Comisión de Seguridad

ir a menu
ir a noticias
ir a bloques informativos
Ir a Página sobre accesibilidad
Ir a Página de Inicio
Ir a Página de Texto
Ir a Mapa web
Ir a Buscador
Ir a Aviso Legal
Contactar con la Asociación de Internautas
Comprueba tu velocidad de conexion, ADSL, Cable, RTB

Menu

Noticias

Ayuda a la Asociación de Internautas con tu donación

La necesidad de proteger la información.

www.g2security.com Disponer de información cuyo conocimiento no está generalizado permite usarla y manipularla en beneficio propio. El conocimiento, en todos los sentidos, es poder

31-07-2002 - Para las personas que poseen y custodian ese conocimiento, que normalmente se traduce en datos y en estos tiempos, los datos se almacenan habitualmente en formato magnético, esto es, ficheros en discos duros. Para estas personas, digo, es necesario estudiar los procedimientos que hacen la información ininteligible a toda persona no autorizada que ellos designen como tal. Por supuesto, este estudio incluye una proporcionalidad entre los medios necesarios para su obtención y el beneficio previsto. Es decir, según la valía de la información para otras personas, así serán las medidas a tomar. La mejora de los medios para transmitir y utilizar la información, la ingente conectividad existente entre dispositivos informáticos (ahí tenemos la world wide web, que supone la mayor “telaraña” de dispositivos interconectados del mundo) ha aumentado la amenaza de inseguridad para esa información. Los sistemas informáticos cada vez más complejos, tienen cada vez más puntos débiles debido simplemente a su mayor dimensión, pues el número de posibles atacantes crece (también debido a la mayor conectividad) y los medios disponibles para vulnerar un sistema son más sofisticados.

La Ley de Moore (visionario que predijo que la capacidad de los procesadores se duplica cada año y medio) se lleva cumpliendo desde hace más de treinta años, y es difícil predecir su defunción. Esta misma ley se puede aplicar hoy en día a los anchos de banda, a la potencia, a la memoria....

Posibles amenazas a un sistema informático.

Un sistema informático, como todos sabemos, se compone de hardware, software, personal dedicado y de lo más importante, datos (el motivo de todo el sistema). Deben permitir tres operaciones principales. Almacenamiento, procesamiento y transmisión de esa información. En el almacenamiento y en la transmisión están sobretodo los puntos clave para que esa información pertenezca solamente a su dueño.

Los posbiles tipos de ataques pueden englobarse en cuatro grandes tipos:

Intercepción: Una persona, programa o proceso accede a una parte del sistema a la que no está autorizado. Es difícil de detectar (sniffers, keyloggers...)

Modificación: Además de tener acceso, modifica, destruye, reemplaza o cambia los datos o el funcionamiento del sistema.

Interrupción: Consiste en impedir que la información llegue a su destino. Es bastante fácil de detectar pero igual de difícil que los anteriores de evitar.

Generación. Se refiere a la posibilidad de incluir campos y registros en una base de datos, añadir líneas de código a un programa, añadir programas completos en un sistema (virus), introducir mensajes no autorizados por una línea de datos...

Los elementos vulnerables a estos ataques son todos los que componen un sistema informático, esto es, como ya hemos dicho, hardware de software, personal dedicado y datos.

Ataques al hardware: Se pueden producir de forma intencionada o no. Incendios fortuitos en los sistemas, fallos físicos, rotura física de cables....

Ataques al software: Se pueden centrar contra los programas del sistema operativo, a los programas de utilidad o a los programas de usuario. Necesita de mayores conocimientos técnicos (para los ataques harware, por ejemplo, bastaría con unas tijeras, un mazo... cerillas...) Existe gran variedad de ataques software:

Bomba lógica: el programa incluye instrucciones que, al cumplirse una condición, provocan una distorsión del funcionamiento normal del programa, que normalmente, deriva en daños al ordenador que lo ejecuta. Esta técnica es usada por algunos programadores. Introducen en la aplicación un código que se activa en una fecha determinada para que, si no ha cobrado por su trabajo ese día, destruya la información del ordenador en el que ha sido instalado.

Virus. Todos sabemos lo que son, cómo se comportan e incluso habremos sufrido sus consecuencias. Hoy en día, la conectividad entre ordenadores hace que existan muchísimos más de los 30 o 40 mil conocidos a finales de los 80, y que su impacto, cuando logran trascender, sea mucho mayor.

Gusanos. Son programas que se replican, la línea que los separa de los virus es muy delgada.

Backdoors o puertas falsas: Son programas que permiten la entrada en el sistema de manera que el usuario habitual del mismo no tenga conocimiento de este ataque.

Caballos de Troya: El objetivo de estos programas no es el mismo para el que aparentemente están diseñados. Se utilizan normalmente para instalar puertas traseras.

Ataques al personal: Aunque lo parezca, no consiste en perseguir con un cuchillo a los administradores. Se suele conocer más como ingeniería social. Consiste realmente en mantener un trato social con las personas que custodian datos. Indagar en sus costumbres o conocerlas más profundamente para perpetrar posteriormente un ataque más elaborado. La ingeniería social incluye desde suplantación de identidades confiables hasta la búsqueda en papeleras y basuras de información relevante.

Criterios para establecer la seguridad de la información.

Son las características fundamentales al establecer la seguridad de la información. La información custodiada, almacenada, emitida o procesada, debería cumplir estos requisitos.

Confidencialidad: La información disponible sólo para los usuarios autorizados a manejarla. Puede ser accesible a atacantes, pero no sabrán interpetrarlas o entenderlas. Este servicio proporciona protección contra la revelación deliberada o accidental de los datos en una comunicación.

Integridad: Este servicio garantiza que los datos recibidos por el receptor de una comunicación coinciden con los enviados por el emisor. Garantiza que la información no se falsea y que se ha mantenido intacta.

Autenticidad: Asegurar el origen y destino de la información.

No Repudio: Quién envía no puede alegar que no envió los datos.

Disponibilidad: Asegura que el sistema de computación esté disponible a las partes autorizadas siempre que sea requerido, y no existan problemas de caídas, cuelgues o funcionamiento dudoso de los máquina que prestan los servicios.

Control de acceso: Este servicio se utiliza para evitar el uso no autorizado de recursos. Incluiría la autenticación sobre la que ya he hablado en otros artículos.

Normalmente, los mecanismos que pueden proporcionar alguna de estas características proporcionan más de una al mismo tiempo, por ejemplo, control de acceso y autenticidad están muy relacionados.

Aún estableciendo estos servicios de seguridad, no se puede asegurar la invulnerabilidad de la información, pues existe el problema de los protocolos. Esto es, los pasos que hay que tomar entre dos interlocutores para establecer una comunicación segura. Aún si los datos están cifrados y las partes confían una en la otra, si el protocolo no está bien diseñado, la comunicación puede ser interceptada, modificada, interrumpida o generada. Pero los protocolos de comunicación segura, formarán parte de otro artículo.

Sergio de los Santos
s.delossantos@g2security.com

Volver<<< Volver
ImprimirVersión para imprimir Impresora | Versión PDF PDF
Enviar artículo a un amigo:
Las direcciones de correo no se almacenan en parte alguna, simplemente son utilizadas para el envio del correo al destinatario

Bloques informativos

criptografia

Seguridad Pymes

Logos y Marcas propiedad de sus respectivos autores
Se permite la reproducción total o parcial de todos los contenidos siempre que se cite la fuente y se enlace con el original
Logo AI pequeño
© 1998-2015 Asociación de Internautas
Aviso Legal - Contacto
¡Nuestro RSS! | Accesibilidad

¡Internautas Televisión! |¡Alertvir! |¡Seguridad en las PYMES! |¡Comisión de Seguridad! |¡Tienda de la Asociación de Internautas! |¡Seguridad en la Red! |¡Foros públicos de la Asociación de Internautas!