencialidad e integridad en la información
almacenada
4. Falta de encriptación
5. Falta de conocimiento de elementos técnicos (password,
token de seguridad

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

IDENTIFICACIÓN Y AUTENTICACIÓN – I&A

A continuación algunas características sobre contraseñas:

1. Fácil de recordar para el usuario, difícil de adivinar para un
perpetrador
2. Cambio de contraseña al registro de la primera vez.
3. Contraseña inicial debe ser aleatoria
4. Suspensión de cuentas que no tengan contraseña inicial
5. Desactivación de la cuenta al tercer intento fallido y
activado únicamente por el administrador de seguridades
6. Contraseñas encriptadas
7. No visibles, no mantenidas en el index o escritas en
Controles Biométricos pedazos de papel, o dentro del PC
1. Palma 8. Cambio periódico (cada 30 días)
2. Geometría de la mano
9. Alfanumérico, caracteres especial, mayúsculas, minusculas
3. Iris
4. Retina con extensión de caracteres (5 a 8 )
5. Huella dactilar 10. Historial de cambios para evitar que estas se repitan
6. Reconocimiento facial 11. Definir una política de contraseñas
7. Reconocimiento de firma 12. Desactivación de terminales después de un periodo de
8. Reconocimiento de voz inactividad

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

ASPECTOS RELACIONADOS CON LA AUTORIZACIÓN

El acceso puede ser establecido a diferentes

niveles, por ejemplo, archivos, tablas, elementos
de datos. Etc.

Las restricciones de acceso a nivel de archivo

pueden incluir:
1. Leer, consulta, o únicamente copia.
2. Escribir, crear, actualizar, o eliminar
3. Solo ejecutar
4. Combinación de las anteriores
Paso 1. Seleccione uno o más archivos o carpetas.
Paso 2. Haga clic con el botón derecho en los datos
Algunas herramientas para la gestión de
seleccionados> Propiedades. autorización pueden ser:
Paso 3. Haga clic en Avanzado ... 1. Listas de control de acceso
Paso 4. Seleccione la casilla de verificación Cifrar contenido para 2. Administación de control de acceso lógico
proteger datos. 3. Seguridad de acceso remoto
Paso 5. Los archivos y carpetas que se han cifrado con EFS se
muestran en verde

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

ASPECTOS RELACIONADOS CON LA AUTORIZACIÓN

Existen herramientas para ayudar a reducir la cantidad de

información contenida en los registros de auditoría, y para
deslindar la información útil de los datos brutos (raw data)

1. Herramientas de reducción de auditoría: Son

preprocesadores diseñados para reducir el volumen de
los registros de auditoría para facilitar la revisión
manual. Esta herramienta elimina muchos registros de
auditoría que se sabe que tienen poca importancia para
la seguridad, por ejemplo los registros generados por
copias de seguridad nocturnas.
2. Herramientas de detección o tendencias: Buscan
anomalías en el comportamiento de usuarios o sistemas
3. Herramientas de detección de firma de atacante:
buscan una firma de atacante. Modus operandi.

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

ALMACENAR, RECUPERAR, TRANSPORTAR Y DESECHAR INFORMACIÓN CONFIDENCIAL

La gerencia debe definir e implementar procedimientos para

prevenir el acceso o la pérdida de información sensible o
software de las computadoras, discos y otros equipos o
medios cuando estos son almacenados, desechados o
transferidos a otros usuarios. Esto debe hacerse entre otros
para:
1. Archivos de respaldo de base de datos.
2. Bancos de datos (Encuestas, Estudios de Mercado)
3. Desechos de medios de almacenamiento usados,
anteriormente utilizados para mantener información
confidencial
4. Gestión de equipos enviados para mantenimiento fuera
de su ubicación
5. Agencias y organizaciones publicas relacionadas con la
información sensible, crítica o confidencial
6. Claves electrónicas E-Token
7. Registros de almacenamiento

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

ALMACENAR, RECUPERAR, TRANSPORTAR Y DESECHAR INFORMACIÓN CONFIDENCIAL

Los fabricantes detallan en las especificaciones técnicas de

los equipos niveles de temperatura, humedad a los que se
pueden exponer los medios de almacenamiento.

A continuación unas recomendaciones:

1. Mantener fuera de la luz directa del sol.
2. Mantener libre de polvo
3. Mantener libre de líquidos
4. Minimizar exposición a campos magnéticos, equipos
radioeléctricos o a cualquier fuente de vibración
5. No transportar por aire en momentos de exposición a
fuertes tormentas magnéticas.
6. Guarde los discos duros en bolsas antiest estática
7. Guarde las cintas en posición vertical
8. Proteja las cintas contra escritura

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

SEGURIDAD DE LA INFRAESTRUCTURA DE LA RED

Los controles sobre la red de comunicación son:

1. Funciones de control de la red deben ser realizadas por
operadores con capacitación y experiencia apropiada.
2. Funciones de control de la red deben estar separadas
de otras incompatibilidades y las funciones deben ser
rotadas periódicamente.
3. El software de control de redes debe restringir el acceso
del operador para que no realice ciertas funciones (
capacidad de corregir y/o eliminar registros de log del
operador)
4. El software de control de red debe mantener una pista
de auditoría de todas las actividades del operador.
Para mejorar el control y mantenimiento de la
infraestructura y su uso, además de la gestión directa
5. Las pistas de auditoría deben ser revisadas
de los dispositivos de red, se debe consolidar los periódicamente por la gerencia de operaciones para
registros de estos dispositivos con los del firewall y los detectar actividad no autorizada en la operación en la
de los sistemas operativos de los cliente - servidor red.

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

SEGURIDAD DE LA INFRAESTRUCTURA DE LA RED

Los controles sobre la red de comunicación son:

6. Los estándares y protocolos de operación de la red
deben ser documentados y deben estar a disposición
de los operadores y deben ser revisados
periódicamente para asegurar cumplimiento.
7. El acceso de los ingenieros de sistemas a la red debe
ser estrechamente monitoreado y revisado para
detectar accesos no autorizados a la red
8. Llevar a cabo análisis para asegurar equilibrio de la
carga de trabajo, respuesta rápida y eficiencia del
sistema.
9. El software de comunicaciones debe mantener un
La capacidad de identificar a los usuarios en cada paso archivo de identificación de terminales para verificar la
de su actividad es otra mejora importante de seguridad autenticación de una terminal cuando esta trate de
enviar o recibir mensajes.
10. Donde sea apropiado, se debe emplear la encriptación
de datos para proteger los mensajes para que no sean
revelados durante la transmisión

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

SEGURIDAD DE LA LAN

Los controles de seguridad LAN dependen del producto del

software, la versión, y de la implementación, sin embargo las
seguridades de carácter administrativo que deben estar disponibles
son:
1. Declaración de la propiedad de los programas, archivos y
almacenamiento.
2. Limitar el acceso a solo lectura
3. Implementar el bloqueo de los registros y archivos para prevenir
una actualización simultánea
4. Implementación de procedimientos de inicio de sesión (logon)
con ID de usuario/contraseña incluyendo los estándares
relacionados con el largo y el formato de las contraseñas y la
frecuencia con la que debe cambiarse.
5. Uso de conmutadores (switches) para implementar políticas de
seguridad de puerto, en lugar de hubs o enrutadores (routers)
no manejables. Esto impide la conexión a la LAN de anfitriones
(hosts) no autorizados, con dirección MAC desconocida.
6. Encriptación del tráfico local con protocolo IPSec

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

SEGURIDAD CLIENTE - SERVIDOR

1. Unidad de dispositivos externos inhabilitada a fin de

asegurar el acceso a los datos o a la aplicación en el cliente
por parte de acceso no autorizado.
2. Los archivos de arranque (boot) o de carga (Start up) no se
ejecutan evitando registro de entrada y acceso.
3. Los dispositios de monitoreo identifican las direcciones de
clientes, permitiendo la terminación de sesiones en forma
proactiva, así como tambien encontrando evidencia de
acceso no autorizado para su posterior investigación
4. Existen técnicas de encriptación de datos para proteger los
datos delicados o privados.
5. Existen programas de control de acceso a nivel de aplicación
y la organización de los usuarios finales en grupos
funcionales, que permitan controlar el acceso y limitar a los
usuarios a las funciones que estos necesitan para realizar
sus actividades

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

AMENAZAS DE SEGURIDAD INALÁMBRICA Y MITIGACIÓN DE RIESGOS

La clasificación de las amenazas de seguridad puede ser

segmentada en 9 categorías:
1. Errores y omisiones
2. Fraude y robo cometido por usuarios autorizados y no
autorizados del sistema
Los requerimientos de seguridad incluyen: 3. Sabotaje de empleados
Autenticidad: Un tercero debe poder verificar que el contenido 4. Pérdida de soporte físico y de infraestructura
de un mensaje no haya sido cambiado en tránsito
No repudio: El origen o recibido de un mensaje debe ser 5. Intrusos (hackers)
verificable por parte de un tercero 6. Espionaje industrial
Responsabilidad: Las acciones deben ser rastreables
inequívocamente a dicha entidad
7. Código Malicioso
Disponibilidad de red: Los recursos de TI deben estar 8. Espionaje de Gobiernos Extranjeros
disponibles oportunamente para satisfacer los objetivos de la
9. Amenazas a la privacidad personal
misión. Deben estar únicamente disponibles para los fines para
los que se destinaron

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

AMENAZAS Y SEGURIDAD DE INTERNET

Un ataque a la red involucra el sondeo de información en la red.

1. Ataque pasivo: Reúnen información de la red, escuchas

ilegales, análisis de tráfico.
2. Ataque activo: Una vez recopilada información suficiente de
la red el intruso lanzará un ataque real contra el sistema
tomado como objetivo para: ganar el control total de ese
sistema o suficiente control para hacer que ciertas amenazas
se lleven a cabo.

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

AMENAZAS Y SEGURIDAD DE INTERNET

• Desbordamiento del búfer: esta vulnerabilidad se produce

cuando los datos se escriben más allá de los límites de un
búfer. Al cambiar los datos más allá de los límites de un búfer,
la aplicación accede a la memoria asignada a otros procesos.
Esto puede provocar un bloqueo del sistema, un compromiso
de datos o proporcionar una escalada de privilegios.
• Entrada no valida- Los programas suelen funcionar con
entrada de datos. Estos datos que entran en el programa
podrían tener contenido malicioso, diseñado para obligar al
programa a comportarse de manera no intencional.
• Condiciones de carrera: esta vulnerabilidad es cuando la
salida de un evento depende de salidas ordenadas o
temporizadas. Una condición de carrera se convierte en una
fuente de vulnerabilidad cuando los eventos ordenados o
cronometrados requeridos no ocurren en el orden correcto o
el tiempo apropiado.

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

AMENAZAS Y SEGURIDAD DE INTERNET

• Debilidades en las prácticas de seguridad - Los sistemas y

los datos sensibles pueden protegerse mediante técnicas
como autenticación, autorización y cifrado. Los
desarrolladores no deben intentar crear sus propios
algoritmos de seguridad porque probablemente introducirán
vulnerabilidades. Es recomendable que los desarrolladores
utilicen bibliotecas de seguridad que ya han creado, probado
y verificado.

• Problemas de control de acceso - El control de acceso es el

proceso de controlar quién hace qué y va desde administrar el
acceso físico al equipo hasta dictar quién tiene acceso a un
recurso, como un archivo, y qué pueden hacer con él, como
leer o cambiar el archivo. Muchas vulnerabilidades de
seguridad se crean por el uso inadecuado de los controles de
acceso.

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

AMENAZAS Y SEGURIDAD DE INTERNET

Un cortafuegos es una pared o tabique que está

diseñado para evitar que el fuego se propague de una
parte de un edificio a otro.
En redes de computadoras, un cortafuegos está
diseñado para controlar o filtrar las comunicaciones
permitidas y las que se permiten fuera de un dispositivo o
red,

Se puede instalar un cortafuegos en un solo equipo con

el fin de proteger ese equipo (firewall basado en host), o
puede ser un dispositivo de red independiente que
protege toda una red de computadoras y todos los
dispositivos host de esa red (Firewall basado en red).

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

AMENAZAS Y SEGURIDAD DE INTERNET

• Firewall de capa de red: filtrado basado en direcciones IP de

origen y destino

• Firewall de capa de transporte: filtrado basado en puertos de

datos de origen y destino y filtrado basado en estados de conexión

• Firewall de capa de aplicación: filtrado basado en aplicaciones,

programas o servicios

• Firewall de aplicaciones de contexto - filtrado basado en el

usuario, el dispositivo, el rol, el tipo de aplicación y el perfil de
amenaza

• Proxy Server: filtrado de solicitudes de contenido web como URL,

dominio, medios, etc.

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

AMENAZAS Y SEGURIDAD DE INTERNET

• Servidor Proxy inverso: situado frente a los servidores web, los

servidores proxy inversos protegen, ocultan, descargan y
distribuyen el acceso a servidores web

• Firewall de traducción de direcciones de red (NAT): oculta o

enmascara las direcciones privadas de los hosts de red

• Firewall basado en host: filtrado de puertos y llamadas de

servicio del sistema en un único sistema operativo de computadora

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

AMENAZAS Y SEGURIDAD DE INTERNET

El escaneo de puertos es un proceso de detección de un

ordenador, servidor u otro host de red para puertos abiertos.

La exploración de puertos puede usarse maliciosamente

como una herramienta de reconocimiento para identificar el
sistema operativo y los servicios que se ejecutan en un
ordenador o host, o puede ser utilizada sin peligro por un
administrador de red para verificar las políticas de seguridad
de la red en la red.

El escaneo generalmente da lugar a una de tres respuestas:

1. Abierto o Aceptado - El host respondió indicando que un
https://hackertarget.com/nmap-online-port-scanner/
servicio está escuchando en el puerto
2. Cerrado, denegado o no escuchando - El host
respondió indicando que las conexiones se negarán al
puerto.
3. Filtrado, Abandonado o Bloqueado - No hubo
respuesta del anfitrión.

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

CRIPTOGRAFÍA
- Criptología
- Criptografía
Introducción a la criptografía
- Criptosistema
CRIPTOGRAFÍA -Criptoanálisis

Algoritmo de Cifrado:
Cifrado de clave simétrica
DES. AES.RCS,IDEA

- Autenticación con claves asimétricas

Cifrado de clave asimétrica -Confidencialidad con claves asimétricas
-Algoritmos de cifrado: RSA, DSA, El Gamal

Algoritmo de cifrado hash

- PGP
Sistemas
- Open PGP
Híbridos
-GnuPGP

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

ENCRIPTACIÓN

Es el proceso de convertir mediante una función matemática

o logaritmo un mensaje de texto plano en una forma de texto
con codificación segura, denominado texto encriptado
(ciphertext), que no se puede entender si no se convierte de
nuevo a texto plano mediante desencriptación (proceso
inverso).

La encriptación se usa en general para:

1. Proteger los datos que viajan a través de las redes contra
interceptación y manipulación no autorizada
2. Proteger la información almacenada en las computadoras
contra visualización y manipulación no autorizada.
La encriptación es limitada, en el sentido de que no se puede
3. Disuadir y detectar alteraciones accidentales o
prevenir la pérdida o modificación de datos y que es posible intencionales de los datos
comprometer los programas de encriptación si no se protegen 4. Verificar la autenticidad de una transacción o documento
las claves de encriptación (llaves) adecuadamente

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

ENCRIPTACIÓN

Los elementos clave de un sistema de encriptación son:

1. Algoritmo de encriptación: Función o cálculo basado en

la matemática que encripta y desencripta datos
2. Claves de encriptación: Información que se utiliza
dentro de un algoritmo (hace que el proceso de
encriptación o desencriptación sea único). La clave
equivocada descifrará el mensaje de forma ilegible.
3. Longitud de claves: Longitud predeterminada para la
clave. Cuanto más larga la clave, más difícil que los
atacantes descubran el mensaje, por medio de un ataque
de fuerza bruta donde se utilizan todas las combinaciones
de claves posibles.
Advanced Encryption Standard (AES), también conocido como
Rijndael (pronunciado "Rain Doll" en inglés), es un esquema de
cifrado por bloques adoptado como un estándar de cifrado por el
gobierno de los Estados Unidos.

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

CRIPTOGRAFÍA
Aplicaciones prácticas
de la criptografía - Con arbitro
Tipos - Basada en llave

CRIPTOGRAFÍCAS
pública
Firma Digital

APLICACIONES Aplicaciones

- Estándares
- Autoridades de Certificación
Certificado Digital - Solicitud de certificados
- Uso de certificados
- Aplicaciones
DNI Electrónico

SSL y TTL

Cifrado de información

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

ENCRIPTACIÓN

La firma digital es un método criptográfico que asegura:

1. Integridad de los datos: Cualquier cambio al mensaje

de texto plano tendría como resultado que el destinatario
fracasara en el cálculo del hash del mensaje
2. Autenticación: El destinatario puede asegurar que el
mensaje ha sido enviado por quien alega haberlo enviado
ya que únicamente quien lo envío tiene la llave secreta.
3. No repudio: Quien alega que envío el mensaje no puede
después negar que generó y envío el mensaje.

Junto con la firma digital debe usarse el sello de tiempo para

fechar el documento, y el hash para numerar en documento.
Firmas Digitales, es una identificación electrónica de una persona o
entidad creada usando un algoritmo de clave pública y que esta
destinado a verificar a un destinatario, la integridad de los datos y la La encriptación con firmas digitales y con clave pública son
identidad del remitente. Los tipos más comunes de algoritmos son: vulnerables a los ataques man-in-the-middle, en los casos en
SHAI, MD2, MD4, MD5
los que se pueden falsificar la clave probada y la clave
pública de la firma digital del emisor.

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

SOFTWARE MALICIOSO

Concepto de Software
Peligrosidad - bajo , medio, elevado
Malicioso

SOFTWARE
MALICIOSO Clasificación Propagación - Virus, Gusano, Troyano

- Software Dañino,
Denegación de Servicio Acción que realiza
Software no Dañino

Publicidad y Correo no - Phishing

deseado - Vhishing
Suplantación de identidad
- Smishing
- Grooming
Ingeniería Social –
Cadena de Correos
Fraude Informático

Correos Millonarios

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

VIRUS
Spyware - Este malware es un diseño para rastrear y espiar al usuario. El spyware a menudo incluye rastreadores
de actividad, captura de pulsaciones de teclado y captura de datos. En un intento de superar las medidas de
seguridad, el software espía a menudo modifica la configuración de seguridad. Spyware a menudo se agrupa con
software legítimo o con caballos de Troya.

Adware - El software de publicidad está diseñado para entregar anuncios automáticamente. Adware a menudo se
instala con algunas versiones de software. Algunos adware está diseñado para ofrecer sólo anuncios, pero
también es común que los adware vienen con spyware.

Bot - Del robot de la palabra, un bot es malware diseñado para realizar automáticamente la acción, por lo general
en línea. Mientras que la mayoría de los bots son inofensivos, un creciente uso de robots maliciosos son botnets.
Varios ordenadores están infectados con bots que están programados para esperar silenciosamente los
comandos proporcionados por el atacante.

Ransomware: este malware está diseñado para contener un sistema informático o los datos que contiene
cautivos hasta que se haga un pago. Ransomware por lo general funciona mediante el cifrado de datos en el
ordenador con una clave desconocida para el usuario. Algunas otras versiones de ransomware pueden
aprovechar vulnerabilidades específicas del sistema para bloquear el sistema. Ransomware se propaga por un
archivo descargado o por alguna vulnerabilidad de software.

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

VIRUS

Rootkit: este malware está diseñado para modificar el sistema operativo para crear una puerta trasera. Los
atacantes usan la puerta trasera para acceder al ordenador de forma remota. La mayoría de los rootkits se
aprovechan de las vulnerabilidades del software para realizar la escalada de privilegios y modificar los archivos
del sistema. También es común que los rootkits modifiquen las herramientas forenses y de supervisión del
sistema, haciéndolas muy difíciles de detectar. A menudo, una computadora infectada por un rootkit debe limpiarse
y reinstalarse.

Virus: un virus es un código ejecutable malicioso que se adjunta a otros archivos ejecutables, a menudo
programas legítimos. La mayoría de los virus requieren la activación del usuario final y pueden activarse en una
fecha o hora concretas. Los virus pueden ser inofensivos y simplemente mostrar una imagen o pueden ser
destructivos, como los que modifican o eliminan datos. Los virus también se pueden programar para mutar para
evitar la detección. La mayoría de los virus se distribuyen ahora por unidades USB, discos ópticos, recursos
compartidos de red o correo electrónico.

Caballo de Troya - Un caballo de Troya es un malware que realiza operaciones maliciosas bajo el disfraz de una
operación deseada. Este código malicioso explota los privilegios del usuario que lo ejecuta. A menudo, los
troyanos se encuentran en archivos de imagen, archivos de audio o juegos. Un caballo de Troya difiere de un virus
porque se une a archivos no ejecutables.

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

VIRUS

Gusanos: Los gusanos son códigos maliciosos que se replican explotando de manera independiente
vulnerabilidades en redes. Los gusanos suelen ralentizar las redes. Mientras que un virus requiere un programa
de acogida para ejecutar, los gusanos pueden funcionar por sí mismos. Aparte de la infección inicial, ya no
requieren la participación del usuario. Después de que un host está infectado, el gusano es capaz de propagarse
muy rápidamente por la red. Los gusanos comparten patrones similares. Todos ellos tienen una vulnerabilidad de
habilitación, una forma de propagarse, y todos contienen una carga útil.

Man-In-The-Middle (MitM) - MitM permite al atacante tomar el control sobre un dispositivo sin el conocimiento del
usuario. Con ese nivel de acceso, el atacante puede interceptar y capturar información de usuario antes de
retransmitirla a su destino previsto. Los ataques MitM son ampliamente utilizados para robar información
financiera. Muchos malware y técnicas existen para proporcionar a los atacantes las capacidades de MitM.

Man-In-The-Mobile (MitMo) - Una variación de hombre-en-medio, MitMo es un tipo de ataque usado para tomar
control sobre un dispositivo móvil. Cuando se infecta, el dispositivo móvil puede ser instruido para exfiltrar
información sensible al usuario y enviarla a los atacantes. ZeuS, un ejemplo de un exploit con capacidades MitMo,
permite a los atacantes capturar en silencio los mensajes SMS de verificación en dos pasos enviados a los
usuarios.

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

SINTOMAS DE MALWARE

Independientemente del tipo de malware con el que se haya

infectado un sistema, estos son síntomas comunes de malware:
• Aumento en el uso de la CPU.
• Disminución en la velocidad de la computadora.
• El equipo se congela o se bloquea con frecuencia.
• Disminución en la velocidad de navegación Web.
• Existen problemas inexplicables con las conexiones de red.
• Los archivos se han modificado.
• Se eliminan los archivos.
• Hay presencia de archivos, programas o iconos de escritorio
desconocidos.
• Se están ejecutando procesos desconocidos.
• Los programas se están apagando o reconfigurándose.
• El correo electrónico se envía sin el conocimiento o
consentimiento del usuario.

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 ACCESO LÓGICO

CYBER KILL CHAIN – CADENA MATAR

En la ciberseguridad, Kill Chain es la etapa de un ataque de
sistemas de información. Desarrollado por Lockheed Martin
como un marco de seguridad para la detección y respuesta de
incidentes, Cyber Kill Chain se compone de las siguientes
etapas:
1. Reconocimiento - El atacante recopila información sobre el
objetivo.
2. Armas - El atacante crea un exploit y una carga útil
maliciosa para enviar al destino.
3. Entrega: el atacante envía el exploit y la carga útil maliciosa
al destino por correo electrónico u otro método.
4. Explotación - El exploit se ejecuta.
5. Instalación : el malware y las puertas traseras están
instaladas en el destino.
6. Comando y control - El control remoto del objetivo se
obtiene a través de un canal de comando y control o
servidor.
7. Acción - El atacante realiza acciones malintencionadas
como el robo de información o ejecuta ataques adicionales
en otros dispositivos desde la red trabajando nuevamente en
las etapas de Cadena de Matar.A

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA MSc.

 Sugerencias, Dudas o Preguntas

¡ Gracias por su atención!

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA. MSc
 Referencia Bibliográfica
Seguridad Informática Escrivá Gascó, Gema Romero Serrano, Rosa María
Ramada, David Jorge
Unidad 3 Seguridad Lógica, Unidad 4 Criptografía, Unidad 5 Aplicaciones de la
Criptografía de Seguridad Lógica, Unidad 6 Software Malicioso (pág. 44 – 151)
http://site.ebrary.com/lib/uisraelsp/detail.action?docID=10820963

Criptopunks: la libertad y el futuro de internet. Historia Urgente

http://site.ebrary.com/lib/uisraelsp/reader.action?docID=10903288
Lección 2: Sistemas de cifra con clave secreta (intypedia)
https://www.youtube.com/watch?v=46Pwz2V-t8Q
Lección 3: Sistemas de cifra con clave pública (intypedia)
https://www.youtube.com/watch?v=On1clzor4x4
Lección 14: Funciones unidireccionales y hash (intypedia)
https://www.youtube.com/watch?v=7TA0jkxREr8

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA. MSc

 Tareas – Componente Autónomo
Revisión y lectura comprensiva de las Unidades :3 Seguridad Lógica, 4
Criptografía, 5 Aplicaciones de la Criptografía de Seguridad Lógica, 6 Software
Malicioso (pág. 44 – 151) del texto Seguridad Informática Escrivá Gascó, Gema
Romero Serrano, Rosa María Ramada, David Jorge

http://site.ebrary.com/lib/uisraelsp/detail.action?docID=10820963

Lectura y resumen ejecutivo del texto Criptopunks: la libertad y el futuro de internet.

Historia Urgente
http://site.ebrary.com/lib/uisraelsp/detail.action?docID=10820963

Lectura y resolución del capítulo 3 Protecting your data and privacy del curso
Introdution to Cybersecurity de CISCO

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA. MSc

 Tareas – Componente Práctico
INDICACIONES
El Banco de Desarrollo Mercantil con sede en Quito-Ecuador, le ha solicitado a usted remita una
propuesta de servicio a fin de contar con una consultoría para levantar y establecer las
vulnerabilidades a nivel de controles de acceso lógico y de red a nivel nacional.
El Banco tiene presencia en 22 provincias con un total de 4000 empleados, aplicaciones web, ATM,
Banca Virtual, dispone de 140 servidores físicos y 200 servidores virtuales.
Como estructuraría su propuesta de servicio?
Adjuntar de ser el caso la propuesta técnica, donde se detalle tiempo de ejecución, precio,
planificación de la propuesta.
Criterios de Evaluación
1. Las 10 mejores propuesta a nivel costo, servicio y tiempo de entrega se otorgará la calificación
10, y de ahí se ira bajando un punto.
2. Las propuestas deben tener por lo menos 5 comentarios de los integrantes del foro, donde se
emitan criterios que sirvan de base para no elegir la propuesta y sobre este el dueño del documento
debe objetar por que su propuesta es la adecuada.

SEGURIDAD INFORMÁTICA Ing. Christian Vaca B. CPA. MSc