1. Principios de la seguridad informática

En este tema te presentamos algunos conceptos básicos acerca de la seguridad informática.

Es importante que te empieces a familiarizar con algunas de las principales amenazas y con distintos mecanismos para implementar la seguridad de los datos y de los sistemas.

Recuerda que si quieres ser un buen informático debes saber proteger el sistema del que eres responsable, de fallos y ataques externos.

1.1 ¿Qué es la seguridad informática?

Hoy en día es difícil concebir una empresa que no posea ordenadores y una conexión a Internet. Y no solo empresas, sino también a nivel particular como herramienta de ocio o trabajo. Las empresas basan gran parte de su actividad en datos almacenados en equipos informáticos o en datos e información que viaja por la red.

Por un lado será importante garantizar que la información almacenada no se pierda,se degrade o se altere de forma incorrecta (seguridad) y por otro, el garantizar que datos de carácter personal o privados por la actividad de la empresa sean accesibles por personas no autorizadas (privacidad).

Ofrecer protección frente a estos dos tipos de vulnerabilidad es de suma importancia, tanto para la actividad y funcionamiento de organismos y empresas como para individuos particulares.

¿Qué sientes cuándo se te estropea el disco duro de tu equipo y pierdes todas tus fotos de los últimos 5 años?, ¿y si alguien suplanta tu identidad y accede a tus datos bancarios? , ¿y si tu empresa rival accede a tus datos con los diseños de los últimos prototipos que aún no habéis lanzado?.

1.2. Objetivos de la seguridad informática

Según el estándar para la seguridad de la información ISO/IEC 27001, que fue aprobado y publicado en octubre de 2005 por la International Organization for Standardization (ISO) y por la comisión International Electrotechnical Commission (IEC):

“La seguridad informática consiste en la implantación de un conjunto de medidas técnicas destinadas a preservar la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio."

El principal objetivo será garantizar:

• La confidencialidad de la información: que nadie no autorizado pueda verla.

• La integridad de la información: que nadie no autorizado pueda modificarla y alterarla.

• La disponibilidad de la información: que quien esté autorizado pueda acceder a ella siempre y consultarla.

1.2.1 Confidencialidad

Según la Real Academia de la Lengua Española, se dice que algo es confidencial cuando "se hace o se dice en la confianza de que se mantendrá la reserva de lo hecho o lo dicho".

El objetivo de la confidencialidad es pues impedir la divulgación no autorizada de la información.

Si pensamos en nuestros datos personales o los datos que enviamos por la red al realizar una operación bancaria, está claro que deseamos que esos datos solo sean vistos por nosotros y el receptor autorizado (p.ej. aplicación web de nuestro banco online), pero por nadie más, no deseamos que está información que viaja por la red o que está almacenada en una base de datos, sea interceptada por alguien no autorizado y que sea capaz de acceder a la información.

De la misma forma las empresas guardan y transmiten información sensible, por ejemplo, de nuevos productos que aún no han salido a la venta, que en el caso de caer en casos de la competencia, podría arruinar a la empresa.

Más delicada incluso puede ser la información militar que en caso de caer en manos de otros países podría poner en peligro la seguridad de toda una nación.

La criptografía es una técnica que nos permite cifrar o encriptar la información, de forma que si alguien accede a ella no sea capaz de descifrarla. Sin embargo aquí nos encontramos con el problema de la clave criptográfica, que habrá que proteger, puesto que si alguien la obtiene, podrá descifrar y entender los datos interceptados.

1.2.2. Integridad

Para garantizar la integridad de la información, la seguridad informática debe buscar la forma de mantener los datos libres de modificaciones no autorizadas. Si alguien no autorizado, por error, accidente o con mala intención, modifica o borra parte o la totalidad de la información, se habrá producido un fallo en la seguridad.

Las modificaciones solo deben poderse realizar por parte de personal autorizado, y serán registradas para asegurar la confiabilidad de los datos.

Una mecanismo para garantizar la integridad es añadir al mensaje o datos de origen un conjunto adicional de datos de comprobación, de forma que si durante la transmisión del mensaje alguien no autorizado lo modifica, en el destino lo sabremos gracias a esos datos adicionales. Es lo que se conoce como firma digital.

1.2.3. Disponibilidad

La disponibilidad debe garantizar que los usuarios autorizados tengan acceso a los datos siempre que lo requieran. Deben de poder acceder al sistema para consultar, modificar o insertar información (según tipo de autorización y permisos).

Para ello los sistemas deben mantenerse funcionando de forma correcta y que se recuperen de forma eficiente ante posibles fallos. 

Cuando un usuario autorizado no pueda acceder al sistema, diremos que este no está disponible.

Existen sistemas críticos que si dejan de funcionar pueden ocasionar pérdidas muy importantes. Para este tipo de sistemas se desarrollan mecanismos que garanticen que estarán operativos en porcentajes cercanos al 100%. Se diseñan y configuran de forma que el tiempo en que están parados o caídos sea mínimo. Es lo que se conoce como alta disponibilidad. 

La disponibilidad se mide por el indice de disponibilidad que es el tiempo en que el sistema está totalmente operativo dividido entre el tiempo total. Los índices cercanos al 100% indicarán que los sistemas y sus datos y procesos han estado disponibles casi de forma continua.

1.2.4. Otros conceptos básicos

• Autenticación: permite validar la identidad del emisor. Verificando que es quien dice ser. El método más conocido es el de controlar el acceso mediante usuario y contraseña. Existen otros métodos más seguros como el certificado digital, tarjetas magnéticas, huella dactilar, reconocimiento facial, etc..

• Autorización: controla el acceso de los usuarios a información, equipos o procesos restringidos, tras pasar un proceso de autenticación. Deberemos definir sobre qué puede actuar, cuándo puede actuar y cómo puede hacerlo (p.ej. acceso a ficheros en modo de solo lectura o lectura/escritura, acceso a bases de datos con permisos de inserción, borrado o modificación, etc.) Siempre será más recomendable dar autorizaciones más restringidas y abrirlas cuando sea necesario, que dar autorizaciones muy abiertas que pueden comprometer la seguridad del sistema en caso de accesos con permisos inadecuados, bien intencionadamente o bien por error.

• Auditoría: debemos llevar un control sobre los sistemas y servicios que nos permita determinar qué acciones se han llevado a cabo y quién y cuándo las ha llevado a cabo. Periódicamente se revisará está información para analizarla y sacar conclusiones que permitan detectar posibles fallos de seguridad o mejorar los procedimientos.

• No repudio: mecanismo para asegurar que nadie pueda decir que él no fue. El emisor no podrá negar que fue él quien envió el mensaje, puesto que el receptor tendrá pruebas de ello o el receptor no podrá negar que recibió el mensaje porque el receptor tendrá información que lo confirma.

1.3. Seguridad activa y pasiva

En un vehículo nos encontramos con dos tipos de seguridad:

• La seguridad activa, que es la que trata de evitar que se produzca un accidente, como pude ser el sistema de frenado o la adherencia de los neumáticos.

• Y la seguridad pasiva, que trata de minimizar los daños una vez que el accidente ya se ha producido o es inevitable, como pueden ser los cinturones de seguridad o airbags.

En seguridad informática nos encontramos con algo parecido. Por un lado la seguridad activa, que tratará de prevenir y evitar que ocurran daños en los sistemas informáticos, y por otro lado, la seguridad pasiva que tratará de minimizar los efectos causados por un accidente, un error o un ataque.

1.3.1 Técnicas de Seguridad Activa

Estas técnicas intentan evitar y prevenir los daños en sistemas informáticos. Algunas de ellas son:

1.3.2 Técnicas de Seguridad Pasiva

Estas técnicas intentan minimizar los daños causados por un percance, error o ataque sobre el sistema informático. Algunas de estas técnicas son:

1.4. Seguridad física y lógica

Se pueden clasificar los mecanismos de seguridad atendiendo a si protegen el hardware o el software.

Aquellos mecanismos que protegen el hardware o medio físico en que se ubica el sistema frente a amenazas que pueden ser causadas por el hombre o por la naturaleza, se conocen como seguridad física.

Los mecanismos que protegen el software, es decir, aplicaciones y datos frente a posibles amenazas serán los que implementen la seguridad lógica.

1.4.1. Seguridad física.

La seguridad física, como ya hemos dicho es la que trata de proteger el hardware frente a posibles amenazas. En la siguiente tabla se recogen algunas de estas amenazas:

1.4.2. Seguridad lógica

La seguridad lógica trata de proteger las aplicaciones o programas y los archivos y datos frente a distintas amenazas, mediante distintas medidas de seguridad. En la siguiente tabla puedes ver algunas de estás medidas:

1.5.  Seguridad de contraseñas

Es fundamental el controlar que cualquier persona que acceda al sistema esté autorizado y que solo pueda acceder a los recursos para los que tiene autorización.

Una de las formas más usuales de autorizar los accesos es mediante un usuario y contraseña ( o password) y asociando a dicho usuario una serie de permisos (qué acciones podrá realizar y cuáles no y sobre qué recursos).

RECOMENDACIONES PARA ELEGIR CONTRASEÑA

No es recomendable elegir contraseñas que por ser fáciles de recordar, sean también fáciles de averiguar, no se recomienda nuestra fecha de nacimiento, NIF, nombre, nombre de nuestra mascota, nombre de algún familiar, etc.

Existen además ataques por diccionario o fuerza bruta que que se dificultan si se siguen algunas normas como longitud mínima o caracteres especiales.

Algunas normas básicas a la hora de elegir nuestra contraseña son:

• No elegir palabras relacionadas con nuestro entorno (NIF, nombre de nuestra mascota, fecha de nacimiento, nombre de tu hijo, etc.)

• Usar combinaciones de letras, números y caracteres especiales (no usar palabras con significado).

• Longitud mínima de 8 caracteres.

• Intentar usar contraseñas distintas para servicios distintos.

• No usar nunca la contraseña por defecto, cambiarla en el primer acceso.

Para recordar una contraseña segura (mínimo 8 caracteres que incluyan números, letras y caracteres especiales) podemos recurrir al truco de usar una frase, por ejemplo: ¿Yo nací en febrero de 1980?, y quedarnos con los dos últimos caracteres de cada palabra: Yocíenrode80?

Obviamente, ninguna de estas precauciones será de utilidad si después anotamos la contraseña en un postit y la pegamos en la pantalla de nuestro ordenador. Las contraseñas deben almacenarse de forma segura (existen programas gestores de contraseñas) y tener cuidado en su distribución, cómo y a quién se facilita, como norma general una contraseña es de uso privado, por lo que no se debe facilitar a nadie. En caso necesario, debemos ser cuidadosos con el medio que usamos y si es necesario cifrar la información , de forma que solo la persona que posea la clave de cifrado pueda recuperar esa contraseña.

MEDIDAS DE SEGURIDAD A IMPLEMENTAR POR EL ADMINISTRADOR DEL SISTEMA

A la hora de configurar nuestros sistemas debemos forzar a los usuarios a tomar ciertas medidas de seguridad con respecto a sus contraseñas:

• Obligar al usuario a cambiar la contraseña inicial en su primer acceso.

• Numero máximo de intentos permitidos, tras el cual el sistema se bloquea.

• Que no se admitan contraseñas de menos de 8 caracteres y que estos obligatoriamente incluyan mayúsculas, minúsculas, números y caracteres especiales.

• Que las contraseñas expiren cada cierto tiempo y haya que cambiarlas, tampoco se permitirá repetir ninguna de las tres últimas.

1.5.1 Ataques a las contraseñas

Existen diversos sistemas para averiguar contraseñas. Algunos de los más conocidos son:

• Sniffers: programas que interceptan las comunicaciones de los equipos en una red pudiendo extraer contraseñas de las comunicaciones "escuchadas".

• Keyloggers: Programas que capturan las teclas pulsadas.

• Fuerza bruta: Programas que prueban todas las combinaciones (cuanto más larga sea la contraseña, más tiempo requieren).

• Ataque por diccionario: Programas que usan palabras del idioma del usuario.

• Suplantación de identidad: Se trata de engañar al usuario haciéndole creer que es su banco, o alguien conocido, o algún organismo público, para que se le faciliten las claves.