PDF de programación - El gran libro de la Seguridad Informática

PARTE I: INTRODUCCION A LA

SEGURIDAD INFORMÁTICA



El gran libro de la Seguridad Informática



Capítulo 1: INICIACIÓN A LA
SEGURIDAD INFORMÁTICA

2



El concepto de la seguridad comienza desde nuestro PC, la
seguridad a nivel local es lo primero que debemos cuidar. Un 90 %
de los ataques vienen por las contraseñas. Es conveniente cambiar-
las cada 15 días, o por lo menos una vez al mes.

Existen sistemas de fuerza bruta, "John the ripper", que con-
siste en un ataque a las contraseñas por medio de un programa que
prueba palabras que están en un diccionario hasta que las descubre
(normalmente un archivo de texto). Es decir, exploran combinacio-
nes con el fin de hallar la contraseña. Pero en estos diccionarios no
están todas las posibles claves, por lo tanto, lo adecuado es poner
cosas que no estén en los diccionarios, por ejemplo, una contraseña



El gran libro de la Seguridad Informática

3



que no signifique nada, sin sentido, con caracteres ascii como ^y ~,
y lo suficientemente larga.

Hay tres tipos de contraseñas que conviene no olvidar de
poner en un PC si queremos que tenga una mínima seguridad. Se
empieza " de abajo a arriba:

- La primera, la de la Bios. Esta es para que en el arranque no
se pueda acceder a arrancar el SO (sistema operativo). Es muy
conveniente hacerlo ya que hay muchas intrusiones a nivel "local",
es el primer sitio que debemos cuidar. Si quitamos la pila de la Bios
eliminaríamos la contraseña, esto implica un mayor trabajo en caso
de un ataque.

- Después es importante poner también una contraseña de
acceso al sistema (nos centramos en Windows). Dicha contraseña
debe constar de, al menos, 8 caracteres para que sea algo segura.
Procuraremos mezclar números, letras y también símbolos tipo la
@ (pensad que en un ataque por fuerza bruta, una contraseña de
menos de 15 caracteres es "rompible", pero tardaría tiempo).

- A continuación hay otra contraseña a tener en cuenta, el
del salvapantallas de Windows. No lo descuidéis, en el trabajo hay
verdaderos problemas con este tema, un descuido y podemos
sufrir ataques rápidos fortuitos desde casa o el trabajo. Lo del
salvapantallas no es una tontería, te vas al baño y...PC abierto,
entonces te pueden colar un troyano, ver tus archivos, etc. Lo mejor
es activar el salvapantallas con la opción de introducir contraseña
para volver a tener acceso al PC.

NetBios



Veamos otro aspecto que está trayendo desde siempre mu-
chos problemas: NetBios es uno de los quebraderos de cabeza de la
seguridad y un coladero constante de problemas.

Netbios es un protocolo "invisible" para la mayoría, pero que
esta ahí. Se usa para compartir archivos e impresoras vía Internet.
Opera, normalmente, por el puerto el 139.



4

El gran libro de la Seguridad Informática



Realmente, a no se que estemos en una "Intranet" o "Extra-
net" no es necesario que esté habilitado. EN Windows XP Se quita
desde PANEL DE CONTROL > CONEXIONES DE RED >
COMPARTIR ARCHIVOS E IMPRESORAS EN RED. De ese modo
evitaremos que, por un descuido y por compartir los archivos de
nuestro disco, nos entren hasta la cocina.

Deshabilitar NetBios no afecta a otras cuentas de usuario, ya
que éstas son individuales. Tampoco afecta para compartir archi-
vos en programas P2P, sino que lo que hace es deshabilitar el
compartir vía Web o mejor dicho, vía Internet. Es decir, podemos
quitarlo y compartir archivos, creando grupos de trabajo, domi-
nios, etc.

En el caso de que NetBios esté abierto, el uso de una contra-
seña evita que la intrusión sea tan fácil, porque si un intruso ve que
tenemos el puerto abierto y netbios "open" intentará acceder. Pero
si hay un contraseña la cosa se complica porque tendría que inten-
tarlo por "fuerza bruta".


Correo electrónico

Hay dos tipos de correo: el correo POP y el correo Web. El
POP se descarga al disco duro, el Web se ve por Internet (por
ejemplo Hotmail).

Normalmente se usa el correo Web y eso no es muy reco-
mendable porque es más fácil "romper" una cuenta de Hotmail que
una de vuestro proveedor. La mayoría de las veces, el problema
viene por la famosa pregunta-respuesta secreta. Puede sonar
repetitivo pero no deben ponerse respuestas "previsibles", recor-
demos que el ataque suele ser de algún conocido que maneja datos
nuestros. Además, puede intentar valerse de algún "exploit" para
comprometer la seguridad del mismo. Por tanto es aconsejable
usar el POP para lo importante y el correo Web para lo demás. El
POP es mas fiable, seguro y tiene mas espacio.



El gran libro de la Seguridad Informática

5



Además, es recomendable un filtro "antispam" que lo que
hace es comprobar las direcciones de los correos que entran con
otras que están en listas de spammers. Y, si los detecta, las bloquea.
Hay muchos programas anti pam, la mayoría funcionan bien; y es
mas rápido que lo de "bloquear remitente".

Es muy importante que cada vez que nos bajemos un archi-
vo o lo veamos sospechoso, le demos a "guardar destino como" y lo
bajemos del Escritorio a una carpeta que podemos llamar "para
escanear" y a continuación lo pasemos por el antivirus. A veces en
las presentaciones tipo "PowerPoint" pueden venir virus adjuntos,
también en las .src (extensión del salvapantallas), .pif, .bat, .com,
etc.

La mayoría de infecciones vienen porque al abrir el correo,
por ejemplo en el Outlook Express (se trata correo POP), no damos
tiempo a que el antivirus esté actualizado.

Si utilizamos un gestor de correo electrónico debemos saber
que si no esta activada la "vista previa" no se abre el correo ni se
ejecutan archivos adjuntos si no lo decides tú, por lo tanto no te
infectas (en VER > DISEÑO > desactivar MOSTRAR PANEL
VISTA PREVIA). Independientemente de esta opción, también
existe la posibilidad de "no permitir que se abran o guarden archi-
vos adjuntos que puedan contener virus" (en HERRAMIENTAS >
OPCIONES > pestaña SEGURIDAD > desactivar la casilla corres-
pondiente).


Virus y troyanos

Podemos usar dos antivirus teniendo en cuenta que sean
compatibles entre sí. Por ejemplo el KAV sólo para rastreos y el
NOD como residente siempre activo. En el antivirus, el módulo
activo controla todo lo que entra al PC y escanea constantemente
en busca de virus.

El problema viene con los "virus durmientes": algunos virus
no están activos, sino que esperan a una fecha y el módulo de



6

El gran libro de la Seguridad Informática



chequeo activo no lo detecta porque puede que el día de la "activa-
ción" del virus (por ejemplo, Viernes 13) nuestro antivirus no este
activo o lo hayamos desactivado, por eso es importante hacer un
escaneo semanal a todo el disco. Es decir, lo detectará en el caso de
que hagamos el escaneo, puesto que por lo general en modo activo
no lo suelen pillar.

Si nuestro antivirus tiene un buen motor heurístico, puede
que detecte ese "virus durmiente" aunque éste no esté activo. Pero
la heurística es una "ciencia" inexacta: se basa en el control del
código y el modo de manifestarse de un posible virus. Hay veces
en las que ni el antivirus con la heurística mas potente lo detectaría;
por lo tanto, no hay que fiarse totalmente de la heurística aunque
ayude bastante, porque mañana podría surgir un virus que ataque
de modo "anormal" (como el Blaster) y nos infectaríamos.

Si se activara un virus durmiente, el módulo residente (su-
poniendo que lo tenga en su base de datos) lo detectaría en ese
momento, aunque puede que también ataque al antivirus antes de
que éste lo detecte, inutilizando el módulo y creándonos una falsa
sensación de seguridad. Esto ocurre porque, a veces, va mas rápido
el virus que el módulo porque utiliza menos recursos, consume
menos memoria y es más rápido que el propio antivirus.

Una vez detectado y eliminado un virus (tanto de forma
manual, por medio de un parche o por el propio antivirus) pueden
ocurrir tres cosas:

- que esté eliminado completamente y ya no tengamos nin-

- que esté eliminado pero hayan archivos que estén "corrup-

gún problema.

tos".

- que el virus mute y ataque al antivirus.

Por esto último es recomendable arrancar el PC pulsando
"F8" y elegir entrar en "modo seguro con funciones de red" para, de
esta forma, escanearse con el antivirus Panda vía Web, por ejemplo.



El gran libro de la Seguridad Informática

7



Llegados a este punto, si hacemos este escaneo en Panda en
modo normal en vez de hacerlo en modo seguro, podríamos temer
que un posible virus atacase al mini módulo que instala el escáner
del Panda y dicho escaneo fuese inútil. Esto no es muy probable ya
que es de lo más resistente que hay para esos casos de infección.


Troyanos y antitroyanos

Además de los virus, están los troyanos: programas de códi-
go "malicioso" que se dedican a hacer de puente entre el PC de un
atacante y nuestro ordenador. Los antivirus suelen fallar con los
troyanos en muchos casos. El Kaspersky y el NOD 32 son de los
mejores con ellos, pero lo mejor es tener un antitroyanos como por
ejemplo el The Cleaner.

Si tenemos un troyano dentro y nos lo detectan, las entradas
pueden ser interminables; es por eso que el uso de un firewall
(muro virtual entre el ordenador y la red) se hace imprescindible,
además de para otras muchas cosas. El firewall vigilará cualquier
conexión entrante y saliente entre Internet y el PC.



Spyware y antispyware

El spyware o software espía instala como un "mini troyano"
y se dedica a enviar información por un puerto previamente abier-
to, normalmente UDP (user datagram protocol, no necesita "envío-
recibo" de conexión) a un servidor o máquina que recoge los datos
de nuestros hábitos de navegación (paginas vistas, direcciones de
e-mail, etc.), para luego spammear sin cesar a nuestra máquina.
Además, puede cambiar