INSTITUTO TECNOLÓGICO DE ZITÁCUARO

Materia:

REDES APLICADAS AL COMERCIO ELECTRÓNICO

Asesor

Dr. Eduardo López Sandoval

Apuntes:

Unidad I

Introducción a la Seguridad Web

1.1 Introducción
1.1.1 aplicaciones Web
1.1.2 ¿Cuánta seguridad es necesaria?
1.1.3 Amenazas más importantes a las
aplicaciones Web.
1.1.4 Guías de seguridad
1.2 Seguridad en el cliente
1.2.1 Código Móvil
1.2.2 Lenguajes de Macros: VBA
1.2.3 Lenguajes de Script y VBScript
1.2.4 Applets Java
1.2.5 Controles ActiveX
1.3 Seguridad en el servidor
1.3.1 servidor web
1.3.2 Servidor de Bases de Datos
1.3.3 Lenguajes de servidor
1.4Seguridad en la aplicación
1.4.1 control de Acceso
1.4.2 Validación de datos de entrada
1.4.3 Programación segura
1.5 Seguridad en la comunicación
1.5.1Protocolos de comunicación segura SSL.
1.1.- Introducción

El primer indicio de redes de comunicación fue de tecnología telefónica y telegráfica. En 1940 se

transmitieron datos desde la Universidad de Darmouth, en Nuevo Hampshire, a Nueva York. A finales

de la década de 1960 y en los posteriores 70 fueron creados los miniordenadores. En

1976, Apple introduce el Apple I, uno de los primeros ordenadores personales. En 1981, IBM introduce

su primer PC. A mitad de la década de 1980 los PC comienzan a usar los módem para compartir

archivos con otros ordenadores, en un rango de velocidades que comenzó en 1200 bps y llegó a los 56

kbps (comunicación punto a punto o dial-up), cuando empezaron a ser sustituidos por sistema de mayor

velocidad, especialmente ADSL.

Descripción básica

La comunicación por medio de una red se lleva a cabo en dos diferentes categorías: la capa física y

la capa lógica.

La capa física incluye todos los elementos de los que hace uso un equipo para comunicarse con otros

equipos dentro de la red, como, por ejemplo, las tarjetas de red, los cables, las antenas, etc.

La comunicación a través de la capa lógica se rige por normas muy rudimentarias que por sí mismas

resultan de escasa utilidad. Sin embargo, haciendo uso de dichas normas es posible construir los

denominados protocolos, que son normas de comunicación más complejas (mejor conocidas como

de alto nivel), capaces de proporcionar servicios que resultan útiles.

Los protocolos son un concepto muy similar al de los idiomas de las personas. Si dos personas hablan

el mismo idioma, es posible comunicarse y transmitir ideas.

La razón más importante (quizá la única) sobre por qué existe diferenciación entre la capa física y la

lógica es sencilla: cuando existe una división entre ambas, es posible utilizar un número casi infinito de

protocolos distintos, lo que facilita la actualización y migración entre distintas tecnologías.

Componentes básicos de las redes

Para poder formar una red se requieren elementos: hardware, software y protocolos. Los elementos

físicos se clasifican en dos grandes grupos: dispositivos de usuario final (hosts) y dispositivos de red.

Los dispositivos de usuario final incluyen los computadores, impresoras, escáneres, y demás elementos

que brindan servicios directamente al usuario y los segundos son todos aquellos que conectan entre sí a

los dispositivos de usuario final, posibilitando su intercomunicación.

El fin de una red es la de interconectar los componentes hardware de una red , y por tanto,

principalmente, los ordenadores individuales, también denominados hosts, a los equipos que ponen los

servicios en la red, los servidores, utilizando el cableado o tecnología inalámbrica soportada por la

electrónica de red y unidos por cableado o radiofrecuencia. En todos los casos la tarjeta de red se

puede considerar el elemento primordial, sea parte de un ordenador, de un conmutador, de una

impresora, etc. y sea de la tecnología que sea (ethernet, Wi-Fi, Bluetooth, etc.)

Software

 Sistema operativo de red: Permite la interconexión de ordenadores para acceder a los servicios y

recursos. Al igual que un equipo no puede trabajar sin un sistema operativo, una red de equipos no

puede funcionar sin un sistema operativo de red. En muchos casos el sistema operativo de red es

parte del sistema operativo de los servidores y de los clientes.

 Software de aplicación: En última instancia, todos los elementos se utilizan para que el usuario de

cada estación, pueda utilizar sus programas y archivos específicos. Este software puede ser tan

amplio como se necesite ya que puede incluir procesadores de texto, paquetes integrados,

sistemas administrativos de contabilidad y áreas afines, sistemas especializados, correos

electrónicos, etc. El software adecuado en el sistema operativo de red elegido y con los protocolos

necesarios permiten crear servidores para aquellos servicios que se necesiten.

Hardware

Para lograr el enlace entre los ordenadores y los medios de transmisión (cables de red o medios físicos

para redes alámbricas e infrarrojos o radiofrecuencias para redes inalámbricas), es necesaria la

intervención de una tarjeta de red (NIC, Network Card Interface), con la cual se puedan enviar y recibir

paquetes de datos desde y hacia otras ordenadores, empleando un protocolo para su comunicación y

convirtiendo a esos datos a un formato que pueda ser transmitido por el medio (bits, ceros y unos).

Cabe señalar que a cada tarjeta de red le es asignado un identificador único por su fabricante, conocido

como dirección MAC (Media Access Control), que consta de 48 bits (6 bytes). Dicho identificador

permite direccionar el tráfico de datos de la red del emisor al receptor adecuado.

El trabajo del adaptador de red es el de convertir las señales eléctricas que viajan por el cable (p.e.:

red Ethernet) o las ondas de radio (p.e.: red Wi-Fi) en una señal que pueda interpretar el ordenador.

Estos adaptadores son unas tarjetas PCI que se conectan en las ranuras de expansión del ordenador.

En el caso de ordenadores portátiles, estas tarjetas vienen en formato PCMCIA o similares. En los

ordenadores del siglo XXI, tanto de sobremesa como portátiles, estas tarjetas ya vienen integradas en

la placa base.

Adaptador de red es el nombre genérico que reciben los dispositivos encargados de realizar dicha

conversión. Esto significa que estos adaptadores pueden ser tanto Ethernet, como wireless, así como de

otros tipos como fibra óptica, coaxial, etc. También las velocidades disponibles varían según el tipo de

adaptador; estas pueden ser, en Ethernet, de 10, 100, 1000 Mbps o 10000, y en los inalámbricos,

principalmente, de 11, 54, 300 Mbps.

Dispositivos de usuario final

 Ordenadores personales: son los puestos de trabajo habituales de las redes. Dentro de la

categoría de ordenadores, y más concretamente ordenadores personales, se engloban todos los

que se utilizan para distintas funciones, según el trabajo que realizan. Se incluyen desde las

potentes estaciones de trabajo para la edición de vídeo, por ejemplo, hasta los ligeros equipos
 portátiles, conocidos como netbooks, cuya función principal es la de navegar por Internet.

Las tabletas se popularizaron al final de la primera década del siglo XXI, especialmente por el éxito

del iPad de Apple.

 Terminal: muchas redes utilizan este tipo de equipo en lugar de puestos de trabajo para la entrada

de datos. En estos solo se exhiben datos o se introducen. Este tipo de terminales, trabajan unido a

un servidor, que es quien realmente procesa los datos y envía pantallas de datos a los terminales.

 Electrónica del hogar: las tarjetas de red empezaron a integrarse, de forma habitual, desde la

primera década del siglo XXI, en muchos elementos habituales de los hogares: televisores, equipos

multimedia, proyectores, videoconsolas, teléfonos celulares, libros electrónicos, etc. e incluso en

electrodomésticos, como frigoríficos, convirtiéndolos en partes de las redes junto a los tradicionales

ordenadores.

 Impresoras: muchos de estos dispositivos son capaces de actuar como parte de una red de

ordenadores sin ningún otro elemento, tal como un print server, actuando como intermediario entre

la impresora y el dispositivo que está solicitando un trabajo de impresión de ser terminado. Los

medios de conectividad de estos dispositivos pueden ser alámbricos o inalámbricos, dentro de este

último puede ser mediante: ethernet, Wi-Fi, infrarrojo o bluetooth. En algunos casos se integran

dentro de la impresora y en otros por medio de convertidores externos.

 Otros elementos: escáneres, lectores de CD-ROM.

Servidores

Son los equipos que ponen a disposición de los clientes los distintos servicios. En la siguiente lista hay

algunos tipos comunes de servidores y sus propósitos:

 Servidor de archivos: almacena varios tipos de archivo y los distribuye a otros clientes en la red.

Pueden ser servidos en distinto formato según el servicio que presten y el medio: FTP, HTTP, etc.
 Servidor de impresión: controla una o más impresoras y acepta trabajos de impresión de otros

clientes de la red, poniendo en cola los trabajos de impresión (aunque también puede cambiar la

prioridad de las diferentes impresiones), y realizando la mayoría o todas las otras funciones que en

un sitio de trabajo se realizaría para lograr una tarea de impresión si la impresora fuera conectada

directamente con el puerto de impresora del sitio de trabajo.

 Servidor de correo: almacena, envía, recibe, enruta y realiza otras operaciones relacionadas con

el correo-e (e-mail) para los clientes de la red.

 Servidor de fax: almacena, envía, recibe, enruta y realiza otras funciones necesarias para la

transmisión, la recepción y la distribución apropiadas de los fax, con origen y/o destino una

Ordenador o un dispositivo físico de telefax.

 Servidor de telefonía: realiza funciones relacionadas con la telefonía, como es la de contestador

automático, realizando las funciones de un sistema interactivo para la respuesta de la voz,

almacenando los mensajes de voz, encaminando las llamadas y controlando también la red o

Internet, etc. Pueden operar con telefonía IP o analógica.

 Servidor proxy: realiza un cierto tipo de funciones en nombre de otros clientes en la red para

aumentar el funcionamiento de ciertas operaciones (p. ej., prefetching y depositar documentos u

otros datos que se soliciten muy frecuentemente). También «sirve» seguridad; esto es, tiene

un firewall (cortafuegos). Permite administrar el acceso a Internet en una red de ordenadores

permitiendo o negando el acceso a diferentes sitios web, basándose en contenidos, origen/destino,

usuario, horario, etc.

 Servidor de acceso remoto (Remote Access Service, RAS): controla las líneas de módems u

otros canales de comunicación de la red para que las peticiones conecten una posición remota con

la red, responden las llamadas telefónicas entrantes o reconocen la petición de la red y realizan los
 chequeos necesarios de seguridad y otros procedimientos necesarios para registrar a un usuario en

la red. Gestionan las entradas para establecer la redes virtuales privadas (VPN).

 Servidor web: almacena documentos HTML, imágenes, archivos de texto, escrituras, y demás

material web compuesto por datos (conocidos normalmente como contenido), y distribuye este

contenido a clientes que la piden en la red.

 Servidor de streaming: servidores que distribuyen multimedia de forma continua evitando al

usuario esperar a la descarga completa del fichero. De esta forma se pueden distribuir contenidos

tipo radio, vídeo, etc. en tiempo real y sin demoras.

 Servidor de reserva (standby server): tiene el software de reserva de la red instalado y tiene

cantidades grandes de almacenamiento de la red en discos duros u otras formas del

almacenamiento disponibles para que se utilice con el fin de asegurarse de que la pérdida de un

servidor principal no afecte a la red. El servidor de reserva lo puede ser de cualquiera de los otros

tipos de servidor, siendo muy habituales en los servidores de aplicaciones y bases de datos.

 Servidor de autenticación: es el encargado de verificar que un usuario pueda conectarse a la red

en cualquier punto de acceso, ya sea inalámbrico o por cable, basándose en el estándar 802.1x y

puede ser un servidor de tipo RADIUS.

 Servidores para los servicios de red: estos equipos gestionan aquellos servicios necesarios

propios de la red y sin los cuales no se podrían interconectar, al menos de forma sencilla. Algunos

de esos servicios son: servicio de directorio para la gestión de los usuarios y los recursos

compartidos, Dynamic Host Configuration Protocol (DHCP) para la asignación de las direcciones IP

en redes TCP/IP, Domain Name System(DNS) para poder nombrar los equipos sin tener que

recurrir a su dirección IP numérica, etc.

 Servidor de base de datos: permite almacenar la información que utilizan las aplicaciones de todo

tipo, guardándola ordenada y clasificada y que puede ser recuperada en cualquier momento y sobre
 la base de una consulta concreta. Estos servidores suelen utilizar lenguajes estandarízados para

hacer más fácil y reutilizable la programación de aplicaciones, uno de los más populares es SQL.

 Servidor de aplicaciones: ejecuta ciertas aplicaciones. Usualmente se trata de un dispositivo de

software que proporciona servicios de aplicación a las ordenadores cliente. Un servidor de

aplicaciones gestiona la mayor parte (o la totalidad) de las funciones de lógica de negocio y de

acceso a los datos de la aplicación. Los principales beneficios de la aplicación de la tecnología de

servidores de aplicación son la centralización y la disminución de la complejidad en el desarrollo de

aplicaciones.

 Servidores de monitorización y gestión: ayudan a simplificar las tareas de control,

monitorización, búsqueda de averías, resolución de incidencias, etc. Permiten, por ejemplo,

centralizar la recepción de mensajes de aviso, alarma e información que emiten los distintos

elementos de red (no solo los propios servidores). El SNMP es un de los protocolos más difundidos

y que permite comunicar elementos de distintos fabricantes y de distinta naturaleza.

 Y otros muchos dedicados a múltiples tareas, desde muy generales a aquellos de una especificidad

enorme.

1.2.- Aplicaciones Web

Antecedentes

En los primeros tiempos de la computación cliente-servidor, cada aplicación tenía su propio programa

cliente que servía como interfaz de usuario que tenía que ser instalado por separado en

cada computadora personal de cada usuario. El cliente realizaba peticiones a otro programa -el servidor-

que le daba respuesta. Una mejora en el servidor, como parte de la aplicación, requería normalmente

una mejora de los clientes instalados en cada computadora personal, añadiendo un coste de soporte

técnico y disminuyendo la productividad.

A diferencia de lo anterior, las aplicaciones web generan dinámicamente una serie de páginas en un

formato estándar, como HTML o XHTML, soportados por los navegadores web comunes. Se

utilizan lenguajes interpretados en el lado del cliente, directamente o a través de plugins tales

como JavaScript, Java, Flash, etc., para añadir elementos dinámicos a la interfaz de usuario.

Generalmente cada página web en particular se envía al cliente como un documento estático, pero la

secuencia de páginas ofrece al usuario una experiencia interactiva. Durante la sesión, el navegador web

interpreta y muestra en pantalla las páginas, actuando como cliente para cualquier aplicación web.

Estructura

Aunque existen muchas variaciones posibles, una aplicación web está normalmente estructurada como

una aplicación de tres-capas. En su forma más común, el navegador web ofrece la primera capa,

interpretando el código. El servidor que ofrece este código y toda la información es la segunda capa. Por

último, una base de datos constituye la tercera y última capa.

El navegador web manda peticiones a la capa intermedia, la cual ofrece servicios valiéndose de

consultas y actualizaciones a la base de datos, y, a su vez, proporciona una interfaz de usuario.

Capa del navegador

Son muy utilizados lenguajes o arquitecturas que no son propiamente lenguajes de programación,

como HTML o XML. Se utilizan para servir los datos adecuados a las necesidades del usuario, en

función de como hayan sido definidos por el dueño de la aplicación.

Los desarrolladores web generalmente utilizan lenguajes interpretados (scripts) en el lado del cliente

para añadir más funcionalidades, especialmente para ofrecer una experiencia interactiva que no

requiera recargar la página cada vez (lo que suele resultar molesto a los usuarios). Se han desarrollado

tecnologías para coordinar estos lenguajes con las tecnologías en el lado del servidor. Como

ejemplo, AJAX es una técnica de desarrollo web que usa una combinación de varias tecnologías.
Tecnologías

 HTML
 CSS
 Casi todas las páginas contienen, al menos, un trozo de código escrito en JavaScript.

Capa del servidor

Existen numerosos lenguajes de programación empleados para el desarrollo de aplicaciones web en el

servidor, entre los que destacan:

 PHP

 Java, con sus tecnologías Java Servlets y JavaServer Pages (JSP)

 Javascript en su modalidad SSJS: Server Side Javascript (Javascript del lado del servidor).

Capa de persistencia
Los datos se almacenan en alguna base de datos estándar.

Consideraciones técnicas

Una ventaja significativa es que las aplicaciones web deberían funcionar igual independientemente de la

versión del sistema operativo instalado en el cliente. En vez de crear clientes para Windows, Mac OS

X, GNU/Linux y otros sistemas operativos, la aplicación web se escribe una vez y se ejecuta igual en

todas partes. Sin embargo, hay aplicaciones inconsistentes escritas con HTML, CSS, DOM y otras

especificaciones estándar para navegadores web que pueden causar problemas en el desarrollo y

soporte de estas aplicaciones, principalmente debido a la falta de adhesión de los navegadores a dichos

estándares web (especialmente versiones de Internet Explorer anteriores a la 7). Adicionalmente, la

posibilidad de los usuarios de personalizar muchas de las características de la interfaz (tamaño y color

de fuentes, tipos de fuentes, inhabilitar Javascript) puede interferir con la consistencia de la aplicación

web.
Aplicación de internet enriquecida (RIA)
Hasta la popularización de HTML5, otra opción era utilizar Adobe Flash Player o Java applets para

desarrollar parte o toda la interfaz de usuario. Como casi todos los navegadores incluían soporte para

estas tecnologías (usualmente por medio de plug-ins), las aplicaciones basadas en Flash o Java podían

ser implementadas con aproximadamente la misma facilidad.

Las aplicaciones web se ejecutan nativamente desde el navegador, pero existen algunas aplicaciones

que funcionan desde el navegador y, además, requieren la instalación de un software en la computadora

para poder utilizarse. Estas aplicaciones se denominan Aplicaciones de Internet Ricas. El motivo de usar

este software adicional es que había muchas funcionalidades que los navegadores no podían ofrecer, y

estas tecnologías enriquecían las aplicaciones web.

Uso empresarial
Una estrategia que está emergiendo para las empresas proveedoras de software consiste en proveer

acceso vía web al software. Para aplicaciones previamente distribuidas, como las aplicaciones de

escritorio, se puede optar por desarrollar una aplicación totalmente nueva o simplemente por adaptar la

aplicación para ser usada con una interfaz web. Estos últimos programas permiten al usuario pagar una

cuota mensual o anual para usar la aplicación, sin necesidad de instalarla en la computadora del

usuario. A esta estrategia de uso se la denomina Software como servicio y a las compañías

desarrolladoras se les denomina Proveedores de Aplicaciones de Servicio (ASP, por sus siglas en

inglés), un modelo de negocio que está atrayendo la atención de la industria del software.

Ventajas
 Ahorra tiempo: se pueden realizar tareas sencillas sin necesidad de descargar ni instalar ningún

programa.

 No hay problemas de compatibilidad: basta tener un navegador actualizado para poder

utilizarlas.

 No ocupan espacio en nuestro disco duro.

 Actualizaciones inmediatas: como el software lo gestiona el propio desarrollador, cuando nos

conectamos estamos usando siempre la última versión que haya lanzado.

 Consumo de recursos bajo: dado que toda (o gran parte) de la aplicación no se encuentra en

nuestra computadora, muchas de las tareas que realiza el software no consumen recursos nuestros

porque se realizan desde otra computadora.

 Multiplataforma: se pueden usar desde cualquier sistema operativo porque solamente es

necesario tener un navegador.

 Portables: es independiente de la computadora donde se utilice (PC de sobremesa, portátil) porque

se accede a través de una página web (solamente es necesario disponer de acceso a Internet). La

reciente tendencia al acceso a las aplicaciones web a través de teléfonos móviles requiere sin

embargo un diseño específico de los ficheros CSS para no dificultar el acceso de estos usuarios.

 La disponibilidad suele ser alta porque el servicio se ofrece desde múltiples localizaciones para

asegurar la continuidad del mismo.

 Los virus no dañan los datos porque están guardados en el servidor de la aplicación.

 Colaboración: gracias a que el acceso al servicio se realiza desde una única ubicación es sencillo

el acceso y compartición de datos por parte de varios usuarios. Tiene mucho sentido, por ejemplo,

en aplicaciones en línea de calendarios u oficina.

 Los navegadores ofrecen cada vez más y mejores funcionalidades para crear "aplicaciones web

enriquecidas" (Rich Internet application o RIA).

1.1.2 ¿Cuánta seguridad es necesaria?

Malicious Software[
Un usuario puede ser engañado o forzado a descargar programas en su ordenador con intenciones

dañinas. Dichos software pueden aparecer de distintas formas, tal como virus, troyanos, spyware o

gusanos.

 Malware, abreviación de software malicioso, es cualquier programa utilizado para cambiar o dañar

la forma en la que opera el ordenador, conseguir información u obtener acceso a sistemas privados

del ordenador. El malware está definido por su intención maliciosa, actuando contra las intenciones

del usuario, y no incluye software que cause daño inintencionado debido a alguna deficiencia. El
 término badware se utiliza a veces, y se aplica a ambos casos, tanto al malware malintencionado

como al software que causa un daño sin ser ésta su intención

 Un botnet es una red de ordenadores zombie que han sido tomados por un robot o bot que lleva a

cabo ataques a gran escala para el creador del botnet.

 Los virus informáticos son programas que pueden replicar sus estructuras o efectos infectando

otros archivos o estructuras en un ordenador. El uso más frecuente de un virus es controlar un

ordenador para robar información.

 Los gusanos informáticos son programas que pueden replicarse a través de una red de

ordenadores, llevando a cabo tareas maliciosas.

 Un ransomware es un tipo de malware que restringe el acceso al sistema del ordenador que infecta

y demanda al usuario el pago de un rescate al creador del malware para que se elimine dicha

restricción.

 El scareware es un software de estafa, normalmente con un beneficio limitado o inexistente, que se

vende a los consumidores a través de estrategias de marketing poco éticas. Se utiliza el shock, la

ansiedad o el miedo que produce a los usuarios para lograr su objetivo.

 Los spyware son programas espía que monitorizan la actividad de un ordenador y envían la

información obtenida a otras personas sin el consentimiento del usuario.

 Un troyano es, en términos generales, un software que se hace pasar por un programa inofensivo

para que el usuario lo descargue en su ordenador.

Ataques de denegación de servicios

Un ataque de denegación de servicio también llamado ataque DoS (siglas en inglés de Denial of

Service) o DDoS (de Distributed Denial of Service), es un intento para hacer que uno de los recursos de

un ordenador quede inutilizado para su usuario. A pesar de que los motivos, las formas de llevarlo a

cabo o las víctimas de un ataque DoS pueden variar, generalmente consiste en hacer que

una página de Internet o un servicio web concreto deje de funcionar correctamente de forma temporal o
indefinida. Según empresas que participaron en una encuesta de seguridad internacional de empresas,

el 25% de los encuestados experimentaron un ataque DoS en 2007 y un 16,8% en 2010. . 4

Phishing
El phising ocurre cuando el atacante se hace pasar por una entidad segura, ya sea vía email o a través

de una página web. Las víctimas son guiadas hacia webs falsas que aseguran ser totalmente legítimas

a través de email, mensajería instantánea y otros medios. A menudo se utilizan tácticas como el email

spoofing para que los correos parezcan de remitentes legítimos, o largos y complejos subdominios que

esconden al verdadero propietario de la página. .56 Según la aseguradora RSA, el phising costó un total

de 1,5 billones de dólares en 2012.

Vulnerabilidades de aplicaciones
Artículo principal: Seguridad de Aplicaciones

Algunas aplicaciones utilizadas para acceder a recursos de internet pueden tener vulnerabilidades de

seguridad como pueden ser memory safety bugs o pruebas de autentificación dañinas. El más peligroso

de estos errores puede dar a los atacantes de la red control total sobre el ordenador. La mayor parte de

las aplicaciones de seguridad son incapaces de defenderse adecuadamente a este tipo de ataques. . 8

Remedios

Network layer security

Los protocolos TCP/IP se pueden asegurar con métodos de encriptación y protocolos de seguridad.

Estos protocolos incluyen Secure Sockets Layer (SSL), seguido por Transport Layer Security (TLS) para

tráfico web, Pretty Good Privacy (PGP) para email, e IPsec para la seguridad de la red.

Protocolo de Seguridad Internet (IPsec)

IPsec está diseñado para proteger la comunicación TCP/IP de forma segura. Es un set de extensiones

de seguridad desarrolladas por el Grupo de trabajo de ingeniería de Internet, en inglés Internet

Engineering Task Force (IETF). Proporciona seguridad y autentificación en la capa IP transformando sus

datos usando la encriptación. Hay dos tipos principales de transformación que conforman las bases del
IPsec: la Authentication Header (AH) y el ESP. Estos dos protocolos proporcionan integridad de datos,

autentificación de su origen y servicio anti-replay. Estos protocolos pueden ser utilizados solos o

combinados para proporcionar el set de servicios de seguridad deseado para el Protocolo de

Internet (IP). Los componentes básicos de la arquitectura de la seguridad IPsec son descritos según las

siguientes funcionalidades:

 Protocolos de seguridad para AH y ESP.

 Asociación de seguridad para la política de gestión y procesamiento del tráfico.

 Gestión manual y automática para el Internet Key Exchange (IKE).

 Algoritmos para autentificación y encriptación.

El set de servicios de seguridad proporcionado en la capa IP incluye acceso al control, integridad del

origen de datos, protección contra replays y confidencialidad. El algoritmo permite a estos sets trabajar

de forma independiente sin afectar otras partes de la implementación. La implementación IPsec es

operada en un host o ambiente seguro para darle protección al tráfico IP.

Token de seguridad
Algunos sitios online ofrecen a los clientes la opción de usar un código de seis dígitos que cambia de

forma aleatoria cada 30-60 segundos en un token de seguridad. Las claves en el security token tienen

computaciones construidas matemáticamente y manipulan números basados en la hora actual reflejada

en el dispositivo. Esto quiere decir que a cada treinta segundos hay solamente una serie de números

posibles que deben ser introducidos correctamente para validar el acceso a la cuenta online. La página

en la que el usuario está entrando sabría el número de serie de ese dispositivo y conocería la

computación y hora correcta reflejada en el dispositivo para verificar que el número introducido es uno

de los números de seis dígitos que funciona en ese periodo de 30-60 segundos concreto. Después de

ese tiempo el aparato presentará unos seis dígitos aleatorios nuevos que pueden ser utilizados para

entrar en la página.

Seguridad de correo electrónico

Introducción
Los correos electrónicos se componen, envían, y guardan en un proceso de varios pasos que comienza

con la composición del mensaje. Cuando el usuario termina de redactar el correo y lo envía, el mensaje
es transformado a un formato estándar: un mensaje RFC 2822. Después el mensaje puede ser

transmitido. Usando una conexión a internet, el cliente de correo electrónico, referido como Mail User

Agent (MUA), se conecta a un agente de transferencia de correo (MTA) que opera en el servidor de

correo. El cliente de correo correo proporciona la identidad del remitente al servidor. A continuación,

usando los comandos del servidor de correo, el remitente envía la lista de receptores al servidor. En ese

momento el cliente suministra el mensaje. Una vez que el servidor recibe y procesa el correo, ocurren

varias cosas: se identifica el servidor del receptor, se establece la conexión y se transfiere el mensaje.

Usando servicios de Domain Name System (DNS), el servidor de correo del remitente determina el

servidor para el/los receptor(es). Entonces el servidor abre una conexión con el servidor de correo del

destinatario y envía el mensaje empleando un proceso similar al usado por el cliente del remitente,

entregando el mensaje al receptor.

Pretty Good Privacy (PGP)

Pretty Good Privacy proporciona confidencialidad encriptando mensajes antes de ser transmitidos o

archivos antes de ser guardados usando un algoritmo llamado Triple DES o CAST-128. Los emails

pueden protegerse usando criptografía de varias formas, tales como las siguientes:

 Firmando el mensaje para asegurar su integridad y confirmar la identidad de la persona que lo

envía.

 Encriptando el cuerpo del correo para asegurar su confidencialidad.

 Encriptando las comunicaciones entre servidores para proteger tanto la confidencialidad del cuerpo

como del encabezado del mensaje.

Los primeros dos métodos, la firma del mensaje y la encriptación de su cuerpo se utilizan juntos muy a

menudo; sin embargo, la encriptación de transmisiones entre servidores de correo se suele utilizar

únicamente cuando dos organizaciones quieren proteger los emails que se envían de forma regular

entre ellos. Por ejemplo, estas organizaciones pueden establecer una red privada virtual (VPN) para

encriptar las comunicaciones entre sus servidores de correo por Internet. . 10 A diferencia de métodos

que sólo pueden encriptar el cuerpo de un mensaje, un VPN puede encriptar mensajes enteros
incluyendo su encabezado e información como la identidad de quién lo envía, quien lo recibe y el

asunto. En algunos casos las organizaciones pueden necesitar proteger esta información. Sin embargo,

una VPN no puede proporcionar un mecanismo de firma de mensajes ni protección de estos a través del

trayecto que realizan hasta que llegan a su destino.

Multipurpose Internet Mail Extensions (MIME)

MIME transforma datos que no son ASCII de la web del remitente Network Virtual Terminal (NVT) ASCII

y los envía al cliente Simple Mail Transference Protocol (SMTP) para ser enviados a través de

internet. 11 El servidor SMTP del lado del receptor recibe los datos NVT ASCII y los envía a MIME para

volver a ser transformados en los originales non-ASCII data.

Message Authentication Code

Un código de autentificación de mensajes (MAC) es un método de criptografía que usa

una clave secreta para encriptar un mensaje. Este método proporciona un valor MAC que puede ser

desencriptado por el receptor usando la misma clave secreta que usó el remitente. El Código de

Autentificación de Mensaje protege tato la integridad de datos del mensaje como su autenticidad. 12

Firewalls
El firewall de un ordenador controla el acceso entre redes. Generalmente consiste en varios accesos y

filtros los cuales varían de un cortafuegos a otro. Los firewalls también leen el tráfico de una red y son

capaces de bloquear parte de ese tráfico si considera que puede ser peligroso. Los firewall actúan como

servidor intermediario entre las conexiones de SMTP y el Hypertext Transfer Protocol (HTTP).

Papel de los firewalls en la seguridad web

Los firewalls imponen restricciones en paquetes de red entrantes y salientes de y hacia redes privadas.

Este tráfico debe pasar a través de un firewall y solamente el tráfico autorizado atravesarlo. Los firewalls

pueden crear checkpoints entre una red interna privada e Internet, también conocidos como “choke
points”. Los firewalls pueden crear choke points basados en la IP de origen y el número de puerto TCP.

También pueden servir como plataforma para IPsec. Usando un modo túnel, el firewall puede ser usado

para implementar VPNs. También pueden limitar la exposición red escondiendo el sistema interno de

red e información de Internet.

Tipos de Firewall
Packet filter

Un packet filter es un firewall de la primera generación que procesa el tráfico de red procesándolo

“paquete por paquete”. Su trabajo principal es filtrar el tráfico de una IP remota por lo que se necesita un

router para conectar la red internta a Internet. El router se conoce como screening router, el cual

visualiza paquetes saliendo y entrando en la red.

Inspección del estado del paquete

En un cortafuegos stateful el circuit-level Gateway es un servidor proxy que opera en el nivel red de

un modelo de interconexión de sistemas abiertos (OSI) que inactivamente define el tráfico que será

permitido. Los circuitos proxys permitirán pasar paquetes de red que contienen un número de puerto, si

el puerto es permitido por el algoritmo. La principal ventaja de un servidor proxy es la habilidad de

proporcionar una Traducción de Direcciones de Red (NAT), la cual puede esconder la dirección IP del

usuario de forma efectiva protegiéndolo así de Internet.

Application-level Gateway

Los apllication-level firewalls son cortafuegos de tercera generación, donde un servidor proxy opera en

la cima del modelo OSI, al nivel de aplicación IP suite. Un paquete red se transmite solamente si la

conexión se establece usando un protocolo conocido. Application-level gateways son notablemente

eficientes analizando mensajes enteros en lugar de paquetes individuales de datos cuando estos datos

están siendo enviados o se reciben.

Elección de buscador
Las estadísticas sobre buscadores web tienden a afectar la forma en la que se explota un buscador. Por

ejemplo, Internet Explorer 6, el cual solía controlar la mayoría del mercado de buscadores en internet, 13

es considerado extremadamente inseguro14 ya que sus vulnerabilidades fueron explotadas al máximo

debido a su popularidad. Desde que hay más variedad de buscadores entre los que escoger el número

de usuarios está más distribuido (Internet Explorer 28,5%, Firefox 18,4%, Google Chrome 40,8%, etc.)

)13 y las vulnerabilidades son utilizadas en distintos buscadores.

Productos de seguridad en internet

Antivirus
Los antivirus son programas de seguridad en internet que protegen a los dispositivos de un ataque

detectando y eliminando los virus; estos programas eran mayoritariamente sharewares en los primeros

años de internet, Plantilla:When pero hoy en díaPlantilla:When existen numerosas aplicaciones de

seguridad entre las que elegir para todas las plataformas.

RIESGOS EN INTERNET
Las personas frecuentemente necesitamos información para realizar nuestras actividades, y

muchas veces la podemos obtener en Internet de manera más rápida, cómoda y económica que

en el mundo físico". No obstante hemos de considerar posibles riesgos:

Acceso a información poco fiable y falsa. Existe mucha información errónea y poco actualizada en

Internet, ya que cualquiera puede poner información en la red. Dispersión, pérdida de tiempo. A veces

se pierde mucho tiempo para localizar la información que se necesita, es fácil perderse navegando.
Acceso a información inapropiada y nociva. Existen webs que pese a contener información científica,

pueden resultar inapropiadas y hasta nocivas por el modo en el que se abordan los temas o la crudeza

de las imágenes. Acceso a información peligrosa, inmoral, ilícita. Existe información poco recomendable

y hasta con contenidos considerados delictivos. La globalidad de Internet y las diferentes culturas y

legislaciones de los países hacen posible la existencia de estas páginas web en el ciberespacio.

Enlos últimos años los jóvenes han sufrido de estos riesgos sociales en internet que son:

El ciberbulling o ciberacoso que es el uso de información electrónica y medios de comunicación tales

como correo electrónico, redes sociales, blogs, mensajería instantánea, mensajes de texto, teléfonos

móviles, y websites difamatorios para acosar a un individuo o grupo, mediante ataques personales u

otros medios. Puede constituir un delito penal. El ciberacoso es voluntarioso e implica un daño

recurrente y repetitivo infligido a través del medio del texto electrónico. Todo esto se útilza para dañar a

una persona no físicamente sino mentalmente.

1.1.3 Amenazas más importantes a las aplicaciones Web.

01. Inyecciones.

Vulnerabilidades de inyección de código, desde SQL hasta comandos del sistema.

02. Robo de Información

Una de las vulnerabilidades más extendidas y a la par subestimada.

03. Gestión defectuosa de sesiones y autenticación.

Comprende los errores y fallos en las funciones de gestión de sesiones y autenticación.

04. Referencias directas a objetos inseguras.

Errores al exponer partes privadas o internas de una aplicación sin control y accesibles públicamente.
05. Cross-site Request Forgery.

Se mantiene en el mismo puesto anterior. Vulnerabilidad consistente en el desencadenamiento de

acciones legitimas por parte un usuario autenticado, de manera inadvertida por este último y bajo el

control de un atacante.

06. Ausencia de, o mala, configuración de seguridad.

Más que un error en el código se trata de la falta o mala configuración de seguridad de todo el conjunto

de elementos que comprende el despliegue de una aplicación web, desde la misma aplicación hasta la

configuración del sistema operativo o el servidor web.

07. Almacenamiento con cifrado inseguro.

Referida a la ausencia o mal uso de los sistemas de cifrado en relación a los datos almacenados o

manejados por la aplicación.

08. Falta de restricciones en accesos por URL.

Falta de validación en el procesamiento de URLs que podrían ser usadas para invocar recursos sin los

derechos apropiados o páginas ocultas.

09. Protección insuficiente de la capa de transporte.

Relacionada con A7 pero orientada a la protección del tráfico de red. Elección de un cifrado débil o mala

gestión de certificados.

10. Datos de redirecciones y destinos no validados.

Errores en el tratamiento de redirecciones y uso de datos no confiables como destino.

1.1.4 Guías de seguridad

Seguridad de redes

La seguridad de redes consiste en las políticas adoptadas para prevenir y

monitorear el acceso no autorizado, el mal uso, la modificación o la denegación de

una red de computadoras y recursos de acceso de red. La seguridad de redes

involucra la autorización del acceso a datos en la red, que es controlado por el

 administrador de red. Los usuarios escogen o son asignados con un ID y una

contraseña u otra información de autenticación que les de acceso a la información

y programas dentro de su autoridad. La seguridad de redes cubre una variedad de

redes, ya sean públicas o privadas, que se usan en los trabajos de todos los días;

llevando a cabo transacciones y comunicación entre negocios, organismos

gubernamentales e individuos. Las redes pueden ser privadas, como dentro de

una compañía y otras que pueden estar abiertas a todo público. La seguridad de

redes está involucrada en organizaciones, empresas y otro tipo de instituciones.

Hace lo que su título explica: asegura la red, además, protege y vigila operaciones

que se están llevando a cabo. La forma más simple y común de proteger un

recurso de red es asignando un nombre único y una contraseña correspondiente.

Guia

 Conceptos de seguridad de redes

 Administración de seguridad

o Tipos de ataques

Conceptos de seguridad de redes

La seguridad de redes empieza con la autenticación, usualmente con un nombre de

usuario y una contraseña. Ya que esto requiere solamente autenticar un nombre

de usuario, por ejemplo, con la contraseña, se utiliza el término autenticación de

un factor. Con un doble factor de autenticación se utiliza algo que el usuario

"tiene", por ejemplo, un token de seguridad, una tarjeta de crédito o un teléfono celular;

y con un factor triple de autenticación se usa algo que el usuario "es", por

ejemplo huella dactilar o reconocimiento de iris.

Una vez autenticado, un cortafuegos aplica políticas de acceso, por ejemplo,

asignar los servicios a los cuales pueden acceder los usuarios de la red. 1 Aunque

esta medida es efectiva para prevenir acceso no autorizado, este componente

puede fallar al revisar contenido que puede ser dañino, un ejemplo sería un gusano

informático o un troyano que esté siendo transmitido en la red. Un antivirus o

un Sistema de prevención de intrusos (SPI )2 ayuda a detectar e inhibir la acción de

un malware. Un sistema de prevención de intrusos, basado en anomalías, también

puede monitorear la red, por ejemplo usando wireshark se puede analizar tráfico en

la red con propósitos de auditoría o para un análisis de alto nivel.

La comunicación entre dos hosts en una red puede ser encriptada con propósito

de privacidad.

Los honeypots, esencialmente sirven como distracción para canalizar los recursos

de acceso de red y pueden ser desplegados en una red para vigilar y como

herramienta de prevención, ya que estos honeypots no son normalmente

accedidos para propósitos legítimos. Las técnicas utilizadas por los atacantes que

intentan comprometer estos señuelos son estudiados, durante y después del

ataque, para mantener vigiladas nuevas técnicas de exploit. Dicho análisis puede

ser usado para futuros reforzamientos en la seguridad de la red que está siendo

protegida por ese honeypot. Un honeypot también puede dirigir la atención del

atacante lejos de los servidores legítimos. Los honeypots animan a los atacantes a

invertir su tiempo y energía en el servidor de distracción mientras desvían la

atención de la información en los servidores reales. Similar a un honeypot,

una honeynet es una red configurada con vulnerabilidad intencional. Su propósito

es, también, el de invitar a los atacantes para que sus técnicas de ataque puedan

ser analizadas y ese conocimiento pueda ser usado para aumentar la seguridad

de la red. Una honeynet normalmente contiene uno o más honeypots.

Administración de seguridad

La administración de seguridad de redes varía dependiendo de la situación. Una

red de casa o de una pequeña oficina puede requerir solamente seguridad básica,

mientras que grandes empresas pueden requerir un alto mantenimiento de,

ambos, software y hardware, para prevenir ataques de hackers y de tipo spam.

Tipos de ataques

Las redes son objeto de ataques por parte de fuentes malignas. Estos ataques se

pueden clasificar de dos formas: "pasivos" cuando un intruso intercepta datos que

están viajando a través la red y "activos" cuando el intruso ejecuta comandos para

alterar el funcionamiento normal de la red.

Tipos de ataque:

 Pasivos
 Red
 Escucha telefónica
 Escáner de puertos
 Escaneo libre
 Activos
 Ataque de denegación de servicio
 DNS spoofing
 Ataque Man-in-the-middle
  ARP Spoofing
 Ataque por salteo de VLAN
 Ataque smurf
 Desbordamiento de búfer
 Desbordamiento de montículo
 Ataque de formato String
 Inyección SQL
 Phishing
 Cross-site scripting
 CSRF
 Ataque informático

1.2.- Seguridad en el Cliente

La seguridad de la información es el conjunto de medidas preventivas y

reactivas de las organizaciones y de los sistemas tecnológicos que permiten

resguardar y proteger la información buscando mantener la confidencialidad, la

disponibilidad e integridad de datos y de la misma.

El concepto de seguridad de la información no debe ser confundido con el

de seguridad informática, ya que este último sólo se encarga de la seguridad en el

medio informático, pero la información puede encontrarse en diferentes medios o

formas, y no solo en medios informáticos.

Para el hombre como individuo, la seguridad de la información tiene un efecto

significativo respecto a su privacidad, la que puede cobrar distintas dimensiones

dependiendo de la cultura del mismo.

El campo de la seguridad de la información ha crecido y evolucionado

considerablemente a partir de la Segunda Guerra Mundial, convirtiéndose en una

carrera acreditada a nivel mundial. Este campo ofrece muchas áreas de

especialización, incluidos la auditoría de sistemas de información, planificación de

la continuidad del negocio, ciencia forense digital y administración de sistemas de

gestión de seguridad, entre otros.

Concepción de la seguridad de la información

En la seguridad de la información es importante señalar que su manejo está

basado en la tecnología y debemos de saber que puede ser confidencial: la

información está centralizada y puede tener un alto valor. Puede ser divulgada,

mal utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y la

pone en riesgo. La información es poder, y según las posibilidades estratégicas

que ofrece tener acceso a cierta información, ésta se clasifica como:

Crítica: Es indispensable para la operación de la empresa.

Valiosa: Es un activo de la empresa y muy valioso.

Sensible: Debe de ser conocida por las personas autorizadas

Existen dos palabras muy importantes que son riesgo y seguridad:

Riesgo: Es la materialización de vulnerabilidades identificadas, asociadas

con su probabilidad de ocurrencia, amenazas expuestas, así como el

impacto negativo que ocasione a las operaciones de negocio.

Seguridad: Es una forma de protección contra los riesgos.

La seguridad de la información comprende diversos aspectos

entre ellos la disponibilidad, comunicación, identificación de

problemas, análisis de riesgos, la integridad, confidencialidad,

recuperación de los riesgos.

Precisamente la reducción o eliminación de riesgos asociado a

una cierta información es el objeto de la seguridad de la

información y la seguridad informática. Más concretamente,

la seguridad de la información tiene como objeto los sistemas

el acceso, uso, divulgación, interrupción o destrucción no

autorizada de información.1 Los términos seguridad de la

información, seguridad informática y garantía de la

información son usados frecuentemente como sinónimos porque

todos ellos persiguen una misma finalidad al proteger

la confidencialidad, integridad y disponibilidad de la

información. Sin embargo, no son exactamente lo mismo

existiendo algunas diferencias sutiles. Estas diferencias radican

principalmente en el enfoque, las metodologías utilizadas, y las

zonas de concentración. Además, la seguridad de la información

involucra la implementación de estrategias que cubran los

procesos en donde la información es el activo primordial. Estas

estrategias deben tener como punto primordial el

establecimiento de políticas, controles de seguridad, tecnologías

y procedimientos para detectar amenazas que puedan explotar

vulnerabilidades y que pongan en riesgo dicho activo, es decir,

que ayuden a proteger y salvaguardar tanto información como

los sistemas que la almacenan y administran. La seguridad de la

información incumbe a gobiernos, entidades militares,

instituciones financieras, los hospitales y las empresas privadas

con información confidencial sobre sus empleados, clientes,

productos, investigación y su situación financiera.

En caso de que la información confidencial de una empresa, sus

clientes, sus decisiones, su estado financiero o nueva línea de

productos caigan en manos de un competidor; se vuelva pública

de forma no autorizada, podría ser causa de la pérdida de

credibilidad de los clientes, pérdida de negocios, demandas

legales o incluso la quiebra de la misma.

Por más de veinte años[¿cuándo?] la Seguridad de la Información

ha declarado que la confidencialidad, integridad y disponibilidad

(conocida como la Tríada CIA, del inglés:

"Confidentiality, Integrity, Availability") son los principios básicos

de la seguridad de la información.

La correcta Gestión de la Seguridad de la Información busca

establecer y mantener programas, controles y políticas, que

tengan como finalidad conservar la confidencialidad, integridad y

disponibilidad de la información, si alguna de estas

características falla no estamos ante nada seguro. Es preciso

anotar, además, que la seguridad no es ningún hito, es más bien

un proceso continuo que hay que gestionar conociendo siempre

las vulnerabilidades y las amenazas que se ciñen sobre

cualquier información, teniendo siempre en cuenta las causas de

riesgo y la probabilidad de que ocurran, así como el impacto que

puede tener. Una vez conocidos todos estos puntos, y nunca

antes, deberán tomarse las medidas de seguridad oportunas.

Confidencialidad

La confidencialidad es la propiedad que impide la divulgación de

información a individuos, entidades o procesos no autorizados.

A grandes rasgos, asegura el acceso a la información

únicamente a aquellas personas que cuenten con la debida

autorización.

Por ejemplo, una transacción de tarjeta de crédito en Internet

requiere que el número de tarjeta de crédito a ser transmitida

desde el comprador al comerciante y el comerciante de a una

red de procesamiento de transacciones. El sistema intenta hacer

valer la confidencialidad mediante el cifrado del número de la

tarjeta y los datos que contiene la banda magnética durante la

transmisión de los mismos. Si una parte no autorizada obtiene el

número de la tarjeta en modo alguno, se ha producido una

violación de la confidencialidad.

La pérdida de la confidencialidad de la información puede

adoptar muchas formas. Cuando alguien mira por encima de su

hombro, mientras usted tiene información confidencial en la

pantalla, cuando se publica información privada, cuando un

laptop con información sensible sobre una empresa es robado,

cuando se divulga información confidencial a través del teléfono,

etc. Todos estos casos pueden constituir una violación de la

confidencialidad.

Integridad

Disponibilidad

La disponibilidad es la característica, cualidad o condición de la

información de encontrarse a disposición de quienes deben

acceder a ella, ya sean personas, procesos o aplicaciones.

Grosso modo, la disponibilidad es el acceso a la información y a

los sistemas por personas autorizadas en el momento que así lo

requieran.

En el caso de los sistemas informáticos utilizados para

almacenar y procesar la información, los controles de seguridad

utilizados para protegerlo, y los canales de comunicación

protegidos que se utilizan para acceder a ella deben estar

funcionando correctamente. La alta disponibilidad sistemas

objetivo debe estar disponible en todo momento, evitando

interrupciones del servicio debido a cortes de energía, fallos de

hardware, y actualizaciones del sistema.

Garantizar la disponibilidad implica también la prevención de

ataque de denegación de servicio. Para poder manejar con

mayor facilidad la seguridad de la información, las empresas o

negocios se pueden ayudar con un sistema de gestión que

permita conocer, administrar y minimizar los posibles riesgos

que atenten contra la seguridad de la información del negocio.

La disponibilidad además de ser importante en el proceso de

seguridad de la información, es además variada en el sentido de

que existen varios mecanismos para cumplir con los niveles de

servicio que se requiera. Tales mecanismos se implementan en

infraestructura tecnológica, servidores de correo electrónico, de

bases de datos, de web etc, mediante el uso de clusters o

arreglos de discos, equipos en alta disponibilidad a nivel de red,

servidores espejo, replicación de datos, redes de

almacenamiento (SAN), enlaces redundantes, etc. La gama de

posibilidades dependerá de lo que queremos proteger y el nivel

de servicio que se quiera proporcionar.

Autenticación o autentificación

Es la propiedad que permite identificar el generador de la

información. Por ejemplo al recibir un mensaje de alguien, estar

seguro que es de ese alguien el que lo ha mandado, y no una

tercera persona haciéndose pasar por la otra (suplantación de

identidad). En un sistema informático se suele conseguir este

factor con el uso de cuentas de usuario y contraseñas de

acceso.

Esta propiedad se puede considerar como un aspecto de la

integridad -si está firmado por alguien, está realmente enviado

por el mismo- y así figura en la literatura anglosajona.

Servicios de seguridad

El objetivo de un servicio de seguridad es mejorar la seguridad

de los sistemas de procesamiento de datos y la transferencia de

información en las organizaciones. Los servicios de seguridad

están diseñados para contrarrestar los ataques a la seguridad y

hacen uso de uno o más mecanismos de seguridad para

proporcionar el servicio.

No repudio o irrefutabilidad

Proporciona protección contra la interrupción, por parte de alguna de las

entidades implicadas en la comunicación, de haber participado en toda o parte de

la comunicación. El servicio de Seguridad de No repudio o irrenunciabilidad está

estandarizado en la ISO-7498-2.

No Repudio de origen: El emisor no puede negar qué envió porque el destinatario

tiene pruebas del envío. El receptor recibe una prueba infalsificable del origen del

envío, lo cual evita que el emisor, de negar tal envío, tenga éxito ante el juicio de
terceros. En este caso, la prueba la crea el propio emisor y la recibe el

destinatario.

 Prueba que el mensaje fue enviado por la parte específica.

No Repudio de destino: El receptor no puede negar que recibió el mensaje

porque el emisor tiene pruebas de la recepción. Este servicio proporciona al

emisor la prueba de que el destinatario legítimo de un envío, realmente lo recibió,

evitando que el receptor lo niegue posteriormente. En este caso la prueba

irrefutable la crea el receptor y la recibe el emisor.

 Prueba que el mensaje fue recibido por la parte específica.

Si la autenticidad prueba quién es el autor de un documento y cual es su

destinatario, el “no repudio” prueba que el autor envió la comunicación (no

repudio en origen) y que el destinatario la recibió (no repudio en destino). El no

repudio evita que el emisor o el receptor nieguen la transmisión de un mensaje.

Así, cuando se envía un mensaje, el receptor puede comprobar que,

efectivamente, el supuesto emisor envió el mensaje. De forma similar, cuando se

recibe un mensaje, el emisor puede verificar que, de hecho, el supuesto receptor

recibió el mensaje. Definición según la recomendación X.509 de la UIT-T Servicio

que suministra la prueba de la integridad y del origen de los datos- ambos en una

relación infalsificable que pueden ser verificados por un tercero en cualquier

momento.

Protocolos de seguridad de la información

Los protocolos de seguridad son un conjunto de reglas que gobiernan dentro de

la transmisión de datos entre la comunicación de dispositivos para ejercer una

confidencialidad, integridad, autenticación y el no repudio de la información. Se

componen de:
 Criptografía (Cifrado de datos). Se ocupa de transposicionar u ocultar el

mensaje enviado por el emisor hasta que llega a su destino y puede ser

descifrado por el receptor.

 Lógica (Estructura y secuencia). Llevar un orden en el cual se agrupán los

datos del mensaje el significado del mensaje y saber cuando se va enviar el

mensaje.

 Identificación (Autentication). Es una validación de identificación técnica

mediante la cual un proceso comprueba que el compañero de comunicación

es quien se supone que es y no se trata de un impostor.

Planificación de la seguridad

Hoy en día la rápida evolución del entorno técnico requiere que las

organizaciones adopten un conjunto mínimo de controles de seguridad para

proteger su información y sistemas de información. El propósito del plan de

seguridad del sistema es proporcionar una visión general de los requisitos de

seguridad del sistema y se describen los controles en el lugar o los previstos para

cumplir esos requisitos. El plan de seguridad del sistema también delinea las

responsabilidades y el comportamiento esperado de todos los individuos que

acceden al sistema. Debe reflejar las aportaciones de distintos gestores con

responsabilidades sobre el sistema, incluidos los propietarios de la información, el

propietario de la red, y el alto funcionario de la agencia de información de

seguridad (SAISO).

Los administradores de programas, los propietarios del sistema, y personal de

seguridad en la organización debe entender el sistema de seguridad en el

proceso de planificación. Los responsables de la ejecución y gestión de sistemas

de información deben participar en el tratamiento de los controles de seguridad

que deben aplicarse a sus sistemas.

Creación de un plan de respuesta a incidentes

Es importante formular un plan de respuestas a incidentes,

soportarlo a lo largo de la organización y probarlo regularmente.

Un buen plan de respuestas a incidentes puede no sólo

minimizar los efectos de una violación sino también, reducir la

publicidad negativa.

Desde la perspectiva del equipo de seguridad, no importa si

ocurre una violación o abertura (pues tales eventos son una

parte eventual de cuando se hacen negocios usando un método

de poca confianza como lo es Internet), sino más bien cuándo

ocurre. El aspecto positivo de entender la inevitabilidad de una

violación a los sistemas (cualquier sistema donde se procese

información confidencial, no está limitado a servicios

informáticos) es que permite al equipo de seguridad desarrollar

un curso de acciones para minimizar los daños potenciales.

Combinando un curso de acciones con la experiencia le permite

al equipo responder a condiciones adversas de una manera

formal y oportuna.

El plan de respuesta a incidentes puede ser dividido en cuatro

fases:

 Acción inmediata para detener o minimizar el incidente

 Investigación del incidente

 Restauración de los recursos afectados

 Reporte del incidente a los canales apropiados

Una respuesta a incidentes debe ser decisiva y ejecutarse

rápidamente. Debido a que hay muy poco espacio para errores,

es crítico que se efectúen prácticas de emergencias y se midan

los tiempos de respuesta. De esta forma, es posible desarrollar

una metodología que fomenta la velocidad y la precisión,

minimizando el impacto de la indisponibilidad de los recursos y

el daño potencial causado por el sistema en peligro.

Un plan de respuesta a incidentes tiene un número de

requerimientos, incluyendo:

 Un equipo de expertos locales (un Equipo de respuesta a

emergencias de computación)

 Una estrategia legal revisada y aprobada

 Soporte financiero de la compañía

 Soporte ejecutivo de la gerencia superior

 Un plan de acción factible y probado

 Recursos físicos, tal como almacenamiento redundante,

sistemas en stand by y servicios de respaldo

Consideraciones legales

Otros aspectos importantes a considerar en una respuesta a

incidentes son las ramificaciones legales. Los planes de

seguridad deberían ser desarrollados con miembros del equipo

de asesoría jurídica o alguna forma de consultoría general. De la

misma forma en que cada compañía debería tener su propia

política de seguridad corporativa, cada compañía tiene su forma

particular de manejar incidentes desde la perspectiva legal. Las

regulaciones locales, de estado o federales están más allá del

ámbito de este documento, pero se mencionan debido a que la

metodología para llevar a cabo el análisis forense, será dictado,

al menos en parte, por la consultoría jurídica. La consultoría

general puede alertar al personal técnico de las ramificaciones

legales de una violación; los peligros de que se escape

información personal de un cliente, registros médicos o

financieros; y la importancia de restaurar el servicio en

ambientes de misión crítica tales como hospitales y bancos.

Planes de acción

Una vez creado un plan de acción, este debe ser aceptado e

implementado activamente. Cualquier aspecto del plan que sea

cuestionado durante la implementación activa lo más seguro es

que resulte en un tiempo de respuesta pobre y tiempo fuera de

servicio en el evento de una violación. Aquí es donde los

ejercicios prácticos son invalorables. La implementación del plan

debería ser acordada entre todas las partes relacionadas y

ejecutada con seguridad, a menos que se llame la atención con

respecto a algo antes de que el plan sea colocado en

producción.

La respuesta a incidentes debe ir acompañada con recolección

de información siempre que esto sea posible. Los procesos en

ejecución, conexiones de red, archivos, directorios y mucho más

debería ser auditado activamente en tiempo real. Puede ser muy

útil tener una toma instantánea de los recursos de producción al

hacer un seguimiento de servicios o procesos maliciosos. Los

miembros de CERT y los expertos internos serán recursos

excelentes para seguir tales anomalías en un sistema.

El manejo de riesgos

Dentro de la seguridad en la información se lleva a cabo la

clasificación de las alternativas para manejar los posibles riegos

que un activo o bien puede tener dentro de los procesos de

organización. Esta clasificación lleva el nombre de manejo de

riesgos. El manejo de riesgos, conlleva una estructura bien

definida, con un control adecuado y su manejo, habiéndolos

identificado, priorizados y analizados, a través de acciones

 factibles y efectivas. Para ello se cuenta con las siguientes

técnicas de manejo del riesgo:

 Evitar. El riesgo es evitado cuando la organización rechaza

aceptarlo, es decir, no se permite ningún tipo de exposición.

Esto se logra simplemente con no comprometerse a realizar

la acción que origine el riesgo. Esta técnica tiene más

desventajas que ventajas, ya que la empresa podría

abstenerse de aprovechar muchas oportunidades. Ejemplo:

No instalar empresas en zonas sísmicas

 Reducir. Cuando el riesgo no puede evitarse por tener

varias dificultades de tipo operacional, la alternativa puede

ser su reducción hasta el nivel más bajo posible. Esta opción

es la más económica y sencilla. Se consigue optimizando los

procedimientos, la implementación de controles y su

monitoreo constante. Ejemplo:

No fumar en ciertas áreas, instalaciones eléctricas anti flama, planes de

contingencia.

 Retener, Asumir o Aceptar el riesgo. Es uno de los

métodos más comunes del manejo de riesgos, es la decisión

de aceptar las consecuencias de la ocurrencia del evento.

Puede ser voluntaria o involuntaria, la voluntaria se

caracteriza por el reconocimiento de la existencia del riesgo

y el acuerdo de asumir las perdidas involucradas, esta

decisión se da por falta de alternativas. La retención

 involuntaria se da cuando el riesgo es retenido

inconscientemente. Ejemplo de asumir el riesgo:

Con recursos propios se financian las pérdidas.

 Transferir. Es buscar un respaldo y compartir el riesgo con

otros controles o entidades. Esta técnica se usa ya sea para

eliminar un riesgo de un lugar y transferirlo a otro, o para

minimizar el mismo, compartiéndolo con otras entidades.

Ejemplo:

Transferir los costos a la compañía aseguradora

Medios de transmisión de ataques a los sistemas

de seguridad

El mejor en soluciones de su clase permite una respuesta rápida

a las amenazas emergentes, tales como:

 Malware y spam propagado por e-mail.

 La propagación de malware y botnets.

 Los ataques de phishing alojados en sitios web.

 Los ataques contra el aumento de lenguaje de marcado

extensible (XML) de tráfico, arquitectura orientada a

servicios (SOA) y servicios web.

Estas soluciones ofrecen un camino a la migración y la

integración. Como las amenazas emergentes, cada vez más

generalizada, estos productos se vuelven más integrados en un

enfoque de sistemas.
Un enfoque de sistemas de configuración, la política, y el

seguimiento se reúne cumplimiento de las normativas en curso y

permite a los sistemas rentables de gestión. El enfoque de

sistemas de gestión de la seguridad, dispone:

 Configuración de la política común de todos los productos

 Amenaza la inteligencia y la colaboración de eventos

 Reducción de la complejidad de configuración

 Análisis de riesgos eficaces y operativos de control

En la actualidad gracias a la gran cantidad posibilidades que se

tiene para tener acceso a los recursos de manera remota y al

gran incremento en las conexiones a la internet los delitos en el

ámbito de TI se han visto incrementado, bajo estas

circunstancias los riesgos informáticos son más latentes. Los

delitos cometidos mediante el uso de la computadora han

crecido en tamaño, forma y variedad. Los principales delitos

hechos por computadora o por medio de computadoras son:

 Fraudes

 Falsificación

 Venta de información
Entre los hechos criminales más famosos en los Estados Unidos

están:

 El caso del Banco Wells Fargo donde se evidenció que la

protección de archivos era inadecuada, cuyo error costo

USD 21.3 millones.

 El caso de la NASA donde dos alemanes ingresaron en

archivos confidenciales.

 El caso de un muchacho de 15 años que entrando a la

computadora de la Universidad de Berkeley en California

destruyó gran cantidad de archivos.

 También se menciona el caso de un estudiante de una

escuela que ingreso a una red canadiense con un

procedimiento de admirable sencillez, otorgándose una

identificación como un usuario de alta prioridad, y tomó el

control de una embotelladora de Canadá.

 También el caso del empleado que vendió la lista de clientes

de una compañía de venta de libros, lo que causo una

pérdida de USD 3 millones.

 También el caso de estudiantes de Ingeniería electrónica

donde accedieron al sistema de una Universidad de

Colombia y cambiaron las notas de sus compañeros

generando estragos en esta Universidad y retrasando

labores, lo cual dejó grandes perdidas económicas y de

tiempo.
Los virus, troyanos, spyware, malware y demás código llamado

malicioso (por las funciones que realiza y no por tratarse de un

código erróneo), tienen como objetivo principal el ejecutar

acciones no solicitadas por el usuario, las cuales pueden ser

desde, el acceso a una página no deseada, el

redireccionamiento de algunas páginas de internet, suplantación

de identidad o incluso la destrucción o daño temporal a los

registros del sistemas, archivos y/o carpetas propias. El virus

informático es un programa elaborado accidental o

intencionadamente, que se introduce y se transmite a través

cualquier medio extraíble y transportable o de la misma red en la

que se encuentre un equipo infectado, causando diversos tipos

de daños a los sistemas.

Históricamente los virus informáticos fueron descubiertos por la

prensa el 12 de octubre de 1985, con una publicación del New

York Times que hablaba de un virus que fue se distribuyó desde

un BBS y aparentemente era para optimizar los sistemas IBM

basados en tarjeta gráfica EGA, pero al ejecutarlo salía la

presentación pero al mismo tiempo borraba todos los archivos

del disco duro, con un mensaje al finalizar que decía "Caíste".

Este dato se considera como el nacimiento de su nombre, ya

que los programas con código integrado, diseñados para hacer

cosas inesperadas han existido desde que existen las propias

computadoras. Las primeras referencias de virus con fines

intencionales surgieron en 1983 cuando Digital Equipament

Corporation (DEC) empleó una subrutina para proteger su

famoso procesador de textos Decmate II, que el 1 de abril de

1983 en caso de ser copia ilegal borraba todos los archivos de su unidad

de disco.

Actores que amenazan la seguridad

 Un hacker es cualquier persona con amplios conocimientos

en tecnología, bien puede ser informática, electrónica o

comunicaciones, mantiene permanentemente actualizado y

conoce a fondo todo lo relacionado con programación y

sistemas complejos; es un investigador nato que se inclina

ante todo por conocer lo relacionado con cadenas de datos

cifrados y las posibilidades de acceder a cualquier tipo de

"información segura". Su formación y las habilidades que

poseen les da una experticia mayor que les permite acceder

a sistemas de información seguros, sin ser descubiertos, y

también les da la posibilidad de difundir sus conocimientos

para que las demás personas se enteren de cómo es que

realmente funciona la tecnología y conozcan las debilidades

de sus propios sistemas de información.

 Un cracker, es aquella persona con comportamiento

compulsivo, que alardea de su capacidad para reventar

 sistemas electrónicos e informáticos. Un cracker es un hábil

conocedor de programación de Software y Hardware; diseña

y fabrica programas de guerra y hardware para reventar

software y comunicaciones como el teléfono, el correo

electrónico o el control de otros computadores remotos.

 Un lamer Es una persona que alardea de pirata informático,

cracker o hacker y solo intenta utilizar programas de FÁCIL

manejo realizados por auténticos hackers.

 Un copyhacker' es una persona dedicada a falsificar

y crackear hardware, específicamente en el sector de

tarjetas inteligentes. Su estrategia radica en establecer

amistad con los verdaderos Hackers, para copiarles los

métodos de ruptura y después venderlos los bucaneros. Los

copyhackers se interesan por poseer conocimientos de

tecnología, son aficionados a las revistas técnicas y a leer

todo lo que hay en la red. Su principal motivación es el

dinero.

 Un "bucanero" es un comerciante que depende

exclusivamente de la red para su actividad. Los "bucaneros"

no poseen ningún tipo de formación en el área de los

sistemas, si poseen un amplio conocimiento en área de los

negocios.

 Un phreaker se caracterizan por poseer vastos

conocimientos en el área de telefonía terrestre y móvil,

 incluso más que los propios técnicos de las compañías

telefónicas; recientemente con el auge de los teléfonos

móviles, han tenido que entrar también en el mundo de la

informática y del procesamiento de datos.

 Un newbie o "novato de red" es un individuo que sin

proponérselo tropieza con una página de hacking y descubre

que en ella existen áreas de descarga de buenos programas

de hackeo, baja todo lo que puede y empieza a trabajar con

ellos.

 Un script kiddie o skid kiddie, es un simple usuario de

Internet, sin conocimientos sobre hackeo o crackeo que,

aunque aficionado a estos tema, no los conoce en

profundidad limitándose a recopilar información de la red y a

buscar programas que luego ejecuta, infectando en algunos

casos de virus a sus propios equipos.

 Un tonto o descuidado, es un simple usuarios de la

información, con o sin conocimientos sobre hackeo o

crackeo que accidentalmente borra daña o modifica la

información, ya sea en un mantenimiento de rutina o

supervision.
1.2.2 Lenguajes de Macros: VBA

Una macro (del griego μακρο, makro, que significa ‘grande’) ―abreviatura

de macroinstrucción― es una serie de instrucciones que se almacenan para que

se puedan ejecutar de manera secuencial mediante una sola llamada u orden de

ejecución. Dicho de otra manera, una macroinstrucción es una instrucción

compleja, formada por otras instrucciones más sencillas. Esto permite la

automatización de tareas repetitivas.

Las macros tienden a almacenarse en el ámbito del propio programa que las

utiliza y se ejecutan pulsando una combinación especial de teclas o un botón

especialmente creado y asignado para tal efecto.

La diferencia entre una macroinstrucción y un programa es que en las

macroinstrucciones la ejecución es secuencial y no existe otro concepto del flujo

de programa.
Macros de aplicaciones

Son un grupo de instrucciones que se ejecutan secuencialmente y se utilizan para

economizar tareas. Una macro no es más que un conjunto de instrucciones (tales

como «borrar archivo», «añadir registro», etc.), y que se almacenan en una

ubicación especial. Por ejemplo, en Microsoft Access se observa que hay una

zona para crear macros. Una macro en Access trabajando para una base de

datos podría ser un archivo que, al llamarse desde otra instrucción, borrara los

registros de un cliente o accionista, luego borrara ciertos registros en otras tablas.

Excel tiene incorporado el editor de VBA, se pueden crear macros con la

grabadora de macros o escribiendo directamente los códigos en el Editor de VBA,

esta última opción es más potente, ya que la grabadora de macros se limita a

grabar cosas repetitivas que se hacen con el teclado, en cambio al escribir el

código nos permite hacer otras cosas conviertiendo a Excel en una aplicación

super potente al permitir programar macros mediante vba.

Macros en programación

Son un conjunto de comandos que se invocan con una palabra clave,

opcionalmente seguidas de parámetros que se utilizan como código literal. Los

Macros son manejados por el compilador y no por el ejecutable compilado.

Los macros facilitan la actualización y mantenimiento de las aplicaciones debido a

que su re-u

tilizacion minimiza la cantidad de código escrito necesario para escribir un

programa.

Ejemplo de un MACRO:

echo off

cls

Hola Mundo...

pause()

Este ejemplo de MACRO puede ser utilizado repetidamente para definir variables

y agregarles un contenido inicial con una sintaxis más estructurada:

Debido a que los MACROS en programación pueden contener muchas líneas de

código para tareas complejas, y pueden ser invocados con un solo comando,
ofrecen la posibilidad de economizar código y facilitan en gran manera tareas
complejas.
La diferencia entre un MACRO y una función, es que las funciones son modulos

independientes, mientras que los macros son porciones de código que el

compilador "pega" en el lugar de invocación. Esto les permite la posibilidad de

usar variables locales del modulo en el que son invocados, sin la necesidad de

pasarlas al macro como parámetros. Además, los parámetros del macro son

utilizados como código literal, y no como variables de un tipo especifico.

1.2.3 Lenguajes de Script y VBScript

En informática, un script, archivo de órdenes, archivo de procesamiento por

lotes o, cada vez más aceptado en círculos profesionales y académicos, es

un programa usualmente simple, que por lo regular se almacena en un archivo de

texto plano. Los guiones son casi siempre interpretados, pero no todo programa

interpretado es considerado un guion. El uso habitual de los guiones es realizar

diversas tareas como combinar componentes, interactuar con el sistema operativo

o con el usuario.

1.2.4 Applets PHP

Un applet php es un applet escrito en el lenguaje de programación php. Los

applets de Java pueden ejecutarse en un navegador web utilizando la Virtual

Machine (PVM), o en el AppletViewer de Sun.

Entre sus características podemos mencionar un esquema de seguridad que

permite que los applets que se ejecutan en el equipo no tengan acceso a partes

sensibles (por ej. no pueden escribir archivos), a menos que uno mismo le dé los

permisos necesarios en el sistema; la desventaja de este enfoque es que la

entrega de permisos es engorrosa para el usuario común, lo cual juega en contra

de uno de los objetivos de los applets: proporcionar una forma fácil de ejecutar

aplicaciones desde el navegador web.

En PHP, un applet es un programa que puede incrustarse en un documento

HTML, es decir en una página web. Cuando un navegador carga una página web

que contiene un applet, este se descarga en el navegador web y comienza a

ejecutarse. Esto permite crear programas que cualquier usuario puede ejecutar

con tan solo cargar la página web en su navegador.

1.2.5 Controles ActiveX

ActiveX es un entorno para definir componentes de software reusables de forma

independiente del lenguaje de programación. Las aplicaciones de software pueden

ser diseñadas por uno o más de esos componentes para así proveer su

correspondiente funcionalidad.

ActiveX fue presentado en 1996 por Microsoft como una evolución de sus

tecnologías Component Object Model (COM) y Object Linking and

Embedding (OLE) y se usa generalmente en su sistema operativo Windows,

aunque la tecnología como tal no está atada al mismo.

Muchas aplicaciones Microsoft Windows — incluyendo muchas del propio

Microsoft como puedan ser Internet Explorer, Microsoft Office, Microsoft Visual

Studio, y Windows Media Player — usan controles ActiveX para proveer sus

juegos de funcionalidades y también encapsular su propia funcionalidad como

controles ActiveX que así pueden ser empotrados en otras aplicaciones. Internet

Explorer también permite empotrar sus propios controles ActiveX en páginas web.

El actual navegador de Microsoft, Microsoft Edge, no soporta esta tecnología, por

lo que se recomienda evitar su uso.2

Controles ActiveX

Los controles Active X son pequeños bloques empleados para la creación de

programas, que se pueden usar para crear aplicaciones distribuidas que funcionen

a través de Internet empleando navegadores web. Algunos ejemplos incluyen

aplicaciones para la recopilación de datos, para la visualización de determinados

tipos de datos o para reproducir animaciones.

La idea de los controles Active X era buena en tanto que fueron diseñados con la

finalidad de ser descargados y ejecutados por los navegadores web. Es lo que

hacen los Java applets pero los controles Active X presentan limitaciones que no

se encuentran en los Java applets:

 Los Java applets son capaces de ejecutarse en casi cualquier plataforma,

mientras que los componentes ActiveX sólo operan oficialmente con

el navegador web Internet Explorer, de Microsoft, y el sistema

operativo Microsoft Windows. El Malware, como los virus informáticos o

el spyware, podría infectar accidentalmente al usuario al visitar éste cualquier

sitio web contaminado o malicioso que gestione las descargas haciendo uso

de controles ActiveX.

Los controles ActiveX se pueden programar en cualquier lenguaje con soporte

para desarrollo de componentes COM, incluidos:

 C++ Tanto directamente como con la ayuda de librerías como ATL o MFC

 Borland Delphi

 Visual Basic

Algunos ejemplos de controles ActiveX son los command buttons, list

boxes, dialog boxes, y el propio navegador web Internet Explorer.Utilizar