Bueno, pues empezamos ya la tutoría, ¿de acuerdo? Estamos grabando ya la
sesión. Bueno, como recordaréis, la semana pasada lo que estuvimos viendo
fue un pequeño repaso de cómo está planteada la asignatura desde el
punto de vista de qué actividades obligatorias y no obligatorias hay que
realizar en la asignatura. ¿De acuerdo? Lo tenéis aquí en todas las
notas que quedaron de entonces. Entonces, ¿vale? Os recuerdo que cada uno
de los temas que conforman esta asignatura, cada una de las unidades que
conforman esta asignatura, tiene unos ejercicios de autoevaluación que se
pueden realizar online y luego además podéis descargaros un PDF con
ejercicios que no traen respuesta pero que os servirán para contrastar los
conocimientos. ¿Vale? Entonces, cada una de las unidades va en este
sentido. Hay tres ítems estratégicos, los habíamos dicho, en la unidad
5, que es una prueba de evaluación que tiene que ver con el programa
UDESARC, ¿vale? Un sniffer que permite capturar tráfico de red. ¿Lo
habéis instalado ya alguno de vosotros, el programa? Todavía no. Los que
estáis conectados, ¿habéis podido instalar el programa UDESARC? ¿Sí?
Vale. Vale, bueno, yo realmente hay tiempo para ello porque estamos
hablando de abril, pero bueno. Hay una tutoría de estas y lo voy a
recordar porque es un programa que es muy sencillo de instalar y la verdad
es que es muy interesante. Entonces, ya no solo por la práctica que es,
bueno, pues es un requisito y forma parte de la nota, sino también como
aprendizaje os recomiendo que cuando podáis que lo instaléis y empecéis
a cacharrar un poco con él porque está francamente bien, ¿vale? Y luego
había otros dos ejercicios de autoevaluación que habíamos comentado, que
uno era en el tema 10 que tiene que ver con un cortafuegos, todas las
pruebas que tenéis que realizar de, no de autoevaluación, perdón, de
evaluación a distancia son obligatorias y además están basadas en el uso
de herramientas, no son teóricas, ¿vale? La otra era IP Tables y es un,
digamos, un software de cortafuegos que normalmente se utiliza con sistemas
Linux y por último tenemos un sistema de detección de inclusiones que se
llama Snore y todos ellos son gratuitos y en open source, ¿vale? Bueno,
pues dicho esto, luego quedaba la prueba presencial. Esto es un pequeño,
pequeñísimo reparto. Este es el caso de lo que vimos el otro día y ahora
ya vamos a empezar a ver lo que es la materia de los temas, ¿vale? Vamos a
empezar con la unidad 1. Entonces, nada, nos vamos para allá. Yo estoy
utilizando, en la unidad 1 estoy utilizando la presentación que tenéis en
el curso virtual que han dejado o que han realizado o realizado el tutor
que está en el centro asociado de Melilla y que está colgado en el curso
virtual porque lo que hace es recoger un poco los puntos clave de cada una
de las unidades. Entonces, bueno, ya que estaba hecho y además es público
porque está en la asignatura, yo lo he utilizado como modelo para poder
hacer esta tutoría, ¿de acuerdo? ¿Vale? Bien. Bueno, vamos entonces al
tema. La unidad 1 o el tema 1 lo que hace es una pequeña introducción a
lo que es la seguridad informática hasta, bueno, el nombre de esta
asignatura se llama Seguridad, pero también me gustaría comentaros que
hay una cosa en la que se está haciendo cada vez más hincapié, que es en
foros tecnológicos, en publicaciones, etcétera, empezaréis a encontrar
que en vez de llamarle Seguridad se le empieza a llamar Ciberseguridad.
¿Por qué? Pues porque al final la palabra Seguridad, como es lógico, es
una palabra que se utiliza en muchos contextos, ¿vale? Se puede utilizar
en prevención de riesgos laborales, en seguridad en el puesto de trabajo,
se puede utilizar en defensa, seguridad militar. ¿Vale? Se utiliza
también en seguridad de la información, que es lo que está versa esta
asignatura. ¿Vale? Entonces, la seguridad de la información es eso, es
esta asignatura, seguridad se refiere a la seguridad de los sistemas de
información, ¿vale? Sin embargo, también existe esta otra manera de
llamarle que se llama Ciberseguridad, ¿vale? Experto en Ciberseguridad,
Máster en Ciberseguridad. Bueno, creo que es simplemente para ubicaros y
que sepáis que el término existe de esta manera también, ¿vale? Bien.
Bueno, ahora vamos a ver un poco... Pues unos conceptos básicos, todo esto
está extraído del libro de texto, ¿de acuerdo? Entonces, bueno, pues no
es nada nuevo, hay algún apunte a mayores, pero bueno, en general no es
nada nuevo. ¿Vale? Como veis, seguridad se puede definir como una
característica de cualquier sistema que está libre de todo peligro, lo
cual, por supuesto, es imposible, ¿de acuerdo? No hay un sistema que sea
seguro al 100%, eso no existe, lo vemos... Lo vemos continuamente en las
noticias, estamos viendo como sitios tan sumamente protegidos como pueda
ser el FBI, un banco, una aseguradora, organismos que manejan muchísimo
dinero no están libres de ataques y son las organizaciones que más dinero
empeñan en protegerse. Entonces, lo que está claro es que la seguridad
como tal en un 100% es imposible de garantizar, pero sí que se puede
conseguir que un sistema sea fiable. Un sistema tienda a ser... A ser más
seguro para ver, ¿de acuerdo? Y eso sí que es algo que está en nuestra
mano, en la mano de las organizaciones, ¿de acuerdo? Luego iremos viendo
qué medidas se pueden tomar para que el sistema sea más fiable o más
seguro, ¿de acuerdo? Teniendo en cuenta que cuando decimos más seguro...
Claro, seguro significa que es seguro, o sea, no hay término medio, pero
aquí lo que estamos diciendo es un poco más para llegar casi, casi al
100%, a ver hasta dónde soy capaz de llegar, ¿de acuerdo? Vale, bueno,
pues esto es un aspecto muy importante. Y aquí hay tres elementos que son
claves, claves en todo lo que tiene que ver con seguridad de la
información, que son la confidencialidad, ¿de acuerdo? La integridad y la
disponibilidad. Estos tres criterios son esenciales en un contexto seguro.
¿Por qué son esenciales? Pues porque se centran en tres aspectos que se
complementan entre sí y una organización a lo mejor lo que quiere es
apostar más por uno de ellos, ¿vale? A lo mejor una organización lo que
quiere es que sus sistemas estén disponibles siempre, ¿vale? Más que el
hecho de que se pueda alterar la información, que no lo van a querer
tampoco, pero digamos que su objetivo principal es que esté siempre
disponible, ¿vale? ¿Por qué? Pues porque está ofreciendo un servicio
que exige precisamente disponibilidad 24 horas al día, 365 días al día.
Por ejemplo, un caso claro de un servicio que requiere una altísima
disponibilidad puede ser cualquiera de los que venden por internet, por
ejemplo el portal de Amazon. Para Amazon tener los sistemas caídos durante
dos minutos le puede suponer unas pérdidas importantes en dinero y ya no
os digo si en vez de dos minutos son dos días, ¿de acuerdo? Aparte del
coste que tenga en su reputación, que es un coste difícil de medir pero
que está ahí, está el coste en cuánto dejas de venderlo. En cuántas
operaciones dejas de realizar. Entonces para Amazon probablemente la
disponibilidad es una de sus aspiraciones máximas, ¿vale? Yo quiero tener
todo redundado, quiero tener fuentes de alimentación redundadas, quiero
tener discos por supuesto redundados, sistemas redundados, sistemas,
centros de proceso de datos que si uno falla entre en funcionamiento otro
que se encuentre en una ubicación geográfica diferente. Es decir, equipos
de técnicos que se puedan suplantar unos a otros o sustituir unos a otros.
¿Vale? Una persona pues no pueda acudir. En fin, lo que os imaginéis.
¿Vale? Eso es la alta disponibilidad y en función del negocio que
tengamos nos va a preocupar más o menos gastar, invertir en tener alta
disponibilidad. Por ejemplo, una empresa que lo único que hace pues es, no
sé, es una página web donde tienes información sobre una determinada
materia pero que no es una información que ni siquiera se actualiza
diariamente, el hecho de que tengas el servidor caído un par de horas
probablemente no va a afectar. No va a afectar de forma significativa. ¿De
acuerdo? ¿Vale? Por ejemplo, la UNED si el sistema de exámenes, la valija
virtual que permite que hagáis exámenes en los centros asociados no
funciona, cuando hay época de exámenes desde luego es un problema
crítico. ¿Vale? Por eso la UNED adopta medidas para tener comunicaciones
de respaldo, para tener sistemas que permitan que eso bajo ningún concepto
o casi bajo ningún concepto pueda ocurrir. ¿De acuerdo? ¿Vale? Eso es
confidencia... Perdón, disponibilidad. Integridad, voy de abajo arriba,
integridad es un término que consiste en garantizar que si yo mando
información desde mi ordenador a otro ordenador, que esa información que
yo estoy enviando no haya sido alterada, no haya sido alterada en el
camino, es decir, que se mantenga íntegra, por eso se llama integridad.
¿De acuerdo? ¿Para qué me sirve esto? Pues imaginaros. Yo estoy enviando
un contrato, por ejemplo, ¿de acuerdo?, que lo he firmado con mi firma
digital y lo estoy enviando por internet a la otra parte porque estamos a
kilómetros de distancia. Si ese contrato es manipulado por el medio de tal
manera que una condición que es crítica para las dos partes pues se
modifica en favor de una de ellas, obviamente yo no hubiera firmado
probablemente ese contrato si dice algo que no es doble. ¿De acuerdo?
Entonces, un sistema que garantiza la integridad es un sistema que
garantiza que cuando recibes la información de otra persona esa
información no ha sido alterada. ¿De acuerdo? Hay algoritmos de hash,
¿os suena?, algoritmos de hash, ¿de acuerdo?, con los que se pueden
hacer, bueno, pues este tipo de acciones, ¿no? Los algoritmos de hash más
que cifrar están orientados a que cogen un fichero determinado, un
documento, por ejemplo, lo pasan por el algoritmo de hash, ¿vale?, por la
churrera, ejemplos de algoritmos de hash son MD5 o SHA1, por ejemplo,
¿vale?, y hay algunos más, son algoritmos que en base a un fichero
determinado crean un conjunto siempre de la misma longitud, un número de
una determinada longitud. Si se cambia cualquier byte del fichero, ¿de
acuerdo? El fichero original, la secuencia ya no sale lo mismo, entonces es
una manera de que tú chequees esto. No sé si os suena cuando bajáis
software de internet que algunas veces te dan el checksum MD5 para que
compruebes que el ejecutable que tú te estás descargando, no ha habido un
hacker que haya metido código malicioso en ese ejecutable y de forma que
cuando tú te lo instalas como es un Excel le das autorización para que se
instale en tu sistema y te estés instalando por ejemplo un Troyano. Por
eso te ofrecen hackers. Te están ofreciendo la cadena MD5, por ejemplo,
para que tú puedas verificar con programas que hacen el mismo cálculo en
tu ordenador, dices mira, el MD5 que me da a mí es este. Lo compruebas con
el que te ofrecen en la página web y entonces ya puedes comprobar si ese
programa es correcto. ¿Vale? ¿Se entiende esto los que estáis en el chat
lo que acabo de comentar de integridad? ¿Se entiende lo que son esos
algoritmos de hashing? Poned... Ah, vale. Vale. De acuerdo. Perfecto. Vale.
Pues... Continúo entonces. Bueno, y luego lo que tenemos a mayores es la
confidencialidad. La confidencialidad es el mecanismo que permite que los
usuarios accedan a aquello a lo que tienen que acceder. ¿De acuerdo? Un
sistema permite confidencialidad cuando permite que el usuario que tiene
que entrar entre y el que no tiene que entrar no entre. ¿De acuerdo? ¿No?
Eso son los mecanismos de confidencialidad. ¿Cuáles son ejemplos de
mecanismos de confidencialidad? Pues, uno muy básico podría ser un
usuario y una contraseña. En principio, con un usuario y una contraseña
yo podría acceder a un sistema y el que no sepa esa información no
podría acceder. Otra cosa, si alguien tiene esa misma información y el
sistema no es capaz de distinguirme a mí, yo creo que sepa el mismo
usuario y la contraseña que yo. ¿Vale? Entonces, existen diferentes
grados de robustez en estos sistemas de identificación. ¿Vale? Bueno, una
cosa que no os comenté antes cuando hablaba de lo que es la disponibilidad
es que cuando tú tienes una organización y es muy importante que no falle
los sistemas para poder estar muy disponibles, ¿de acuerdo?, muy
disponibles, pues entonces la empresa tiene que apostar por el mismo
sistema. Es decir, el número de nueves que quiere que su sistema esté
disponible. Por ejemplo, 99,9%. Si yo tengo un sistema que tiene una
disponibilidad del 99,9%, significa que me puedo permitir que falle durante
43,8 minutos al mes. ¿Vale? Si para mí eso es razonable, tener un sistema
que falle, pues con una disponibilidad del 99,9% me sirve. Ahora, si mi
organización, por ejemplo Amazon, dice 43,8 minutos al mes, no. Es una
barbaridad. Yo tengo compras en todo el mundo, facturo millones y millones
de dólares continuamente, no puedo permitirme eso. Entonces vamos
incrementando el número de nueves. ¿Vale? Ahí veis que hay un ejemplo
que tiene cuatro nueves. 99,99%. 4,38 minutos al mes. 99,999%. Cinco
nueves. Eso ya es el triple mortal continuo. ¿Vale? Eso sería 0,44
minutos al mes. ¿De acuerdo? ¿Vale? Entonces, ¿cómo vas consiguiendo
más o menos nueves? Esto es un ejercicio interesante porque partiendo de
la infraestructura que tienes y ahí englobas comunicaciones, ubicación
geográfica. Si estás en un sitio que es más sensible a terremotos que
otro, la disponibilidad se va a ver afectada. Si estás en un sitio donde
puede haber inundaciones y tienes el CPD en un sótano, la disponibilidad
se puede ver afectada. Existen muchos ejemplos en internet de casos de CPDs
que se han ubicado en el sitio incorrecto. ¿De acuerdo? ¿Por qué? Pues
porque pensaron que no iba a pasar una catástrofe natural. Mezclas todo
eso y entonces te da la disponibilidad. ¿Vale? Existen diferentes maneras
de calcular todo esto pero lo importante aquí es que nos quedemos con el
concepto. ¿Vale? ¿De acuerdo? Bueno, más cosas. Entonces ya hemos visto
las tres patas son las que se sustenta la seguridad de la información.
Confidencialidad. Integridad. Disponibilidad. Existen otras más. ¿Vale?
El no repudio, por ejemplo. Pero bueno, digamos que estas son un poco el
core. ¿De acuerdo? Vale. Cuando ya tenemos claro lo que queremos es decir,
el tipo de acciones o de medidas que queremos, de confidencialidad,
integridad, disponibilidad, todo eso se plasma en lo que se conoce como la
política de seguridad. La política de seguridad es dejar por escrito.
Consiste en dejar por escrito. Consiste en dejar por escrito cómo vamos a
proteger la organización desde el punto de vista de confidencialidad, de
integridad, de disponibilidad. ¿Quiénes son los responsables? ¿A qué
ámbito acotamos esa política de seguridad? Si yo tengo una empresa que
tiene 25 sedes, a lo mejor a mí solo me interesa proteger de verdad en la
sede principal donde tengo el CPD. Las demás no me interesa aplicar las
mismas medidas de seguridad porque lo que hay allí al final no tienen
datos relevantes. Los datos los tengo yo aquí. ¿Vale? Entonces, una
política de seguridad de alguna forma describe dónde, cómo, cuándo y
quién es el responsable de aplicar esas medidas de seguridad en esos tres
ámbitos que hemos dicho de confidencialidad, integridad y disponibilidad.
¿Vale? No sé si os suena pero existen normas ISO como la 9001 de calidad
o la 14001 de medioambiente. Bueno, pues existe una ISO de sistemas de
gestión de seguridad de la información que es la ISO 27001. Más adelante
en el curso se habla de eso también. ¿Vale? La ISO 27001 es una norma ISO
que permite acreditar que estás aplicando una serie de medidas de
seguridad que además se están revisando periódicamente, que se auditan y
que se siguen conforme a una norma. En seguridad informática se viene del
típico informático que sabe mucho pero no documenta nada. La política de
seguridad va justo en el sentido contrario. Bueno, en el sentido contrario
no. O sea, es lo mismo pero documentado. ¿Vale? O sea, sigue haciendo
falta personal cualificado por supuesto, personas que sepan configurar bien
un firewall, que sepan configurar bien las políticas de seguridad de la
empresa pero que se documente, que se verifique, que se deje un registro de
esa verificación, que haya una auditoría interna, que haya una auditoría
externa y de esa manera el sistema cada vez va a hilar más fino porque
cada pasada que le vas dando, esto es circular, vas consiguiendo que el
sistema cada vez sea un poco más fiable. Y aun así nunca sabes lo que te
puede pasar pero por lo menos lo que está en tu mano lo irás haciendo.
¿Vale? Eso sería un poco lo que consiste la política de seguridad.
¿Vale? Bueno. ¿Qué es lo que se quiere tener protegido? Bueno, pues
aquí dependerá de cada organización. Para eso hay que hacer una cosa muy
importante. Antes de aplicar... O sea, para poder aplicar una política de
seguridad tienes que saber sobre qué. ¿Vale? Lo que os decía antes.
¿Qué quiero proteger yo? Quiero proteger el CPD solo. Quiero proteger
también las oficinas donde trabaja el personal. Quiero proteger el
servidor web que lo tengo alojado en no sé dónde. Entonces todo eso forma
parte del inventario de archivos donde yo pongo el foco para aplicar la
política de seguridad. ¿Vale? Hay una herramienta que... Que es de la
Administración Pública Española. ¿Vale? La hizo un profesor de la
Politécnica de Madrid que es José Antonio Mañas y que se llama... Bueno,
MAGRIT es la metodología para calcular riesgos y PILAR es la herramienta
que permite aplicar MAGRIT a tu sistema de información. ¿Qué significa
esto? Significa que te permite sacar una foto de cómo tienes tu red.
¿Vale? ¿Cuántos servidores tengo? ¿Cuántas ubicaciones físicas tengo?
¿Cuánto personal tengo? ¿Cuántas aplicaciones tengo? ¿Qué
aplicación...? ¿Qué nivel de importancia estratégica tiene cada una de
las aplicaciones? Yo voy sacando la foto. Hago el inventario y ese
inventario lo puedo darle alta en la aplicación PILAR. Cuando lo tengo
dado de alta en la aplicación PILAR, lo que puedo hacer es, como he
documentado lo que tengo y las medidas de seguridad que tengo ahora mismo,
el método MAGRIT te dice el nivel de riesgos y PILAR que tiene cada una de
las aplicaciones. ¿De acuerdo? Te está diciendo, pues mira, en este
dominio determinado tienes un riesgo de un 30% de que te pase algo. Tienes
un riesgo de un 25%. Existen varias metodologías de análisis de riesgos y
MAGRIT es una que es española, que además se la puedes descargar. Es
gratuita. Entonces, bueno, aquí se usa bastante en administraciones
públicas, por lo menos. ¿Vale? ¿La hizo el profesor? La hizo, sí, José
Antonio... O sea, MAGRIT no la hizo el profesor José Antonio Mañas, ¿eh?
Sí. José Antonio Mañas hizo la aplicación eARTILAR. ¿Vale? Y MAGRIT
partió de la administración pública, creo que Mañas también
participaba, pero ya era un conjunto de gente. ¿Vale? Creo que no fue un
proyecto único de este profesor. ¿De acuerdo? Vale. Bueno, entonces,
primero, ¿qué queremos proteger? ¿Qué metodología puede usar? Ya
iremos viendo alguna cosa más. Este curso no entra en esto en detalle,
pero que sepáis que esto sí que es una materia que... Bueno, pues existe
una gran demanda en el mercado porque las organizaciones cada vez tienen
una gran demanda. Es... Para ellas es más estratégica la ciberseguridad
y, por tanto, es más necesario aplicar alguna metodología para que esto
funcione. ¿De acuerdo? ¿Vale? Bien. ¿Qué podría pasar? Aquí lo que
tenemos que ver es, bueno, pues cuáles son las amenazas que tenemos para
un caso determinado. ¿Vale? En este gráfico que se ve aquí abajo a la
derecha... Bueno, no se aprecia muy bien. Pues digamos que de alguna manera
esto está sacado de MAGRIT. De alguna manera dice, bueno, pues, para...
¿Vale? MAGRIT lo que hace es lo siguiente, como casi todas las
metodologías de análisis de riesgos. Para un activo determinado, un
activo puede ser un servidor web. ¿Sí? Pues ya te dice una lista de
amenazas que ya se conoce que existen para ello. ¿Vale? Pues un ataque de
denegación del servicio. Un ataque de inyección SQL. Etcétera,
etcétera. ¿Por qué? Pues porque los servidores web con la experiencia
que ha habido en todos estos años, pues ya de alguna forma está
parametrizado. ¿Vale? Entonces, cada activo tiene un tipo de amenaza. Por
ejemplo, ¿qué amenaza puede tener un CPD? El edificio donde está el CPD.
Bueno, pues lo que os decía antes. Puede haber un incendio. Puede haber
una inundación. Puede haber... Pues no sé. Un asalto armado. Que entren
ahí con rifles y se lleven los servidores. ¿No? Puede pasar cualquier
cosa. ¿Vale? Que se pare el aire acondicionado también. Que se pare el
aire acondicionado. Eso es una de las cosas... De las patatas calientes. O
sea, mejor dicho, de un CPD. Porque... Que se pare el aire acondicionado
también. Un CPD, si no tiene aire acondicionado, en 5 o 10 minutos
probablemente deja de funcionar. ¿Vale? Se apaga todo de forma repentina.
Entonces eso, por ejemplo, es un buen ejemplo. Sí, señor. Vale. Y luego.
¿Y si pasara qué se puede perder? Bueno, pues como tienes que cuantificar
lo que tienes, pues si yo pierdo un servidor puedo pensar que he perdido el
dinero que me cuesta ese servidor más, digamos, el coste que supone no
tener ese servidor durante un tiempo. Pero si luego me voy a los datos que
tenía ese servidor, a lo mejor la pérdida que he tenido es infinitamente
superior. Lógicamente. Lo que más nos interesa siempre es la
información. No el dispositivo físico que la manda. ¿Vale? ¿De acuerdo?
Bien. Vale. Vamos a continuar. ¿Contra quién se puede proteger? Bueno,
pues aquí ya lo veis. Esto es un gráfico que lo resumo de una forma muy
sencilla. Existen dos tipos de... Tres tipos de ataques o dos tipos de
ataques. Si no lo queramos ver. Uno es... Bueno. Cuando es un ataque
externo, un hacker que se conecta desde internet a nuestro equipo. ¿Vale?
Esto es algo que estamos viendo todos los días en la prensa. ¿De acuerdo?
Esto... Bueno, pues si os vais a la casa del libro o a cualquier librería
virtual, buscáis la palabra hacking o hacker y os vais a encontrar libros
que se venden de forma legal y que te dicen qué herramientas puede llegar
a utilizar un hacker para intentar entrar en un sistema. ¿Vale?
Supuestamente para que tú aprendas a protegerte. ¿Vale? Pero bueno,
también se podría ver como... Vamos a vender un libro sobre cómo robar
un coche para que protejas tu coche. Entonces... Pero bueno. Se puede ver
de las dos maneras. Yo creo que es bueno que esa información sea pública
porque así sabes cómo trabajar los demás. Lo de antes era... Ataque de
acceso remoto. Un ataque de acceso... Perdón. De acceso remoto. Es
diferente del anterior. Es externo. Pero un acceso remoto es cuando yo
permito que accedan a mis sistemas a través de un Bueno. Un ataque de
acceso remoto es cuando alguien está intentando entrar en la sesión
remota que tú tienes y como lo tienes que tener publicado, tienes que
permitirte que intenten ir después. Ah. Pues de alguna forma estás
expuesto. Y luego está el ataque interno. El ataque interno es cuando
alguien que ya está dentro de la organización está intentando acceder a
los sistemas. Este, como dices bien Ismael, es el peor de todos porque el
que hace un ataque interno ya tiene muchas etapas ganadas. ¿Vale? Ya es un
usuario probablemente de la red. Ya sabe cómo trabaja la red. Sabe mucha
más información de lo que se tiene que buscar en la vida de la persona.
¿Vale? De hecho, normalmente son los usuarios internos los que causan más
daño a una organización con problemas de seguridad que los anteriores
usuarios externos. ¿Vale? Y también... También sale de vez en cuando en
la prensa que hay mucho usuario que se ha ido de la empresa o que lo han
despedido, o se ha llevado los datos, o bien que lo que ha hecho es hacer
un ataque desde fuera con alguna credencial que todavía se conocía y no
se cambió. Cosa que está muy mal por parte de la empresa porque cuando la
empresa... Bueno, pues le dicen a una persona que ya no trabaja con ellos,
desde luego se tiene que asegurar que esa persona no tenga problemas. Que
no tenga ninguna posibilidad de poder acceder de forma normal. ¿De
acuerdo? O sea, cambiando contraseñas, bloqueando usuarios, etc. ¿De
acuerdo? Pues bueno, esto sería un poco ejemplos de los distintos perfiles
de atacantes. Los más peligrosos o más frecuentes probablemente sean los
ataques internos. ¿Vale? Es como en los supermercados. Las grandes
superficies que te venden donde hay más robos probablemente es por el
propio personal interno. Bien. ¿Contra quién se quiere proteger? Bueno,
aquí existen diferentes perfiles de usuarios. Están los hackers. ¿Qué
es un hacker? ¿Es una palabra buena o mala? Una palabra hacker. Igual que
no. Esto depende de donde lo leas y... En teoría un hacker, el término
hacker fue creado con una buena causa, que es el que exprime la tecnología
para buscarle el hueco a algo. ¿Vale? Pero no con un fin de hacer algo mal
inicialmente, sino simplemente por el reto de aprender. ¿Vale? Es como
cuando hay alguien que quiere descubrir cuál es el truco. Es un truco que
está haciendo un mago. ¿Vale? No es porque se quiera dedicar a eso, sino
porque le atrae... O un investigador, ¿no?, que quiere descubrir algo
nuevo. Bueno, pues digamos que la función original del hacker era esa.
¿Vale? Era una finalidad, vamos a decir, buena en ese sentido. Sin
embargo, hoy en día hacker es un término que se ha corrompido bastante y,
bueno, ya lo veis ahí, puede ser un empleado que es despedido
injustamente, que ha sido pagado injustamente, defensores de los derechos
civiles. Ahí os he puesto a no. ¿Vale? Que es un truco que se ha hecho a
los anónimos, por ejemplo. ¿Sabéis qué anónimos? Se han hecho ataques
a grupos neonazis o a... En fin. Que se puede entender que es un hacking
con un fondo bueno, ¿no? Es hackear la página web de alguien o poner al
descubierto una lista de gente que pertenece, improviso, al Ku Klux Klan
simplemente por hacer que el mundo sea mejor. ¿Vale? Eso es su versión de
los hechos, ¿no? Entonces eso sería, bueno, pues un ejemplo de un
descenso de los derechos civiles. Hackers que roban mensajes de correo
electrónicos. Acceso a perfiles de redes sociales de la pareja por
sospechas de infidelidades. Esto es una cosa que está bastante a la orden
del día, ¿no? Las redes sociales empiezan a ser una fuente de conflicto
en relaciones de pareja. Y a veces, bueno, pues alguien intenta colarse en
la cuenta del otro pues para ver qué está pasando. ¿De acuerdo? Bueno,
ya veis que es un término bastante amplio. Luego está el amateur. El
amateur que juega. Estos son los más peligrosos de todos. ¿Por qué?
Porque el amateur es el que sabe cómo hacer las cosas adecuadamente. menos
de todos ellos y como sabe menos, es más atrevido. La ignorancia es
atrevida. Entonces, ¿qué hace un amateur que simplemente quiere ver si es
capaz de entrar en la página web de una empresa? Pues se baja a internet
un exploit, ¿sabéis lo que es? Un exploit es un programa, un conjunto de
programas que están diseñados para facilitar el acceso a un sistema del
que se reconoce que tiene una vulnerabilidad, ¿vale? El exploit es un
programa que se mete dentro de un sistema por una vulnerabilidad cuando
aún no ha sido corregida, ¿de acuerdo? ¿Vale? Entonces hay páginas web
en las que tú te puedes descargar exploits. O sea, es como barra libre,
¿no? Dices, bueno, pues esto pela. Y luego están los root keys que
permiten a través del exploit dejar instalado un conjunto de herramientas
en el sistema remoto para que tú luego lo puedas utilizar. El exploit te
permite entrar, el root key luego te permite tomar el control, por ejemplo,
¿de acuerdo? Los amateurs son bastante peligrosos. Luego está el
profesional que es obviamente una persona, si se le llama profesional, es
una persona que gana, tiene ánimo de lucro, por tanto, ya no es por
despecho con la pareja, por despecho con la antigua empresa, sino que lo
que quiere es ganar dinero de una forma no escrupulosa. Entonces, este es
el peor de todos porque al final lo que va a intentar... Está incentivado
por un afán de ganar dinero. Y con esto existe cada vez un perfil, iba a
decir, mayor. O sea, que cada vez hay más casos de este tipo. ¿Vale? Si
vosotros os conectáis a internet y os ponéis a buscar, quiero, por
ejemplo, una lista de direcciones de email para enviar 5 millones de
correos para ver si consigo que alguien se crea que yo soy un barco. Bueno,
pues hay profesionales que te venden eso. Eso no sería un hacker
estrictamente porque no ha entrado en un sistema, tiene una recopilación
de datos ilegal y tú se la puedes comprar igual por 50 dólares. ¿De
acuerdo? ¿Vale? Bien, entonces tendríamos esos tres perfiles. ¿Cómo se
quiere proteger? Bueno, pues hay diferentes tipos de ataques. Antes hemos
visto el perfil de los atacantes y ahora vamos a ver los diferentes
perfiles, tipos de ataques que pueden realizarse. Uno de ellos es ataques
para obtener información. Eso sería lo primero que hace un hacker.
¿Recordáis el ataque externo? Imaginaros, me propongo la empresa XYZ. Yo
quiero intentar entrar en esa red. Quiero intentar entrar en la empresa
XYZ. ¿Qué hago? Lo primero que tenemos que hacer es recopilar
información, toda la que podamos de esa empresa. ¿Y qué es recopilar
información? Pues, por ejemplo, yo le puedo enviar un correo electrónico
a la empresa. Siempre tienen un correo público, info arroba XYZ.com,
diciéndoles, hola, estoy interesado en sus productos, hola, me gustaría
trabajar con ustedes, lo que sea. Cuando ellos te responden por correo
electrónico, lo que podemos hacer cuando recibimos el correo de respuesta
es analizar la cabecera que tiene el correo electrónico, no la que vemos
en el Outlook o en el cliente de Gmail, sino la cabecera real, la que
circula por dentro, la que está en texto, en bruto, por así decirlo, y a
lo mejor ahí podemos sacar información relevante. Por ejemplo, ¿desde
qué dirección IP me está respondiendo? Si a mí yo consigo saber la
dirección IP desde la que me está respondiendo, digo, ah, pues esa es la
IP pública de las redes del que me ha respondido esta persona. Eso ya se
puede ofuscar, pero a lo mejor la empresa no lo está haciendo, ¿vale?
Entonces, si llámese la IP pública, ya puedo enviar un escaneo de puertas
contra esa IP pública para ver si tienen algún puerto abierto para hacer
un escritorio remoto, un pin viewer o cosas de eso. ¿Me dais cuenta? Hay
herramientas que es un clásico que te permite escanear, le das una IP
determinada y te permite hacer un escaneo de puertos de la IP que tú le
des. ¿Vale? Ataques de acceso a, bueno, otra cosa que podéis hacer es
conectaros, lo que pone aquí, contacto de registro en el dominio.
¿Sabéis que cuando registramos un dominio en Internet, si lo habéis
hecho alguna vez, os piden unos datos de contacto? Te piden quién es la
persona de contacto de ese dominio. Entonces, con esos datos de contacto,
lo que podemos hacer es ver si hay una dirección electrónico. Entonces,
si hay una dirección de correo electrónico, bueno, pues ya sabemos algo
más. Por ejemplo, ya le podríamos enviar un correo electrónico a esa
persona o, en fin. Se trata de recopilar, ¿vale? Es como una especie de
recolección de información y luego ya veremos lo que hacemos con ello,
¿vale? Bien, ataques de acceso no autorizado. Lo anterior era sacar una
foto de la empresa, ¿no? ¿Qué IP tiene? ¿Qué dominio tiene registrado?
¿Qué direcciones de correo tiene? ¿Desde dónde me responden? Saber,
saber más que hacer. Un ataque de acceso no autorizado. ¿Qué direcciones
de correo tiene? ¿Desde cuando yo ya he hecho un escaneo de puertos y veo
que tienen, por ejemplo, abierto el puerto de escritorio remoto porque a lo
mejor el responsable informático o excedente necesitan conectarse cuando
están de viaje a la empresa. Entonces, lo que puedo hacer es, como ya sé
que están escuchando en un puerto que permite establecer una sesión
remota, puedo hacer intentos para entrar ahí. Eso es un intento de ataque
no autorizado. ¿De acuerdo? Lo puedo hacer manualmente, lo puedo hacer por
fuerza bruta, por diccionario, en fin. Existen las herramientas para ello.
¿Vale? Ataques con revelación de información. Bueno, pues esto ya no
solo es entrar, es decir, es como forzar la puerta. Es que además de
entrar, cojo la información para borrarla, modificarla, robarla y
llevármela a otro sitio o vendérsela al que me ha contratado para ello.
¿Cómo se puede hacer esto? Ahí vais a ver un par de ejemplos. SQL
Injection, pues ya sabéis que es una inyección SQL. Las sentencias SQL,
el CELEC, lo que sea, ¿vale? Se puede, si no es un ejecutivo, se puede
hacer un ejecutivo. Si no está suficientemente protegido el sistema, se
pueden hacer secuencias SQL dentro de secuencias SQL. De forma que cuando
tú escribes en un formulario qué quieres buscar, ahí directamente le
metes otra sentencia SQL y entonces el sistema la interpreta como una
sentencia SQL más. Y con eso consigues a veces obtener resultados
generales. ¿Vale? La inyección SQL es un tipo de ataque que lleva muchos
años funcionando. Hoy en día también existen bastantes medidas para
corregirlo, pero sigue estando. El ransomware, ¿sabéis lo que es? El
ransomware está muy de moda. El ransomware es que tú le mandas a
cualquier empleado de una empresa, has conseguido su dirección de correo
por diferentes motivos y le mandas un correo electrónico que pues que
tenga un código malicioso. Puede ir embebido en una imagen. ¿Sabéis que
cuando recibimos un correo electrónico se puede proteger que no
mostráramos por defecto? Eso es porque las imágenes pueden tener código
malicioso. ¿De acuerdo? Depende de lo parchado que tengas el sistema, el
coronavirus y tal. Pero por defecto, por ejemplo, Gmail, cuando tú recibes
un correo electrónico, las imágenes van. Bueno, si consigues que alguien
ejecute un código malicioso que tú le has enviado, ese código malicioso
podría ser un ransomware. Un ransomware lo que hace es busca carpetas o
discos que tenga conectados ese usuario y los cifra. No los borra, no los
roba. Los cifra, los encripta. De forma que el usuario luego ya no los
puede leer. ¿Cuál es la cosa? ¿Para qué quieren hacer esto? Para ganar
dinero. Luego te mandan un correo electrónico diciendo, hemos cifrado el
disco duro. ¿Sabéis lo que le ha pasado a alguna empresa? Que el disco
duro de trabajo y en el que hacían las copias de seguridad, que lo tenían
conectado por USB, o sea, estaba todo accesible. Bueno, pues cifraron los
dos. Por tanto, no podías volver a una copia de seguridad porque solo
hacían copias de seguridad en el disco USB consiste en que cientos o miles
de máquinas al mismo tiempo están lanzando de forma reiterada peticiones
a un único servidor si tú pones a 20.000 personas a llamar o 200.000 a
llamar todas al mismo tiempo continuamente a un mismo número de teléfono
ese número de teléfono queda inoperativo eso es un ataque de denegación
de servicio ¿para qué quieren hacer ataques de denegación de servicio?
pues puede ser a un competidor que lo que quiere es perjudicarte porque
así su web funciona bien y la gente pasa al tuyo, puede ser por despecho
puede ser por muchas cosas eso es cuando estás saturando, es un ataque por
saturación pero también puede ser que alguien te haga un ataque de
denegación de servicio denegación de servicio es dejar algo inservible,
que no funcione entonces puede ser que alguien entre en el router y te
cambie la configuración del router entonces ya no ruta, le cambia las IPs
eso es un ataque de denegación de servicio destrucción, destruir
información que necesita el router para llegar a tal sitio interceptar
comunicaciones TCP en fin, hay diferentes tipos de ataques de denegación
de servicio ¿cómo se puede proteger un sistema de todo esto? bueno, pues
existen varias maneras, por supuesto uno es los esquemas de seguridad que
tienen los propios sistemas operativos hay sistemas operativos que permiten
crear una información de seguridad una infraestructura de seguridad mejor
que otros ahí os he puesto el ejemplo del que viene con los sistemas de
Windows de Windows Server, el directorio activo el directorio activo es una
infraestructura que centraliza la gestión de usuarios, de cuentas de
equipo, de otras de forma centralizada y de forma que se pueden aplicar
políticas de seguridad con unos niveles de detalle muy finos yo puedo
aplicar una política de seguridad para la delegación que hay en Salamanca
diferente de la política de seguridad para la delegación que tenemos en
Madrid etcétera, ¿vale? ¿por qué? pues porque cada uno tiene unos
requisitos diferentes Windows, por ejemplo, en este sentido el directorio
activo tiene un esquema de seguridad que está muy bien, ¿vale? sistemas
de identificación y autenticación seguros para acceder a un sistema para
acceder normalmente vamos a usar cualquiera de los tres criterios que veis
ahí que son lo que sé lo que tengo o lo que soy si yo uso uno de los tres
es un sistema relativamente seguro pero si combino dos el sistema es más
seguro ¿vale? por ejemplo cuando vamos a un cajero automático ponérmelo
en el chat los que estáis conectados por internet cuando vamos a un cajero
automático ¿qué sistema estamos utilizando? lo que sé, lo que tengo o
lo que soy a ver, los que estáis en el chat ¿qué os parece? eso es lo
que dice Ferrer es correcto lo que tengo y lo que sé tú en un cajero
automático si no tienes tarjeta no haces nada pero si alguien encuentra tu
tarjeta sin el PIN no hace nada por tanto estamos combinando dos de hecho
os fijáis que el PIN son solo cuatro dígitos o sea, el PIN es un nivel de
seguridad que se considera hoy muy bajo pero como lo combinas con lo que
tengo tengo un sistema de identificación mucho más seguro ¿vale? y luego
lo que soy se basa en sistemas de identificación biométricos ¿vale? por
ejemplo lectura de la huella digital ¿vale? iris, etcétera ¿vale? que de
momento se aplica en algunos sitios pero digamos que no está implantado de
forma masiva se llevan metiendo portátiles que tienen un lector de huella
digital desde hace, vamos, 15 años yo creo o 10 años y sin embargo pues
en la práctica nadie los usa porque es verdad que siempre han dado algún
problema y bueno, pues es una tecnología que todavía no se consolida y
sobre todo que a la gente reacia a poner parte de su cuerpo en un sistema
que te reconozca luego ves películas por ahí que te dan un poco de miedo
y dices, no, no, yo no quiero nada de esto a ver qué hacen luego con mi
huella digital ¿vale? luego tenemos sistemas de cortafuegos ya sabéis lo
que son cortafuegos ¿vale? en este curso tenéis que hacer práctica con
ICTables entonces, bueno, pues los cortafuegos pueden ser hardware como los
Cisco, los Fortinet, los Checkpoint, etcétera que son cajas físicas con
un cable de red que entra y un cable de red que sale o más entradas y
salidas ¿vale? que pueden ser portátiles por Fibra o por Gigabit por lo
que sea y ahí aplicas unas directivas de seguridad no dejo pasar nada de
fuera o a los de dentro a estos de aquí solo les dejo que vayan al correo
electrónico pero nada más ¿de acuerdo? entonces, eso es un cortafuegos
¿vale? sistemas criptográficos bueno, pues es utilizar los algoritmos
criptográficos para conseguir que un sistema sea más seguro ¿cuál es la
ventaja de la criptografía? bueno, pues que cada vez es más potente y
permite garantizar, entre comillas pero se supone que la criptografía va
por delante de los hackers e incluso de las agencias de seguridad de los
gobiernos ¿vale? no sé si habéis visto en la prensa esta semana que el
gobierno de Estados Unidos le quería imponer a Apple una puerta trasera en
el cifrado de sus teléfonos iPhone para que ellos pudieran ver en
cualquier momento lo que había en ese teléfono y Apple pues ha hecho
pública su decisión de no darle esa información porque no tiene ninguna
garantía de que lo vayan a usar siempre que no es un bueno, etcétera
sistemas criptográficos son, hay uno muy antiguo que es el PGP, PGP es un
proyecto muy bonito de Phil Zimmerman que es un experto en seguridad que a
finales de los 80 más o menos hay un libro que os si os gusta el mundo de
la seguridad os lo recomiendo encarecidamente es un libro muy muy
interesante no es un libro técnico es un libro más para enterarte de un
poco de los orígenes se llama Crypto ¿vale? y la verdad es una lectura de
lo más entretenida habla de como un grupo de gente no quería en los años
80, 90 no quería que el gobierno pudiera interferir las comunicaciones
cuando empezaba entre comillas a empezar a ver comunicaciones por internet
en Estados Unidos entonces hubo un grupo de locos o llamarlo de alguna
manera que idearon algoritmos para intentar evitar que el gobierno pudiera
espiar sus comunicaciones entre ellos Phil Zimmerman que creó el programa
PGP que es un programa que permitía enviarse correos electrónicos
cifrados para que nadie más los pudiera detectar ¿vale? un libro muy
interesante SSL también es el algoritmo en el que se fundamenta todo eso
también es un personaje muy peculiar que sale en el libro la verdad es que
ahora mismo no recuerdo el nombre pero bueno, es un personaje un poco
extravagante estuvo un año en el coche recorriendo visitando a directivos
de empresas y a expertos en seguridad en la época para preguntarles cosas
porque él quería conseguir si hubiese una comunicación segura entre
emisorio y receptor pero sin que previamente ninguno tuviera la clave del
otro entonces claro, la tenías que enviar por un medio público eso es lo
que nos pasa cuando vemos la página web del banco ¿no? cuando vemos la
página web del banco lo que hacemos es hola ¿qué va a decir esto de
ahí? sí, pero como mucho será a partir de las 6 no, no, es más difícil
es un 10 yo creo que no es así perdón, ¿eh? bueno, pues nada os decía
que el algoritmo SSL que es con el que se basan las páginas HTTPS se basa
en eso os dais cuenta de que tenéis tráfico seguro desde cualquier
ordenador en el que no habéis instalado una nave y sin embargo se fijan
los datos ¿sí? pues eso fue gracias la base de todo eso fue gracias a uno
de los protagonistas de Twitter ¿vale? ¿de acuerdo? vale, más cosas que
podemos hacer por supuesto antivirus ¿vale? es dudoso a veces si un
antivirus hace algo o no pero probablemente es mejor tenerlo que no tenerlo
sistemas de análisis de vulnerabilidades Nexus es uno de ellos estos son
aplicaciones que lo que hacen es es como los exploit intentan buscar
vulnerabilidades pero luego en base a lo que encuentran o no encuentran te
generan un informe y te dicen bueno, pues tienes esta aplicación con esta
vulnerabilidad tienes esta aplicación con esta enfermedad estás seguro y
tal ¿vale? y luego sistemas de detección de intrusiones que es not es not
simplemente es para que aprendas eso es poner una sonda que puede ser una
máquina virtual que la pones entre el por ejemplo en la VMZ en la red
donde tienes publicados tus servidores en internet o lo puedes poner entre
entre los portafuegos y tu red local simplemente es como poner una especie
de tarro de miel para que la gente intente jactarlo y que a la vez está
recopilando información sobre el tipo de aplicación ¿de acuerdo? esto es
bueno pues la verdad es que no muchas empresas lo hacen porque lo anterior
sí porque son medidas claras y eso al final el problema es que hace falta
alguien que sepa configurar eso y que esté pendiente de eso sin atender a
lo demás entonces normalmente no suele haber una excepcionalidad en
organizaciones muy grandes no suele haber nadie con esta capacidad ah, y
una cosa fundamental fundamental formación y concienciación el punto más
vulnerable de una red no son los sistemas es la gente que los maneja ¿de
acuerdo? si tú tienes un sistema de seguridad muy potente y permites que
la gente pero sin embargo la gente después airea cómo funciona la
organización o hace cosas sin darse cuenta que pueden perjudicar a la
organización eso puede ser un grave problema de seguridad hay un hacker
que se consideró en su día el hacker más famoso del mundo que se llama
Kevin Mitnick Kevin Mitnick que en los años 90 usó ingeniería social que
básicamente se basaba en lo siguiente él recopilaba información de una
empresa por ejemplo cargos de una empresa quién era el director del
departamento técnico quién era el director de compras quién era el
director de tal quién era el técnico que hace no sé qué información
que iba buscando por internet y la iba obteniendo o a lo mejor llamada por
teléfono una llamada preparada y pedía información sin despertarla sin
despertar sospechas porque pedía muy poca información pero hacía 20
llamadas y con la poca información que consiguió las 20 llamadas ya
sabía más de la empresa y todo esto sin hackear nada simplemente por
teléfono y con información que le daba a la persona de viva voz pues de
esta manera consiguió acceder al prototipo de Motorola antes de que
saliera al mercado porque consiguió que alguien se lo enviara por correo
electrónico ¿de acuerdo? entonces eso es ingeniería social es explotar
la vulnerabilidad que suponen las personas ¿vale? por eso formarles
concienciarles y luego que firmen unos acuerdos de confidencialidad esa
ayuda también ¿vale? para que sepan que si hacen cualquier acción pues
que no sea buena para la empresa que eso tiene precio ¿de acuerdo?
¿cuánto dinero se puede emplear en implantar y mantener el sistema de
seguridad? bueno pues esto ya depende de cada caso ¿vale? hay que adquirir
herramientas de hardware y software como sistemas operativos cortafuegos
antivirus sistemas de detección e inclusión es bueno ¿de acuerdo? hay
que formar al personal ¿vale? el tiempo que necesitamos para formar al
personal tiempo empleado en mantener que puede ser personal propio personal
externo el tiempo empleado cuando pasa algo en volver a donde estábamos
también es un tiempo que nos cuesta dinero tener en cuenta que un fallo de
seguridad no solo es lo que nos suponga sino también es ¿cuánto nos va a
costar volver a donde estábamos? y a veces no eres capaz de volver a donde
estábamos porque puedes tener una pérdida de reputación importante si
tú estás prestando servicios por internet y te han hackeado y han puesto
pública la lista de todos tus clientes con todos sus números de tarjeta
de crédito o sea no eres capaz de volver a donde estabas seguro ¿de
acuerdo? entonces todo eso también es algo que se debería de cuantificar
¿vale? eso se hace en un análisis de riesgos antes os hablaba de una
metodología española que se llama Madrid que es gratuita ¿de acuerdo?
que permite sacarle la foto a lo que tenemos en la empresa y en base a eso
calcular el riesgo para eso hay que valorar los activos es lo que manejamos
en el día a día personal máquinas aplicaciones redes de comunicación
locales etc. ¿vale? hacer un inventario de amenazas para cada tipo de
activo y luego monitorizar el sistema y a partir de ahí poner en marcha
una serie de medidas e ir midiendo cómo funciona ¿vale? esto es un
trabajo continuo la seguridad de la información es un trabajo permanente
no es lo dejo todo súper bien configurado y me olvido de nada eso no es
así ¿de acuerdo? porque van apareciendo vulnerabilidades etc. ¿vale?
bueno soluciones aparentemente perfectas y soluciones razonables bueno esto
básicamente se refiere a que nunca tienes una solución 100% perfecta pero
sí que tienes la posibilidad de aproximarte a algo que sea razonable es
decir tú lo que no puedes es dedicar un millón de euros a asegurar una
red y una empresa cuyo valor es de la mitad ¿de acuerdo? entonces tienes
que buscar un punto de equilibrio entre lo que yo valgo lo que valen mis
activos y las medidas que yo puedo aplicar ¿de acuerdo? entonces en base a
eso aplicaré unas medidas u otras y a lo mejor llegas a la conclusión de
que estás en el negocio equivocado porque resulta que no eres capaz de
aplicar las medidas de seguridad que requieren el tipo de actividad que hay
¿de acuerdo? pues con esto acabamos ya ¿vale? aquí hay unos ejercicios
¿de acuerdo? que bueno vamos a hacer estos tres primeros y los otros los
quedan para vosotros la primera pregunta esos vienen del libro un buce es
una consecuencia imposible de evitar del mal diseño de los computadores
actuales una herramienta de seguridad diseñada para detectar problemas una
propiedad no deseada un tipo de virus informático ¿qué pensáis? ¿la A,
la B, la C o la D? ¿qué pensáis por ahí? primera pregunta una propiedad
no deseada de un sistema informático efectivamente un buce es un error no
deseado ¿vale? por eso se van sacando parches y se disparan la segunda
pregunta para evitar completamente cualquier tipo de ataque informático
fijaros lo que dice para evitar completamente ojo con eso cualquier tipo de
ataque informático a los sistemas se debe comprar las mejores herramientas
de seguridad se debe contratar al hacker más prestigioso se debe confiar
en la suerte y hacer lo que pueda ¿de acuerdo? y no hay manera de
evitarlos completamente la D dice Ismael ¿qué decís vosotros los que
seáis conectados? efectivamente es evidente que es la D ¿no? ¿vale? es
la D ahí está bien y la tercera pregunta la política de seguridad de una
organización debe tener alguna de las siguientes características debe ser
completamente secreta debe incluir mecanismos de respuesta frente a
posibles ataques debe conseguir que los usuarios no tengan que conocerla
debe tener que incluir solo aspectos de sistemas operativos de la
organización ¿qué pensáis? la A la D la C o la D alguien dice la D
¿alguno más? ah la D creo que habéis puesto es que no recuerdo si la
habéis puesto ahora si la B y la D habéis puesto vale yo aquí no la D
fijaros la D lo que dice debe cubrir solo los aspectos de sistemas
operativos de la organización y les pregunto yo ¿la seguridad solo
concierne a los sistemas operativos o concierne también a las aplicaciones
y a las bases de datos pues a las personas? claro que sí la política de
seguridad no puede enfocarse solo sobre el sistema operativo porque estáis
dejando de lado de hecho estáis dejando de lado donde están los datos que
son las bases de datos ¿vale? entonces si no es la D ¿cuál sería? la A
no la política de seguridad no puede ser secreta tiene que ser pública
porque eso significa que estás dando a entender a todo el mundo a tu
personal el primero y luego incluso ahí tú Puedes buscar políticas de
seguridad desde la información a lo que empresas te salen es una
información pública porque el secretismo aquí no sirve de nada tú lo
que quieres decir es nosotros vamos a proteger la confidencialidad en
medida de nuestra seguridad ¿vale? entonces no puede ser secreta la
respuesta correcta aquí sería la respuesta B ¿vale? debe incluir
mecanismos de respuesta frente a posibles ataques ¿de acuerdo? o sea una
política de seguridad establece unas medidas pero también dice cómo
reaccionar cuando pasa algo sin garantizarte que va a ser completamente
seguro pero por lo menos que tengas documentado cómo reaccionar ¿vale?
¿de acuerdo? vale venga quedan dos hacemos esta dos en el contexto de la
seguridad de las comunicaciones un sistema de detección de intrusiones es
un sistema que permite en tiempo real detectar determinados tipos de
ataques un sistema cerrado de televisión un sistema de localización de
posibles atacantes por internet en internet un sistema que permite conocer
cualquier envío no deseado de información por las redes de comunicación
¿qué ponemos ahí? ¿qué os parece? efectivamente es un sistema que
permite en tiempo real detectar patrones de ataque e incluso los puede
bloquear si yo tengo un escritorio remoto abierto en un router y detecto
que hay cien mil intentos de ataque en un cuarto de hora eso es evidente
que es un ataque no puede ser una persona que no le da tiempo a hacer todo
eso es el más corte del mundo entonces lo que puedo hacer es bloquear que
desde esa IP no se puedan hacer más escritos ¿de acuerdo? ¿vale? y en la
última un sistema que proteja frente a accesos no autorizados al seguidor
web de la organización en internet a la vez que protege el sistema ah
perdón un sistema que proteja frente a accesos no autorizados al seguidor
web de la organización en internet a la vez protege el sistema frente a
ataques de denegación de servicio bueno esta redacción yo creo que está
un poquito confusa vamos a a pesar de todo vamos a intentar contestar a ver
qué pensáis estáis poniendo la la C ¿no? la C los ataques falso a ver
falso pues los ataques de denegación de servicio no necesitan tener un
acceso autorizado al sistema que ataca un sistema que protege frente a
accesos no autorizados a la vez ah efectivamente es falso ¿vale? porque
obviamente un ataque de denegación de servicio por supuesto que no es un
ataque que pida permiso ¿de acuerdo? claro tú mandas peticiones a lo loco
y lo que buscas es saturar el sistema ¿vale? bueno pues nada lo dejamos
aquí ¿de acuerdo? publicaré el enlace en el curso y el próximo día
quedaremos igualmente a las a las 5 de la tarde ¿vale?