1. Definición

La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable.

2. Conceptos Clave

Vulnerabilidad o «Agujeros de Seguridad»

Una vulnerabilidad es una debilidad del sistema informático que puede ser utilizada para causar un daño. Las vulnerabilidades pueden aparecer en cualquiera de los elementos del sistema informático, que recordemos que está formado por: Hardware, Software y Personal.

Amenaza

Una amenaza es la presencia de uno o más factores (máquinas, personas, etc.) que, de forma accidental o intencionada, atacan al sistema aprovechándose de alguna vulnerabilidad. Hay que tener en cuenta que cada activo es vulnerable a distinto tipo de amenaza; por ejemplo, los datos son vulnerables a los hackers, mientras que una instalación eléctrica es vulnerable a un cortocircuito.

Riesgo

Un riesgo es la probabilidad de que se ejecute una amenaza, dando lugar a un ataque al sistema. Hay riesgos que son asumibles y otros que no lo son.

Impacto

Es la medida de las consecuencias producidas por un riesgo o una amenaza que se ha materializado y ha causado daños en nuestros activos.

Activos

Son todos los recursos de la empresa necesarios para que funcionen correctamente: Edificios, Hardware, Software, Personal, etc.

Ataque

Un ataque es una acción que trata de aprovechar una vulnerabilidad para provocar un impacto sobre algún activo de la empresa.

3. Recursos y Activos a Proteger

1. Datos: Es lo más importante de la organización y pueden ser de diferente índole, como económicos, fiscales, de clientes, trabajadores, proveedores, etc.
2. Software: Es el sistema operativo y las aplicaciones que se encargan de gestionar los datos.
3. Hardware: Son los equipos informáticos como las estaciones de trabajo (Workstation), servidores, routers, etc., y sus periféricos.
4. Redes/Comunicaciones: La información viaja por las redes, tanto por las redes locales como por Internet. Por ello, hay que proteger dichas comunicaciones.
5. Soportes: Son los lugares donde se almacena la información (DVDs, discos duros, papel, etc.).
6. Instalaciones: Son los lugares que albergan los sistemas informáticos.
7. Personal: Son las personas que interactúan con el sistema de información, como administradores, programadores, usuarios internos y externos de la empresa, etc.
8. Servicios: Aquellos que se ofrecen a clientes o usuarios, como sitios web, foros, correo electrónico, servidores de archivos, etc.

4. Tipos de Seguridad

Seguridad Física y Lógica

• Seguridad física: Comprende el conjunto de medidas cuyo objetivo es evitar o reducir los riesgos que amenazan a los equipos informáticos, como ordenadores, servidores, routers, switches, etc.
• Seguridad lógica: Está formada por las medidas cuyo objetivo es proteger la información, como las aplicaciones, datos, etc.

Seguridad Activa y Pasiva

• Seguridad activa: Comprende el conjunto de medidas cuyo objetivo es evitar o reducir los riesgos que amenazan al sistema.
• Seguridad pasiva: Está formada por las medidas cuyo objetivo es que, una vez producido el incidente de seguridad, se minimice su repercusión y se facilite la recuperación del sistema.

5. Amenazas y Clases

Definición

Una amenaza es la presencia de uno o más factores (máquinas, personas, etc.) que, de forma accidental o intencionada, afectan o atacan al sistema aprovechándose de alguna vulnerabilidad. Hay que tener en cuenta que cada recurso es vulnerable a distinto tipo de amenaza; por ejemplo, los datos son vulnerables a los hackers, mientras que una instalación eléctrica es vulnerable a un cortocircuito.

Clasificación

Las amenazas se pueden clasificar en 4 grupos:

1. De Interrupción: Consiste en inutilizar un dispositivo o servicio del sistema y, por lo tanto, el acceso a su información. Un ejemplo es el ataque de Denegación de Servicio (DoS – Denial of Service), que consiste en detener o colapsar una computadora o un servicio de red para que ningún usuario legítimo pueda acceder a él. En muchas ocasiones, se suele realizar mediante botnets o redes zombi que controlan cientos de máquinas para hacer ataques distribuidos, denominándose ataques DDoS.
2. De Interceptación: En este caso, un intruso accede a un recurso del sistema, como un equipo, servidor o el propio tráfico de red, para captar información confidencial como datos, programas, identidad de personas, etc. Dentro de este tipo de ataque se encuentra el sniffing, que consiste en rastrear y monitorizar el tráfico de una red.
3. De Modificación: Además de interceptar un recurso, lo que hacen es modificar la información; por ejemplo, modificar una respuesta enviada a un usuario, alterar el comportamiento de una aplicación, etc. Dos casos de modificación son:
   • Man-in-the-Middle: Consiste en que un atacante intercepta una comunicación entre dos partes, suplantando las identidades de los extremos y, por lo tanto, recibiendo el tráfico en ambos sentidos.
   • Pharming: Consiste en acceder a un equipo o servidor DNS a través de alguna vulnerabilidad y modificar su tabla DNS, redirigiendo un nombre de dominio a una IP distinta, probablemente fraudulenta.
4. De Fabricación: Es una modificación de un objeto o servicio para conseguir uno similar al atacado y sustituirlo, siendo difícil distinguir entre el original y el fabricado. Un ejemplo es el spoofing, que suplanta la identidad o realiza una copia o falsificación; por ejemplo, falsificación de IP, MAC, web, correo electrónico, etc.

6. Sistema Seguro

Un sistema informático se considera seguro si cumple las siguientes propiedades:

• Confidencialidad: Garantiza que la información esté únicamente al alcance de las personas o entidades autorizadas. Esto se consigue con la autenticación de usuario y contraseña. Por ejemplo, cifrar (con herramientas como Truecrypt) un pendrive para que solo pueda acceder un usuario con su contraseña, o crear un usuario y contraseña para acceder a una carpeta o a un sistema operativo.
• Integridad: Este principio garantiza que los datos del sistema no han sido alterados ni destruidos por personas no autorizadas. Por ejemplo, al descargarnos un archivo/software de Internet, que lo que nos descarguemos sea idéntico a lo que nos ofrecen en la página (verificación con MD5, SHA). Otros ejemplos son el cálculo del dígito de control EAN13, que se usa en muchas utilidades como códigos de barras, identificación tributaria, ISBN, números de cuenta bancaria, etc.
• Disponibilidad: Consiste en que los equipos informáticos y su información deben estar disponibles en el momento en que se necesiten. Por ejemplo, disponer de copias de seguridad, redundancia de datos, equipos, etc.
• No Repudio o Irrenunciabilidad: Se distinguen dos tipos:
  • En origen: Consiste en que el emisor no pueda negar el envío de una información, ya que el receptor tiene pruebas de ello y de la identidad del emisor.
  • En destino: En este caso, es el destinatario quien no puede negar haber recibido el envío, ya que el emisor tiene pruebas de ello.

7. Auditoría Informática

La auditoría informática es un examen pormenorizado de un sistema de información que permite descubrir, identificar y corregir vulnerabilidades en los activos que lo componen y en los procesos que se realizan. Su finalidad es verificar que se cumplen los objetivos de la política de seguridad de la organización. Proporciona una imagen real y actual del estado de seguridad de un sistema de información.

8. Legislación de Seguridad Informática

Romper la seguridad informática de una empresa para robar datos es un delito perseguido por la ley.

LOPD: Ley Orgánica de Protección de Datos de Carácter Personal

Establece las bases para proteger el tratamiento de los datos de carácter personal de las personas físicas, es decir, toda información numérica, gráfica, fotográfica, acústica o de cualquier tipo concerniente a una persona física identificable.

Los ficheros que contengan datos personales deben notificarse a la Agencia Española de Protección de Datos para su inscripción (www.agpd.es en el apartado «Canal del Responsable»).

Los ficheros excluidos del ámbito de la ley LOPD son:

• Los ficheros exclusivamente personales o domésticos.
• Los sometidos a protección de materias clasificadas.
• Los relativos a la investigación de terrorismo y delincuencia.

Esta ley define tres niveles de seguridad en función de la sensibilidad de los datos tratados:

LSSI-CE: Ley de Servicios de la Sociedad de la Información y Comercio Electrónico

Regula a las empresas que prestan servicios de la sociedad de la información, como por ejemplo, todas las páginas web que consiguen algún tipo de ingreso, bien directo (pago de cuotas, venta de productos y servicios) o indirecto (publicidad), obligándolas, entre otras cosas, a incluir en su página información de la persona o empresa que está detrás de esa página: su nombre o denominación social, dirección postal, datos de inscripción en el registro de la propiedad mercantil, etc. Por ejemplo, si accedemos a la página de Marca, abajo del todo aparece «Política de Privacidad» donde nos da información de la empresa. O en Amazon, abajo aparece «Aviso de Privacidad».

LPI: Ley de Propiedad Intelectual

Establece los derechos de autor en los entornos digitales, considerando la digitalización de un contenido como un acto de reproducción, por lo que se necesita la autorización del titular del contenido. Para compensar a los autores por estas copias no controladas, se establece un canon sobre los distintos dispositivos de almacenamiento; este canon se revierte en las sociedades de autores.