Materia:
Asesor
Apuntes:
Unidad I
1.1 Introducción
1.1.1 aplicaciones Web
1.1.2 ¿Cuánta seguridad es necesaria?
1.1.3 Amenazas más importantes a las
aplicaciones Web.
1.1.4 Guías de seguridad
1.2 Seguridad en el cliente
1.2.1 Código Móvil
1.2.2 Lenguajes de Macros: VBA
1.2.3 Lenguajes de Script y VBScript
1.2.4 Applets Java
1.2.5 Controles ActiveX
1.3 Seguridad en el servidor
1.3.1 servidor web
1.3.2 Servidor de Bases de Datos
1.3.3 Lenguajes de servidor
1.4Seguridad en la aplicación
1.4.1 control de Acceso
1.4.2 Validación de datos de entrada
1.4.3 Programación segura
1.5 Seguridad en la comunicación
1.5.1Protocolos de comunicación segura SSL.
1.1.- Introducción
transmitieron datos desde la Universidad de Darmouth, en Nuevo Hampshire, a Nueva York. A finales
1976, Apple introduce el Apple I, uno de los primeros ordenadores personales. En 1981, IBM introduce
su primer PC. A mitad de la década de 1980 los PC comienzan a usar los módem para compartir
archivos con otros ordenadores, en un rango de velocidades que comenzó en 1200 bps y llegó a los 56
kbps (comunicación punto a punto o dial-up), cuando empezaron a ser sustituidos por sistema de mayor
Descripción básica
La comunicación por medio de una red se lleva a cabo en dos diferentes categorías: la capa física y
la capa lógica.
La capa física incluye todos los elementos de los que hace uso un equipo para comunicarse con otros
equipos dentro de la red, como, por ejemplo, las tarjetas de red, los cables, las antenas, etc.
La comunicación a través de la capa lógica se rige por normas muy rudimentarias que por sí mismas
resultan de escasa utilidad. Sin embargo, haciendo uso de dichas normas es posible construir los
denominados protocolos, que son normas de comunicación más complejas (mejor conocidas como
Los protocolos son un concepto muy similar al de los idiomas de las personas. Si dos personas hablan
La razón más importante (quizá la única) sobre por qué existe diferenciación entre la capa física y la
lógica es sencilla: cuando existe una división entre ambas, es posible utilizar un número casi infinito de
Para poder formar una red se requieren elementos: hardware, software y protocolos. Los elementos
físicos se clasifican en dos grandes grupos: dispositivos de usuario final (hosts) y dispositivos de red.
Los dispositivos de usuario final incluyen los computadores, impresoras, escáneres, y demás elementos
que brindan servicios directamente al usuario y los segundos son todos aquellos que conectan entre sí a
El fin de una red es la de interconectar los componentes hardware de una red , y por tanto,
principalmente, los ordenadores individuales, también denominados hosts, a los equipos que ponen los
servicios en la red, los servidores, utilizando el cableado o tecnología inalámbrica soportada por la
electrónica de red y unidos por cableado o radiofrecuencia. En todos los casos la tarjeta de red se
impresora, etc. y sea de la tecnología que sea (ethernet, Wi-Fi, Bluetooth, etc.)
Software
Sistema operativo de red: Permite la interconexión de ordenadores para acceder a los servicios y
recursos. Al igual que un equipo no puede trabajar sin un sistema operativo, una red de equipos no
puede funcionar sin un sistema operativo de red. En muchos casos el sistema operativo de red es
Software de aplicación: En última instancia, todos los elementos se utilizan para que el usuario de
cada estación, pueda utilizar sus programas y archivos específicos. Este software puede ser tan
amplio como se necesite ya que puede incluir procesadores de texto, paquetes integrados,
electrónicos, etc. El software adecuado en el sistema operativo de red elegido y con los protocolos
Para lograr el enlace entre los ordenadores y los medios de transmisión (cables de red o medios físicos
intervención de una tarjeta de red (NIC, Network Card Interface), con la cual se puedan enviar y recibir
paquetes de datos desde y hacia otras ordenadores, empleando un protocolo para su comunicación y
convirtiendo a esos datos a un formato que pueda ser transmitido por el medio (bits, ceros y unos).
Cabe señalar que a cada tarjeta de red le es asignado un identificador único por su fabricante, conocido
como dirección MAC (Media Access Control), que consta de 48 bits (6 bytes). Dicho identificador
El trabajo del adaptador de red es el de convertir las señales eléctricas que viajan por el cable (p.e.:
red Ethernet) o las ondas de radio (p.e.: red Wi-Fi) en una señal que pueda interpretar el ordenador.
Estos adaptadores son unas tarjetas PCI que se conectan en las ranuras de expansión del ordenador.
En el caso de ordenadores portátiles, estas tarjetas vienen en formato PCMCIA o similares. En los
ordenadores del siglo XXI, tanto de sobremesa como portátiles, estas tarjetas ya vienen integradas en
la placa base.
Adaptador de red es el nombre genérico que reciben los dispositivos encargados de realizar dicha
conversión. Esto significa que estos adaptadores pueden ser tanto Ethernet, como wireless, así como de
otros tipos como fibra óptica, coaxial, etc. También las velocidades disponibles varían según el tipo de
adaptador; estas pueden ser, en Ethernet, de 10, 100, 1000 Mbps o 10000, y en los inalámbricos,
Ordenadores personales: son los puestos de trabajo habituales de las redes. Dentro de la
que se utilizan para distintas funciones, según el trabajo que realizan. Se incluyen desde las
potentes estaciones de trabajo para la edición de vídeo, por ejemplo, hasta los ligeros equipos
portátiles, conocidos como netbooks, cuya función principal es la de navegar por Internet.
Las tabletas se popularizaron al final de la primera década del siglo XXI, especialmente por el éxito
Terminal: muchas redes utilizan este tipo de equipo en lugar de puestos de trabajo para la entrada
de datos. En estos solo se exhiben datos o se introducen. Este tipo de terminales, trabajan unido a
un servidor, que es quien realmente procesa los datos y envía pantallas de datos a los terminales.
Electrónica del hogar: las tarjetas de red empezaron a integrarse, de forma habitual, desde la
primera década del siglo XXI, en muchos elementos habituales de los hogares: televisores, equipos
electrodomésticos, como frigoríficos, convirtiéndolos en partes de las redes junto a los tradicionales
ordenadores.
Impresoras: muchos de estos dispositivos son capaces de actuar como parte de una red de
ordenadores sin ningún otro elemento, tal como un print server, actuando como intermediario entre
la impresora y el dispositivo que está solicitando un trabajo de impresión de ser terminado. Los
medios de conectividad de estos dispositivos pueden ser alámbricos o inalámbricos, dentro de este
último puede ser mediante: ethernet, Wi-Fi, infrarrojo o bluetooth. En algunos casos se integran
Servidores
Son los equipos que ponen a disposición de los clientes los distintos servicios. En la siguiente lista hay
Servidor de archivos: almacena varios tipos de archivo y los distribuye a otros clientes en la red.
Pueden ser servidos en distinto formato según el servicio que presten y el medio: FTP, HTTP, etc.
Servidor de impresión: controla una o más impresoras y acepta trabajos de impresión de otros
clientes de la red, poniendo en cola los trabajos de impresión (aunque también puede cambiar la
prioridad de las diferentes impresiones), y realizando la mayoría o todas las otras funciones que en
un sitio de trabajo se realizaría para lograr una tarea de impresión si la impresora fuera conectada
Servidor de correo: almacena, envía, recibe, enruta y realiza otras operaciones relacionadas con
Servidor de fax: almacena, envía, recibe, enruta y realiza otras funciones necesarias para la
transmisión, la recepción y la distribución apropiadas de los fax, con origen y/o destino una
almacenando los mensajes de voz, encaminando las llamadas y controlando también la red o
Servidor proxy: realiza un cierto tipo de funciones en nombre de otros clientes en la red para
otros datos que se soliciten muy frecuentemente). También «sirve» seguridad; esto es, tiene
Servidor de acceso remoto (Remote Access Service, RAS): controla las líneas de módems u
otros canales de comunicación de la red para que las peticiones conecten una posición remota con
la red, responden las llamadas telefónicas entrantes o reconocen la petición de la red y realizan los
chequeos necesarios de seguridad y otros procedimientos necesarios para registrar a un usuario en
la red. Gestionan las entradas para establecer la redes virtuales privadas (VPN).
Servidor web: almacena documentos HTML, imágenes, archivos de texto, escrituras, y demás
material web compuesto por datos (conocidos normalmente como contenido), y distribuye este
usuario esperar a la descarga completa del fichero. De esta forma se pueden distribuir contenidos
Servidor de reserva (standby server): tiene el software de reserva de la red instalado y tiene
almacenamiento disponibles para que se utilice con el fin de asegurarse de que la pérdida de un
servidor principal no afecte a la red. El servidor de reserva lo puede ser de cualquiera de los otros
tipos de servidor, siendo muy habituales en los servidores de aplicaciones y bases de datos.
en cualquier punto de acceso, ya sea inalámbrico o por cable, basándose en el estándar 802.1x y
Servidores para los servicios de red: estos equipos gestionan aquellos servicios necesarios
propios de la red y sin los cuales no se podrían interconectar, al menos de forma sencilla. Algunos
de esos servicios son: servicio de directorio para la gestión de los usuarios y los recursos
compartidos, Dynamic Host Configuration Protocol (DHCP) para la asignación de las direcciones IP
en redes TCP/IP, Domain Name System(DNS) para poder nombrar los equipos sin tener que
Servidor de base de datos: permite almacenar la información que utilizan las aplicaciones de todo
tipo, guardándola ordenada y clasificada y que puede ser recuperada en cualquier momento y sobre
la base de una consulta concreta. Estos servidores suelen utilizar lenguajes estandarízados para
hacer más fácil y reutilizable la programación de aplicaciones, uno de los más populares es SQL.
aplicaciones.
centralizar la recepción de mensajes de aviso, alarma e información que emiten los distintos
elementos de red (no solo los propios servidores). El SNMP es un de los protocolos más difundidos
Y otros muchos dedicados a múltiples tareas, desde muy generales a aquellos de una especificidad
enorme.
Antecedentes
En los primeros tiempos de la computación cliente-servidor, cada aplicación tenía su propio programa
cliente que servía como interfaz de usuario que tenía que ser instalado por separado en
cada computadora personal de cada usuario. El cliente realizaba peticiones a otro programa -el servidor-
que le daba respuesta. Una mejora en el servidor, como parte de la aplicación, requería normalmente
una mejora de los clientes instalados en cada computadora personal, añadiendo un coste de soporte
formato estándar, como HTML o XHTML, soportados por los navegadores web comunes. Se
utilizan lenguajes interpretados en el lado del cliente, directamente o a través de plugins tales
como JavaScript, Java, Flash, etc., para añadir elementos dinámicos a la interfaz de usuario.
Generalmente cada página web en particular se envía al cliente como un documento estático, pero la
secuencia de páginas ofrece al usuario una experiencia interactiva. Durante la sesión, el navegador web
interpreta y muestra en pantalla las páginas, actuando como cliente para cualquier aplicación web.
Estructura
Aunque existen muchas variaciones posibles, una aplicación web está normalmente estructurada como
una aplicación de tres-capas. En su forma más común, el navegador web ofrece la primera capa,
interpretando el código. El servidor que ofrece este código y toda la información es la segunda capa. Por
El navegador web manda peticiones a la capa intermedia, la cual ofrece servicios valiéndose de
Son muy utilizados lenguajes o arquitecturas que no son propiamente lenguajes de programación,
como HTML o XML. Se utilizan para servir los datos adecuados a las necesidades del usuario, en
Los desarrolladores web generalmente utilizan lenguajes interpretados (scripts) en el lado del cliente
para añadir más funcionalidades, especialmente para ofrecer una experiencia interactiva que no
requiera recargar la página cada vez (lo que suele resultar molesto a los usuarios). Se han desarrollado
tecnologías para coordinar estos lenguajes con las tecnologías en el lado del servidor. Como
ejemplo, AJAX es una técnica de desarrollo web que usa una combinación de varias tecnologías.
Tecnologías
HTML
CSS
Casi todas las páginas contienen, al menos, un trozo de código escrito en JavaScript.
PHP
Javascript en su modalidad SSJS: Server Side Javascript (Javascript del lado del servidor).
Capa de persistencia
Los datos se almacenan en alguna base de datos estándar.
Consideraciones técnicas
Una ventaja significativa es que las aplicaciones web deberían funcionar igual independientemente de la
versión del sistema operativo instalado en el cliente. En vez de crear clientes para Windows, Mac OS
X, GNU/Linux y otros sistemas operativos, la aplicación web se escribe una vez y se ejecuta igual en
todas partes. Sin embargo, hay aplicaciones inconsistentes escritas con HTML, CSS, DOM y otras
especificaciones estándar para navegadores web que pueden causar problemas en el desarrollo y
soporte de estas aplicaciones, principalmente debido a la falta de adhesión de los navegadores a dichos
posibilidad de los usuarios de personalizar muchas de las características de la interfaz (tamaño y color
de fuentes, tipos de fuentes, inhabilitar Javascript) puede interferir con la consistencia de la aplicación
web.
Aplicación de internet enriquecida (RIA)
Hasta la popularización de HTML5, otra opción era utilizar Adobe Flash Player o Java applets para
desarrollar parte o toda la interfaz de usuario. Como casi todos los navegadores incluían soporte para
estas tecnologías (usualmente por medio de plug-ins), las aplicaciones basadas en Flash o Java podían
Las aplicaciones web se ejecutan nativamente desde el navegador, pero existen algunas aplicaciones
para poder utilizarse. Estas aplicaciones se denominan Aplicaciones de Internet Ricas. El motivo de usar
este software adicional es que había muchas funcionalidades que los navegadores no podían ofrecer, y
Uso empresarial
Una estrategia que está emergiendo para las empresas proveedoras de software consiste en proveer
acceso vía web al software. Para aplicaciones previamente distribuidas, como las aplicaciones de
escritorio, se puede optar por desarrollar una aplicación totalmente nueva o simplemente por adaptar la
aplicación para ser usada con una interfaz web. Estos últimos programas permiten al usuario pagar una
cuota mensual o anual para usar la aplicación, sin necesidad de instalarla en la computadora del
usuario. A esta estrategia de uso se la denomina Software como servicio y a las compañías
desarrolladoras se les denomina Proveedores de Aplicaciones de Servicio (ASP, por sus siglas en
inglés), un modelo de negocio que está atrayendo la atención de la industria del software.
Ventajas
Ahorra tiempo: se pueden realizar tareas sencillas sin necesidad de descargar ni instalar ningún
programa.
utilizarlas.
nuestra computadora, muchas de las tareas que realiza el software no consumen recursos nuestros
se accede a través de una página web (solamente es necesario disponer de acceso a Internet). La
reciente tendencia al acceso a las aplicaciones web a través de teléfonos móviles requiere sin
embargo un diseño específico de los ficheros CSS para no dificultar el acceso de estos usuarios.
La disponibilidad suele ser alta porque el servicio se ofrece desde múltiples localizaciones para
Los virus no dañan los datos porque están guardados en el servidor de la aplicación.
Colaboración: gracias a que el acceso al servicio se realiza desde una única ubicación es sencillo
el acceso y compartición de datos por parte de varios usuarios. Tiene mucho sentido, por ejemplo,
Los navegadores ofrecen cada vez más y mejores funcionalidades para crear "aplicaciones web
Malicious Software[
Un usuario puede ser engañado o forzado a descargar programas en su ordenador con intenciones
dañinas. Dichos software pueden aparecer de distintas formas, tal como virus, troyanos, spyware o
gusanos.
Malware, abreviación de software malicioso, es cualquier programa utilizado para cambiar o dañar
la forma en la que opera el ordenador, conseguir información u obtener acceso a sistemas privados
del ordenador. El malware está definido por su intención maliciosa, actuando contra las intenciones
del usuario, y no incluye software que cause daño inintencionado debido a alguna deficiencia. El
término badware se utiliza a veces, y se aplica a ambos casos, tanto al malware malintencionado
Un botnet es una red de ordenadores zombie que han sido tomados por un robot o bot que lleva a
Los virus informáticos son programas que pueden replicar sus estructuras o efectos infectando
Los gusanos informáticos son programas que pueden replicarse a través de una red de
Un ransomware es un tipo de malware que restringe el acceso al sistema del ordenador que infecta
y demanda al usuario el pago de un rescate al creador del malware para que se elimine dicha
restricción.
vende a los consumidores a través de estrategias de marketing poco éticas. Se utiliza el shock, la
Los spyware son programas espía que monitorizan la actividad de un ordenador y envían la
Un troyano es, en términos generales, un software que se hace pasar por un programa inofensivo
Un ataque de denegación de servicio también llamado ataque DoS (siglas en inglés de Denial of
Service) o DDoS (de Distributed Denial of Service), es un intento para hacer que uno de los recursos de
un ordenador quede inutilizado para su usuario. A pesar de que los motivos, las formas de llevarlo a
cabo o las víctimas de un ataque DoS pueden variar, generalmente consiste en hacer que
una página de Internet o un servicio web concreto deje de funcionar correctamente de forma temporal o
indefinida. Según empresas que participaron en una encuesta de seguridad internacional de empresas,
Phishing
El phising ocurre cuando el atacante se hace pasar por una entidad segura, ya sea vía email o a través
de una página web. Las víctimas son guiadas hacia webs falsas que aseguran ser totalmente legítimas
a través de email, mensajería instantánea y otros medios. A menudo se utilizan tácticas como el email
spoofing para que los correos parezcan de remitentes legítimos, o largos y complejos subdominios que
esconden al verdadero propietario de la página. .56 Según la aseguradora RSA, el phising costó un total
Vulnerabilidades de aplicaciones
Artículo principal: Seguridad de Aplicaciones
Algunas aplicaciones utilizadas para acceder a recursos de internet pueden tener vulnerabilidades de
seguridad como pueden ser memory safety bugs o pruebas de autentificación dañinas. El más peligroso
de estos errores puede dar a los atacantes de la red control total sobre el ordenador. La mayor parte de
las aplicaciones de seguridad son incapaces de defenderse adecuadamente a este tipo de ataques. . 8
Remedios
Estos protocolos incluyen Secure Sockets Layer (SSL), seguido por Transport Layer Security (TLS) para
tráfico web, Pretty Good Privacy (PGP) para email, e IPsec para la seguridad de la red.
Engineering Task Force (IETF). Proporciona seguridad y autentificación en la capa IP transformando sus
datos usando la encriptación. Hay dos tipos principales de transformación que conforman las bases del
IPsec: la Authentication Header (AH) y el ESP. Estos dos protocolos proporcionan integridad de datos,
autentificación de su origen y servicio anti-replay. Estos protocolos pueden ser utilizados solos o
Internet (IP). Los componentes básicos de la arquitectura de la seguridad IPsec son descritos según las
siguientes funcionalidades:
El set de servicios de seguridad proporcionado en la capa IP incluye acceso al control, integridad del
origen de datos, protección contra replays y confidencialidad. El algoritmo permite a estos sets trabajar
Token de seguridad
Algunos sitios online ofrecen a los clientes la opción de usar un código de seis dígitos que cambia de
forma aleatoria cada 30-60 segundos en un token de seguridad. Las claves en el security token tienen
en el dispositivo. Esto quiere decir que a cada treinta segundos hay solamente una serie de números
posibles que deben ser introducidos correctamente para validar el acceso a la cuenta online. La página
en la que el usuario está entrando sabría el número de serie de ese dispositivo y conocería la
computación y hora correcta reflejada en el dispositivo para verificar que el número introducido es uno
de los números de seis dígitos que funciona en ese periodo de 30-60 segundos concreto. Después de
ese tiempo el aparato presentará unos seis dígitos aleatorios nuevos que pueden ser utilizados para
entrar en la página.
Introducción
Los correos electrónicos se componen, envían, y guardan en un proceso de varios pasos que comienza
con la composición del mensaje. Cuando el usuario termina de redactar el correo y lo envía, el mensaje
es transformado a un formato estándar: un mensaje RFC 2822. Después el mensaje puede ser
transmitido. Usando una conexión a internet, el cliente de correo electrónico, referido como Mail User
Agent (MUA), se conecta a un agente de transferencia de correo (MTA) que opera en el servidor de
correo. El cliente de correo correo proporciona la identidad del remitente al servidor. A continuación,
usando los comandos del servidor de correo, el remitente envía la lista de receptores al servidor. En ese
momento el cliente suministra el mensaje. Una vez que el servidor recibe y procesa el correo, ocurren
varias cosas: se identifica el servidor del receptor, se establece la conexión y se transfiere el mensaje.
Usando servicios de Domain Name System (DNS), el servidor de correo del remitente determina el
servidor para el/los receptor(es). Entonces el servidor abre una conexión con el servidor de correo del
destinatario y envía el mensaje empleando un proceso similar al usado por el cliente del remitente,
Pretty Good Privacy proporciona confidencialidad encriptando mensajes antes de ser transmitidos o
archivos antes de ser guardados usando un algoritmo llamado Triple DES o CAST-128. Los emails
pueden protegerse usando criptografía de varias formas, tales como las siguientes:
envía.
Encriptando las comunicaciones entre servidores para proteger tanto la confidencialidad del cuerpo
Los primeros dos métodos, la firma del mensaje y la encriptación de su cuerpo se utilizan juntos muy a
menudo; sin embargo, la encriptación de transmisiones entre servidores de correo se suele utilizar
únicamente cuando dos organizaciones quieren proteger los emails que se envían de forma regular
entre ellos. Por ejemplo, estas organizaciones pueden establecer una red privada virtual (VPN) para
encriptar las comunicaciones entre sus servidores de correo por Internet. . 10 A diferencia de métodos
que sólo pueden encriptar el cuerpo de un mensaje, un VPN puede encriptar mensajes enteros
incluyendo su encabezado e información como la identidad de quién lo envía, quien lo recibe y el
asunto. En algunos casos las organizaciones pueden necesitar proteger esta información. Sin embargo,
una VPN no puede proporcionar un mecanismo de firma de mensajes ni protección de estos a través del
MIME transforma datos que no son ASCII de la web del remitente Network Virtual Terminal (NVT) ASCII
y los envía al cliente Simple Mail Transference Protocol (SMTP) para ser enviados a través de
internet. 11 El servidor SMTP del lado del receptor recibe los datos NVT ASCII y los envía a MIME para
una clave secreta para encriptar un mensaje. Este método proporciona un valor MAC que puede ser
desencriptado por el receptor usando la misma clave secreta que usó el remitente. El Código de
Autentificación de Mensaje protege tato la integridad de datos del mensaje como su autenticidad. 12
Firewalls
El firewall de un ordenador controla el acceso entre redes. Generalmente consiste en varios accesos y
filtros los cuales varían de un cortafuegos a otro. Los firewalls también leen el tráfico de una red y son
capaces de bloquear parte de ese tráfico si considera que puede ser peligroso. Los firewall actúan como
servidor intermediario entre las conexiones de SMTP y el Hypertext Transfer Protocol (HTTP).
Este tráfico debe pasar a través de un firewall y solamente el tráfico autorizado atravesarlo. Los firewalls
pueden crear checkpoints entre una red interna privada e Internet, también conocidos como “choke
points”. Los firewalls pueden crear choke points basados en la IP de origen y el número de puerto TCP.
También pueden servir como plataforma para IPsec. Usando un modo túnel, el firewall puede ser usado
para implementar VPNs. También pueden limitar la exposición red escondiendo el sistema interno de
Tipos de Firewall
Packet filter
Un packet filter es un firewall de la primera generación que procesa el tráfico de red procesándolo
“paquete por paquete”. Su trabajo principal es filtrar el tráfico de una IP remota por lo que se necesita un
router para conectar la red internta a Internet. El router se conoce como screening router, el cual
En un cortafuegos stateful el circuit-level Gateway es un servidor proxy que opera en el nivel red de
un modelo de interconexión de sistemas abiertos (OSI) que inactivamente define el tráfico que será
permitido. Los circuitos proxys permitirán pasar paquetes de red que contienen un número de puerto, si
proporcionar una Traducción de Direcciones de Red (NAT), la cual puede esconder la dirección IP del
Application-level Gateway
Los apllication-level firewalls son cortafuegos de tercera generación, donde un servidor proxy opera en
la cima del modelo OSI, al nivel de aplicación IP suite. Un paquete red se transmite solamente si la
eficientes analizando mensajes enteros en lugar de paquetes individuales de datos cuando estos datos
ejemplo, Internet Explorer 6, el cual solía controlar la mayoría del mercado de buscadores en internet, 13
debido a su popularidad. Desde que hay más variedad de buscadores entre los que escoger el número
de usuarios está más distribuido (Internet Explorer 28,5%, Firefox 18,4%, Google Chrome 40,8%, etc.)
Antivirus
Los antivirus son programas de seguridad en internet que protegen a los dispositivos de un ataque
detectando y eliminando los virus; estos programas eran mayoritariamente sharewares en los primeros
RIESGOS EN INTERNET
Las personas frecuentemente necesitamos información para realizar nuestras actividades, y
muchas veces la podemos obtener en Internet de manera más rápida, cómoda y económica que
Acceso a información poco fiable y falsa. Existe mucha información errónea y poco actualizada en
Internet, ya que cualquiera puede poner información en la red. Dispersión, pérdida de tiempo. A veces
se pierde mucho tiempo para localizar la información que se necesita, es fácil perderse navegando.
Acceso a información inapropiada y nociva. Existen webs que pese a contener información científica,
pueden resultar inapropiadas y hasta nocivas por el modo en el que se abordan los temas o la crudeza
de las imágenes. Acceso a información peligrosa, inmoral, ilícita. Existe información poco recomendable
y hasta con contenidos considerados delictivos. La globalidad de Internet y las diferentes culturas y
legislaciones de los países hacen posible la existencia de estas páginas web en el ciberespacio.
Enlos últimos años los jóvenes han sufrido de estos riesgos sociales en internet que son:
como correo electrónico, redes sociales, blogs, mensajería instantánea, mensajes de texto, teléfonos
móviles, y websites difamatorios para acosar a un individuo o grupo, mediante ataques personales u
otros medios. Puede constituir un delito penal. El ciberacoso es voluntarioso e implica un daño
recurrente y repetitivo infligido a través del medio del texto electrónico. Todo esto se útilza para dañar a
01. Inyecciones.
Errores al exponer partes privadas o internas de una aplicación sin control y accesibles públicamente.
05. Cross-site Request Forgery.
acciones legitimas por parte un usuario autenticado, de manera inadvertida por este último y bajo el
control de un atacante.
Más que un error en el código se trata de la falta o mala configuración de seguridad de todo el conjunto
de elementos que comprende el despliegue de una aplicación web, desde la misma aplicación hasta la
Referida a la ausencia o mal uso de los sistemas de cifrado en relación a los datos almacenados o
Falta de validación en el procesamiento de URLs que podrían ser usadas para invocar recursos sin los
Relacionada con A7 pero orientada a la protección del tráfico de red. Elección de un cifrado débil o mala
gestión de certificados.
Seguridad de redes
redes, ya sean públicas o privadas, que se usan en los trabajos de todos los días;
una compañía y otras que pueden estar abiertas a todo público. La seguridad de
Hace lo que su título explica: asegura la red, además, protege y vigila operaciones
Guia
Administración de seguridad
o Tipos de ataques
"tiene", por ejemplo, un token de seguridad, una tarjeta de crédito o un teléfono celular;
y con un factor triple de autenticación se usa algo que el usuario "es", por
asignar los servicios a los cuales pueden acceder los usuarios de la red. 1 Aunque
puede fallar al revisar contenido que puede ser dañino, un ejemplo sería un gusano
puede monitorear la red, por ejemplo usando wireshark se puede analizar tráfico en
La comunicación entre dos hosts en una red puede ser encriptada con propósito
de privacidad.
Los honeypots, esencialmente sirven como distracción para canalizar los recursos
de acceso de red y pueden ser desplegados en una red para vigilar y como
accedidos para propósitos legítimos. Las técnicas utilizadas por los atacantes que
ataque, para mantener vigiladas nuevas técnicas de exploit. Dicho análisis puede
ser usado para futuros reforzamientos en la seguridad de la red que está siendo
protegida por ese honeypot. Un honeypot también puede dirigir la atención del
atacante lejos de los servidores legítimos. Los honeypots animan a los atacantes a
es, también, el de invitar a los atacantes para que sus técnicas de ataque puedan
ser analizadas y ese conocimiento pueda ser usado para aumentar la seguridad
Administración de seguridad
red de casa o de una pequeña oficina puede requerir solamente seguridad básica,
Tipos de ataques
Las redes son objeto de ataques por parte de fuentes malignas. Estos ataques se
pueden clasificar de dos formas: "pasivos" cuando un intruso intercepta datos que
están viajando a través la red y "activos" cuando el intruso ejecuta comandos para
Tipos de ataque:
Pasivos
Red
Escucha telefónica
Escáner de puertos
Escaneo libre
Activos
Ataque de denegación de servicio
DNS spoofing
Ataque Man-in-the-middle
ARP Spoofing
Ataque por salteo de VLAN
Ataque smurf
Desbordamiento de búfer
Desbordamiento de montículo
Ataque de formato String
Inyección SQL
Phishing
Cross-site scripting
CSRF
Ataque informático
información está centralizada y puede tener un alto valor. Puede ser divulgada,
de la seguridad de la información.
Confidencialidad
autorización.
violación de la confidencialidad.
confidencialidad.
Integridad
Disponibilidad
requieran.
Autenticación o autentificación
acceso.
Servicios de seguridad
proporcionar el servicio.
No repudio o irrefutabilidad
estandarizado en la ISO-7498-2.
tiene pruebas del envío. El receptor recibe una prueba infalsificable del origen del
envío, lo cual evita que el emisor, de negar tal envío, tenga éxito ante el juicio de
terceros. En este caso, la prueba la crea el propio emisor y la recibe el
destinatario.
que suministra la prueba de la integridad y del origen de los datos- ambos en una
momento.
componen de:
Criptografía (Cifrado de datos). Se ocupa de transposicionar u ocultar el
mensaje enviado por el emisor hasta que llega a su destino y puede ser
mensaje.
Planificación de la seguridad
Hoy en día la rápida evolución del entorno técnico requiere que las
seguridad del sistema y se describen los controles en el lugar o los previstos para
cumplir esos requisitos. El plan de seguridad del sistema también delinea las
seguridad (SAISO).
publicidad negativa.
formal y oportuna.
fases:
requerimientos, incluyendo:
emergencias de computación)
Planes de acción
producción.
El manejo de riesgos
contingencia.
Ejemplo:
enfoque de sistemas.
Un enfoque de sistemas de configuración, la política, y el
Fraudes
Falsificación
Venta de información
Entre los hechos criminales más famosos en los Estados Unidos
están:
archivos confidenciales.
tiempo.
Los virus, troyanos, spyware, malware y demás código llamado
1983 en caso de ser copia ilegal borraba todos los archivos de su unidad
de disco.
dinero.
negocios.
ellos.
supervision.
1.2.2 Lenguajes de Macros: VBA
Una macro (del griego μακρο, makro, que significa ‘grande’) ―abreviatura
Las macros tienden a almacenarse en el ámbito del propio programa que las
de programa.
Macros de aplicaciones
ubicación especial. Por ejemplo, en Microsoft Access se observa que hay una
zona para crear macros. Una macro en Access trabajando para una base de
datos podría ser un archivo que, al llamarse desde otra instrucción, borrara los
código nos permite hacer otras cosas conviertiendo a Excel en una aplicación
que su re-u
programa.
Ejemplo de un MACRO:
echo off
cls
Hola Mundo...
pause()
Este ejemplo de MACRO puede ser utilizado repetidamente para definir variables
usar variables locales del modulo en el que son invocados, sin la necesidad de
pasarlas al macro como parámetros. Además, los parámetros del macro son
texto plano. Los guiones son casi siempre interpretados, pero no todo programa
o con el usuario.
permite que los applets que se ejecutan en el equipo no tengan acceso a partes
sensibles (por ej. no pueden escribir archivos), a menos que uno mismo le dé los
de uno de los objetivos de los applets: proporcionar una forma fácil de ejecutar
HTML, es decir en una página web. Cuando un navegador carga una página web
ejecutarse. Esto permite crear programas que cualquier usuario puede ejecutar
ser diseñadas por uno o más de esos componentes para así proveer su
correspondiente funcionalidad.
ActiveX fue presentado en 1996 por Microsoft como una evolución de sus
Microsoft como puedan ser Internet Explorer, Microsoft Office, Microsoft Visual
Studio, y Windows Media Player — usan controles ActiveX para proveer sus
controles ActiveX que así pueden ser empotrados en otras aplicaciones. Internet
Explorer también permite empotrar sus propios controles ActiveX en páginas web.
Controles ActiveX
programas, que se pueden usar para crear aplicaciones distribuidas que funcionen
La idea de los controles Active X era buena en tanto que fueron diseñados con la
hacen los Java applets pero los controles Active X presentan limitaciones que no
sitio web contaminado o malicioso que gestione las descargas haciendo uso
de controles ActiveX.
C++ Tanto directamente como con la ayuda de librerías como ATL o MFC
Borland Delphi
Visual Basic