UNIVERSIDAD VERACRUZANA Facultad de Contaduría y Administración El MALWARE en las organizaciones MONOGRAFÍA para obtener el Título de: Licenciado en Sistemas Computacionales Administrativos Presenta: Alejandro Ramírez Ventura Asesor: M.C.A. Jesús Ramírez Sánchez Cuerpo Académico: Sistemas Telemáticos y las Organizaciones Inteligentes en la Sociedad del Conocimiento Xalapa-Enríquez, Veracruz. Agosto 2009 UNIVERSIDAD VERACRUZANA Facultad de Contaduría y Administración El MALWARE en las organizaciones MONOGRAFÍA para obtener el Título de: Licenciado en Sistemas Computacionales Administrativos Presenta: Alejandro Ramírez Ventura Asesor: M.C.A. Jesús Ramírez Sánchez Cuerpo Académico: Sistemas Telemáticos y las Organizaciones Inteligentes en la Sociedad del Conocimiento Xalapa-Enríquez, Veracruz. Agosto 2009 AGRADECIMIENTOS A Dios, por permitirme llegar hasta aquí, por darme la fuerza día a día para lograr esta meta, por regalarme esas dos personas tan especiales que, sin ellas no hubiera logrado mi sueño: Mis padres. A mis Padres, por depositar su confianza en mí, por todos los sacrificios realizados para formarme y hacer de mí una persona de bien. Sin duda, sin su apoyo este sueño no hubiera podido ser realidad, no me alcanzarían las palabras para decirles lo agradecido que me siento hacia ustedes, espero se sientan tan orgullosos como yo me siento de ustedes. ¡¡¡DE CORAZÓN GRACIAS, LOS QUIERO!!! A mis Tíos Catalina y Carlos, por abrirme las puertas de su casa, brindarme su confianza y su apoyo incondicional para lograr mi objetivo, que fue siempre terminar mi carrera profesional. Gracias. A mi hermana y toda mi familia, por darme esas palabras de aliento y consejos que me ayudaron a seguir adelante a lo largo de este camino, en especial a mis Abuelitos que siempre creyeron en mí, Gracias. A mi asesor de trabajo Mtro. Jesús, por su tiempo y dedicación para la realización de este trabajo, y por todos los consejos como Tío y amigo a lo largo de esta carrera, Gracias. A mi novia, por ser un apoyo más, por ser en lo profesional un ejemplo a seguir haciéndome saber que si se puede, Gracias Nel, te quiero. A todos mis compañeros y amigos, que desinteresadamente me ayudaron a lo largo de este camino y que me hicieron conocer el verdadero significado de la palabra amistad, Gracias. ¡¡¡ A todos Gracias!!! ÍNDICE Pág. RESUMEN 1 INTRODUCCIÓN 2 CAPÍTULO I. SEGURIDAD INFORMÁTICA 6 1.1 Definición de Seguridad Informática 7 1.2 Antecedentes de la Seguridad Informática en las organizaciones 9 1.2.1 La etapa de los Modelos Formales de Seguridad 10 1.2.2 La etapa de los Estándares y Mejores prácticas de Seguridad 10 1.2.3 La etapa de la Seguridad Estratégica 11 1.3 Objetivos de la seguridad informática 12 1.3.1 Confidencialidad 13 1.3.2 Integridad 14 1.3.3 Disponibilidad 14 1.4 Tipos de Seguridad 15 1.4.1 Seguridad física 15 1.4.1.1 Peligros 16 1.4.1.2 Medidas de prevención y mitigación 18 1.4.2 Seguridad lógica 24 1.4.2.1 Peligros 24 1.4.2.2 Medidas de prevención y mitigación 28 1.5 Amenazas 30 1.5.1 Internas 30 1.5.2 Externas 32 1.6 Triángulo de debilidades del sistema informático 34 II 1.7 Aportación personal CAPÍTULO II. MALWARE 39 42 2.1 Definición de MALWARE 43 2.2 Antecedentes de Software Malo 44 2.3 Clasificación del MALWARE 49 2.3.1 MALWARE que afecta a la información 50 2.3.1.1 Virus 50 2.3.1.2 Caballo de Troya 53 2.3.1.3 Spyware (Software espía) 54 2.3.1.4 Phishing (Pescando) 56 2.3.1.5 Back door (Puerta trasera) 57 2.3.1.6 Bomba lógica 59 2.3.2 MALWARE que afecta el rendimiento del equipo de cómputo 59 2.3.2.1 Worm (Gusano) 60 2.3.2.2 Adware (Software de anuncio) 61 2.3.2.3 Rootkit (Herramienta del root) 62 2.4 Medidas de prevención contra el MALWARE 63 2.5 Aportación personal 65 CAPÍTULO III. ESTUDIO DE CASOS 67 3.1 Caso “Fannie Mae” 69 3.1.1 Antecedentes de la Organización 69 3.1.2 Planteamiento del problema 69 3.1.3 Impacto del MALWARE 70 3.1.4 Medidas que se tomaron para la reparación III de los daños 70 3.1.5 Medidas de prevención tomadas después del ataque 71 3.2 Caso “Universidad de Granada” 71 3.2.1 Antecedentes de la Organización 71 3.2.2 Planteamiento del problema 72 3.2.3 Impacto del MALWARE 73 3.2.4 Medidas que se tomaron para la reparación de los daños 73 3.2.5 Medidas de prevención tomadas después del ataque 3.3 Caso “Poder Judicial del estado de Veracruz” 74 74 3.3.1 Antecedentes de la organización 74 3.3.2 Antecedentes del MALWARE 75 3.3.3 Planteamiento del problema 75 3.3.4 Impacto del MALWARE 76 3.3.5 Medidas que se tomaron para la reparación de los daños 76 3.3.6 Medidas de prevención tomadas después del ataque 77 3.4 Aportación personal 77 CONCLUSIONES 79 FUENTES DE INFORMACIÓN 82 GLOSARIO 87 ÍNDICE DE FIGURAS 92 ÍNDICE DE TABLAS 93 IV RESUMEN En el presente trabajo se desarrolla el tema “El MALWARE en las organizaciones”. Inicialmente se trata el tema de Seguridad Informática, el cual expone lo más relevante en cuanto al cuidado y protección de la información que se almacena en los equipos de cómputo. Como tema central, se considera el MALWARE, ya que es preciso conocer el riesgo que representa enfrentarse a un software de este tipo, y por lo tanto, poder tomar las medidas de seguridad necesarias para evitar daños a la información. Por último, un apartado en el que se estudian algunos casos reales en los que el MALWARE se ha hecho presente en las organizaciones, el cual le da sentido a este trabajo. 1 INTRODUCCIÓN En la actualidad, las organizaciones del mundo utilizan la tecnología para ser más competitivas cada día y alcanzar sus objetivos, en concreto, el uso de la computadora ha sido parte fundamental para el logro de lo antes mencionado. Sin embargo, de la misma manera que el manejo de la información a través de medios electrónicos ha traído cuantiosos beneficios, también ha venido arrastrando consigo un sin número de amenazas que ponen en peligro la integridad de dicha información. Una de estas amenazas, y que ha sido considerada como una de las más potenciales en cuanto a peligrosidad, debido a su constante e incansable perfeccionamiento, es el Software Malo (MALWARE). El MALWARE, de forma muy general, puede definirse como: todo tipo de software que tiene como fin dañar la PC. El MALWARE ha venido evolucionando desde hace muchos años, al principio solo se diseñabas programas con el fin de demostrar el conocimiento que poseían sus creadores y en algunos casos para realizar bromas inofensivas. Hoy en día, esto ha cambiado significativamente, ya que comúnmente podemos encontrar programas malignos con la intención de robar información confidencial para usos ilícitos. Es por eso que, las organizaciones deben tomar conciencia sobre los peligros que corren, y darle a este tema la atención que merece, ya que un descuido podría traerles graves consecuencias. Por tales motivos, se pretende ampliar el panorama acerca del impacto que podría tener el ataque de algún tipo de MALWARE dentro de una organización. El objetivo de este trabajo es informar a las organizaciones que no tienen el conocimiento suficiente en cuanto a seguridad informática se refiere, y al mismo tiempo crear conciencia que, aún teniendo los recursos, no invierten lo suficiente para implementar medidas de seguridad que resguarden su información, para lo cual se ha integrado con los siguientes temas: 3 En el Capítulo I, se exponen algunas definiciones de Seguridad Informática de acuerdo a diferentes autores, así como también algunos de sus antecedentes dentro de las organizaciones, sus objetivos, los tipos de amenazas a los que está expuesta la información, y los tipos de seguridad en los que se divide la Seguridad Informática (Física y Lógica), con el fin de entender la importancia que implica una buena gestión de la seguridad dentro de una organización. A lo largo del Capítulo 2 se habla sobre MALWARE, iniciando con su definición, seguido de sus antecedentes, y los tipos de MALWARE que existen actualmente, cada uno con sus características y su forma de eliminación, con el fin de conocer más a fondo cada uno de estos programas que circulan hoy en día en grandes cantidades por la red. Por último en el Capítulo 3, como parte central de este trabajo, se presentan tres casos de estudio en los que organizaciones fueron afectadas por algún tipo de MALWARE descrito en el Capítulo anterior, primeramente se expone el caso de una Institución hipotecaria de viviendas de E.U.A llamada “Fannie Mae”, que fue agredida por uno de sus ex empleados al dejar activada una bomba lógica, seguido del caso de una reconocida Universidad de España “Universidad de Granada”, que fue atacada de uno de sus alumnos, al robar información importante de dos profesores y modificando una pagina web propiedad de la universidad, y para concluir, se presenta el caso de una instancia del Gobierno del Estado de Veracruz, “Poder Judicial del Estado de Veracruz”, la cual fue víctima del conocido gusano “Conficker”, que ha causado grandes daños por todo el mundo, con el objetivo de dar a conocer estas experiencias para que organizaciones de todo tipo se mantengan alerta y sepan los peligros a los que está expuesta su información. Al término de este trabajo se presentan las conclusiones en las que se destaca lo importante que es mantenerse bien informado y tomar las precauciones necesarias para evitar la pérdida de información, y por lo tanto evitar pérdidas que pongan en peligro la existencia de la organización. 4 Es de resaltar que para la elaboración de este trabajo denominado como una Monografía, se hizo una extensa investigación siendo necesario consultar diferentes fuentes de información, tales como páginas web, tesis, libros, documentos web, así como también una entrevista la cual se plasma en uno de los casos de estudio que conforman el capitulo tres. También es importante mencionar que los casos de estudio tomados para este trabajo son actuales, ya que ocurrieron durante los últimos tres años a la fecha. 5 CAPÍTULO I: SEGURIDAD INFORMÁTICA Introducción. En el presente capítulo se presenta un marco general de los aspectos fundamentales que comprende la seguridad de la información, tomando en cuenta los tipos de seguridad, antecedentes sobre seguridad informática y algunas definiciones que ayudarán a una mejor comprensión del tema. 1.1 Definición de Seguridad Informática. Antes de abordar el tema Seguridad Informática, es necesario conocer su significado, para esto se comenzará por definir la palabra Seguridad así como también el término Informática, lo que dará una idea un poco más clara de lo que se hablará en este primer capítulo. El INEGI (2002) define la seguridad como aquellas reglas técnicas y/o actividades destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible de robo, pérdida o daño, ya sea de manera personal, grupal o empresarial”. Por otro lado, Alcalde (2008) en un número de la revista Compendium de la Universidad Centroccidental Lisandro Alvarado, afirma que la Informática se entiende como el resultado de los términos información y automatización, es la ciencia que estudia el tratamiento automático y racional de la información. Dice que el tratamiento es automático por ser máquinas las que realizan los trabajos de captura, proceso y presentación de la información, y se habla de racional por estar todo el proceso definido a través de programas que siguen el razonamiento humano. 7 De acuerdo a las definiciones que se presentaron en los párrafos anteriores sobre los conceptos de seguridad e informática, ahora se estudiarán diferentes puntos de vista sobre el concepto de Seguridad Informática. En el mundo de la información del que hoy en día se dispone, existe un gran número de definiciones sobre Seguridad Informática, sin embargo el sitio electrónico llamado Portal de definiciones, es bastante acertado al decir que la seguridad informática es una disciplina que se encarga de proteger la integridad y la privacidad de la información almacenada en un sistema informático. Por otro lado, Asensio (2006) en su libro “Seguridad en Internet: Una guía práctica y eficaz para proteger su PC con software gratuito” (pág. 15), define la seguridad informática como la capacidad de mantener intacta y protegida la información de sistemas informáticos. Finalmente, un reconocido grupo de la plataforma Linux dedicado a la seguridad en los equipos de cómputo “Grupo de Usuarios GNU/Linux de la Laguna” (2009), afirma que la seguridad informática consiste en asegurar que los recursos del sistema de información sean utilizados de la manera que se decidió y que el acceso a la información allí contenida sólo sea posible a las personas que se encuentren acreditadas. Conforme a las definiciones anteriores sobre seguridad informática, se puede decir que la seguridad informática es una disciplina que consta de técnicas y actividades aplicadas tanto a los medios de almacenaje como a los medios electrónicos de procesamiento de datos como lo son las computadoras, con el fin de resguardar el acceso a toda la información que en ellos se maneja, para mantenerla intacta y protegida de aquellas amenazas que pudieran afectar su integridad, como pueden ser personas, desastres naturales, virus informáticos, etc. 8 1.2 Antecedentes de la Seguridad Informática en las organizaciones. Después de hacer un análisis del concepto de seguridad informática, a continuación se presentan sus antecedentes dentro de la organización, basados en tres etapas que exponen lo más representativo de cada una, lo siguiente fue tomado de una publicación realizada por el Gerente de Programa de Seguridad para Latino América de la empresa Microsoft Corp. de México, Roberto Arbeláez (2008). A lo largo de los años, la seguridad informática pasó de ser una subespecialidad oscura y exclusivamente técnica dentro del campo de la informática, a volverse un actor central en la vida de la organización. La aparición de los servicios en línea, y la integración vertical y horizontal de las organizaciones a través de las TICs18, generaron nuevas formas de hacer negocios, pero también nuevos riesgos para las organizaciones. Hoy en día, las organizaciones incorporan la gestión del riesgo como parte de sus prácticas de buen gobierno corporativo y, debido a su alta dependencia tecnológica, el riesgo de tecnología se vuelve especialmente relevante. En este sentido, una de las formas más importantes de manejar el riesgo de tecnología es a través de la seguridad de la información. Por ello, la seguridad de la información tiene una gran importancia para las organizaciones modernas y está embebida en todos los aspectos de operaciones de un área de tecnología, siendo parte fundamental del conjunto de temas a entender y atender por parte de todo gerente de tecnología; pero más importante aún, es discutida en ámbitos de la alta gerencia organizacional, debido a su importancia estratégica para la supervivencia de la organización. Esta evolución de la seguridad de la información no se dio de la noche a la mañana, la cual se divide en tres grandes etapas: 9 1.2.1 La etapa de los Modelos Formales de Seguridad. Esta etapa está centrada en el control de acceso a sistemas de información. La seguridad empieza a aparecer de la mano de los usuarios y las contraseñas, y de una preocupación general por quién puede acceder a qué en el sistema. En esta etapa se formulan los primeros modelos formales de seguridad informática, modelos teóricos especificados en papers académicos en donde abundan las fórmulas de lógica de primer orden y las máquinas de estados. Estos modelos son diseñados para mantener uno o varios de los atributos de seguridad (confidencialidad, integridad y/o disponibilidad) y son la base teórica sobre la que se diseñan los primeros sistemas operativos que incorporan la seguridad, así como la funcionalidad de autenticación, autorización y acceso, los sistemas de directorio, las bases de datos y los protocolos de red entre otros. Entre los modelos más conocidos están los modelos de Biba11, HarrisonRuzzo-Ullman14, Clark-Wilson13, el modelo de Lattice15 y el modelo de Chinese wall12. En esta etapa, la seguridad informática es competencia de desarrolladores de sistemas operativos y de administradores de sistemas, y es impulsada por algunos académicos especializados en seguridad que trabajan en agencias gubernamentales o empresas asociadas a ramos defensa, y se limita a esferas eminentemente técnicas siendo considerada apenas una disciplina emergente. 1.2.2 La etapa de los Estándares y Mejores prácticas de Seguridad. La seguridad empieza a tener relevancia en la organización, aunque se trabaja de manera empírica. Esto lleva a que se empiecen a desarrollar cuerpos de conocimiento (Body of knowledge - BoK)1 de seguridad informática; organismos como ISACA6 e ISC24 empiezan a desarrollar formalmente el marco teórico de lo que más adelante se consideraría como la teoría formal de seguridad, y a crear certificaciones para profesionalizar la seguridad de la información. 10 En paralelo, organismos como la ITU10 (International Telecommunication Union), la IEEE5 (Institute of Electrical and Electronic Engineers) y la ISO8 (International Standards Organization) empiezan a desarrollar estándares de seguridad inicialmente muy técnicos y de muy bajo nivel, y posteriormente organismos como el NIST16 (National Institute of Standards and Technology), la BSI3 (British Standards Institute) y la ISO generan estándares progresivamente más orientados a las mejores prácticas, así como a la gestión y administración de la seguridad. Se empieza a generar demanda por personas con certificados en seguridad informática y las organizaciones empiezan a incorporarlos a sus filas, y a adoptar las mejores prácticas de seguridad. En esta etapa, la seguridad informática es de competencia directa del gerente de tecnología y se integra con la práctica de operaciones de tecnología (usualmente modelada usando ITIL9), siendo tenida en cuenta para la definición de acuerdos de nivel de servicio (SLAs - Service Level Agreements)17 y para la planeación estratégica de tecnología. En esta etapa, la seguridad es impulsada por una pujante y creciente comunidad de profesionales de seguridad, apoyada por la industria y la academia. 1.2.3 La etapa de la Seguridad Estratégica. La seguridad informática se reconoce como estratégica para la supervivencia de la organización. Se empiezan a ver las áreas de seguridad informática independientes del área de tecnología, a veces incorporando elementos de seguridad industrial, seguridad física y continuidad del negocio, que dependen directamente de la alta gerencia, incluso de la junta directiva. El presupuesto de seguridad informática se desliga del presupuesto de tecnología y se desarrollan procesos independientes de planeación estratégica de seguridad informática y de continuidad del negocio, desligados de los procesos tradicionales de planeación estratégica de tecnología. 11 La gestión en seguridad informática se maneja a través de indicadores de gestión en tableros de control de gerentes a diferentes niveles jerárquicos; los riesgos informáticos hacen parte fundamental de los análisis de riesgos organizacionales y la adquisición de infraestructura, software y servicios de seguridad informática es vista por la organización como una inversión con un retorno definido y con un propósito específico: mitigar el riesgo que afronta la organización. Las organizaciones empiezan a buscar certificar sus operaciones de tecnología bajo estándares de seguridad reconocidos internacionalmente (BS7799-22, ISO 270017). Las personas con certificaciones en seguridad informática se vuelven comunes en la organización. En esta etapa, la seguridad informática se sale de la esfera de influencia del área de tecnología y se vuelve estratégica para la organización, siendo lideradas por roles de muy alto perfil jerárquico con acceso directo a la junta directiva y con poder de veto sobre proyectos de tecnología, y es impulsada por procesos organizacionales de gestión del riesgo, una sólida comunidad de profesionales de seguridad, y una academia fuerte en investigación de seguridad, con una oferta creciente de programas de postgrado a nivel de maestrías y doctorados en seguridad de la información. 1.3 Objetivos de la seguridad informática. En el apartado presentado anteriormente, se dio a conocer lo más representativo de la evolución que ha tenido la seguridad informática dentro de las organizaciones, lo cual para efecto de este trabajo es muy importante conocer, no obstante, también es de suma importancia hablar sobre sus objetivos , ya que en base a ellos radica su razón de existir. 12 Kioskea (2008) afirma que, generalmente los sistemas de información incluyen todos los datos de una compañía y también en el material y los recursos de software que permiten a una compañía almacenar y hacer circular estos datos. Los sistemas de información son fundamentales para las compañías y deben ser protegidos. También dice que, la seguridad informática consiste en garantizar que el material y los recursos de software de una organización se usen únicamente para los propósitos para los que fueron creados y dentro del marco previsto. La seguridad informática se resume, por lo general, en 3 objetivos principales: confidencialidad, integridad y disponibilidad, que a continuación se explican. 1.3.1 Confidencialidad. Navarro (2002) en su libro: “La seguridad de los datos de carácter personal”, asegura que, la confidencialidad se refiere a la privacidad de los elementos de información almacenados y procesados en un sistema informático. Se cumple cuando sólo las personas autorizadas pueden conocer los datos o la información correspondiente. Podemos preguntarnos: ¿qué ocurriría si un soporte magnético con los datos de los clientes o empleados de una entidad fuera cedido a terceros?, ¿cuál podría ser su uso final?, ¿habría una cadena de cesiones o ventas incontroladas de esos datos? En algunos casos interesa registrar quién ha accedido a qué datos, cuando y desde donde, aún estando autorizado sólo a leer, para poder analizar los accesos producidos en caso necesario y si estaban justificados según la función, o los encargos o áreas asignadas. 13 Este objetivo es particularmente importante en sistemas distribuidos, es decir, aquellos en los que usuarios, computadores y datos residen en localidades diferentes, pero están física y lógicamente interconectados. 1.3.2 Integridad. Según Navarro et al. (2002), la integridad consiste en que sólo los usuarios autorizados puedan variar (modificar o borrar) los datos. Deben quedar pistas para control posterior y para auditoría. Pensemos que alguien introdujera variaciones de forma que perdiéramos la información de determinadas deudas a cobrar (o que sin perderla recurriéramos a la información en papel), o que modificará de forma aleatoria parte de los domicilios de algunos clientes, o historiales médicos de pacientes, etc. Algunas de estas acciones se podrían tardar en detectar, y tal vez las diferentes copias de seguridad hechas a lo largo del tiempo estarían corruptas, lo que haría difícil le reconstrucción. 1.3.3 Disponibilidad. Siguiendo con Navarro et al. (2002), él argumenta que, la disponibilidad se cumple si las personas autorizadas pueden acceder a tiempo a la información a la que estén autorizadas. El disponer de la información después del momento necesario puede equivaler a la falta de disponibilidad. Otro tema es disponer de la información a tiempo pero que ésta no sea correcta, e incluso que no sepa, lo que puede originar la toma de decisiones erróneas. Más grave aún puede ser la ausencia de disponibilidad absoluta, por haberse producido algún desastre. En ese caso, a medida que pasa el tiempo el impacto irá siendo mayor, hasta llegar a suponer la 14 falta de continuidad de la entidad, como ha pasado en muchos de los casos producidos: más de un 80% según las estadísticas. Para terminar, Navarro et al. (2002), afirma que además de los objetivos descritos anteriormente debe existir también, autenticidad: que quiere decir que los datos o información sean auténticos, introducidos o comunicados por usuarios auténticos y con las autorizaciones necesarias. 1.4 Tipos de Seguridad. De acuerdo a los objetivos de la seguridad informática, es necesario dividirla en dos tipos, por un lado se tiene la seguridad física, la cual habla de cómo proteger los equipos de computo de amenazas que pudieran dañar el hardware, por otro lado, se encuentra la seguridad lógica, que habla sobre la protección tanto de software como de los datos que se tienen almacenados en las computadoras, mismas que a continuación se presentan: 1.4.1 Seguridad física. Rodríguez (2004) en su libro: “Seguridad de la información en sistema de cómputo”, argumenta que, la seguridad física “consiste en la aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas a amenazas a los recursos e información confidencial. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del área de cómputo así como los medios de acceso remoto, implementados para proteger el hardware y medios de almacenamiento de datos”. Es necesario proteger tanto la seguridad física de las instalaciones donde está ubicado el equipo de cómputo como la del propio equipo. Por lo tanto, se requiere planear la instalación, controlar el acceso físico y protegerse contra daños y fallas en los suministros. Mantener la seguridad física es un primer paso para proteger las instalaciones de cómputo y comunicaciones. Las medidas de 15 seguridad física deben tomar en cuenta riesgos como accidentes, desastres naturales, ataque por intrusos, condiciones ambientales, etc. 1.4.1.1 Peligros. Dentro de la seguridad física existen ciertos riesgos que pueden poner en peligro la integridad del equipo de cómputo, Rodríguez et al. (2004), considera los siguientes: Incendios. Se pueden definir como la ignición no controlada de materiales inflamables y explosivos, dado el uso inadecuado de combustibles, fallas en instalaciones eléctricas defectuosas y el inadecuado almacenamiento y traslado de sustancias peligrosas. Los daños que produce un incendio son generados por el fuego, el calor, los productos de combustión, el agente extinguidor y tiene como consecuencia destrucción de construcciones y estructuras. Los incendios son comúnmente considerados como el principal y más temido riesgo en instalaciones de cómputo, sin embargo, estadísticamente el agua es la causa del mayor número de desastres en instalaciones de cómputo. Inundaciones. Se considera inundación al flujo o a la invasión de agua por exceso de escurrimientos superficiales o por acumulación en terrenos planos, ocasionada por falta o insuficiencia de drenaje tanto natural como artificial. Entre las causas comunes de inundación están: fugas de tuberías de agua, aire acondicionado (fugas de agua o condensación), sistemas de enfriamiento por agua (así se enfrían algunos equipos computacionales), rociadores, etc. 16 Instalaciones eléctricas. Trabajar con computadoras implica trabajar con electricidad, por lo tanto esta es una de las principales áreas a considerar en la seguridad física. Además, es una problemática que abarca desde el usuario hogareño hasta la gran empresa. En la medida que los sistemas se vuelven más complicados se hace más necesaria la presencia de un especialista para evaluar riesgos particulares y aplicar soluciones que estén de acuerdo con una norma de seguridad industrial. Las consecuencias de una interrupción en el suministro de electricidad son proporcionales al grado de dependencia en la computadora. El suministro de energía para el aire acondicionado, la computadora y el equipo de captura de datos es importante en las instalaciones de alto riesgo, especialmente las que cuentan con procesamiento en línea o de tiempo real, el suministro de respaldo es imprescindible. Contaminación. La entrada de partículas contaminantes al equipo electrónico, puede causar corto circuitos e incluso iniciar incendios en equipo de procesamiento de datos. Surge la pregunta: ¿Cómo se introducen los contaminantes al ambiente supuestamente limpio del centro de cómputo? Mientras que ciertos contaminantes son introducidos por los operadores (incluyendo fibra de ropa, partículas de cabello y piel, ceniza, etc.), la mayoría de las partículas son traídas por el aire y transportadas dentro de los equipos sensibles a través de las entradas de aire debajo del piso falso. Algunos de los contaminantes más comunes son: polvo de cemento, yeso y tierra, contaminación “urbana”, y partículas metálicas (conductores de electricidad). Muchos contaminantes pueden absorber humedad además de conducir electricidad. 17 Terremotos. Estos fenómenos sísmicos pueden ser tan poco intensos que solamente instrumentos muy sensibles los detectan o tan intensos que causan la destrucción de edificios y hasta la pérdida de vidas humanas. El problema es que en la actualidad, estos fenómenos están ocurriendo en lugares donde no se les asociaba. Por fortuna los daños en zonas improbables suelen ser ligeros. Robo de equipo e información. En los centros de cómputo se encuentran activos de gran valor monetario, que resultan susceptibles de ser sustraídos. Mas grave aún puede resultar la sustracción de información (parte de la cual tiene carácter de confidencial). Utilización de Guardias. La principal desventaja de la aplicación de personal de guardia es que éste puede llegar a ser sobornado por un tercero para lograr el acceso a sectores donde no esté habilitado, como así también para poder ingresar o egresar de la planta con materiales no autorizados. Esta situación de soborno es muy frecuente, por lo que es recomendable la utilización de sistemas biométricos para el control de accesos. 1.4.1.2 Medidas de prevención y mitigación. Para prevenir o controlar las algunas de las posibles amenazas mencionadas anteriormente que pudieran dañar el equipo de cómputo, Rodríguez et al. (2004), propone las siguientes: 18 Control de acceso al equipo de cómputo. Este tipo de sistemas garantizan que sólo el personal autorizado podrá ingresar al CPD (Centro de Procesamiento de Datos), con lo cual se disminuirá considerablemente el riesgo de robo, destrucción o manipulación no autorizada de equipos de información. Los controles durante los descansos y cambios de turno son de especial importancia. El medio que permite identificar al personal al personal, puede ser a través de teclados y claves numéricas, otros realizan la identificación mediante lectores de tarjetas codificadas o tarjetas con cintas magnéticas. Hay otros sistemas que se basan en quién es la persona y no en qué tiene la persona (como se acaba de mencionar), como los reconocimientos de firmas, de huella digitales (Ver Figura1.1), sistemas de reconocimiento de las líneas de la mano, de voz, reconocimiento de retina (Ver Figura 1.2), etc., llamados biométricos. Figura 1.1 Sistemas Biométrico de reconocimiento de huella. (Acrosoft.net) Figura 1.2 Sistema Biométrico de reconocimiento de retina. (Acrosoft.net) 19 A los sistemas descritos anteriormente se les llama “Sistemas de Identificación y Autentificación”, ya que intentan no solo conocer la identidad del usuario, sino de saber que esa identidad es auténtica. Cuando se utilicen estos sistemas automáticos para las puertas, debe existir una puerta adicional que se usa como salida de emergencia. Las aperturas que se usen para recepción y entrega de datos deberían estar en un área separada del centro de cómputo con una división a prueba de fuego. Sistema de protección contra descargas eléctricas En toda instalación de equipo de cómputo deberá existir una red de pararrayos que garantice que toda descarga eléctrica sea derivada a tierra, con esto también se disminuirá el riesgo de incendio. Otros riesgos son los cambios de voltaje. Por lo tanto, deben instalarse supresores de picos, reguladores de voltaje, dispositivos de monitoreo y alarmas. Muchos constructores de equipo recomiendan conectar el CPU y los periféricos a diferentes circuitos para mantenerlos aislados eléctricamente. Humedad La humedad no sólo afecta a los equipos sino también a las cintas, discos y papel; por esta razón se deben instalar sistemas de detección de fugas de líquidos. No deben pasar tuberías por encima ni debajo ni a los lados directamente del equipo de cómputo, almacenes de cintas, discos, papel, etc. Se debe tener cuidado con fugas de agua de equipos enfriados por este líquido y fugas de los aparatos de aire acondicionado. Temperatura Las instalaciones de cómputo son muy sensibles a la temperatura, incluso temperaturas de 50 a 60°C pueden tener efectos muy dañinos en equipo y medios de almacenamiento de información. Por lo tanto deben existir sistemas de aire acondicionado con salidas bien distribuidas, también la construcción del centro de 20 cómputo tiene que estar bien diseñada de modo que no haya fugas del aire frío ni entradas de aire caliente, polvo o luz solar. Prevención de incendios Son de gran importancia los sistemas de detección de humo (el detector de humo que se elija debe ser capaz de detectar los distintos tipos de gases que desprenden los cuerpos en combustión), los cuales deben ser posicionados de acuerdo a las corrientes de aire, ya que los conductores de A.C. pueden difundir el calor o el humo y no permitir que se active el detector. Tienen que instalarse detectores en los gabinetes, ductos de A.C., bajo el piso falso, en el techo, etc. Y estar conectados a sistemas de alarma y además deben señalar la ubicación exacta de la fuente. Además deben ponerse extintores manuales en lugares apropiados de acceso inmediato (los operadores deben estar entrenados en el uso de estos equipos y de todos los procedimientos de emergencia); estos extinguidores y el equipo de gas se deben revisar con regularidad para asegurar su buen funcionamiento. El equipo respiratorio debe estar a la mano porque las cintas magnéticas despiden humo nocivo. Prevención de inundaciones Resulta necesario contar con medidas para detectar la intrusión de agua antes de que sea necesario apagar la computadora. Existen sistemas para detectar la presencia de agua bajo el piso antes de que se vuelva peligrosa para el equipo. Además de señalar fugas con una alarma, estos sistemas deben proveer los medios para quitar automáticamente la energía a los equipos. Seguridad en los almacenes Deben tenerse medidas de seguridad en los almacenes de cintas y discos: controles de acceso, y controles ambientales y tener almacenamiento de 21 respaldos en otro lugar, por ejemplo: en cajas de seguridad contra incendios (que no tenga los mismos riesgos que el sitio original). Barreras de protección. Básicamente hay cuatro niveles jerárquicos: a) Protección perimetral: los controles ubicados en el área externa del predio y que lo limitan con las colindancias inmediatas, por ejemplo: bardas, rejas, puertas de acceso, casetas de vigilancia, etc. b) Protección del inmueble: se consideran los controles ubicados en la periferia del edificio mismo, por ejemplo: muros de material fuerte, puertas, etc. c) Protección de objeto: esta última barrera nos permite diseñar la protección de áreas específicas que por su importancia o valor requieran de un tratamiento especial, por ejemplo: sistemas sofisticados de detección de intrusos como sistemas fotométricos, sistemas de detección de movimiento por sonido, ultrasonido o microondas, sistemas de detección de ruido y vibración, detectores de metales en las entradas, etc. Control de personas. Para llevar controlar el personal que entra a una organización, Borguello (2008) en el Blog “Segu-Info”, propone lo siguiente: El Servicio de Vigilancia es el encargado del control de acceso de todas las personas al edificio. Este servicio es el encargado de colocar los guardias en lugares estratégicos para cumplir con sus objetivos y controlar el acceso del personal. A cualquier personal ajeno a la planta se le solicitará completar un formulario de datos personales, los motivos de la visita, hora de ingreso y de egreso, etc. 22 El uso de credenciales de identificación es uno de los puntos más importantes del sistema de seguridad, a fin de poder efectuar un control eficaz del ingreso y egreso del personal a los distintos sectores de la empresa. En este caso la persona se identifica por algo que posee, por ejemplo una tarjeta de identificación. Cada una de ellas tiene un PIN (Personal Identification Number) único, siendo este el que se almacena en una base de datos para su posterior seguimiento, si fuera necesario. Su mayor desventaja es que estas tarjetas pueden ser copiadas, robadas, etc., permitiendo ingresar a cualquier persona que la posea. Estas credenciales se pueden clasificar de la siguiente manera: a) Normal o definitiva: para el personal permanente de planta. b) Temporaria: para personal recién ingresado. d) Contratistas: personas ajenas a la empresa, que por razones de servicio deben ingresar a la misma. e) Visitas. Las personas también pueden acceder mediante algo que saben (por ejemplo un número de identificación o un password) que se solicitará a su ingreso. Al igual que el caso de las tarjetas de identificación los datos ingresados se contrastarán contra una base donde se almacena los datos de las personas autorizadas. Este sistema tiene la desventaja que generalmente se eligen identificaciones sencillas, bien se olvidan dichas identificaciones o incluso las bases de datos pueden verse alteradas o robadas por personas no autorizadas. 23 1.4.2 Seguridad lógica. La seguridad lógica es tan importante como la física, incluye normas para el control del acceso a los datos/información, a fin de reducir el riesgo de transferencia, modificación, pérdida o divulgación accidental ó intencional de éstos. La seguridad física y lógica dependen, para el éxito de cada una, de la eficiencia y fortaleza de la otra, considera Rodríguez et al. Algunas de las principales aplicaciones de las medidas de seguridad lógica son: a) Separar de otros recursos del sistema el material al que tiene acceso permitido un usuario. b) Proteger los datos de un usuario de los de otro. c) Controlar el acceso de lugares remotos. d) Definir y poner niveles de control de acceso. e) Monitorear el sistema para detectar cualquier uso impropio. 1.4.2.1 Peligros De igual manera que en la seguridad física, dentro de la seguridad lógica también existen riesgos que ponen en peligro la integridad de la información y software que están contenidos en los equipos de cómputo, Rodríguez considera los siguientes (citado en Pino 2005): Riesgos debido a la amabilidad de los sistemas. Las microcomputadoras y los paquetes de software de uso muy sencillo han provisto con capacidades o conocimientos en computación a personas sin un entrenamiento formal en el área. Algunos ejemplos de tipos de sistemas amigables al usuario que crean preocupaciones de seguridad son los siguientes: 24 a) Sistemas de compras para clientes. b) Sistemas de órdenes y envíos. Un creciente número de organizaciones industriales están desarrollando sistemas de intercambio electrónico de datos. c) Sistemas de pedidos de manufactura. d) Sistemas de transferencia de dinero y comercialización de acciones. Todos los anteriores tipos de sistemas están diseñados para hacer sencillos de usar, y para incrementar la productividad y eficiencia de una organización a través de sistemas flexibles. Debe tenerse mucho cuidado con los riesgos generados por aplicaciones que son quizá demasiado “amables” para el usuario y no tienen controles. Por ejemplo, sistemas que diseñan contraseñas muy cortas y fáciles de recordar y que no se cambian en forma regular, sistemas con controles de acceso demasiado débiles, etc. Privacía de la información Los sistemas de procesamiento de datos pueden almacenar grandes cantidades de información acerca de individuos. La información puede ser recopilada de varias fuentes y entonces comparada. Algunas de estas comparaciones podrían ser inofensivas, pero otras no. ¿Cuándo podría considerarse una violación de la privacía de las personas en un ambiente de negocios? Tal vez, siempre que información que ha sido recopilada para un propósito sea revelada a externos para otro propósito. Falla en el CPU Una interrupción en la computadora central puede ser el resultado de múltiples factores. El sistema puede interrumpirse debido a fallas en el hardware y el software, o bien, el sistema puede ser retenido y reinicializado (lo que puede 25 tardar mucho tiempo) por el operario cuando identifica que una de las computadoras se encuentra funcionando deficientemente. Errores en el software Una falla en un programa hace que éste produzca resultados inapropiados. Los errores en el software (“bugs”) han significado enormes pérdidas financieras, incluso en negocios grandes y bien establecidos. Estos errores representan un problema fundamental con sistemas computarizados porque no hay métodos infalibles (“debugger”) para probar que un programa opera correctamente y pueden ocurrir hasta en los programas mejor evaluados. Errores en los datos Los errores en los datos son otra fuente de riesgo, ya que los sistemas de información no pueden ser buenos si la información que manejan no es correcta. Piratería de software En años recientes, la piratería de software (el robo de copias de software comprado), se ha vuelto un nuevo riesgo de seguridad; esto se debe a la proliferación de las microcomputadoras personales, en ellas los programas que corren en una, corren fácilmente en otra. Ha habido varios pleitos legales contra organizaciones que piratean software abiertamente. Aun sin pleito legal, una organización que hace copias ilegales o que permite que sus empleados las hagan podría estar sujeta a desprestigio público (especialmente con una cultura de respeto y protección a los derechos de autor). Robo Los robos vía computadora se pueden dividir en tres categorías: robo ingresando datos fraudulentos a las transacciones, robo modificando software y robo modificando o robando (valga la redundancia) datos. 26 a) Robo ingresando datos fraudulentos a las transacciones: es el más simple y común (no requiere mucho conocimiento de computación). Los datos fraudulentos pueden ser ingresados por falsificación de documentos, omisión de procedimientos o haciéndose pasar por otra persona. En E.U. más de 100 empresas cada año van a la bancarrota debido a fraudes internos. b) Robo por modificación de software: algunos programadores han cometido ilícitos modificando software de manera que se desempeñe en forma diferente cuando encuentre una cuenta en particular o alguna otra condición. c) Robo por modificación o robo de datos: la gente puede robar datos tomando los medios en que están almacenados, por ejemplo: cintas, diskettes, papel, etc., también pueden copiarlos y dejar originales. Sabotaje Los saboteadores no tratan de robar nada. En lugar de eso, tratan de invadir y dañar hardware, software, o datos. Pueden ser “hackers”, empleados disgustados o espías. Se han usado varias técnicas de programación en el sabotaje: a) Falsificación de datos: se refiere a la modificación de datos antes o durante su entrada al sistema. Es fácil de prevenir con un buen sistema de control en las aplicaciones. b) Técnicas de salami: consiste en agregar instrucciones a los sistemas que manejan dinero para desviar rebanadas tan pequeñas que nadie las nota, por ejemplo fracciones de centavo. Sin embargo, al acumularlas pueden llegar a formar una gran suma. c) Trap door: es un conjunto de instrucciones que permiten a un usuario traspasar las medidas estándares de seguridad de un sistema. 27 d) Virus: un virus de computadora puede estar programado para borrar toda la información de un conjunto de datos; se puede infiltrar en una computadora y hasta en una red completa, y puede ser extremadamente peligroso si no se detecta a tiempo. 1.4.2.2 Medidas de prevención y mitigación. Existen medidas de seguridad para evitar que personas ajenas al equipo de cómputo tengan acceso a él, de acuerdo a Rodríguez (citado en Pino 2005), se presentan las siguientes: ¿Cómo elegir un password? He aquí una breve guía para que los usuarios puedan tener una idea de cómo elegir su contraseña: a) Elija una frase, canción o titulo de un libro que le guste. Luego, construya una contraseña la primera, segunda o cualquier otra letra de cada una de las palabras de la frase. Cuando necesite recordar la contraseña, repita la frase para usted mismo. b) Sea creativo cuando elija una contraseña, hágalo con cuidado. NO caiga en la trampa de usar sus iniciales, su apodo, los nombres de su conyugue o niños, teléfonos, direcciones, o letras o números consecutivos, o cualquier otra cosa que pudiera ser asociada con usted como si contraseña. NO use ninguna que pudiera ser adivinada fácilmente. c) El cambio de una contraseña puede ser una molestia, pero vale la pena. Constituye una práctica que le protege tanto a usted como a la información. Usted debe cambiar la contraseña con regularidad, por si acaso alguien se entera de la misma cuando usted la esta ingresando al computador. Un buen momento para cambiar su contraseña, es antes de ausentarse durante un periodo prolongado, tal como en ocasión de sus vacaciones. 28 Sistemas de huellas. Desafortunadamente, el margen de error de los sistemas de huellas puede ser alto debido a cortadas, mugre, etc. Respaldo (Backup). Definir y seguir procedimientos adecuados de respaldo de la información importante de al empresa (tanto de PC como LAN y equipos centrales) representa una actividad de suma importancia en la seguridad de la información y especialmente para la efectividad de los planes de contingencia. Deben mantenerse respaldos que contengan los archivos suficientes para recuperar la información dañada o destruida y que garanticen la posibilidad de continuar con el servicio y operación de la empresa, así como los programas y documentación suficiente para facilitar este proceso en sus instalaciones o fuera de ellas. Asignación de propiedad. Desde el punto de vista de seguridad de la información, es muy importante definir bien los privilegios (crear, modificar, borrar, abrir, leer, escribir, etc.) que tiene cada usuario sobre los archivos. Aquí entran nuevamente las consideraciones sobre la propiedad de los archivos con el objeto de definir quién puede dar o negar los diversos tipos de acceso a la información y ser responsable de la misma. Seguridad del sistema operativo. Los sistemas operativos seguros han sido materia de gran preocupación entre los expertos en seguridad de computadoras. Se han hecho esfuerzos considerables para definir y desarrollar lo que se llama un “sistema operativo seguro”. Los conceptos incorporados en un sistema así están más allá de las necesidades de un sistema de cómputo comercial típico. 29 El software de control de acceso debe estar diseñado para que las terminales de usuario no puedan obtener acceso directo a las funciones del sistema operativo. Estas funciones incluyen acceso a las librerías de programas y a las diversas tablas del sistema. Debe haber un buen mecanismo para revisar la ocurrencia de cualquier operación inusual. 1.5 Amenazas. Anteriormente se describieron los tipos de seguridad, dentro de los cuales se encuentra la seguridad lógica, que habló sobre las amenazas que atentan contra los datos y software, ahora bien, éstas amenazas dentro de una organización, pueden llegar de cualquier parte, tanto de afuera como desde adentro de la misma, es por eso que se han clasificado en amenazas internas y amenazas externas, que enseguida se muestran: 1.5.1 Internas. Schultz (2002) define una amenaza interna como el uso inadecuado e intencional de los sistemas de información por usuarios autorizados a utilizarlos. Generalmente a este usuario se le conoce con el nombre de atacante interno. El atacante interno por lo tanto puede ser un empleado permanente o un trabajador temporal en el que la organización deposita su confianza. Basándose precisamente en esa confianza es que el atacante interno puede provocar daños desde el interior de la organización sin importar que exista un sistema de seguridad que proteja externamente a la información. El mecanismo o proceso que realiza este atacante interno para acceder sin autorización a los sistemas de información de una organización con el objetivo de obtener información para beneficios propios o para hacerle daño a la organización (venganza) es conocido como: “Ataque “. Cooke (2002) afirma que el número de ataques reportados por el 30 Centro de Expertos de la Seguridad en Internet (CERT) se ha venido duplicando cada año, por lo que es un problema que va en rápido crecimiento y al cual las organizaciones tienen que estar preparadas de la mejor manera para poder disminuir o eliminar los riesgos que estos representan. Muchos de los ataques internos que se dan contra las organizaciones se realizan utilizando Ingeniería Social. Como indica Berti (2003) “La Ingeniería Social” (IS) ha ganado amplia aceptación alrededor de las comunidades de sistemas de información como un proceso social/psicológico a través del cual un individuo puede obtener información de otro individuo generalmente acerca de una organización específica. Berti la define como “El arte criminal de engañar a los empleados de una organización con el objetivo de obtener información valiosa de la misma”. Muchos en la industria de la seguridad parecen olvidar que las computadoras y la tecnología son solamente herramientas y que son realmente las personas quienes realmente las están utilizando, configurando, instalando y abusando de estas. Los ataques de IS tienden a seguir una forma de trabajo basado en fases y en la mayoría de los casos, los ataques son muy similares a como los sistemas de inteligencia obtienen información acerca de una entidad especifica. Las fases que incluye la IS son: Recopilación de inteligencia, Selección de Objetivo y por ultimo el Ataque (Berti 2003). Según Portillo (2003) en un documento elaborado para el Centro de difusión de Tecnologías ETSIT-UPM titulado “Seguridad Informática”, las amenazas internas pueden dividirse en las dos categorías siguientes: a) Las Amenazas Personales No Intencionadas: son causadas generalmente por negligencias, desconocimiento o falta de información de los usuarios y administradores de equipos. Piénsese por ejemplo en un administrador de un sistema que, utilizando sus privilegios de acceso, borra inadvertidamente ciertos archivos con información importante. O en un usuario que, para que no se le olvide, apunta su contraseña de acceso al equipo de computo en un "post-it" en 31 la pantalla de su equipo de computo, o escribe sus contraseñas sin cifrar en archivos del equipo de computo. b) En las Amenazas Personales Intencionadas: el atacante tiene la intención clara y precisa de acceder a un determinado sistema o recurso informático. Estos atacantes pueden ser simplemente Curiosos, que acceden al sistema para "pasearse" por el mismo, y como logro personal al lograr burlar la seguridad de los sistemas, pero sin recopilar información ni causar daños, o pueden ser Malintencionados, destruyendo, modificando o apoderándose de información del sistema al que acceden. 1.5.2 Externas. Las amenazas externas o de red son los ataques llevados a cabo por personas sin la asistencia de empleados o contratistas internos. Estos ataques se llevan a cabo generalmente por un individuo experimentado malicioso, un grupo de personas experimentadas, una organización con experiencia malintencionado, o por atacantes inexpertos (script Kiddies). Las amenazas externas son generalmente realizadas por medio de un plan previo y de las tecnologías (herramientas) o de las técnicas del atacante(s). Una de las principales características de las amenazas externas es que generalmente incluye la exploración y recolección de información. Por lo tanto, puede detectar un ataque exterior por examinar los registros de cortafuegos. También puede instalar un sistema de detección de intrusión para identificar rápidamente las amenazas externas. Las amenazas externas pueden ser categorizadas en amenazas, ya sean estructuradas o no estructuradas: 32 a) Amenazas externas estructuradas. Estas amenazas provienen de una persona malintencionada, un grupo de maliciosos individuo(s) o de una organización maliciosa. Las amenazas estructuradas suelen ser iniciadas desde la red, los atacantes que tienen un pensamiento premeditado sobre los daños reales y las pérdidas que quieren provocar. Posibles motivos de las amenazas externas estructuradas incluyen la codicia, la política, el terrorismo, el racismo y beneficios penales. Estos agresores están altamente calificados en el diseño de redes, sobre los métodos para evitar las medidas de seguridad, sistemas de detección de intrusos (IDSS), los procedimientos de acceso y herramientas de entrada de forma ilegal en un sistema informático con el ánimo de obtener información (Hacking). Ellos tienen los conocimientos necesarios para desarrollar nuevas técnicas de ataque de red y la capacidad de modificar las herramientas de hacking existentes para su explotación. En algunos casos, el atacante podría ser asistido por una persona autorizada interior. b) Amenazas externas sin estructurar. Estas amenazas provienen de un atacante sin experiencia, por lo general a partir de un script kiddie. Un script kiddie es la terminología utilizada para referirse a un atacante sin experiencia que usa herramientas de cracking o guión, herramientas disponibles en Internet, para realizar un ataque de red. Script Kiddies insuficientemente cualificados suelen crear las amenazas por su propia cuenta. 33 1.6 Triángulo de debilidades del sistema informático. Es muy importante tener en cuenta que las organizaciones de hoy en día manejan un gran volumen de información, por lo que es necesario el uso de la tecnología para poder procesarla, específicamente del uso de la computadora. Sin embargo, existen riesgos y amenazas que afectan directamente a los equipos de cómputo y por lo tanto a todo lo que éstos contengan. Las amenazas tanto internas como externas presentadas en el apartado anterior, se pueden presentar directamente en los elementos de un Sistema Informático, que son: Hardware, Software, Datos, Memoria y Usuarios. Cabe mencionar que en los elementos citados existen debilidades que pueden ser explotadas para obtener beneficios o causar daños, Ramió (2006) en su libro electrónico “Seguridad Informática y Criptografía Versión 4.1” considera lo siguiente: Hardware: pueden producirse errores intermitentes, conexiones sueltas, desconexión de tarjetas, etc. Software: puede producirse la sustracción de programas, ejecución errónea, modificación, defectos en llamadas al sistema, etc. Datos: puede producirse la alteración de contenidos, introducción de datos falsos, manipulación fraudulenta de datos, etc. Memoria: puede producirse la introducción de un virus, mal uso de la gestión de memoria, bloqueo del sistema, etc. Usuarios: puede producirse la suplantación de identidad, el acceso no autorizado, visualización de datos confidenciales, etc. Dichas amenazas pueden ser cuatro principalmente: Interrupción, Interceptación, Modificación y Generación. 34 En un sistema informático lo normal es que la información fluya de manera correcta, esto es, que el receptor reciba la información integra, tal cual la envía el emisor. (Ver figura 1.3). Figura 1.3: Flujo normal de la información. (Fuente: Vilares 2007). Sin embargo, cuanto esto no sucede así, podría estarse presentando alguna de las amenazas mencionadas, que a continuación se explican: Interrupción: Este es un ataque contra la Disponibilidad. Vilares (2007), argumenta que puede ser temporal o permanente e incluye la posibilidad de destrucción de recursos y activos. Es la más sencilla de detectar y la que presenta mayor dificultad para luchar contra ella, ya que muchas veces son accidentes naturales. (Ver figura 1.4). Ejemplos: corte de un cable de red, interrupción de suministro eléctrico, incendios. Figura 1.4: Interrupción del flujo de información (Fuente: Vilares 2007). 35 Interceptación: De acuerdo a Vilares et al. (2007), este es un ataque contra la confidencialidad, un elemento no autorizado consigue acceso a un determinado objeto del sistema (Ver figura 1.5). Ejemplos: entrada no autorizada en la sala de servidores, acceso a una base de datos, lectura del correo electrónico de otro usuario, análisis del patrón de mensajes entre dos puntos, etc. Figura 1.5: Interceptación del flujo de información, (Vilares 2007). Modificación: Siguiendo con Vilares, este es un ataque contra la Integridad, además del acceso, el elemento no autorizado consigue modificar el objeto. La destrucción es un tipo especial de modificación, en la que se inutiliza el objeto modificado, (Ver figura 1.6). Ejemplos: cambios en el contenido de una base de datos, cambio del contenido de una página WEB, incremento del saldo en una BD de cuentas bancarias. Figura 1.6: Modificación en el flujo de información. (Fuente: Vilares 2007). 36 Generación: Por último Vilares et al., dice que este es un ataque contra la Autenticidad, el intruso crea un objeto similar al atacado de forma que sea difícil distinguir el objeto original del fabricado, (Ver figura 1.7). Ejemplo: suplantación de dirección IP en una red, suplantación de identidad del usuario de una máquina, páginas falsas de recogida de datos bancarios. Figura 1.7: Generación en el flujo de información. (Fuente: Vilares 2007). Según Ramió, las amenazas descritas en los párrafos anteriores, afectan principalmente a 3 de los cinco elementos de un Sistema de información: Hardware, Software y Datos, que conforman el llamado “Triangulo de debilidades del sistema” (Ver figura 1.8). 37 Interrupción (pérdida) Interceptación (acceso) Modificación (cambio) Generación (alteración) DATOS Los datos son la parte más vulnerable del sistema HARDWARE Interrupción (denegar servicio) Interceptación (robo) SOFTWARE Interrupción (borrado) Interceptación (copia) Modificación (falsificación) Figura 1.8: Triángulo de debilidades del sistema (Fuente: Ramió 2006). Como se muestra en la figura de arriba, existen dos amenazas que se pueden presentar en todos los elementos del triángulo, sin embargo, hay un elemento en el que impactan las 4 amenazas, convirtiéndolo así, en el más susceptible de ser atacado: los datos. A continuación de acuerdo a Ramió, se explica cómo afecta cada amenaza en cada uno de los elementos del triángulo: 1.- Hardware: Interrupción.- denegar el acceso a un servicio o información necesaria para los usuarios, por ejemplo, cortar un cable de red, desconectar una impresora, apagar el servidor, hardware intermitente, destruir hardware, robar equipos. Interceptación.- es la sustracción ilegal o robo de alguna parte de un equipo de cómputo o de algún dispositivo de conexión, por ejemplo, robo de un disco duro, robo de cableado de fibra óptica, etc. 38 2.- Software: Interrupción.- se refiere a borrar programas o sistemas de información en actividad, por ejemplo borrar la paquetería de Office, quitar el sistema que administra la contabilidad de la empresa, etc. Interceptación.- copiar software original ajeno para usarlo en beneficio propio, (leer y usar algo que no nos pertenece). Modificación.- software pirata adaptado, eliminación de barreras de copyright, corromper algún sistema y dejar que el usuario lo utilice creyendo que es original. 3.- Datos: Interrupción.- borrado de una base de datos, impedir el acceso a los datos. Interceptación.- acceso ilegal a los datos, lectura no autorizada, como consecuencia se pueden hacer inferencias sobre otros datos. Modificación.- por ejemplo, cambiar características y/o propiedades en bases de datos. Generación.- añadir elementos nuevos en bases de datos, crear nuevos archivos o carpetas falsas. 1.7 Aportación personal. A lo largo de este capitulo se abordaron aspectos de la seguridad informática que desde mi punto de vista deben ser considerados de vital importancia, ya que en la actualidad el uso de las computadoras se ha extendido por todas partes, ya no es extraño observar una computadora realizando trabajos que antes eran llevados a cabo manualmente, el volumen de información que se maneja en nuestros días a 39 menudo rebasa la capacidad de las personas para procesarla, por lo que el emplear las computadoras se ha convertido en una necesidad. Internet como es bien sabido, es un gran conjunto de redes interconectadas entre si, con la cual cualquier persona puede tener acceso a la información de cualquier parte del mundo desde la comodidad de su casa, sin embargo este gran beneficio también ha sido usado con malas intenciones, por ejemplo robo de información de carácter personal, robo o alteración de datos valiosos de alguna empresa, fraudes, sabotaje, etc. Es aquí donde la seguridad informática cobra mayor importancia, esta es orientada principalmente para prevenir y contrarrestar todo evento que pudiera perjudicar los equipos de cómputo y por supuesto lo más importante, la información que en ellos se maneja. Sin embargo, considero que las medidas de seguridad por muy eficientes y de alta tecnología que sean, en ocasiones, no son suficientes para evitar intromisiones y daños a la información, ya que como se mencionó en el apartado de “Amenazas internas y externas” de este capítulo, muchos usuarios que llegan a provocar daños en la información y en el hardware que la contiene, lo hacen sin intención alguna, generalmente por que no tienen los suficientes conocimientos en el uso de las computadoras o simplemente por descuido, en el caso de empleados, tal vez por que no cuentan con una capacitación adecuada por parte de la empresa para la que trabajan. Por otro lado se tiene al personal interno que causa un perjuicio con toda intención por diversas razones, las cuales son casi siempre de carácter personal, por ejemplo, una venganza debido a diferencias personales con el jefe inmediato o el dueño de la empresa, poner en práctica la corrupción esperando recibir algo a cambio, etc., lo que los orilla a cometer ilícitos que podrían afectar a la empresa seriamente. 40 Por último considero que la seguridad informática es un tema que debe interesar a cualquier persona, debido a que no es necesario que manejemos una computadora para que nuestra información pueda ser interceptada por algún intruso, ya que en ocasiones para la realización de tramites de cualquier tipo, proporcionamos nuestros datos y éstos son ingresados en bases de datos que si no cuentan con un buen sistema de seguridad pueden ser accesadas por algún intruso, y posteriormente, robar nuestra información perjudicándonos de alguna manera. 41 CAPÍTULO II: MALWARE Introducción. Hoy en día el avance de la tecnología y en concreto hablando de las computadoras, nos han permitido llevar una mejor administración y control de nuestra información, así como también ha sido un factor muy importante dentro de las organizaciones y empresas para mantener su competitividad ante el mercado laboral; un ejemplo muy claro de esto es el comercio electrónico, que a diferencia del negocio tradicional al que estamos acostumbrados, ahora ya no es necesario salir de casa para realizar una compra, solo basta con tener una computadora con conexión a internet, realizar una sencilla transacción y listo, el producto nos llega hasta la puerta de nuestra casa. Sin embargo también existe la otra cara de la moneda, el avance y continuo perfeccionamiento de programas que son capaces de realizar acciones ilícitas y perjudiciales en las computadoras y que si no son detectados a tiempo pueden causar daños desde lentitud en la red hasta la pérdida total de la información, lo cual en una organización sería catastrófico; este tipo de programas o algoritmos en la actualidad son mejor conocidos como Software Malo (MALWARE), pero, ¿qué es en realidad el MALWARE?, esto lo veremos en los párrafos siguientes. 2.1 Definición de MALWARE. Microsoft TechNet (2009) define el MALWARE como la abreviación de los términos en inglés "Malicious Software" (software malintencionado). Se trata de un nombre colectivo que incluye virus, gusanos, caballos de Troya, etc., que realizan expresamente tareas malintencionadas en un sistema informático. Técnicamente, un MALWARE es un código malintencionado. 43 Por otro lado Mairoll (2009), dentro de su página web llamada “Emsi Software” señala que, la palabra 'MALWARE' se compone de los términos 'maligno' y 'software', significando entonces 'software maligno'. La definición de MALWARE incluye todo tipo de programa que pueda dañar la PC. Como puede notarse en los párrafos anteriores, los autores coinciden claramente en que el MALWARE no es otra cosa que software diseñado con la finalidad de causar daños a las computadoras, y por lo tanto también afectan la información que se encuentra dentro de ellas. Cabe destacar que existen diferentes tipos de MALWARE, cada uno tiene características propias que los distinguen de los demás, son diseñados para diferentes fines, por ejemplo, robo de información, dañar el hardware, ralentizar la red, etc. Como se dijo al inicio de este capítulo, el MALWARE ha venido evolucionando de manera importante con el paso del tiempo hasta lo que hoy en día se conoce, pero, ¿Cuál es el origen este tipo de software? A continuación en los párrafos siguientes, se habla un poco sobre la historia del MALWARE. 2.2 Antecedentes del Software Malo. En el apartado anterior se dio un panorama más amplio sobre el concepto de malware, ahora es preciso conocer como fue que nació este tipo de software. A continuación para explicar esta parte, se presenta un fragmento del documento llamado “Cronología de los virus informáticos, La historia del Malware”, autoría de Cristian Borghello (2006), Técnico de ESET Latinoamérica, en el que describe la evolución del MALWARE. Casi todos los autores y expertos coinciden en señalar que el precursor de lo que hoy se conoce como el concepto de virus informático fue el famoso científico húngaro Von Neumann, quién en 1949 expuso Theory and Organization of Complicated Autómata (Teoría y organización de autómatas complejos), donde 44 presentaba, por primera vez, la posibilidad de desarrollar pequeños programas replicantes y capaces de tomar el control de otros programas de similar estructura. En 1951, Von Neumann propuso métodos para demostrar como crear ese autómata. Sin bien el concepto tiene miles de aplicaciones en la ciencia, modelando y simulando gran cantidad de sistemas físicos, como fluidos, flujo de tráfico, etc.; es fácil apreciar una aplicación negativa de la máquina de Von Neumann: los virus informáticos, programas que se reproducen a sí mismos el mayor número posible de veces y aumentando su población de forma exponencial. Ocho años después, en 1959, en los laboratorios de Bell Computer, tres jóvenes programadores: Robert Thomas Morris, Douglas Mcllroy y Victor Vysottsky crean un juego denominado CoreWar, inspirados en la teoría de Von Neumann. CoreWar (el precursor de los virus informáticos) es un juego en donde programas combaten entre sí con el objetivo de ocupar toda la memoria de la máquina eliminando así a los oponentes. Otra de sus características era su capacidad de auto reproducirse cada vez que se ejecutaba. Al término del juego, se borraba de la memoria todo rastro de la batalla, ya que podrían llegar a ser un gran riesgo dejar un organismo suelto que pudiera acabar con las aplicaciones. De esta manera surgieron los programas destinados a dañar los sistemas informáticos. Debido a su alta peligrosidad CoreWar fue mantenido en el anonimato, como entretenimiento para intelectuales durante muchos años, hasta que en 1984, Ken Thompson (creador del sistema operativo Unix y el lenguaje de programación B) lo saca a la luz al momento de recibir el premio Turing de A.C.M. (Asociation of Computing Machinery), e insta a la comunidad a experimentar con estas “criaturas”. Además se forma la International CoreWar Society (ICWS) y se actualizan las reglas del juego con las que actualmente se sigue jugando en Internet. 45 En 1970, el Dr. Gregory Benford (físico y escritor de ciencia ficción) publica la idea de un virus en el número del mes de mayo de Venture Magazine describiendo específicamente el término “computer virus” (virus de computadora) y dando un ejemplo de un programa denominado vacuna para eliminarlo. El que se considera el primer virus propiamente dicho y que fue capaz de “infectar” máquinas IBM 360 a través de una red ARPANET (el precedente de la Internet actual), fue el llamado Creeper, creado en 1972 por Robert Thomas Morris. Este parásito emitía un mensaje en la pantalla periódicamente: “I´m a creeper… catch me if you can!” (Soy una enredadera, atrápame si puedes). Para eliminar a Creeper se creó otro virus llamado Reaper (segadora) programado para buscarlo y eliminarlo. Éste se podría decir que es el origen de los actuales antivirus. Ya en la década de los ochenta, con la rápida evolución de las PC, las computadoras ganaban popularidad, y cada vez más personas entendían la informática y escribían sus propios programas y esto también dio origen a los primeros desarrolladores de programas dañinos. En 1981, Richard Skrenta (co-fundador de NewHoo, actual DMOZ, el servicio de directorio Internet en el cual está basado Google) recibe una Apple II como regalo y escribe el primer virus de amplia reproducción: Elk Cloner el cual se almacenaba en el sector de inicio de los disquetes de 360 kb de capacidad y era capaz de residir en memoria luego que el disco era retirado. Elk Cloner era inocuo para el sistema, pero contaba la cantidad de arranques y cuando llegaba a cincuenta mostraba el siguiente poema: “Elk Cloner: The program with a personality (Elk Cloner: El programa con personalidad) It will get on all your disks (llegará a todos tus discos) It will infiltrate your chips (se infiltrará en sus chips) 46 Yes it's Cloner! (sí, es Cloner!) It will stick to you like glue (se te pegará como el pegamento) It will modify ram too (modificará la ram también) Send in the Cloner! “(envía el Cloner!). En 1983, Frederick B. Cohen inicia su estudio sobre los virus y en 1985, finaliza su tesis de doctorado, basada en “programas auto-duplicadores”. El tutor de esta tesis fue el Dr. Adleman, y quizás de allí provengan las confusiones sobre quien ha sido el primero en acuñar el término virus y sus definiciones posteriores. En 1984, Cohen publica sus estudios en “Computer Viruses - Theory and Experiments” (Virus de computadora - Teoría y Experimentos), donde define por primera vez a los virus, palabra que ya había sido ampliamente difundida luego de los trabajo de Adleman. La definición propuesta por Cohen y aceptada por la comunidad fue: “Programa que puede infectar a otros programas incluyendo una copia posiblemente evolucionada de sí mismo”. Debido a esta definición y a su tratamiento formal, Cohen es conocido como el “padre de los virus” sin bien, como ya se pudo comprobar, no fue el primero en trabajar sobre ellos. En 1987, Tom Duff comienza a experimentar en sistemas Unix con pequeños scripts y pudo probar que los virus no necesariamente debían infectar archivos dependientes del sistema y arquitectura para el cual fueron creados. Luego, en 1989 Duff publica un artículo llamado “Experience with Viruses on Unix Systems” describiendo (y mostrando) un virus que infectaba archivos ejecutables, de diferentes sistemas Unix, sin modificar el tamaño del mismo. El virus (de 331 bytes) se copiaba en ejecutables que tuvieran un espacio de 331 bytes (o mayor) 47 ocupado con ceros y modificaba el punto de entrada del binario para que apuntara al virus. Este concepto fue ampliamente explotado por los virus de la siguiente generación. Borguello et. al., explica que, actualmente los virus son producidos en cantidades extraordinarias por muchísima gente alrededor del planeta. Algunos de ellos dicen hacerlo por diversión, otros quizás para probar sus habilidades, hasta se ha llegado a notar un cierto grado de competitividad entre los autores de estos programas. Algunos de los programadores de virus, especialmente los mejores, sostienen que su interés por el tema es puramente científico, que desean averiguar todo lo que se pueda sobre virus y sus usos. A diferencia de las compañías de software, que son organizaciones relativamente aisladas unas de otras (todas tienen secretos que no querrían que sus competidores averiguaran) y cuentan entre sus filas con mayoría de estudiantes graduados, las agrupaciones de programadores de virus están abiertas a cualquiera que se interese en ellas, ofrecen consejos, camaradería y pocas limitaciones. Además, son libres de seguir cualquier objetivo que les parezca, sin temer por la pérdida de respaldo económico. Por otro lado, ciertos programadores parecen intentar legalizar sus actos poniendo sus creaciones al alcance de mucha gente, (vía Internet, BBS especializadas, etc). Existen programadores, de los cuales, generalmente, provienen los virus más destructivos, que alegan que sus programas son creados para hacer notoria la falta de protección de que sufren la mayoría de los usuarios de computadoras. En definitiva, sea cual fuere el motivo por el cual se siguen produciendo virus, se debe destacar que su existencia no ha sido sólo perjuicios, gracias a ellos, mucha gente ha tomado conciencia de qué es lo que tiene y cómo protegerlo. 48 2.3 Clasificación del MALWARE. Como se afirma anteriormente en la definición de MALWARE, éste se puede presentar en diferentes formas o tipos, mismos que funcionan de manera distinta para lograr los fines para los que fueron creados, por ejemplo: robar software, información, o bien dañar el hardware. Una vez realizada una revisión previa sobre los tipos de Software Malo más utilizados en la actualidad, se propone la siguiente clasificación de acuerdo al daño que causan tanto al equipo de cómputo como a la información (Ver Tabla 2.1). Afectan a la información. Afectan el rendimiento del equipo de cómputo. Virus Worm (Gusano) Troyano Adware Spyware Rootkit Phishing Back door Bomba lógica Tabla 2.1. Clasificación del MALWARE de acuerdo al daño que provoca. (Fuente: Propia). Muchas veces se suelen confundir los conceptos de virus, troyano o gusano, sin embargo es de resaltar que aunque tienen algunas similitudes, son conceptos distintos. Es por eso que a continuación se explica más a detalle cada 49 uno de estos tipos de MALWARE y que a la vez ayudará a comprender el por que se encuentran dentro de dicha clasificación. 2.3.1 MALWARE que afecta a la información. De acuerdo a la tabla anterior, en esta clasificación se consideran los tipos de MALWARE que mediante alguna de estas acciones: robo, borrado o modificación, afectan la integridad y disponibilidad de la información, mismos que a continuación se explican. 2.3.1.1 Virus. ¿Qué es? Microsoft (2009) afirma que un virus es código informático que se adjunta a sí mismo a un programa o archivo para propagarse de un equipo a otro, infecta a medida que se transmite y pueden dañar el software, el hardware y los archivos. Es un código escrito con la intención expresa de replicarse. Según Picouto (2004), se pueden identificar tres importantes tipos de virus: acompañantes, de vínculo y de macros, así como también algunas técnicas que son utilizadas por los virus para lograr con éxito el objetivo para el que fueron creados, que a continuación se presentan. a) Acompañantes: los virus acompañantes no modifican los archivos, sino que crean un nuevo programa con el mismo nombre que un programa legítimo y engañan al sistema operativo apara que lo ejecute. Son realmente típicos hoy día por su sencillez de elaboración. b) De vínculo: los virus de vinculo modifican la forma en que el sistema operativo encuentra los programas y lo engañan para que ejecute primero 50 el virus y luego el programa deseado. Un virus de vínculo puede infectar toda una carpeta y cualquier programa ejecutable al que se acceda en dicha carpeta desencadena la acción del virus. c) Macros: infectan programas que contienen lenguajes de macros potentes (lenguajes de programación que permiten al usuario crear nuevas características y herramientas) que pueden abrir, manipular y cerrar documentos. En cierta manera lo que el virus informático intenta en todo momento es imitar a un ser vivo y, generalmente, están dotados de un avanzado instinto de supervivencia y reproducción. A diferencia de los seres vivos propiamente dichos, no han de alimentarse o morir, es más fruto de nuestra necesidad que de su instinto y para eso usan algunas de las siguientes técnicas: a) Técnicas Stealth: son el conjunto de técnicas que hacen que el virus pase inadvertido ante el sistema y su usuario. De esta forma pasa inadvertido ante la lista de procesos en ejecución, al mismo tiempo que queda escondido en el disco. b) Tunneling: es por lo general, una técnica bastante sofisticada que consiste en evadir a los programas antivirus residentes en memoria y que monitorizan todo el sistema. Es como intentar escapar a un control policial constante. c) Encriptación: ésta técnica consiste en la encriptación del código del virus. De esta forma, los antivirus no detectan ningún archivo con virus, ya que lo que van buscando son cadenas fijas y estos métodos de encriptación son de clave variable, por lo general basados en la hora del sistema. d) Polimorfismo: el polimorfismo es una técnica muy avanzada de encriptación, ya que no solo esta cifrado el cuerpo del virus sino que además va cambiando de forma. De esta manera los antivirus que buscan cadenas constantes en los archivos son incapaces de detectar el patrón fijo 51 del virus, por lo que es sin duda una de las técnicas más sofisticadas para un virus. e) Técnicas Anti-Heurísticas: los antivirus usan las llamadas “técnicas heurísticas” para la detección de virus, es decir, buscan cadenas de ejecución típica. En lugar de buscar patrones fijos de virus buscan patrones típicos en el comportamiento de los virus. Bueno pues es realmente fácil par aun programador de virus por lo general saltárselas… es simplemente una cuestión de creatividad. f) Anti- Debugger: estas técnicas consisten en dificultar la desensamblación del virus. De esta forma generar la vacuna es realmente complicado, ya que al no poder distinguir entre virus y programa no se puede conseguir el patrón del virus. Pequeños trucos como el bloqueo del teclado durante unos milisegundos hacen que el trazado del programa sea imposible. ¿Cómo funciona? Un virus se adjunta a sí mismo a un programa host (programa de hospedaje) y, a continuación, intenta propagarse de un equipo a otro. Puede dañar el hardware, el software o la información. Al igual que los virus humanos tienen una gravedad variable, los virus informáticos van desde molestias moderadas hasta llegar a ser destructivos. ¿Cómo se propaga? Un verdadero virus no se difunde sin la intervención humana. Alguien debe compartir un archivo o enviar un mensaje de correo electrónico para propagarlo. ¿Cómo se elimina? Primeramente se debe identificar el virus. Ejecute el software antivirus para identificar el nombre del virus. Si no tiene un programa antivirus o si el programa no detecta el virus, podrá identificarlo si observa indicios de su comportamiento. 52 Escriba el texto de los mensajes que envía el virus, o si usted recibió el virus por correo electrónico, escriba la línea del asunto o el nombre del archivo adjunto al mensaje. En el sitio web del proveedor del antivirus busque referencias para esos indicios específicos que escribió para intentar encontrar el nombre del virus y las instrucciones para quitarlo. 2.3.1.2 Caballo de Troya. ¿Qué es? Enciclopedia Virus (2002), señala que, los caballos de Troya son programas que, enmascarados de alguna forma como un juego o similar, buscan hacer creer al usuario que son inofensivos, para realizar acciones maliciosas en su equipo. Estos troyanos no son virus ni gusanos dado que no tienen capacidad para replicarse por si mismos, pero en muchos casos, los virus y gusanos liberan troyanos en los sistemas que infectan para que cumplan funciones especificas, como, por ejemplo, capturar todo lo que el usuario ingresa por teclado (keylogger). ¿Cómo funciona? Fuentes (2005), argumenta que estos códigos maliciosos tienen múltiples funcionalidades, algunos funcionan para realizar acciones destructivas y otros simplemente para espiar y robar información. ¿Cómo se propaga? Los troyanos se difunden cuando a los usuarios se les engaña para abrir un programa porque creen que procede de un origen legítimo, también se pueden incluir en software que se descarga gratuitamente, otro método de infección es por correo electrónico, cuando se reciben archivos adjuntos de algún remitente desconocido, al estar instalado en la PC este programa se desarrolla normalmente sin ser detectado por el antivirus ya que aparentemente esta ejecutando la 53 aplicación deseada, pero internamente el troyano se encarga de vulnerar la computadora (Microsoft et al. 2009). ¿Cómo se elimina? Este tipo de MALWARE se puede eliminar al ejecutar el software antivirus que se tenga instalado en el equipo de cómputo. 2.3.1.3 Spyware (Software espía). ¿Qué es? Tal como lo afirma Honeycutt (2004), escritor y conferencista de Microsoft, Spyware es un tipo de software que manda la información personal a terceros sin que las personas den su consentimiento o ni siquiera lo sepan. Este tipo de información puede ir desde los sitios Web que se suelen visitar hasta algo más delicado como por ejemplo el nombre de usuario y contraseña. Por lo general las empresas con pocos escrúpulos utilizan esta información para enviar publicidad no solicitada. Algunos indicadores que pueden señalar que la computadora tiene instalado Spyware son: Un bombardeo de anuncios de tipo pop-up. Un navegador “pirateado” o sea, un navegador interferido que se redirige a sitios diferentes a aquellos que el usuario escribe en la línea de domicilio Web. Un cambio repentino o repetido de la página de inicio o página principal de navegación de la computadora. Aparición de barras de herramientas (tool bars) nuevas e inesperadas. 54 Teclas que no funcionan (por ejemplo, cuando se intenta saltar de un casillero a otro al completar un formulario Web, la tecla “Tab” no funciona). Aparición de mensajes de error fortuitos. Funcionamiento lerdo o desesperadamente lento de la computadora al abrir programas o guardar archivos. ¿Cómo funciona? De acuerdo a la Federal Trade Comission (Comisión Federal de Comercio), el Spyware es instalado sin el consentimiento del usuario y hace un monitoreo o control del uso de la computadora. Este programa puede utilizarse para enviar anuncios de aparición automática (pop-up), redirigir la computadora hacia sitios Web indeseados, monitorear la navegación por Internet o registrar lo que se teclea en la PC, lo cual podría resultar en robo de identidad. ¿Cómo se propaga? Los programas espía pueden ser instalados en una computadora mediante un virus o un troyano que se distribuye por correo electrónico, o bien puede estar oculto en la instalación de un programa aparentemente inocuo. Algunos programas descargados de sitios no confiables pueden tener instaladores con spyware y otro tipo de malware (Wikipedia 2009). ¿Cómo se elimina? Existen programas específicos diseñados para acabar con los programas de espionaje (Anti - Spyware). No todos tienen la misma efectividad e incluso algunos detectan Spyware que otros no y viceversa. Sin embargo también hay muchos antivirus que soportan la eliminación de Spyware. (alegsa 2004). 55 2.3.1.4 Phishing (Pescando). ¿Qué es? El phishing tal como lo dice Seguridad PC et al. (2008), es una técnica que consiste en el envío de correos electrónicos que, aparentando provenir de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario. Para ello suelen incluir un enlace que, al ser pulsado, lleva a páginas web falsificadas. De esta manera, el usuario, creyendo estar en un sitio de toda confianza, introduce la información solicitada que, en realidad, va a parar a manos del estafador. ¿Cómo funciona? El mecanismo más habitualmente empleado es el envío masivo e indiscriminadamente de un correo electrónico falso que simule proceder de una determinada compañía, a cuyos clientes se pretende engañar. Dicho mensaje contendrá enlaces que apuntan a una o varias páginas web que replican en todo o en parte el aspecto y la funcionalidad de la empresa, de la que se espera que el receptor mantenga una relación comercial. Si el receptor del mensaje de correo efectivamente tiene esa relación con la empresa y confía en que el mensaje procede realmente de esta fuente, puede acabar introduciendo información sensible en un formulario falso ubicado en uno de esos sitios web. El mensaje insta al usuario a pulsar sobre un enlace, que le llevará a una página en la que deberá introducir sus datos confidenciales, con la excusa de confirmarlos, reactivar su cuenta, etc. Dado que el mensaje se distribuye masivamente, alguno de los receptores será efectivamente cliente de la entidad. En el mensaje se indica que, debido a algún problema de seguridad es necesario acceder a una dirección web donde debe reconfirmar sus datos: nombre de usuario, contraseña, número de tarjeta de crédito, PIN, número de seguridad social, etc. 56 Por supuesto, el enlace no dirige a ninguna página de la compañía, sino más bien a un sitio web (similar al original) desarrollado a propósito por los estafadores y que reproduce la imagen corporativa de la entidad financiera en cuestión, normalmente la dirección web contiene el nombre de la institución legítima por lo que el cliente no sospecha de la falsedad de la misma. Cuando el usuario introduce sus datos confidenciales, éstos se almacenan en una base de datos y lo que ocurre a continuación no necesita de un gran esfuerzo de imaginación: los estafadores utilizan esta información para conectarse a su cuenta y disponer libremente de los fondos. (Seguridad PC et al.). ¿Cómo se propaga? Como se mencionó anteriormente, la forma de propagación es por el envío masivo de correos electrónicos, (Seguridad PC et al.). ¿Cómo se elimina? Debido a que el phishing se transmite a través de correos electrónicos, basta con eliminar el correo que se crea sospechoso, y si es posible, informar al proveedor de servicios de correo sobre su existencia. 2.3.1.5 Back door (Puerta trasera). ¿Qué es? Seguridad en la red (2006), define un backdoor como un programa que se introduce en el equipo de cómputo de manera encubierta aparentando ser inofensivo. Machado (2002), argumenta que algunas capacidades de los backdoor son: a) Extraer y enviar información del sistema al intruso. b) Descargar o enviar archivos de la computadora. 57 c) Substraer o cambiar los password (contraseña) o archivos de passwords. d) Anular procesos en ejecución. e) Mostrar mensajes en la pantalla. f) Realizar acciones nocivas o dañinas: manipular el mouse, mostrar/ocultar la Barra de Tareas, abrir y cerrar la bandeja del CD, reiniciar la computadora, formatear el disco duro, entre otras acciones. Así mismo (Machado et al.), afirma que, el sustento de esta gravísima amenaza es la existencia de 65535 Puertos TCP/IP disponibles, a través de los cuales de encontrarse "abiertos", será posible ingresar un pequeño programa “Servidor” componente de cualquier sistema Backdoor. ¿Cómo funciona? Una vez ejecutado, establece una "puerta trasera" a través de la cual es posible controlar el equipo afectado. Esto permite realizar en éste acciones que comprometan la confidencialidad del usuario o dificultar su trabajo. ¿Cómo se propaga? Los mensajes de correo son la forma más fácil de propagación, por medio de un archivo anexado al mensaje y, si el receptor comete el error de ejecutarlo, instalará el Servidor permitiendo que el intruso pueda controlar el o los equipos infectados (Machado et al.). ¿Cómo se elimina? Symantec propone que, primeramente se debe inhabilitar la opción Restaurar sistema. Después se procede a actualizar el software antivirus para luego ejecutar un análisis completo del sistema y eliminar todos los archivos que se detecten infectados por esta amenaza. 58 2.3.1.6 Bomba lógica. ¿Qué es? Tal como lo dice el blog sobre seguridad informática Dagda (2007), una bomba lógica es un programa informático que se instala en un equipo de cómputo y permanece oculto hasta cumplirse una o más condiciones pre programadas, para entonces ejecutar una acción maliciosa. Comúnmente esta acción suele ser un borrado parcial o completo de archivos, y posteriormente dañar el Sistema Operativo de tal manera que no sea posible recuperarlos. ¿Cómo funciona? Se pueden ejecutar mediante una fecha concreta, al pulsar una tecla o una secuencia de teclas, al ejecutar un archivo determinado, al recibir un correo con un texto concreto, etc. (Dagda et al.). ¿Cómo se propaga? Prácticamente el 100% de las bombas lógicas son colocadas por empleados descontentos que antes de marcharse de la empresa o ser despedidos, realizan este tipo de sabotaje. (Dagda et al.). 2.3.2 MALWARE que afecta el rendimiento del equipo de cómputo. En la presente clasificación, se contemplan los tipos de MALWARE que a diferencia de los anteriores, estos disminuyen la capacidad de procesamiento del equipo de cómputo, en ocasiones haciéndolo más lento y difícil de operar, o bien, tratando de esconder procesos en el sistema que realizan acciones dañinas en el equipo. 59 2.3.2.1 Worm (Gusano). ¿Qué es? Según Microsoft (2009), un gusano al igual que un virus, está diseñado para copiarse de un equipo a otro, pero lo hace automáticamente. Cuando se lanzan nuevos gusanos, se propagan muy rápidamente. Bloquean las redes y posiblemente provocan esperas largas (a todos los usuarios) para ver las páginas Web en Internet. Un gusano puede consumir memoria o ancho de banda de red, lo que puede provocar que un equipo se bloquee. ¿Cómo funciona? En primer lugar, toma el control de las características del equipo que permiten transferir archivos o información. Una vez que un gusano está en el sistema, puede viajar solo. ¿Cómo se propaga? El gran peligro de los gusanos es su habilidad para replicarse en grandes números. Por ejemplo, un gusano podría enviar copias de sí mismo a todos los usuarios de su libreta de direcciones de correo electrónico, lo que provoca un efecto dominó de intenso tráfico de red que puede hacer más lentas las redes empresariales e Internet en su totalidad. ¿Cómo se elimina? Para la eliminación de un gusano, se debe actualizar el antivirus de preferencia, para luego ejecutar un análisis completo del equipo de cómputo y eliminar los archivos que resulten infectados. 60 2.3.2.2 Adware (Software de anuncio). ¿Qué es? Honeycutt et al., expone que, el Adware es el software que muestra publicidad en el equipo. Se trata de anuncios que aparecen de repente en la pantalla incluso aunque no se esté navegando por Internet. Algunas empresas ofrecen software "gratuito" a cambio de publicitarse en la pantalla. Así es como hacen dinero. Según un reconocido foro sobre informática y soporte técnico “Configurarequipos” (2009), lo peor de este tipo de malware radica, aparte de lo molesto que es, en que llega a ralentizar extremadamente los sistemas y en que en muchos casos están muy protegidos para evitar su desinstalación o la de los programas que lo contienen, siendo necesario eliminarlos con programas específicos anti Adware. ¿Cómo funciona? El Adware asocia nombres de dominio inexistentes con contenido de patrocinadores. Cuando un usuario final inserta una palabra clave en la barra de navegación o trata de corregir un error al escribir una dirección URL, el Adware lo direcciona a la página de patrocinio (Symantec 2007). ¿Cómo se propaga? Borguello (2008), en un foro de la página de ESET, menciona que el medio natural de difusión del Adware son las descargas de páginas web y el correo electrónico. Sin embargo, a diferencia del Spyware, requiere el consentimiento del usuario para instalarse y no envía información a terceros sin previo aviso. ¿Cómo se elimina? El Adware se puede eliminar instalando y posteriormente ejecutando una herramienta anti-Adware, algunos antivirus incluyen técnicas para eliminar este tipo de software. 61 2.3.2.3 Rootkit (Herramienta del root). ¿Qué es? SeguridadPC (2008), conceptualiza un rootkit como un software que sirve para esconder otros procesos que están llevando a cabo acciones maliciosas en el sistema. Los rootkits, al estar diseñados para pasar desapercibidos, no pueden ser detectados. ¿Cómo funciona? Si un usuario intenta analizar el sistema para ver qué procesos están ejecutándose, el rootkit mostrará información falsa, mostrando todos los procesos excepto él mismo y los que está ocultando, o si se intenta ver un listado de los archivos de un sistema, el rootkit hará que se muestre esa información pero ocultando la existencia del propio archivo del rootkit y de los procesos que esconde. Cuando el antivirus haga una llamada al sistema operativo para comprobar qué archivos hay, o cuando intente averiguar qué procesos están en ejecución, el rootkit falseará los datos y el antivirus no podrá recibir la información correcta para llevar a cabo la desinfección del sistema (SeguridadPC et al.). ¿Cómo se propaga? Configurar equipos et al. (2008), afirma que no se propaga automáticamente por sus propios medios, sino que precisa de la intervención del usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, redes de intercambio de archivos entre pares (P2P), etc. ¿Cómo se elimina? El mejor método para detectar un rootkit según Configurar equipos et al., es apagar el sistema que se considere infectado y revisar o salvar los datos 62 arrancando desde un medio alternativo, como un CD-ROM de rescate. Un rootkit inactivo no puede ocultar su presencia. Los programas antivirus mejor preparados suelen identificar a los rootkits que funcionan mediante llamadas al sistema y peticiones de bajo nivel, las cuales deben quedar intactas. Si hay alguna diferencia entre ellas, se puede afirmar la presencia de un rootkit. Los rootkits intentan protegerse a sí mismos monitorizando los procesos activos y suspendiendo su actividad hasta que el escaneo ha finalizado, de modo que el rootkit no pueda ser identificado por un detector. 2.4 Medidas de prevención contra el MALWARE. De acuerdo a todo lo visto anteriormente, el MALWARE se propaga rápidamente afectando a un gran número de equipos por todo el mundo, siendo esta la mayor preocupación de quienes utilizamos la red, a ciencia cierta no se sabe hasta que punto va a llegar ni cuales serán las nuevas técnicas que adoptará para seguir evolucionando, lo que si es seguro es que no se debe bajar la guardia y se deben tomar las medidas de seguridad pertinentes para evitar ser víctima de un ataque. A continuación se presentan algunas recomendaciones que ayudarán a disminuir la probabilidad de contagio por algún tipo de MALWARE. Sophos (2009), recomienda instalar un programa antivirus en todos los equipos de cómputo y servidores, y se debe mantenerse actualizado. Dado que los virus nuevos pueden propagarse sumamente rápido, es importante disponer de una infraestructura de actualización que pueda actualizar todos los equipos con frecuencia y a corto plazo. Trend Micro (2009), una de las empresas más importante a nivel mundial en materia de seguridad informática, recomienda desconfiar de los mensajes de correo electrónico inesperados de aspecto extraño, independientemente del remitente. No abrir nunca archivos adjuntos ni hacer clic en enlaces contenidos en estos mensajes de correo electrónico. Así como también habilitar la función 63 "Actualización automática” en el sistema operativo Windows y aplicar las nuevas actualizaciones en cuanto estén disponibles. Otro consejo que corre a cargo de ESET (2009), es asegurarse de que se tienen las actualizaciones (o parches) que solucionan vulnerabilidades (o agujeros) en los sistemas operativos y sus aplicaciones. Cuando los proveedores de software descubren aspectos vulnerables en sus aplicaciones, ofrecen las soluciones a esos problemas en forma de parches, las cuales deberán ser instaladas a la brevedad para solucionar los problemas hallados. Mieres (2009), analista de seguridad de ESET Latinoamérica en un documento de su autoría titulado “Herramientas para evitar ataques Informáticos”, argumenta que, es importante adoptar como buena práctica la realización de copias de seguridad de la información a fuentes externas como cintas, CD, DVD, discos rígidos, etc. De esta manera, ante una eventual anomalía en el sistema operativo, ya sea por daño de los archivos nativos del sistema o por la acción de códigos maliciosos, es mucho más sencillo y rápido volver a recuperar la información. Una de las características del malware actual afirma (Mieres et al.), es que, cuando un MALWARE ha infectado un sistema, puede establecer una conexión a Internet y actualizar su código dañino o descargar otros códigos maliciosos en el equipo víctima. También es capaz de aprovechar las vulnerabilidades de los navegadores o utilizar metodologías y técnicas de ataque más avanzadas que permiten la infección de un sistema con el sólo acceso a una página web maliciosa o previamente manipulada para inyectar instrucciones dañinas entre el código original del sitio web. En consecuencia, es importante complementar la solución antivirus con un Firewall personal que permita bloquear este tipo de acciones y otros ataques informáticos. 64 Un Firewall según Picouto (2004), representa una manera de controlar el tráfico que viaja por una red filtrando lo que no se desea que ingrese en nuestra red local. Algo que se debe tener siempre en cuenta es el evitar descargar contenidos de páginas desconocidas o de dudosa reputación, ya que este método es muy común para propagar algún tipo de MALWARE. 2.5 Aportación personal. De acuerdo a lo que vimos a lo largo del capítulo, el MALWARE es una amenaza potencial para la información, ya que en muchos casos actúa de forma silenciosa de manera que cuando nos damos cuenta, ya ha causado algún daño. El MALWARE ha venido perfeccionándose y multiplicándose a una velocidad cada vez mayor, y se ha convertido en un arma para cometer delitos y fraudes con el fin de obtener beneficios. Si bien es cierto la tecnología para tratar de contra arrestarlo también ha venido avanzado, aunque se mantiene un paso atrás de este tipo de software. Un claro ejemplo es que, mientras los antivirus buscan una solución para controlar una amenaza que ha surgido, esta ya se ha propagado y causado una serie de daños por todas partes. Sin embargo las mismas compañías que fabrican software antivirus, proporcionan al público un conjunto de recomendaciones y medidas de seguridad preventivas para evitar que estas nuevas plagas lleguen a nuestros equipos. Es importante mantenerse bien informado acerca de las nuevas amenazas y vulnerabilidades de nuestro sistema operativo, mismas que son aprovechadas para causar el mayor daño posible. Por ultimo, hay que tener bien presente que en gran medida depende de nosotros el éxito del malware, debido a que si no concientizamos el peligro que 65 representa y no somos precavidos a la hora de utilizar una computadora, de nada serviría contar con la mejor tecnología anti malware si primero no aprendemos el uso de los recursos informáticos. 66 CAPÍTULO III: ESTUDIO DE CASOS Introducción. En los inicios del MALWARE, éste solía diseñarse con el fin de demostrar el conocimiento que una persona poseía en cuanto a programación se refería, en la actualidad esto ha cambiado significativamente, ya que ahora tiende a utilizarse como una herramienta para obtener algún beneficio. La mayoría busca beneficiarse económicamente, sin embargo muchos otros lo hacen con el fin de afectar a otra persona robando o dañando la información que manejan diariamente. Son cada vez más las empresas u organizaciones que son victimas de este tipo de software, generando como consecuencia grandes pérdidas económicas. En los apartados siguientes, se presentan tres casos reales de organizaciones, en los que el MALWARE ha afectado de alguna manera su funcionamiento, en primer lugar se muestra el caso de una organización americana de viviendas (“Fannie Mae”), que se vio afectada por un ex empleado; enseguida el caso de una Universidad de España, ( “Universidad de Granada”), que al parecer fue victima de uno de sus alumnos; y por ultimo un caso local, de la ciudad de Xalapa, Veracruz, en el que un conocido gusano afectó las labores de una institución de gobierno, (Poder Judicial del Estado de Veracruz). 68 3.1 Caso “Fannie Mae” 3.1.1 Antecedentes de la Organización. De acuerdo al “Glosario Español- Inglés de términos de la industria”, publicado por la misma organización (2007), Fannie Mae es una compañía propiedad de accionistas cuya misión pública es expandir el mercado de viviendas asequibles y atraer el capital internacional a las comunidades locales. Al igual que la mayoría de los grandes bancos comerciales, Fannie Mae se asegura de que la banca hipotecaria y otros prestadores tengan suficientes fondos para prestarles a los compradores de vivienda en todas las comunidades, en cualquier momento, bajo cualquier condición financiera y con tasas de interés asequibles. Su trabajo es ayudar a todos aquellos que les proveen viviendas a todas las comunidades, con el fin de servir mejor al mercado de viviendas en los Estados Unidos. 3.1.2 Planteamiento del problema. Según lo publicado por un blog dedicado a la seguridad informática “Segu-Info” (2009), un ex ingeniero de la empresa Fannie Mae, despedido en Octubre del 2008, dejó plantada una bomba lógica en el servidor central el día de su despido, y la programó para mantenerse “en espera” durante tres meses. Según informa la empresa, el atacante de nombre Rajendrasinh Babubahai Makwana trabajó durante tres años en el área de Sistemas, específicamente en el Data Center en Urbana, Maryland. Además, tenía acceso administrativo a todos los servidores de la organización. Un agente del FBI indicó que el ingeniero de 35 años dejó un script dentro de un programa legítimo (separando con una serie de saltos de línea para ocultarlo) luego de haberse enterado de su despido. Aparentemente “razones burocráticas” hicieron que durante casi 24 horas los permisos de este ingeniero se 69 mantuvieran intactos. El mismo agente informó que el script deshabilitaba el login a los servidores en producción para toda la empresa, modificaba el password de root (administrador del sistema), reescribía información (incluidos los Backups) y generaba una denegación de servicio en un software de alta criticidad. Además, se replicaba automáticamente en el resto de los servidores. Makwana fue detenido por la justicia aunque una fianza de U$D 100.000 lo dejó en libertad por un tiempo. Ahora, se enfrenta a un juicio que puede dejarlo hasta 10 años en prisión. 3.1.3 Impacto del MALWARE. La bomba lógica atacó los servidores de la empresa, causando millones de dólares en daños y causando que la empresa cerrara sus puertas por al menos una semana. El ataque fue detectado por otro ingeniero de la empresa cinco días después de haber comenzado su propagación y llegó a afectar solo a decenas de servidores. Si hubiera afectado a los 4000 servidores, las pérdidas hubieran sido mayores, el tiempo de recuperación también, y probablemente la empresa no se hubiera podido recuperar (Segu-Info). 3.1.4 Medidas que se tomaron para la reparación de los daños. En la fuente donde se consultó la información del caso, no se especifican las acciones que se tomaron para erradicar el software malo y reparar los daños causados, sin embargo algo que se puede recomendar para haberse hecho en este caso es que una vez encontrado el programa en el que se encontraba el script, instalarlo de nuevo y acudir a un respaldo de la información para ser ingresada nuevamente, con el fin de evitar revisar línea por línea el código del 70 programa y así ahorrar tiempo y esfuerzo por parte de la empresa, por otro lado con respecto al password de root para acceder a los servidores, se debía establecer uno nuevo. Por último, ejecutar un análisis completo de la información con un software antivirus, con el fin de asegurarse que no quede ninguna otra amenaza que pueda dañar la información. 3.1.5 Medidas tomadas después del ataque. También esta información no fue especificada en la fuente consultada, por lo que de la misma manera que en el párrafo anterior se procederá a hacer algunas recomendaciones en caso de que ocurra lo mismo en otra organización, en primer lugar cada vez que un trabajador va a ser removido de su puesto, se debe notificar con anticipación al administrador de cuentas de usuarios para deshabilitar la cuenta de usuario que este tiene en el sistema y así evitar que pueda accesar a él, en segundo lugar, en caso de que el trabajador removido sea el mismo administrador de las cuentas, se deben deshabilitar sus privilegios sobre el sistema antes de que se le notifique su despido o cambio de puesto, con el fin de evitar posibles represalias y posteriores modificaciones al sistema. Por último, cada vez que el administrador de cuentas sea removido, como medida de seguridad, se recomienda restablecer los passwords de todo el personal, ya que él conoce dicha información y puede usarla para tener acceso al sistema haciéndose pasar por otra persona y llevar a cabo un ataque. 3.2 Caso “Universidad de Granada”. 3.2.1 Antecedentes de la Organización. De acuerdo a lo consultado en la página web de la propia universidad, la Universidad de Granada fue fundada en 1531 con el apoyo de Carlos I, el entonces Rey de España. La Universidad de Granada supuso la continuación de los estudios superiores de la Universidad “La Madraza”. Desde entonces, la 71 Universidad ha brindado de un espíritu innovador a la ciudad, manteniendo una tradición cultural que le ha permitido perdurar y convertirse en referencia cultural, histórica, investigadora y docente de la ciudad. La comunidad universitaria está compuesta por más de 80.000 personas entre profesores, personal administrativo y alumnos. Con más de 60.000 alumnos, el ambiente universitario se respira en muchos barrios de la ciudad. Además de la ciudad de Granada, la Universidad también cuenta con un campus en la ciudad de Ceuta y otro en la ciudad de Melilla. 3.2.2 Planteamiento del problema. Según lo publicó Cabrero (2007), en un reconocido diario de la ciudad de Granada en España, en Octubre del 2007, aparentemente un hacker (experto en informática) ingresó a la red de la Universidad provocando pérdida de datos personales de académicos y eliminación de una parte de la página oficial de la Escuela Técnica Superior de Ingeniería e Informática y Telecomunicaciones (ETSIIT). José Luis Bernier, jefe del equipo web encargado de la restauración de los daños, explica que al parecer, el pirata usó un programa llamado “Esnifer” -que cualquiera puede descargar de la red- y lo ejecutó en el laboratorio de prácticas de la escuela. (Este programa copia todo lo que circula por la red). Una vez en marcha es muy fácil obtener las contraseñas que tanto alumnos como profesores usan a diario en nuestra red, explica José Luis. Esas contraseñas son las mismas para acceder al correo electrónico y a los foros de discusión. Así, el pasado lunes 29 de octubre, el hacker entró en el foro haciéndose pasar por otra persona y aprovechó para decir alguna que otra barbaridad. “Pensamos que algún alumno se habría dejado el equipo de cómputo encendido y que alguien había aprovechado para gastarle una broma. Pronto descubriríamos que no era así”, afirmó Bernier. 72 Según el director del equipo web, las investigaciones están llegando a buen puerto, ya que afirma aún no tener pruebas concluyentes, pero todo apunta a que ha sido un alumno de la propia Universidad, debido a que existen datos que quedan guardados en el sistema, tales como: nombres de usuario, hora de inicio y fin de sesión, etc. 3.2.3 Impacto del MALWARE. Cabrero afirma que, al día siguiente el equipo web se encontró con una ingrata sorpresa, ya que habían modificado la página web de la ETSIIT. Al parecer el intruso había conseguido la contraseña de acceso de un alumno que trabaja en la web de la escuela, por lo que pudo tener acceso a la administración de la misma. Cambió la página de inicio y dejó mensajes en la portada, tales como: “Esta página se va a dar de baja y va a dejar de funcionar un año”; textos que fueron rápidamente retirados por el equipo de atención web. Pero eso no fue todo, también entró a los equipos de cómputo de dos maestros de la Universidad, al parecer consiguió sus claves y robó calificaciones y las soluciones a las prácticas que usan durante todo el curso, hecho que provocó que los profesores hayan perdido un año de trabajo y se hayan visto obligados a invalidar los trabajos entregados hasta ese momento. Sin duda “Esnifer” condujo a una grave repercusión, pues ha quedado en entredicho la fiabilidad de todo el sistema informático de la Universidad de Granada. Además de que algunos alumnos claman ante un hecho que no hace más que evidenciar que el sistema operativo del servidor está anticuado y por lo que pudieron saltar la barrera de seguridad con suma facilidad. 3.2.4 Medidas que se tomaron para la reparación de los daños. 73 En cuanto a la pagina web, Cabrero indica que, según el relato de Bernier, se contaba con una copia de seguridad reciente con la que pudieron salvar todos los datos y restaurar la web en aproximadamente 30 minutos. 3.2.5 Medidas tomadas después del ataque. En la fuente de información citada no se cuenta con este dato, sin embargo algo que se puede recomendar hacer en un caso similar es, generar respaldos frecuentes de la información así como de las páginas web, crear una cuenta de acceso limitada a los equipos de cómputo de la universidad para cada alumno, para que cuando utilice alguno, sus acciones queden registradas en la bitácora y poder identificar alguna anomalía que se lleve a cabo. 3.3 Caso “Poder Judicial del estado de Veracruz”. 3.3.1 Antecedentes de la organización. De acuerdo a la página oficial de la institución, el Poder Judicial, es el garante de la constitucionalidad en el Estado, y tiene a su cargo, como función primigenia, la tarea de administrar justicia en el territorio veracruzano. Una de las atribuciones del Poder Judicial, es la de dictar las medidas procedentes para que la administración de justicia sea pronta, expedita y completa; la percepción que la sociedad tenga de ello, depende de la utilización adecuada y eficiente de los recursos humanos y tecnológicos disponibles; en ese marco, se presenta a consideración de la ciudadanía veracruzana, la nueva página del Poder Judicial del Estado, que habrá de mostrar, de manera 74 transparente, la forma en que operan sus órganos jurisdiccionales y administrativos. La sede oficial del Poder Judicial del Estado es la ciudad de Xalapa, Enríquez. Desde agosto de 1999, el Palacio de Justicia alberga en sus instalaciones al Tribunal Superior de Justicia, al Tribunal de lo Contencioso Administrativo, al Tribunal de Conciliación y Arbitraje, y al Consejo de la Judicatura. 3.3.2 Antecedentes del MALWARE. Se trata de un gusano llamado “Conficker”, el cual instalándose de forma silenciosa ha logrado infectar una gran cantidad de equipos en el mundo explotando una vulnerabilidad de Windows denominada MS08-067. Según Symantec (2009) el gusano Conficker principalmente se propaga en las redes. Si encuentra un equipo vulnerable, desactiva el servicio de copias de seguridad automáticas, elimina los puntos de restauración anteriores, desactiva algunos servicios de seguridad, bloquea el acceso a una cantidad de sitios web de seguridad y abre equipos infectados para recibir otros programas del creador del programa malicioso. El gusano luego intenta propagarse hacia otros equipos en la misma red copiándose a sí mismo en carpetas compartidas e infectando dispositivos USB, como tarjetas de memoria. Se cree que el gusano será utilizado para crear una botnet (red controlada remotamente) que, a su vez, será alquilada por delincuentes que desean enviar spam (correo basura), robar datos identificativos y dirigir a los usuarios a sitios web de phishing (sitios web falsos) y estafas online. 3.3.3 Planteamiento del problema. 75 Según la información aportada por Jesús Alemán (2009), prestador de servicio social en la institución, afirma que debido a que el edificio del Poder Judicial mantiene una red interna con la Secretaría de Finanzas y Planeación (SEFIPLAN), el personal comparte información que se transfieren a través de correo electrónico y en muchos casos a través de dispositivos de almacenamiento extraíbles como memorias USB. Lo cual dio pie a que a principios del mes de Enero del año en curso, se licitara una propagación masiva del “Conficker” por literalmente todo el edificio del Poder Judicial, misma que pudo ser totalmente controlada hasta finales del mes de Abril. Se habla de aproximadamente 600 equipos de cómputo afectados, cabe resaltar que hubo algunas excepciones debido a que los equipos no se encontraban conectados a la red. El personal de la Subdirección de Tecnologías de Información perteneciente a la institución y a la vez encargada de solucionar el problema, asegura que el origen de la infección fue en las oficinas de SEFIPLAN. 3.3.4 Impacto del MALWARE. Alemán argumenta que, afortunadamente no hubo daños tan graves que desembocaran en pérdidas monetarias, sin embargo si hubo pérdida de archivos personales en algunos equipos de cómputo, además de que se perdió mucho tiempo en analizar cada máquina del edificio, lo cual causó un retraso significativo en las actividades del personal que ahí labora. 3.3.5 Medidas que se tomaron para la reparación de los daños. El personal de la Subdirección del Tecnologías, una vez enterados del suceso, procedió a instalar software antivirus en todas las computadoras del edificio, según miembros del equipo, hubo la necesidad de utilizar dos antivirus para eliminar por completo el gusano, además de algunas herramientas de 76 detección de malware de Symantec, también se instalaron parches de seguridad de Windows que solucionaron la vulnerabilidad que se mencionó en los antecedentes del MALWARE de este caso, y en algunos casos como medida drástica de solución hubo que formatear el equipo de cómputo. De igual manera también se analizaron y desinfectaron las memorias USB de todo el personal del edificio del Poder Judicial (Alemán). 3.3.6 Medidas tomadas después del ataque. Se mantiene actualizado el software antivirus, así como también se actualiza el software de Windows. Se le proporcionó capacitación a todo el personal que labora en la institución para el análisis constante de sus memorias USB y de su equipo de cómputo. Sin embargo, como medida de seguridad se hizo hincapié en evitar lo más posible la transferencia de archivos a través de memorias USB, ya que se cree que esa fue la causa de la infección. Así como también, se le dijo al personal tomar las precauciones necesarias al recibir correos electrónicos de destinatarios desconocidos con datos adjuntos (Alemán). 3.4 Aportación personal. Es una realidad que hoy en día, la producción de MALWARE sigue en aumento y cada vez con técnicas más sofisticadas, ha pasado a ser un dolor de cabeza más para las organizaciones que han sido afectadas, es sin duda un tema que ya no se puede pasar por alto a la hora de implementar la seguridad en la organización. Como vimos a lo largo de este capitulo, una prestigiada universidad de España, una entidad de Gobierno del Estado de Veracruz, y una institución muy importante en E.U. han sido victimas de algún tipo de MALWARE, perjudicándolos 77 de alguna manera, lo cual nos indica que ninguna organización por muy grande y reconocida que sea, esta exenta de sufrir un ataque, debido a que el MALWARE circula diariamente por la red y usuarios inexpertos hacen que este software logre su objetivo, que no es otro que, causar daño u obtener algún beneficio. Un punto muy importante que deben tomar en cuenta las organizaciones, es la capacitación a su personal sobre las medidas de seguridad básicas cuando se esta frente a una computadora, no es aceptable que empresas pierdan importantes cantidades de dinero e información por un descuido de su personal al no estar bien enterado sobre los peligros a los que se esta expuesto. El peligro es tal que, organizaciones han corrido el riesgo de desaparecer a causa del software malo, tal como vimos en el caso de “Fannie Mae”, que tuvo un paro de actividades de una semana debido a la bomba lógica que dejó uno de sus ex empleados, si el software no hubiera sido detectado a tiempo, probablemente las consecuencias hubiesen sido mayores al grado de cerrar la organización. Aún sabiendo esto, empresas y organizaciones no invierten lo suficiente en cuanto a seguridad informática se trata, por que creen que nunca les va a pasar y que con las medidas de seguridad que tienen es suficiente para estar protegidos. No basta con tener la mejor tecnología si esta no se aprovecha al máximo, no basta con tener el mejor antivirus si no lo actualizamos frecuentemente y si no lo ejecutamos periódicamente a nuestros archivos. Es de vital importancia que el personal que labora en las organizaciones se mantenga bien informado acerca de las nuevas amenazas para saber como protegerse de ellas y en caso de ser víctima, saber que medidas tomar para evitar daños irreparables a la información que puedan tener consecuencias desastrosas. 78 CONCLUSIONES De acuerdo a lo planteado al inicio de este trabajo, su objetivo principal es proporcionar a las organizaciones el conocimiento necesario para comprender la importancia de implantar y mantener las medidas de seguridad necesarias para evitar perjuicios a su información y que por lo tanto impacten de manera negativa su imagen y competitividad. Si bien es cierto, el activo más importante que cualquier empresa u organización puede tener, es su información. De ahí la razón de existencia de la Seguridad Informática, que tal como se explicó en el primer capítulo, su objetivo es mantener la integridad de la información lejos de los peligros que la amenazan, tales como el robo, daño o eliminación. Es de suma importancia mantener informado al personal de las organizaciones sobre los peligros que existen hoy en día en el mundo de la informática, como lo es el MALWARE. La peligrosidad de este tipo de software radica en su capacidad de pasar desapercibido ante el usuario y el software antivirus, y en la velocidad con que se propaga, la cual va cada vez en aumento. Estas características aunadas a la poca información con la que cuenta el personal de muchas organizaciones acerca del MALWARE, puede llevar a una situación verdaderamente desastrosa. Como pudimos darnos cuenta si no se toman las medidas de prevención necesarias, el MALWARE puede llegar a ser muy peligroso al grado de poner en riesgo la existencia de la organización. Ahora bien, tomando en cuenta esto y las malas experiencias pasadas por otras organizaciones, como las que se plantearon en el capítulo tres, se espera que, organizaciones ya sean privadas o públicas, tomen conciencia de lo que está pasando actualmente e inviertan lo suficiente para fortalecer su seguridad. Algunas de las medidas de prevención que se deben ser tomadas en cuenta para proteger la información son: principalmente el uso de software 80 antivirus, el cual debe actualizarse frecuentemente, de ser posible diariamente, ya que cada día surgen nuevas amenazas y evoluciones de los virus ya existentes. Evitar la transferencia de archivos por dispositivos móviles como lo son las memorias USB, y en caso de verse obligado a utilizarlo, someterlo a un análisis con el antivirus, para asegurarse de que está libre de software malintencionado. Evitar abrir correos electrónicos de los cuales el remitente sea desconocido, y en caso de abrirlo por accidente y el contenido trae consigo datos adjuntos, se recomienda no descargar dichos archivos, así como también no accesar a ligas que nos lleven a otros sitios que parecen ser confiables. Es recomendable no descargar programas de sitios no oficiales, ya que esta es una de las maneras más comunes de propagar algún tipo de MALWARE. Algo muy importante a la hora de navegar por internet es, no revelar datos personales importantes, tales como, números de cuentas bancarias, contraseñas, etc., ya que son usados para cometer fraudes y puede traer consecuencias muy graves, por ejemplo, dejar nuestra cuenta bancaria en cero. Es importante también, realizar un respaldo periódico de la información que se maneja diariamente, de los sistemas y páginas web que se utilizan en la organización, ya que en caso de que ocurra un ataque por MALWARE y este borra algunos o todos los datos, la información puede ser restaurada sin ningún problema. Sin embargo, lo primordial es capacitar al personal en el uso correcto de los equipos de cómputo, con el fin de disminuir en lo posible la probabilidad de sufrir un ataque por software malo, y en caso de que suceda, saber qué hacer para que el daño sea lo menor posible. 81 FUENTES DE INFORMACIÓN Alcalde. (2008). Revista Cientifica Compendium del Decanato de Administración y Contaduría de la Universidad Centroccidental Lisandro Alvarado (UCLA) . Arbeláez, R. (Sep de 2008). Del centro de cómputo a la junta directiva. Recuperado el 5 de Mayo de 2009, de http://www.infosecurityonline.org/newsletter/septiembre2008/palabras.html Asenio, G. (2006). Seguridad en Internet: Una guía práctica y eficaz para proteger su PC con software gratuito. España: Illustrated. Berti, J. (2003). Social Engineering the forgotten risk. Canadian HR Reporter . Borguello, C. (s.f.). ESET. Recuperado el 25 de Mayo de 2009, de www.esetla.com/press/informe/cronologia_virus_informaticos.pdf Borguello, C. (22 de 02 de 2008). Foro de ESET Latinoamérica. Recuperado el 27 de Junio de 2009, de http://blogs.esetla.com/laboratorio/2008/02/22/adwarefabrica-pop-pups Configurarequipos: Foro de informática y soporte técnico. (s.f.). Recuperado el 1 de Junio de 2009, de http://www.configurarequipos.com/doc438.html Cooke, D. L. (2003). Learning from incidents. 21st International Conference of the System Dynamics Society . 82 Dagda Blogia: Blog sobre seguridad informática. (30 de 09 de 2007). Recuperado el 2 de Junio de 2009, de http://dagda37.blogia.com/2007/093001-bombalogica.php Definicion.de: Portal de definiciones. (s.f.). Recuperado el 22 de Marzo de 2009, de http://definicion.de/seguridad-informatica Del Peso, E. N. (2002). La seguridad de los datos de carácter personal. España: Díaz de Santos. Enciclopedia Virus. (2002). Recuperado el 25 de Febrero de 2009, de http://www.enciclopediavirus.com/enciclopedia/ ESET. (2009). Consejos de seguridad. Recuperado el 2 de Julio de 2009, de http://www.eset-la.com/threat-center/security_help.php. Federal Trade Comission, FTC (Comisión Federal de Comercio). (s.f.). Recuperado el 29 de Mayo de 2009, de http://www.ftc.gov./bcp/edu/pubs/consumer/alerts/salt142.shtm Ferro, M. V. (2007). Seguridad en sistemas de información. Recuperado el 3 de Junio de 2009, de http://ccia.ei.uvigo.es/docencia/SSI/Tema1.pdf García V., J. (2006). Modelación de amenazas internas a la seguridad de la información utilizando dinámica de sistemas. Tesis para obtener el grado académico de maestro en Administración de las Telecomunicaciones. Monterrey, N.L. Grupo de usuarios GNU/Linux de la Laguna (GULAG). (3 de 02 de 2009). Recuperado el 4 de Mayo de 2009, de http://www.gulag.org.mx/eventos/2009-0203-uaneseguridad_informatica/seguridad_informatica.pdf. 83 Honeycutt, J. (2004). Proteja su equipo de Spyware y Adware. Recuperado el 28 de Junio de 2009, de http://www.microsoft.com/SPAIN/windowsxp/using/security/expert/honeycutt_spyw are.mspx. Instituto Nacional de Estadística y Geografía (INEGI). (s.f.). Recuperado el 12 de Febrero de 2009, de http://www.inegi.gob.mx/inegi/contenidos/espanol/ciberhabitat/museo/cerquita/rede s/seguridad/intro.htm Kioskea. (2008). Objetivos de la seguridad informática. Recuperado el 7 de Mayo de 2009, de http://es.kioskea.net/contents/secu/secuintro.php3 Machado, J. (2002). Per Antivirus: Tienda de antivirus online. Recuperado el 2 de Junio de 2009, de http://www.perantivirus.com/sosvirus/general/backdoor.htm Mairoll, C. (s.f.). Emsi Software. Recuperado el 27 de Junio de 2009, de http://www.emsisoft.es/es/software/antimalware Microsoft Corp. (2006). ¿Qué son los virus, gusanos y troyanos? Recuperado el 13 de Febrero de 2009, de http://www.microsoft.com/latam/athome/security/viruses/virus101.mspx Microsoft. (2009). Microsoft Corp. Recuperado el 13 de Febrero de 2009, de http://www.microsoft.com/latam/athome/security/viruses/virus101.mspx#EPC Microsoft. (2009). Microsoft Corp. Latinoamérica. Recuperado el 28 de Febrero de 2009, de http://windowshelp.microsoft.com/Windows/es-XL/help/5c08774a-6602490d-ba33-faed5c8939913082.mspx 84 Mieres, J. (2009). Herramientas para evitar ataques informáticos. ESET. Recuperado el 2 de Julio de 2009, de http://www.eset.com.pa/threatcenter/articles/herramientas_evitar_ataques_informaticos.pdf PerAntivirus. (s.f.). Virus polimórficos o mutantes, especies virales que mutan su estructura. Recuperado el 2 de Junio de 2009, de http://www.perantivirus.com/sosvirus/general/polimorf.htm Picouto, F. (2004). Hacking práctico. España: Anaya Multimedia. Pino, I. C. (2005). Las nuevas tendencia de seguridad informática implementadas en las áreas de cómputo. Monografía para obtener el titulo de Licenciado en Informática, Facultad de Economía y Estadística de la Universidad Veracruzana . Xalapa, Ver. Portillo, J. (2003). Seguridad Informática. Recuperado el 16 de Mayo de 2009, de www.ceditec.etsit.upm.es/index.../21-Seguridad-Informatica.html Rodríguez, L. A. (1995). Seguridad de la de información en sistemas de cómputo. México: Ventura. Schultz, E. (2002). A framework for understanding and predicting insider Attacks. Computers & Security . SEGU-INFO. (s.f.). Seguridad física- Utilización de guardias. Recuperado el 26 de Abril de 2009, de http://www.segu-info.com.ar/fisica/guardias.htm Seguridad en la red: Asociación de internautas contra el fraude online. (s.f.). Recuperado el 2 de Junio de 2009, de http://www.seguridadenlared.org/es/index10esp.html 85 SeguridadPC. (s.f.). Seguridad informática, pretección del ordenador. Recuperado el 2 de Junio de 2009, de http://www.seguridadpc.net/rootkits.htm Serrano, L. F. (2005). Departamento de cómputo de UNAM CERT. Recuperado el 26 de Junio de 2009, de http://www.seguridad.unam.mx/descarga.dsc?arch=1007 Sophos. (2009). Sencillos pasos protegerse contra virus, programas espía y adware. Recuperado el 2 de Julio de 2009, de http://esp.sophos.com/security/bestpractice/viruses.html Symantec. (2007). Adware.NDotNet. Recuperado el 27 de Junio de 2009, de http://www.symantec.com/es/mx/security_response/writeup.jsp?docid=2004020511-0558-99 TechNet, M. (2006). Estrategias para la administración de riesgos de malware. Recuperado el 1 de Junio de 2009, de http://technet.microsoft.com/eses/library/cc875818.aspx TrendMicro. (2009). Métodos de prevención- Mejores prácticas. Recuperado el 2 de Julio de 2009, de http://es.trendmicro.com/es/threats/enterprise/webthreats/prevention/ Valdanzo, H. S. (2008). Introdución al Malware. Recuperado el 3 de Junio de 2009, de http://www.scribd.com/doc/2565885/El-Malware 86 GLOSARIO 1. Body of Knowledge: (Cuerpo de conocimiento), es un término que se utiliza para representar el conjunto de conceptos, términos y las actividades que componen un dominio profesional, tal como se define por la asociación profesional. El cuerpo de conocimiento en sí mismo es más que simplemente una colección de términos, un profesional de lista de lectura, una biblioteca, un sitio web o una colección de sitios web, una descripción de funciones profesionales, o incluso una recogida de información. 2. BS7799-2: es el estándar de seguridad de información de facto, creada por British Standards Institution (BSI) como un conjunto de controles de seguridad y de metodologías para su correcta aplicación. Esta norma es el resultado de la alta demanda de la industria, los gobiernos y las empresas por obtener un marco común que permita a las empresas desarrollar, implementar y medir eficazmente las prácticas de gestión de seguridad de la información. 3. BSI: (British Standards Institution). Es una multinacional cuyo origen se basa en la creación de normas para la estandarización de procesos. Entre sus actividades principales se incluyen la certificación, auditoría y formación en las normas. 4. ISC2: (Information Systems Security Certification Consortium, Inc.). Organización sin ánimo de lucro que emite diversas acreditaciones en el ámbito de la seguridad de la información. 5. IEEE: (Institute of Electrical and Electronic Engeneers). El Instituto de ingenieros eléctricos y electrónicos es la mayor asociación internacional sin fines de lucro formada por profesionales de las nuevas tecnologías, como ingenieros eléctricos, ingenieros en electrónica, científicos de la computación, ingenieros en informática e ingenieros en telecomunicación, responsable de la creación de una gran cantidad de estándares en electrónica e informática. 6. ISACA: (Information Systems Audit and Control Association). Es la asociación de control y auditoría de sistemas de información, es un organismo sin fines de 88 lucro que agrupa a profesionales alrededor del mundo que son afines a la auditoría informática, seguridad y control de las tecnologías de información en general. 7. ISO 27001: es el estándar para la seguridad de la información. Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información. 8. ISO: (International Organization for Standardization). La Organización Internacional para la Estandarización es el organismo encargado de promover el desarrollo de normas internacionales de fabricación, comercio y comunicación para todas las ramas industriales a excepción de la eléctrica y la electrónica. Su función principal es la de buscar la estandarización de normas de productos y seguridad para las empresas u organizaciones a nivel internacional. 9. ITIL: (Information Technology Infrastructure Library). La Biblioteca de Infraestructura de Tecnologías de Información), es un marco de trabajo de las buenas prácticas destinadas a facilitar la entrega de servicios de tecnologías de la información (TI). ITIL resume un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir como guía que abarque toda infraestructura, desarrollo y operaciones de TI. 10. ITU: (International Telecommunication Union). La Unión Internacional de Telecomunicaciones es el principal organismo de las Naciones Unidas para la tecnología de información y comunicación cuestiones, y centro de coordinación mundial para los gobiernos y el sector privado en el desarrollo de las redes y los servicios. 11. Modelo de Biba: Creado por K. J. Biba en 1977, el modelo de integridad supone un enrejado de niveles de integridad (análogo a los niveles de seguridad) con una relación ordenada menor o igual. 89 12. Modelo de Chinese Wall: es una política de seguridad elaborada por Brewer y Nash en 1989, y está orientada al sector comercial. 13. Modelo de Clark- Wilson: El modelo de integridad de David Clark y David Wilson desarrollado entre 1987 y 1989 comenzó una revolución en la investigación de la seguridad informática. Clark y Wilson demostraron que para la mayoría del cómputo relacionado con las operaciones de negocios y el control de los recursos, la integridad es más importante que la confidencialidad. 14. Modelo de Harrison-Ruzzo-Ullman: Michael Harrison, Walter Ruzzo y Jeffrey Ullman, propusieron un modelo en 1976 que es popularmente referenciado como el modelo HRU. Este modelo sólo se preocupa por la protección, esto es, “quien tiene que acceso a que objetos”. 15. Modelo de Lattice: Este método utiliza una jerarquía de niveles de seguridad (llamados compartimentos) asociada a una clasificación de seguridad para los objetos. Para acceder a un objeto, una entidad debe pertenecer a todas los compartimentos a los que pertenece ese objeto, y debe tener asignado un nivel de seguridad igual o superior al del objeto. 16. NIST: (National Institute of Standards and Technology). El Instituto Nacional de Normas y Tecnología es una agencia de la Administración de Tecnología del Departamento de Comercio de los Estados Unidos. La misión de este instituto es promover la innovación y la competencia industrial en Estados Unidos mediante avances en metrología, normas y tecnología de forma que mejoren la estabilidad económica y la calidad de vida. 17. SLAs: (Service Level Agreements). Un acuerdo de nivel de servicio, es un contrato escrito entre un proveedor de servicio y su cliente con objeto de fijar el nivel acordado para la calidad de dicho servicio. 18. TICs: (Tecnologías de Información y Comunicación). Las tecnologías de la información y la comunicación son una parte de las tecnologías emergentes que habitualmente suelen identificarse con las siglas TIC y que hacen referencia a la 90 utilización de medios informáticos para almacenar, procesar y difundir todo tipo de información o procesos de formación educativa. 91 ÍNDICE DE FIGURAS Pág. Figura 1.1. Sistema biométrico de reconocimiento de huella 19 Figura 1.2. Sistema biométrico de reconocimiento de retina 19 Figura 1.3. Flujo normal de la información 35 Figura 1.4 Interrupción del flujo de información 35 Figura 1.5 Intercepción de la información 36 Figura 1.6 Modificación del flujo de información 36 Figura 1.7 Generación en el flujo de información 37 Figura 1.8 Triángulo de debilidades del sistema 38 92 ÍNDICE DE TABLAS Pág. 2.1 Clasificación del MALWARE de acuerdo al daño que provoca 49 93