Seguridad en los sistemas de informacin

Software malicioso
Virus, gusanos, caballos de Troya y Spyware

Los programas de software malicioso se conocen como malware e incluyen

una variedad de amenazas, como virus de computadora, gusanos y caballos de
Troya. Un virus de computadora es un programa de software
malintencionado que se une a otros programas de software o archivos de datos
para poder ejecutarse, por lo general sin el conocimiento o permiso del usuario.
La mayora de los virus de computadora entregan una carga til. La cual
puede ser benigna en cierto sentido como las instrucciones para mostrar un
mensaje o imagen, o puede ser muy destructiva: tal vez destruya programas o
datos, obstruya la memoria de la computadora, aplique formato al disco duro o
haga que los programas se ejecuten de manera inapropiada. Por lo general los
virus se esparcen de una computadora a otra cuando los humanos realizas una
accin, como enviar un adjunto de correo electrnico o copiar un archivo
infectado.
La mayora de los ataques recientes provienen de gusanos: programas de
computadora independientes que se copian a s mismo de una computadora a
otras computadoras a travs de una red (a diferencia de los virus, pueden
operar por su cuenta sin necesidad de unirse a otros archivos de programas de
computadora y dependen menos del comportamiento humano para poder
esparcirse de una computadora a otra. Esto explica por qu los gusanos de
computadora se esparcen con mucha mayor rapidez que los virus). Los
gusanos destruyen datos y programas; adems pueden interrumpir o incluso
detener la operacin de las redes de computadoras.
Los gusanos son los virus que aparecen frecuencia atreves del internet, de
archivos o software descargados, de archivos adjuntos a las transmisiones de
correo electrnico, y de mensajes de correo electrnico o de mensajera
instantnea comprometidos. Los virus tambin han invadido los sistemas de
informacin computarizados por medio de discos infectados o maquinas
infectadas. En la actualidad los gusanos de correo electrnico son los ms
problemticos.
El malware dirigido a los dispositivos mviles no es tan extenso como el que
est dirigido a las computadoras, pero de todas formas se esparcen mediante
un correo electrnico, los mensajes de texto, Bluetooth y las descargas de
archivos desde Web, por medio de redes de Wi-Fi o de celulares. Ahora hay ms
de 200 virus y gusanos dirigidos a telfonos celulares, como Cabir,
Commwarrior, Frontal.A e Ikee.B. Frontal.A instala un archivo corrupto que
provoca fallas en los telfonos celulares y evita que el usuario pueda reiniciar
UNMSM

Pgina 1

Seguridad en los sistemas de informacin

su equipo, mientras que Ikee.B convierte los dispositivos iPhone liberados en
dispositivos controlados por botnets. Los virus de dispositivos mviles imponen
serias amenazas a la computacin empresarial, debido a que ahora hay
muchos dispositivos inalmbricos vinculados a los sistemas de informacin
corporativos.
Las aplicaciones Web 2.0, como los sitios de blogs, wikis y redes sociales tales
como Facebook y MySpace, han emergido como nuevos conductos para
malware o spyware. Estas aplicaciones permiten al usuario publicar cdigos de
software como parte del contenido permisible, y dicho cdigo se puede iniciar
de manera automtica tan pronto como se ve una pgina web. El caso de
estudio de apertura del captulo describe otros canales para el malware dirigido
a Facebook. En septiembre de 2010, unos hackers explotaron una falla de
seguridad de Twitter para enviar a los usuarios a sitios pornogrficos japoneses
y generaron mensajes de manera automtica desde otra cuenta (Coopes,
2010).
Durante la dcada pasada, los gusanos y virus han provocado miles de
millones de dlares en daos a redes corporativas, sistemas de correo
electrnico y datos. De acuerdo con la encuesta State of the Net 2010 de
Consumer Reports, los consumidores estadunidenses perdieron $3.5 mil
millones debido al malware y a las estafas en lnea, y la mayora de estas
prdidas provinieron del malware (Consumer Reports, 2010).
Un caballo de Troya es un programa de software que aparece ser benigno,
pero entonces hace algo distinto de lo esperado, como el virus troyano Zeus
descrito en el caso de apertura del captulo. El caballo de Troya en s no es un
virus, ya que no se reproduce, pero es con frecuencia un medio para que los
virus u otros tipo de software maliciosos entren en un sistema computacional.
El trmino caballo de Troya se basa en el enorme caballo de madera utilizado
por los griegos para engaar a los troyanos y que abrieran las puertas de su
ciudad fortificadas durante la Guerra de Troya. Una vez dentro de las paredes
de la ciudad, los soldados griegos ocultos en el caballo salieron y tomaron la
ciudad.
Hasta este momento, los ataques por inyeccin de SQL son la mayor amenaza
de malware. Los ataques de inyeccin de SQL aprovechan las
vulnerabilidades en el software de aplicacin Web mal codificado para
introducir cdigo de programa malicioso en los sistemas y redes de una
compaa. Estas vulnerabilidades ocurren cuando una aplicacin Web no valida
o filtra de manera apropiada los datos introducidos por un usuario en una
pgina Web, que podra ocurrir al momento de pedir algo en lnea. Un atacante
utiliza este error de validacin de la entrada para enviar una consulta SQL falsa
a la base de datos subyacente y acceder a sta, plantar cdigo malicioso o
acceder a otros sistemas en la red. Las aplicaciones Web extensas tienen
UNMSM

Pgina 2

Seguridad en los sistemas de informacin

cientos de lugares para introducir datos de los usuarios cada uno de los cuales
crea una oportunidad para un ataque por inyeccin SQL.
Se cree que una gran cantidad de aplicaciones orientadas a Web tiene
vulnerabilidades de inyeccin de SQL, por lo que hay herramientas disponibles
para que los hackers verifiquen si determinadas aplicaciones Web tienen estas
vulnerabilidades. Dichas herramientas pueden localizar un campo de entrada
de datos en un formulario de una pgina Web, introducir datos en l y verificar
la respuesta para ver si muestra vulnerabilidad a una inyeccin SQL.
Algunos tipos de spyware tambin actan como software maliciosos. Estos
pequeos programas se instalan as mismos de manera furtiva en las
computadoras para monitorear la actividad de navegacin Web de los usuarios
y mostrarles anuncios. Se han documentado miles de formas de spyware.
A muchos usuarios spyware les parece molesto y algunos crticos se
preocupan en cuanto a que infringe la privacidad de los usuarios de
computadoras. Algunas formas de spyware son en especial nefastas. Los
keyloggers registran cada pulsacin de tecla en una computadora para robar
nmeros de serie de software, lanzar ataques por internet, obtener acceso a
cuentas de correo electrnico, conseguir contraseas para los sistemas
computacionales protegidos o descubrir informacin personal tal como los
nmeros de tarjetas de crdito. Otros programas de spyware restablecen las
pginas de inicio de los navegadores Web, redirigen las solicitudes de
bsqueda o reducen el rendimiento al ocupar demasiada memoria. El troyano
Zeus descrito en el caso de apertura del captulo utiliza un keylogger para
robar informacin financiera.
Ejemplos de cdigo malicioso

NOMBRE
Conficker
(alias
Downadup,
Downup)

TIPO
Gusano

Storm

Gusano/
caballo de
Troya

Sasser.ftp

Gusano

UNMSM

DESCRIPCION
Se detect por primera vez en noviembre de 2008. Utiliza las
fallas en el software Windows para tomar el control de las
mquinas y vinculadas a una computadora virtual que se
puede controlar de forma remota. Tiene ms de 5 millones de
computadoras bajo su control en todo el mundo. Es difcil de
erradicar.
Se identific por primera vez en enero de 2007. Se esparce a
travs del spam de correo electrnico con un adjunto falso.
Infect cerca de 10 millones de computadoras; provoco que se
unieran a su red de computadoras zombis involucradas en
actividades criminales.
Apareci por primera vez en mayo de 2004. Se esparci por
Internet al atacar direcciones IP aleatorias. Hace que las
Pgina 3

Seguridad en los sistemas de informacin

MyDoom.A

Gusano

Sobig.F

Gusano

ILOVEYOU

Virus

Melissa

Macrovirus
/ gusano

computadoras fallen y se reinicien de manera continua y que las

computadoras infectadas busquen ms vctimas. Afect a
millones de computadoras en todo el mundo; interrumpi los
registros de los vuelos de British Airways, las operaciones de las
estaciones guardacostas britnicas, los hospitales de Hong
Kong, las sucursales de correo de Taiwn y el Banco Westpac de
Australia. Se estima que Sasser y sus variantes provocaron
entre $14.8 y $18.6 mil millones en daos por todo el mundo.
Apareci por primera vez el 26 de julio de 2004. Se esparce
como un adjunto de correo electrnico. Enva correo electrnico
a las direcciones que se obtienen de las maquinas infectadas,
falsificando la direccin del emisor. En s momento cumbre este
gusano redujo el rendimiento global de internet en un 10 por
ciento, y los tiempos de carga de las pginas Web hasta en un
50 por ciento. Se program para dejar de esparcirse despus de
febrero 12 de 2004.
Se detect por primera vez el 19 de agosto de 2003. Se esparce
mediante adjuntos de correo electrnico y enva cantidades
masivas de correo con informacin falsificada del emisor. Se
desactiv por s solo el 10 de septiembre de 2003, despus de
infectar a ms de 1 milln de equipos PC y de provocar entre $5
y $10 mil millones en daos.
Se detect por primera vez el 3 de mayo de 2000. Es un virus
de secuencia de comandos escrito en Visual Basic y se
transmiti como adjunto en el correo electrnico con la lnea
ILOVEYOU en el asunto. Sobreescribe msica, imgenes y otros
archivos con una copia de s mismo; se estima que provoc
entre $10 y $15 mil millones en daos.
Apareci por primera vez en marzo de 1999. Es una secuencia
de macro de Word que enva por correo un archivo infectado de
Word a las primeras 50 entradas en la libreta de direcciones de
Microsoft Outlook. Infect entre un 15 y 29 por ciento de todas
las PC de negocios, provocando entre $300 y $600 millones en
daos.

Hacker
Hacker es aquella persona experta en alguna rama de la tecnologa, a menudo
informtica, que se dedica a intervenir y/o realizar alteraciones tcnicas con
buenas o malas intenciones sobre un producto o dispositivo.

UNMSM

Pgina 4

Seguridad en los sistemas de informacin

El trmino es reconocido mayormente por su influencia sobre la informtica y
la Web, pero un hacker puede existir en relacin con diversos contextos de la
tecnologa, como los telfonos celulares o los artefactos de reproduccin
audiovisual. En cualquier caso, un hacker es un experto y un apasionado de
determinada rea temtica tcnica y su propsito es aprovechar esos
conocimientos con fines benignos o malignos.

1. Qu es el anlisis forense?
El anlisis forense en un sistema informtico es una ciencia moderna que
permite reconstruir lo que ha sucedido en un sistema tras un incidente de
seguridad. Este anlisis puede determinar quin, desde dnde, cmo, cundo y
qu acciones ha llevado a cabo un intruso en los sistemas afectados por un
incidente de seguridad.

Incidentes de seguridad
Un incidente de seguridad es cualquier accin fuera de la ley o no autorizada:
ataques de denegacin de servicio, extorsin, posesin de pornografa infantil,
envo de correos electrnicos ofensivos, fuga de informacin confidencial
dentro de la organizacin..., en el cual est involucrado algn sistema
telemtico de nuestra organizacin.
Las fuentes de informacin que se utilizan para realizar un anlisis forense son
diversas:
Correos electrnicos.
IDS / IPS.
Archivo de logs de los cortafuegos.
Archivo de logs de los sistemas.
Entrevistas con los responsables de seguridad y de los sistemas. Etc.

1.1. Metodologa en un incidente de seguridad

Los incidentes de seguridad normalmente son muy complejos y su
resolucin presenta muchos problemas. A continuacin se muestran las
siguientes fases en la prevencin, gestin y deteccin de incidentes:
a) Preparacin y prevencin. En esta fase se toman acciones para
preparar la organizacin antes de que ocurra un incidente. Por tanto,
UNMSM

Pgina 5

Seguridad en los sistemas de informacin

se deber empezar por tratar de analizar qu debe ser protegido y
qu medidas tcnicas y organizativas tienen que implementarse. Una
vez hechos los diversos anlisis se podr considerar que la
organizacin ya tiene identificadas las situaciones que pueden
provocar un incidente de seguridad y ha seleccionado los controles
necesarios para reducirlas. Pero aun hecho dicho anlisis, siempre
hay situaciones que no van a poder ser protegidas, por lo que se
tendr que elaborar un plan de continuidad de negocio. Dicho plan
est formado por un conjunto de planes de contingencia para cada
una de las situaciones que no estn controladas.
b) Deteccin del incidente. La deteccin de un incidente de seguridad
es una de las fases ms importante en la securizacin de los
sistemas. Hay que tener en cuenta que la seguridad absoluta es muy
difcil y es esta fase la que nos sirve para clasificar y priorizar los
incidentes acaecidos en nuestra organizacin. La clasificacin es la
siguiente:
o

Accesos no autorizados: un usuario no autorizado accede al

sistema.
Cdigo malicioso: ha habido una infeccin de programas
maliciosos (virus, gusano spyware, troyano, etc.) en un
sistema.
Programas maliciosos
Virus: es un archivo ejecutable que desempea acciones
(daar archivos, reproducirse, etc.) en un ordenador sin

nuestro consentimiento.
Gusano: es un cdigo malicioso que se reproduce y

extiende a un gran nmero de ordenadores.

Spyware: es un programa que recopila informacin de
un ordenador y la enva a terceras personas sin el

consentimiento del propietario.

Troyano: tambin conocido como caballo de Troya, es un
programa que obtiene las contraseas hacindose pasar

por otro programa.

Denegacin de servicio: incidente que deja sin dar servicio
(dns, web, correo electrnico, etc.) a un sistema.

UNMSM

Pgina 6

Seguridad en los sistemas de informacin

o

Phishing: consiste en suplantar la identidad de una persona o

empresa para estafar. Dicha estafa se realiza mediante el uso
de ingeniera social consiguiendo que un usuario revele
informacin

confidencial

(contraseas,

cuentas

bancarias,

etc.). El atacante suplanta la imagen de una empresa u

organizacin y captura ilcitamente la informacin personal que
o

los usuarios introducen en el sistema.

Recogida de informacin: un atacante obtiene informacin
para

poder

realizar

otro

tipo

de

ataque

(accesos

no

autorizados, robo, etc.).

Otros: engloba los incidentes de seguridad que no tienen
cabida en las categoras anteriores. La deteccin de un
incidente de seguridad se realiza a travs de diversas fuentes.

o
o

A continuacin se enumeran algunas de ellas:

Alarma de los antivirus.
Alarmas de los sistemas de deteccin de intrusin y/o

prevencin (IDS y/o IPS).

Alarmas de sistemas de monitorizacin de los sistemas

(zabbix, nagios, etc.).

Avisos de los propios usuarios al detectar que no funcionan

o
o

correctamente los sistemas informticos.

Avisos de otras organizaciones que han detectado el incidente.
Anlisis de los registros de los sistemas.

c) Respuesta inicial. En esta fase se trata de obtener la mxima

informacin posible para determinar qu tipo de incidente de
seguridad ha ocurrido y as poder analizar el impacto que ha tenido
en la organizacin. La informacin obtenida en esta fase ser
utilizada en la siguiente para poder formular la estrategia a utilizar.
Dicha
o
o
o

informacin ser fruto como mnimo de:

Entrevistas con los administradores de los sistemas.
Revisin de la topologa de la red y de los sistemas.
Entrevistas con el personal de la empresa que hayan tenido
algo

UNMSM

que

ver

con

el

incidente

con

el

contextualizarlo.
Revisar los logs de la deteccin de la intrusin.

Pgina 7

objetivo

de

Seguridad en los sistemas de informacin

d) Formulacin de una estrategia de respuesta ante el incidente.
Una vez recabada la informacin de la fase anterior, hay que
analizarla para despus tomar una decisin sobre cmo actuar. Las
estrategias a utilizar dependern de varios factores: criticidad de los
sistemas afectados, si el incidente ha salido a la luz pblica, la
habilidad del atacante, cmo de sensible es la informacin a la que
se ha tenido acceso, si el sistema de informacin est cado y la
repercusin que esto tiene, etc.

TECNOLOGIAS Y HERRAMIENTAS PARA PROTEGER

LOS RECURSOSDE INFORMACION
Las empresas cuentan con una variedad de tecnologas para proteger
sus recursos de informacin, tales como herramientas para administrar
las identidades de los usuarios.

ADMINISTRACION DE LA IDENTIDAD Y
AUTENTIFICACION
Las compaas grandes y de tamao mediano tiene infraestructuras de
TI complejas y muchos sistemas distintos cada uno con su propio
conjunto de usuarios el software de administracin de identidad
automatiza el proceso de llevar el registro de todos esos usuarios y sus
privilegios de sistemas.
Un usuario final utiliza una contrasea para iniciar sesin en un sistema
computacional y tambin puede usar contraseas para acceder
sistemas y archivos especficos.

UNMSM

Pgina 8

Seguridad en los sistemas de informacin

Las nuevas tecnologas de autentificacin, como los token, las tarjetas
inteligentes y autentificacin biomtrica solucionan algunos de estos
problemas.

LOS FIREWALLS, SISTEMAS DE DETECCION DE

INTRUSOS Y SOFWARE ANTIVIRUS
Sin proteccin contra el malware y los intrusos sera muy peligroso
conectarse a internen.

FIREWALLS
Evitan que los usuarios sin autorizacin accedan a redes privadas, es
una combinacin de Harward software que controla el flujo de trfico de
rede entrante y saliente.
Acta como un portero que examina las credenciales de cada usuario
antes de otorgar el acceso a una red, identifica nombres, direcciones IP y
otras caractersticas del trafico entrante.
El filtrado de paquetes examina ciertos campo en los encabezados de los
paquetes de datos que van y vienen entre la red de confianza e internet,
se examinan paquetes individuales aislados.
Esta tecnologa de filtrado puede pasar por alto muchos ataques .la
inspeccin con estado provee una seguridad adicional al determinar si
los paquetes forman parte de un dialogo continu entre un emisor y un
receptor.

SISTEMAS DE DETECCION DE INTRUSOS

Adems de los firewalls, en la actualidad los distribuidores de seguridad
comercial proveen herramientas de deteccin de intrusos y servicios
para proteger contra el trfico de red sospechosos y los intentos de
acceder a los archivos y las bases de datos.

UNMSM

Pgina 9

Seguridad en los sistemas de informacin

Los sistemas de deteccin de intrusos contienen herramientas de
monitoreo de tiempo completo que se colocan

en los puntos ms

vulnerables o puntos activos delas redes corporativas, para detectar y

evadir a los intrusos de manera continua el sistema genera una alarma
si encuentra un evento sospechoso o anormal.

SOFTWARE ANTIVIRUS Y ANTISPYWARE

Los planes de tecnologa defensivos tanto para individuos tanto para
empresas como para individuos deben contar con proteccin antivirus
para cada computadora. El software antivirus est diseado para revisar
los sistemas computacionales.

SEGURIDAD EN LAS REDES INHALAMBRICAS

A pesar de sus fallas, WP ofrece cierto margen de seguridad si los
usuarios de WIFI recuerdan activarlo ,un primer paso sencillo para
frustrar la intencin de los hackers es asignar un nombre nico al SSID
de su rede instruir a su enrutador para que no lo transmita. Las
corporaciones pueden mejorar an ms la seguridad WIFI si utilizan WEP
junto con la tecnologa de redes privadas virtuales para acceder a los
datos corporativos internos.

UNMSM

Pgina 10

Seguridad en los sistemas de informacin

UNMSM

Pgina 11