Vulnerabilidad

 

·         Concepto 

      Son todos aquellos elementos que hacen a un sistema más propenso al ataque de una amenaza o aquellas situaciones en las que es más probable que un ataque tenga cierto éxito impacto en los procesos de negocio de la organización.

 

·         Riesgos Lógicos.

 

Son aquellos daños que el equipo puede sufrir en su estado lógico, perjudicando directamente a su software

-     Códigos maliciosos.

 

En seguridad informática, código malicioso es un término que hace referencia a cualquier conjunto de códigos, especialmente sentencias de programación, que tiene un fin malicioso. Esta definición incluye tanto programas malignos compilados, como macros y códigos que se ejecutan directamente, como los que suelen emplearse en las páginas web (scripts).Los códigos maliciosos pueden tener múltiples objetivos como:

 

• Extenderse por la computadora, otras computadoras en una red o por Internet

• Robar información y claves.

• Eliminar archivos e incluso formatear el disco duro.

• Mostrar publicidad invasiva.

 

-     Spam.

Se llama spam, correo basura o mensaje basura a los mensajes no solicitados, no deseados o de remitente no conocido, habitualmente de tipo publicitario, enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor.

 

-     Piratería.

La piratería es una práctica de saqueo organizado o bandolerismo marítimo, probablemente tan antigua como la navegación misma. Consiste en que una embarcación privada o una estatal amotinada ataca a otra en aguas internacionales o en lugares no sometidos a la jurisdicción de ningún Estado, con el propósito de robar su carga, exigir rescate por los pasajeros, convertirlos en esclavos y muchas veces apoderarse de la nave misma.

 

-     Fuga de información.

Se denomina fuga de información al incidente que pone en poder de una persona ajena a la organización, información confidencial y que sólo debería estar disponible para integrantes de la misma (tanto todos como un grupo reducido).

 

Se trata de un incidente que puede ser tanto interno como externo, y a la vez intencional o no. Algunos ejemplos de fuga de información pueden ser desde un empleado vendiendo información confidencial a la competencia (incidente interno e intencional), una secretaria que pierde un documento en un lugar público (incidente interno y no intencional) o en la misma línea la pérdida de una laptop o un pen drive, así como también el acceso externo a una base de datos en la organización o un equipo infectado con un Spyware que envíe información a un delincuente.

 

Todos estos incidentes tienen un punto en común como se indicó en la definición: información de la organización termina en manos de un tercero, que no debería tener acceso a la misma.

 

La información expuesta puede ser de cualquier índole: un listado de empleados con datos personales, listado de salarios, base de datos de clientes o una fórmula o algoritmo secretos, por citar algunos ejemplos.

 

Es difícil medir el impacto de la fuga de información pero puede ser muy diverso, especialmente según la intencionalidad del incidente. En aquellos casos en que se trata de un accidente no intencional, el impacto en la empresa dependerá de qué ocurre con el nuevo poseedor de esa información. Si se supone que un gerente de la empresa pierde una computadora portátil, el impacto puede ser nulo si quién la encuentra ignora la información que allí se contiene y formatea el sistema; o puede ser alto si el nuevo poseedor identifica los datos y los utiliza para publicarlos, comercializarlos o cualquier otra acción dañina.

 

Por otro lado, en los incidentes intencionales (es decir, maliciosos) el impacto está más claro: esa información puede ser utilizada para realizar un ataque a la organización, para venderse, para hacerse pública o para afectar la reputación o imagen de la organización. En cualquiera de los casos la fuga de información se caracteriza por ser un incidente que difícilmente pueda ser reparado o realizar algún procedimiento que permite “volver atrás” la situación.

 

Algunos estudios afirman la importancia de este tipo de incidentes en un esquema de seguridad. Según el 2009 CSI Computer Crime and Security Survey, un 15% de las empresas encuestadas sufrieron accesos no autorizados a la información por integrantes de la organización, y un 14% sufrieron acceso de personas ajenas a la empresa. Además, un 42% sufrieron el robo o pérdida de equipos portátiles. Sumados al 6% que sufrió acceso no autorizado a información protegida por propiedad intelectual por pérdida de equipos móviles y al 8% que sufrieron el acceso no autorizado de otro tipo a material protegido por la propiedad intelectual, son todos incidentes que aplican a la fuga de información.

 

Por otro lado, un estudio reciente de Intel, que ya comentamos en el blog, analiza el costo promedio para una empresa al perder una laptop. El mismo afirma que la mayor pérdida monetaria está asociada a la pérdida por violación de datos. Esto certifica que la fuga de información posee un impacto importante a considerar por cualquier organización.

 

-     Ingeniería social.

La ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas para obtener información, acceso o permisos en sistemas de información1​ que les permitan realizar daños a la persona u organismo comprometidos. El principio que sustenta la ingeniería social es el de que, en cualquier sistema, los usuarios son el «eslabón débil».

n la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o correos electrónicos falsos que solicitan respuestas e incluso las famosas cadenas, llevando así a revelar sus credenciales de acceso o información sensible, confidencial o crítica.

 

Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, –por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco– en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos.

 

La ingeniería Social está definida como un ataque basado en engañar a un usuario o administrador de un sitio en la internet, para poder ver la información que ellos quieren.

Se hace para obtener acceso a sistemas o información útil.

Los objetivos de la ingeniería social son fraude, intrusión de una red.

-     Intrusos informáticos.

Persona que intenta acceder a un sistema informático sin autorización

Un intruso es aquel que hace aplicaciones informáticas sin la calidad suficiente, ese es el tipo de intruso que hay que perseguir y erradicar de la profesión.

 

 

CLASIFICACIÓN DE LOS INTRUSOS EN LAS REDES

 

 Hackers

Los hackers son intrusos que se dedican a estas tareas como pasatiempo y como reto técnico:

entran en los sistemas informáticos para demostrar y poner a prueba su inteligencia y conocimientos de los entresijos de internet, pero no pretenden provocar daños en estos sistemas.

Sin embargo, hay que tener en cuenta que pueden tener acceso a información confidencial, por lo que su actividad está siendo considerada como un delito en bastantes países de nuestro entorno.

 

 

En la actualidad muchos “hackers” defienden sus actuaciones alegando que no persiguen provocar daños en los sistemas y redes informáticas, ya que sólo pretenden mejorar y poner a prueba sus conocimientos. Sin embargo, el acceso no autorizado a un sistema informático se considera por sí mismo un delito en muchos países, puesto que aunque no se produzca ningún daño, se podría revelar información confidencial.

Por otra parte, la actividad de un “hacker” podría provocar otros daños en el sistema: dejar “puertas traseras” que podrían ser aprovechadas por otros usuarios maliciosos, ralentizar su normal

funcionamiento, etcétera. Además, la organización debe dedicar tiempo y recursos para detectar y recuperar los sistemas que han sido comprometidos por un “hacker”.

 

Crackers (“blackhats”)

Los crackers son individuos con interés en atacar un sistema informático para obtener beneficios de forma ilegal o, simplemente, para provocar algún daño a la organización propietaria del sistema, motivados por intereses económicos, políticos, religiosos, etcétera.

A principios de los años setenta comienzan a producirse los primeros casos de delitos informáticos,

provocados por empleados que conseguían acceder a los ordenadores de sus empresas para modificar sus datos: registros de ventas, nóminas…

 

sniffers

Los sniffers son individuos que se dedican a rastrear y tratar de recomponer y descifrar los mensajes que circulan por redes de ordenadores como Internet.

 

 Phreakers

Los phreakers son intrusos especializados en sabotear las redes telefónicas para poder realizar llamadas gratuitas. Los phreakers desarrollaron las famosas “cajas azules”, que podían emitir distintos tonos en las frecuencias utilizadas por las operadoras para la señalización interna de sus redes, cuando éstas todavía eran analógicas.

 

Spammers

Los spammers son los responsables del envío masivo de miles de mensajes de correo

electrónico no solicitados a través de redes como Internet, provocando el colapso de los servidores y la sobrecarga de los buzones de correo de los usuarios.

Además, muchos de estos mensajes de correo no solicitados pueden contener código dañino (virus informáticos) o forman parte de intentos de estafa realizados a través de Internet (los famosos casos de “phishing”).

 

 Piratas informáticos

Los piratas informáticos son los individuos especializados en el pirateo de programas y contenidos digitales, infringiendo la legislación sobre propiedad intelectual.

 

Creadores de virus y programas dañinos

Se trata de expertos informáticos que pretenden demostrar sus conocimientos construyendo virus y otros programas dañinos, que distribuyen hoy en día a través de Internet para conseguir una propagación exponencial y alcanzar así una mayor notoriedad.

En estos últimos años, además, han refinado sus técnicas para desarrollar virus con una

clara actividad delictiva, ya que los utilizan para obtener datos sensibles de sus víctimas (como los números de cuentas bancarias y de las tarjetas de crédito, por ejemplo) que posteriormente emplearán para cometer estafas y operaciones fraudulentas.

 

Lamers (“wannabes”): “Scriptkiddies”o “Click-kiddies”

Los “lamers”, también conocidos por “script kiddies” o “click kiddies” , son aquellas personas que han obtenido determinados programas o herramientas para realizar ataques informáticos (descargándolos generalmente desde algún servidor de Internet) y que los utilizan sin tener conocimientos técnicos de cómo funcionan.

A pesar de sus limitados conocimientos, son los responsables de la mayoría de los ataques que se producen en la actualidad, debido a la disponibilidad de abundante documentación técnica y de herramientas informáticas que se pueden descargar fácilmente de Internet, y que pueden ser utilizadas por personas sin conocimientos técnicos para lanzar distintos tipos de ataques contra redes y sistemas informáticos.

 

Amenazas del personal interno

También debemos tener en cuenta el papel desempeñado por algunos empleados en muchos de los ataques e incidentes de seguridad informática, ya sea de forma voluntaria o involuntaria.

Así, podríamos considerar el papel de los empleados que actúan como “fisgones” en la red informática de su organización, los usuarios incautos o despistados, o los empleados descontentos o desleales que pretenden causar algún daño a la organización.

Por este motivo, conviene reforzar la seguridad tanto en relación con el personal interno (“insiders”) como con los usuarios externos del sistema informático (“outsiders”).

 

 Ex-empleados

Los ex-empleados pueden actuar contra su antigua empresa u organización por despecho o venganza, accediendo en algunos casos a través de cuentas de usuario que todavía no han sido canceladas en los equipos y servidores de la organización. También pueden provocar la activación de “bombas lógicas” para causar determinados daños en el sistema informático (eliminación de ficheros, envío de información

confidencial a terceros…) como venganza trasun despido.

·         Riesgos físicos.

La seguridad física es la protección de los sistemas y equipos frente a amenazas tangibles.Para ello, se crean barreras y mecanismos de control y prevención como respuesta a las posibles amenazas de seguridad física, tales como:

Desastres naturales

Sabotajes ajenos o internos

Fallos en la condiciones de seguridad ambiental

 

De interrupción: son aquellas amenazas de seguridad física cuyo propósito es obstaculizar, deshabilitar, o intervenir en el acceso a la información.Ejemplos de este tipo de prácticas serían la destrucción de componentes físicos como el disco duro, o la saturación provocada de los canales de comunicación.De fabricación: aquellas amenazas de seguridad física cuyo objetivo es el de añadir información falseada en el SI (sistema de información) de la organización víctima

 

Desastres naturales, robos, ruido eléctrico, temperaturas...

 

Acceso físico

 

El acceso presencial es una de las amenazas de seguridad física más relevantes actualmente.¿De qué sirve tener el mejor cortafuegos del momento si el atacante puede abrir el equipo y llevarse el disco duro?Si un delincuente informático accede a una sala con equipos Linux sin vigilancia física puede utilizar un disco de arranque, montar los discos duros de la CPU, y sustraer lo que desee, o alterar la información disponible.

Catástrofes ambientales

Los desastres naturales, terremotos, inundaciones o filtraciones de humedad suponen otra gran amenaza física para los hardware desprotegidos.Una de las razones por la que dichas amenazas son consideradas como muy peligrosas es por la falta de prevención.Si nos localizamos en una zona de baja actividad sísmica seguramente no hayamos tomado medidas contra posibles temblores o vibraciones, por lo que la caída de soportes informáticos físicos, o la destrucción de las infraestructuras que permiten su correcto funcionamiento, es una amenaza significante.

 

La electricidad

 

La electricidad por sí sola, mediante tormentas eléctricas, o a través del ruido eléctrico, supone otro de los grandes problemas o amenazas a la seguridad física.Los problemas derivados del entorno eléctrico que suministra nuestros equipos son muy frecuentes: cortocircuitos, picos de tensión, cortes de flujo electricidad como amenaza a la seguridad física[/caption]Las tormentas eléctricas propias del verano generan subidas súbitas de tensión que pueden suponer un daño irreversible a los hardwares de nuestra compañía (especialmente en periodos vacacionales donde muchos trabajadores no se encuentran en su puesto).El ruido eléctrico se transmite a través del espacio o de líneas eléctricas cercanas a nuestra instalación, y lo producen los motores o la maquinaria pesada.Para prevenir los problemas que el ruido eléctrico puede causar en nuestros equipos debemos evitar la cercanía a estos generadores o bien instalar filtros en las líneas de alimentación que llegan hasta nuestros equipos.Derivado de los problemas suscitados por la electricidad surgen los incendios, y con ellos, el humo.La mayoría de incendios no son provocados por factores ambientales, sino por la sobrecarga de la red debido al gran número de aparatos conectados al tendido eléctrico.

La humedad

 

Finalmente, la humedad es necesaria para el correcto funcionamiento de algunas máquinas.En ambientes extremadamente secos el nivel de electricidad estática es elevado, lo cual puede llegar a transformar un pequeño contacto entre persona y circuito, o entre diferentes componentes, en un daño irreparable al hardware y, por ende, a la información que contiene. Sin embargo, altos niveles de humedad son perjudiciales para los equipos, pudiendo llegar a producir condensación en los circuitos integrados, originando cortocircuitos.