Conceptos elementales de seguridad de la informacin: Robo de

informacin
Tanca Veramendi, Junior
Uztegui Gamarra, Kevin
Universidad San Ignacio de Loyola, Facultad de Ingeniera

Abstract un impacto negativo con

El presente trabajo tiene como objetivo
demostrar las principales
caractersticas, metodologa
herramientas usadas al darse un ataque
de robo de informacin; el cual por
estadstica muestra cmo ha crecido la
ola de delitos informticos. Siendo as,
se explica el reto que tienen las empresas
para establecer los controles adecuados y
adquirir soluciones tecnolgicas con el fin
de reducir el riesgo de robo de
informacin.
Palabras Clave
Informacin, seguridad, robo de
informacin, ataque informtico,
malware, riesgo.
Introduccin
La informacin es un conjunto de
datos procesados que emiten un
significado (relevancia, propsito y
contexto) y sirve para tomar
decisiones; siendo considerada en la
organizacin como el activo ms
importante [1]. En los ltimos aos el
crecimiento de las TI y la Internet
han trado consigo amenazas, riesgos
y vulnerabilidades, por lo cual la
seguridad de la informacin se ha
convertido en un tema crucial [2]. El
robo de informacin es una de las
amenazas externas a la que nos
enfrentamos, en algunos se da
mediante tcnicas de ingeniera
social o a travs de herramientas de
software [3]; por tanto, riesgos
provenientes de dispositivos
mviles, redes sociales, sistemas de
informacin en cloud pueden causar
repercusiones financieras, legales y
y
de reputacin [2] al no establecer un
correcto mecanismo de seguridad.
Elementos del Trabajo y
metodologa
Actualmente el robo de informacin
es dado mayormente a travs medios
informticos como software creado
especficamente para vulnerar el
sistema silenciosamente. Se detalla a
continuacin elementos
caractersticos al cometer este ataque
informtico:
A. Robo de informacin a travs de
la Ingeniera social
Se manipula a la vctima con fin de
conseguir datos sin que perciba que
expone informacin sensible [4].
Previamente se hace un
reconocimiento obteniendo la mayor
informacin posible y se crea el
escenario para engaarla [5].
Logra ser efectiva al no existir
prestacin en la interaccin de
mquina-persona, y porque la
persona es el eslabn ms dbil en la
cadena de seguridad [6].
Un tipo de ingeniera social es el
phishing y el spear- phishing, que se
basan en conseguir datos personales
o sensibles hacindose pasar como
empresa o persona de confianza [6].

B. Robo de informacin a travs de
herramientas tecnolgicas
Ataques dirigidos a la red:
Man in the middle crea la
posibilidad de leer, inyectar y
modificar informacin entre los host
de origen y destino (el atacante se
coloca entre los dos host para alterar
el trfico que pase) [7].
Ataques dirigidos a aplicaciones:
SQL injection aprovecha alguna
vulnerabilidad en el nivel de
validacin de las entradas a consultas
para infiltrar cdigo que permita
modificar o extraer consultas que den
acceso a informacin como registros,
objetos de la BD. Por ejemplo en el
ao 2001 (conferencia de BlackHat)
ya se haba expuesto cmo extraer
informacin de la BD de una
aplicacin web a partir de mensajes
de error ODBC no controlados por el
programador [8].
Fuerza bruta, forma de probar
todas las combinaciones posibles de
la clave utilizando un diccionario de
datos, hasta encontrar aquella que
calce y me permita el acceso [9].
Cross site scripting, man in the
browser, pharming tambin son otras
herramientas para robar informacin.
Con respecto a malware tenemos a:
Backdoor, intercepta cualquier
informacin y la enva al atacante.
Cuando se instal en la PC de la
vctima, ste se ejecuta en segundo
plano dejando un puerto abierto de
comunicacin [7, 10].
Keystroke Logging, software de
vigilancia que registra un log
capturando los caracteres tipeados.
Otros malware son el spyware,
troyano y botnets.
C. Metodologa del ataque
informtico
Es necesario seguir una metodologa
que permita alcanzar el objetivo, el
atacante aprovecha las
vulnerabilidades disponibles (fallas
del sistema operativo, de la
arquitectura de red o de las
aplicaciones) para realizar su
cometido y al final evitando ser
reconocido procede a eliminar las
huellas.
Para realizar el cometido, el atacante
sigue una serie de pasos [12]:
1. Recopila informacin a fin de
definir la estrategia del ataque:
a. Rangos de IP, protocolos de
red, servicios activos (websites
consultadas son Lacnic, Arin,
NETCRAFT)
b. Actividades realizadas por el
usuario (Se hace uso tambin de
la ingeniera social)
2. Escanea la red para detectar qu
recurso est disponible.
a. Herramientas usadas son
LanHelper, NMap.
3. Enumerar con el fin de conocer
al o los usuarios existentes
a. Identifica los nombres de
dominio de la vctima.
4. Penetrar: Irrumpir por la fuerza
con fin de conseguir la
credencial de la vctima.
5. Saquear: Robar informacin,
modificar los datos, eliminar
log, etc.
D. Caso conocidos de empresas
Pearson Vue, compaa
encargada en formar y emitir
 certificados profesionales,
declar el 23 de noviembre del
2015 haber sido vctima de robo
de informacin de un grupo de
usuarios a travs de un malware,
que infect el sistema Credential
Manager encargado de
administrar certificados y datos fue finalmente puesto
licencias profesionales a sus
clientes [13].
Bitdefender, compaa rumana
especialista en seguridad
informtica sufri el robo de
usuarios y contraseas de 250
cuentas, los cuales estaban sin
cifrar y fueron extrados de un
servidor a travs de SQL
injection [14]. La empresa
indic que la informacin
robada representa 1% de su
informacin de sus clientes.
Mossos d'Esquadra, polica
autonmica de Catalua, el 17
de Mayo del 2016 sufri la ex
filtracin de datos de 5540
agentes (nombres, direcciones,
pblico. Despus de informar de
la situacin al Departamento de
Estado de Estados Unidos, el
DHS, la Embajada de Mxico en
Washington, el Instituto
Nacional Electoral (INE) de
Mxico, y Amazon, la base de
fuera de lnea 22 de abril de
2016. Esta brecha se debi a una
mala configuracin de la base de
datos MongoDB por parte del
Instituto Nacional Electoral de
Mxico [16].
Resultados
A. Estadsticas
Encuesta realizada a 467
administradores de seguridad
informtica, en noviembre y
diciembre del 2015: [17]
Cuadro 1. Tipos y frecuencia de ataques
recibidos

Prdida de
intelectual
propiedad
identidad
Phishing

Hacking
Robo de

cuentas bancarias, telfonos)

que estaban en la base de datos
del sindicato. El ataque fue un
SQL injection en el campus
virtual, los cuales fueron Diariamente 30% 4% 11% 1%
publicados en el mismo twitter Semanalmente 17% 5% 7% 2%
de la agencia [15].
En abril del 2016 el experto en Mensual 15% 6% 9% 4%
seguridad Chris Vickery dej al Trimestral 19% 21% 25% 20%
descubierto una brecha de
seguridad que afectaba a ms del N/A 20% 65% 47% 72%
70% de la poblacin de Mxico,
exponiendo los datos de ms de Fuente: ISACA (State of Cybersecurity:
93 millones de personas. La base Implications for 2016)
de datos de los votantes se
encontraba en la nube de
Cuadro 2. Tipos de ataques exitosos
servidores de Amazon (136 GB
de informacin), la cual estaba
configurada como acceso
 Ataques exitosos Las empresas deben crear una
en las empresas estrategia enfocada que proteja la
informacin ms importante y que
Phishing 60% responda rpidamente cuando ocurra
una violacin.
Malware 52%
La XIII Encuesta Global de
Intento de Hacking 36% Seguridad de la informacin y
Ingeniera social 41% comparativo en Mxico [19] realiza
por Ernst & Young dio como
Robo de informacin 72% resultado que los controles ms
usados para mitigar riesgos son:
SQL injection 15%
Ajustes de polticas
No sabe 11% Incremento en las actividades
de concientizacin de la
Fuente: ISACA (State of Cybersecurity: seguridad
Implications for 2016)
Tcnicas de encriptacin
Controles ms slidos de
administracin de identidad y
B. Mitigacin
accesos
Resulta fundamental para las Ms habilidades de auditora
empresas, tener un inventario de Cambios en la arquitectura
activos de informacin, el cual debe Ajuste en el proceso de manejo
estar valorizado en base a la de incidentes
confidencialidad, integridad y Procesos ms slidos de
disponibilidad, con el fin de poder administracin de contratos
mapear todos los riesgos Mayor due diligence
relacionados a dichos activos. de proveedores de servicios
Las buenas prcticas de seguridad de
la informacin [18] establecen que C. Soluciones tecnolgicas a
para poder mitigar el impacto de un tomar en cuenta
ataque se debe realizar un Anlisis y
Evaluacin de riesgo para cada Implementacin de un firewall
activo, el cual debe tener Programa que se coloca entre una red
especificado los criterios para confiable y otra no para establecer
reglas de filtrado al acceso de
aceptar el riesgo, posteriormente
recursos, complementado as la
realizar un Plan de Tratamiento de
accin del antivirus con la creacin
riesgos, en el cual se definen los
de una capa de seguridad que proteja
controles y acciones necesarias para
la informacin entrante y saliente del
reducir el impacto y la probablidad. entorno. [20]
Con los controles establecidos se
Implementacin de un
definen las acciones necesarias para
antimalware El antimalware
que las probabilidades y el impacto permite el bloqueo de codigo
se reduzcan. malicioso aplicando tcnicas
autodefensivas (firmas digitales) y
proactivas (heurstica) que permitan
bloquear distinto tipo de cdigo con
comportamientos desconocidos. [21]
Copias de Seguridad Garantiza la
recuperacin de datos y continuidad
del negocio, para gestionarlo se
deben definir e implantar procesos
(incluyendo pruebas de restauracin
peridicas) que garanticen su
correcta realizacin. [22]
Otras soluciones a tomar en cuenta es
la implementacin de cifrado en los
archivos, IPS, VPN, sta ltima
debe tener una fuerte autenticacin
que permita una conexin segura de
acceso remoto hacia la red interna
por medio de un tnel de datos. [23]
Discusin
En la actualidad nos hemos vueltos
dependiente de la tecnologa y de
Internet, por lo cual tambin se han
mejorado las soluciones de seguridad
que ayudan notablemente las
experiencias del usuario, pero no
existe una aplicacin que nos ayude
en 100% frente a los riesgos que nos
exponemos.
En el Per existen dos organismos
que asumen la responsabilidad de
seguridad y delitos informticos:
PeCert y DIVINDAT. Ambos
sealaron la existencia de diversos
impedimentos a fin de mejorar la
posicin del pas en seguridad
ciberntica, informando que en el
2013 se registraron varios delitos con
respecto robo de identidad, intrusin,
acceso no autorizado a BD. [24]
Pese a existir soluciones informticas
con objetivo de reducir el riesgo de
fuga de informacin, no existe
herramienta que pueda gestionar el
sentido comn. Por lo cual si un
usuario no maneja buenas prcticas
de seguridad, da cabida a que el
atacante se aproveche, por ejemplo
que al usar aplicaciones de e-mail
suela tener la funcin de
autocompletar direccin destino, en
la que en descuido se pueda mandar
informacin relevante a un
destinatario inadecuado [25].
Conclusin
Las empresas deben:
Contar con una estrategia de
seguridad de la informacin
basada en riesgos, alineada a las
necesidades del negocio,
haciendo nfasis sobre un mejor
gobierno de la seguridad de la
informacin.
Vincular la estrategia del
negocio con la estrategia de
seguridad de la informacin.
Realizar anlisis constantes
sobre las tecnologas y riesgos
de las nuevas tecnologas.
Lograr el cumplimiento de
mantener la integridad,
confidencialidad y
disponibilidad de la
informacin.
Las personas deben:
Entender qu constituye la
informacin crtica de la
organizacin, en qu activos se
encuentra, quien es el
propietario y custodio.
Comprometerse con su empresa
en proteger su informacin y la
de los clientes, entendiendo su
importancia dentro de la
seguridad de la informacin.
 Informar oportunamente
actividad sospechosa que
puedan detectar.
Finalmente, la eficacia de la
seguridad de la informacin no
requiere soluciones tecnolgicas
complejas. Requiere liderazgo y
compromiso, as como la capacidad
y la disposicin para actuar.
Referencias
1. Sinergia e Inteligencia de Negocio S.L.
(2016). Datos, informacin,
conocimiento. [online]
http://www.sinnexus.com/business_int
elligence/piramide_negocio.aspx
2. Sussy, B., Wilber, C., Milagros, L., &
Carlos, M. (2015). Implementacin de
la NTP ISO/IEC 27001 en las
Instituciones Pblicas: Caso de
Estudio. CISTI (Iberian Conference
On Information Systems & [online] Available at:
Technologies / Conferncia Ibrica De
Sistemas E Tecnologias De
Informao) Proceedings, 1410-415.
3. Ciberseguridad, I. (2016). INCIBE -
Protege tu empresa, Qu te interesa?,
Buenas prcticas en el rea de
informtica. [online] Incibe.es.
Available at:
https://www.incibe.es/empresas/que_t
e_interesa/Buenas_practicas_en_infor
matica/
4. Arcos Sebastin, S. (2011). Ingeniera
social: psicologa aplicada a la
seguridad informtica.
5. Linuxyotrascosas.wordpress.com.
(2016). obtener informacion | Linux y
otras Cosas.
[online] https://linuxyotrascosas.word
press.com/tag/obtener-informacion/
6. Garca Juarez, P. (2016). Ingeniera
Social
7. Garca Juarez, P. (2016). Ataques
Informticos
8. Alonso Cebrin, J., Guzmn Sacristn,
A., Laguna Durn, P. and Martn
Bailn, A. (2016). Ataques a BB. DD.,
SQL Injection. Barcelona, Espaa:
universitat oberta de catalunya, pp. 5,
11.
9. Identificacin de ataques y tcnicas de
intrusin. (2016). [online] Mxico:
UNAM, pp.41-45. Available at:
http://www.ptolomeo.unam.mx:8080/
xmlui/bitstream/handle/132.248.52.10
0/203/A5.pdf
10. Borghello, C. and Mieres, J. (2016).
Robo de Informacin personal online.
1st ed. [ebook] West Ash Street: ESET,
pp.2-4. Available at: http://www.eset-
la.com/pdf/prensa/informe/robo_infor
macion_online.pdf
11. Olzak, T. (2008). Keystroke logging
(keylogging). Adventures in Security,
April.
12. Garca Juarez, P. (2016). Metodologas
de ataques Informticos.
13. Public Statement Regarding Pearson
Credential Manager System (2015)
[online] Available at:
http://home.pearsonvue.com/About-
Pearson-VUE/Press-
Room/2015/Public-Statement-
Regarding-Pearson-Credential-
Mana.aspx
14. Anti-Virus Firm BitDefender Admits
Breach, Hacker Claims Stolen
Passwords Are Unencrypted (2015)
http://www.forbes.com/sites/thomasbr
ewster/2015/07/31/bitdefender-
hacked/
15. Robo de 5000 euros a un Mosso
despus de la filtracin de sus datos.
(2016)[online] Available at:
http://www.lavanguardia.com/local/ba
rcelona/20160520/401912145932/rob
o-mossos-5-000-euros-filtracion.html
16. Hackean los datos de 93 millones de
votantes mexicanos. (2016) [online]
Available at:
http://www.eldiario.es/cultura/tecnolo
gia/privacidad/hackeo-Mexico-
millones-votantes_0_509199303.html
17. State of Cybercecurity implications for
2016 [online] Available at:
18. International Organization for
Standardization.. ISO/IEC 27001
Information Technology Security
techniques Information Security
Management Systems Requirements
19. Resultados de la Encuesta Global de
Seguridad de la informacin (2011)
[online] Available at:
http://www.ey.com/Publication/vwLU
Assets/Presentacion_ejecutivo_del_ev
ento_Seguridad_al_dia/$FILE/Present
acion_resultados_13EGSI.pdf
20. Mieres, J. (2016). Herramientas para
evitar ataques informticos. 1st ed.
[ebook] West Ash Street: Eset, pp.2,
5-7. Available at:
http://www.welivesecurity.com/wp-
content/uploads/2014/01/herramientas
_evitar_ataques_informaticos.pdf
21. Ciberseguridad, I. (2016). INCIBE -
Protege tu empresa, Qu te
interesa?, Buenas prcticas en el rea
de informtica. [online] Incibe.es.
Available at:
https://www.incibe.es/empresas/que_t
e_interesa/Buenas_practicas_en_infor
matica/].
22. Retegui Delgado, J. (2015).
Seguridad Perimetral, VPN
23. Organizacin de los Estados
Americanos, (2016). TENDENCIAS
DE SEGURIDAD CIBERNTICA EN
AMRICA LATINA Y EL CARIBE.
Andrew Barris, Paul Wood, pp.76-77.
24. Ciberseguridad, I. (2016). INCIBE -
Protege tu empresa, Qu te
interesa?, Proteccin del puesto de
trabajo. [online] Incibe.es.
https://www.incibe.es/empresas/que_t
e_interesa/Proteccion_puesto_trabajo

Datos de Contacto:

Junior Tanca Veramendi. Universidad San

Ignacio de Loyola. Lima-Callao.
junior.tancaveramendi@gmail.com

Kevin Uztegui Gamarra. Universidad San

Ignacio de Loyola. Lima-Lima.
kevinuzategui@gmail.com