Seguridad informática
La seguridad informática es en realidad una rama de un término más genérico que es la seguridad de la información, aunque en la práctica se suelen utilizar de forma indistinta ambos términos.
La seguridad informática abarca una serie de medidas de seguridad, tales como programas de software de antivirus, firewalls, y otras medidas que dependen del usuario, tales como la activación de la desactivación de ciertas funciones de software, como scripts de Java, ActiveX, cuidar del uso adecuado de la computadora, los recursos de red o de Internet.
🛡️ Guía Fundamental de Seguridad Informática
Podemos definir la seguridad informática como el proceso de prevenir y detectar el uso no autorizado de un sistema. Implica proteger nuestros recursos contra intrusos con intenciones maliciosas o aquellos que buscan obtener ganancias de forma ilegítima.
Aunque a menudo se confunde con la «seguridad de la información», la informática se centra específicamente en la protección de la infraestructura y los activos digitales.
🛑 Medidas Prevención y Protección
La gran mayoría de los ataques pueden prevenirse si se toman las medidas adecuadas. Aquí tienes las defensas esenciales:
- Software Legal: Evita troyanos ocultos en programas «piratas».
- Suites Antivirus: Configuradas correctamente para análisis en tiempo real.
- Firewalls (Cortafuegos): Bloquean el acceso no autorizado a tu red.
- Contraseñas Complejas: Uso de caracteres especiales, números y letras.
- Criptografía: Mantener la información sensible cifrada y secreta.
⚠️ El factor humano: Ingeniería Social
A menudo, el eslabón más débil es el usuario. Los ciberdelincuentes utilizan el engaño para obtener datos privados a través de redes sociales o correos falsos.
👾 Diccionario de Amenazas (Malware)
El término malware engloba a todo software hostil diseñado para dañar un sistema sin consentimiento:
| Tipo | Características |
|---|---|
| Virus | Altera el funcionamiento y requiere un archivo huésped para propagarse. |
| Troyano | Parece un programa legítimo, pero abre una «puerta trasera» (backdoor) al atacante. |
| Gusano | Se replica a sí mismo de forma autónoma a través de la red. |
| Spyware | Recopila información privada sin consentimiento del propietario. |
| Bomba Lógica | Código inactivo que se ejecuta al cumplirse una condición de tiempo o evento. |
Malware
También llamado badware, código maligno, software malicioso o software malintencionado, es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora o sistema de alimentación sin el consentimiento de su propietario.
El término malware es muy utilizado por profesionales de la informática para referirse a una variedad de software hostil, intrusivo o molesto.
El término informática suele aplicarse de forma incorrecta para referirse a todos los tipos de malware, incluidos los virus verdaderos.
El software se considera malware en función de los efectos que, pensados por el creador, provoque en un computador.
El término malware incluye virus, gusanos, troyanos.
La mayor parte de los rootkits, scareware, spyware, adware intrusivo, crimeware y otros software maliciosos e indeseables.
Virus informático
Es un malware que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario.
Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este.
Pueden destruir, de manera intencionada, los datos almacenados en una computadora, aunque también existen otros más inofensivos, que solo se caracterizan por ser molestos.
Los virus informáticos tienen, básicamente, la función de propagarse a través de un software, no se replican a sí mismos porque no tienen esa faculta como el gusano informático, son muy nocivos y algunos contienen además una carga dañina (payload) con distintos objetivos, desde una simple broma hasta realizar daños importantes en los sistemas, o bloquear las redes informáticas generando tráfico inútil.
El funcionamiento de un virus informático es conceptualmente simple. Se ejecuta un programa que está infectado, en la mayoría de las ocasiones, por desconocimiento del usuario.
El código del virus queda residente (alojado) en la memoria RAM de la computadora, incluso cuando el programa que lo contenía haya terminado de ejecutarse.
El virus toma entonces el control de los servicios básicos del sistema operativo, infectando, de manera posterior, archivos ejecutables que sean llamados para su ejecución.
Zona desmilitarizada
(Conocida también como DMZ) o red perimetral es una red local que se ubica entre la red interna de una organización y una red externa, generalmente en Internet.
El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras que en general las conexiones desde la DMZ solo se permitan a la red externa — los equipos (hosts) en la DMZ no pueden conectar con la red interna.
Esto permite que los equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada.
Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejón sin salida.
La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accedidos desde fuera, como servidores de correo electrónico, Web y DNS.
Y es precisamente estos servicios alojados en estos servidores los únicos que pueden establecer tráfico de datos entre el DMZ y la red interna, por ejemplo, una conexión de datos entre el servidor web y una base de datos protegida situada en la red interna.
Las conexiones que se realizan desde la red externa hacia la DMZ se controlan generalmente utilizando port address translation (PAT).
Observe que los enrutadores domésticos son llamados DMZ host, aunque no es una definición correcta de zona desmilitarizada.
Caballo de Troya
En informática, se denomina a un software malicioso que se presenta al usuario como un programa aparentemente legítimo e inofensivo, pero que, al ejecutarlo, le brinda a un atacante acceso remoto al equipo infectado.
Los troyanos pueden realizar diferentes tareas, pero, en la mayoría de los casos, crean una puerta trasera (en inglés backdoor) que permite la administración remota a un usuario no autorizado.
Un troyano no es de por sí, un virus informático, aun cuando teóricamente pueda ser distribuido y funcionar como tal. La diferencia fundamental entre un troyano y un virus consiste en su finalidad.
Para que un programa sea un «troyano» solo tiene que acceder y controlar la máquina anfitriona sin ser advertido, normalmente bajo una apariencia inocua.
Al contrario que un virus, que es un huésped destructivo, el troyano no necesariamente provoca daños, porque no es ese su objetivo.
Correo basura y Mensaje basura
Hacen referencia a los mensajes no solicitados, no deseados o con remitente no conocido (correo anónimo), habitualmente de tipo publicitario, generalmente enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor.
La acción de enviar dichos mensajes se denomina spamming.
Aunque se puede hacer spam por distintas vías, la más utilizada entre el público en general es la basada en el correo electrónico.
Otras tecnologías de Internet que han sido objeto de correo basura incluyen grupos de noticias, usenet, motores de búsqueda, redes sociales, páginas web, wiki, foros, blogs, a través de ventanas emergentes y todo tipo de imágenes y textos en la web.
Spyware Programa espía
Es un software que recopila información de un ordenador y después transmite esta información a una entidad externa sin el conocimiento o el consentimiento del propietario del ordenador.
El término spyware también se utiliza más ampliamente para referirse a otros productos que no son estrictamente spyware.
Estos productos, realizan diferentes funciones, como mostrar anuncios no solicitados (pop-up), recopilar información privada, redirigir solicitudes de páginas e instalar marcadores de teléfono.
Un spyware típico se auto instala en el sistema afectado de forma que se ejecuta cada vez que se pone en marcha el ordenador (utilizando CPU y memoria RAM, reduciendo la estabilidad del ordenador), y funciona todo el tiempo, controlando el uso que se hace de Internet y mostrando anuncios relacionados.
Sin embargo, a diferencia de los virus, no se intenta replicar en otros ordenadores, por lo que funciona como un parásito.
Algunos ejemplos de programas espía conocidos son Gator o Bonzi Buddy.
Spoofing
En términos de seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación.
Se pueden clasificar los ataques de spoofing, en función de la tecnología utilizada.
Entre ellos tenemos el IP spoofing (quizás el más conocido), ARP spoofing, DNS spoofing, Web spoofing o email spoofing, aunque en general se puede englobar dentro de spoofing cualquier tecnología de red susceptible de sufrir suplantaciones de identidad.
Suplantación de IP. Consiste básicamente en sustituir la dirección IP origen de un paquete TCP/IP por otra dirección IP a la cual se desea suplantar.
Esto se consigue generalmente gracias a programas destinados a ello y puede ser usado para cualquier protocolo dentro de TCP/IP como ICMP, UDP o TCP.
Hay que tener en cuenta que las respuestas del host que reciba los paquetes alterados irán dirigidas a la IP falsificada.
DDoS
Los ataques DDoS son ataques de fuerza bruta.
Consisten en dar mucho la lata al servidor saturándole a peticiones, hasta que el servidor dice basta y deja de responder.
Es un método muy burdo y simple, pero tremendamente efectivo cuando tenemos a un montón de gente haciendo peticiones a ese servidor.
Además de los DDoS, hay ataques a servidores más sutiles, algunos aprovechándose de aplicaciones no actualizadas. Otros están basados en la pieza entre el teclado y la silla, el querido usuario.
Efectivamente, muchas veces el usuario se deja un archivo con las claves visible para todos, deja contraseñas por defecto, da pistas de dónde y cómo atacar.
Por último, también hay otro tipo de ataque muy conocido, los XSS.
Son fallos en las webs que permiten que, cambiando algunos parámetros de la URL podamos mostrar cualquier cosa en la web: un texto, un script, una imagen de Mr Bean…
No suelen ser demasiado peligrosos, y algunos navegadores (Chrome por ejemplo) ya lo evitan desde el propio navegador.
Puerta Trasera
En la informática, una puerta trasera (o en inglés backdoor), en un sistema informático es una secuencia especial dentro del código de programación, mediante la cual se pueden evitar los sistemas de seguridad del algoritmo (autentificación) para acceder al sistema.
Aunque estas puertas pueden ser utilizadas para fines maliciosos y espionaje no siempre son un error, pueden haber sido diseñadas con la intención de tener una entrada secreta.
Puertas traseras más conocidas
Los más conocidos son Back Orificee y NetBuss, dos de los primeros backdoors, que hasta nuestros días siguen vigentes aunque en menor cantidad dado que la mayoría de los programas antivirus los detectan.
Otro muy conocido es el SubSeven que también fue introducido en millones de ordenadores en el mundo.
Netcat es una de las herramientas de hacking y administración de redes que puede ser empleada para abrir puertas traseras así como emplearla para protegerse de ellas.
Originalmente desarrollada para sistemas Unix, en la actualidad también está disponible para Microsoft Windows.
Bomba lógica
Las bombas lógicas, son aplicaciones o software que van incrustados en otros códigos y que tienen como principal objetivo, realizar un ataque malicioso a la parte lógica del ordenador, es decir, borrar ficheros, alterar el sistema, e incluso inhabilitar por completo el sistema operativo de un PC.
Las bombas lógicas se diferencian de otros tipos de software malicioso por su capacidad de permanecer suspendidas o inactivas, hasta que se cumpla un período de tiempo determinado por su desarrollador, en ese momento se activa y ejecuta la acción maliciosa para la cual ha sido creada.
Algunas bombas lógicas son utilizadas también para fines no maliciosos, como realizar tareas predeterminadas, como por ejemplo, enviar e-mails, apagar el monitor de un PC, ejecutar un archivo multimedia, etc., aunque son utilizadas principalmente como arma destructiva contra PC’s o redes
Cómo funciona y cómo se propaga
Las bombas lógicas, por lo general, son pequeños pedazos de código fuente que usualmente son incluidos dentro de otras aplicaciones que son enviadas a la víctima, de tal manera, que el usuario final no se da cuenta de que ha sido infectado, ya que al estar completamente inactivas pueden pasar desapercibidas por algunos sistemas de seguridad.
Una vez guardados en el ordenador de la víctima, estos pedazos de código esperan que se cumpla la hora de ejecución y, una vez llegado este tiempo, se ejecuta la tarea para la cual está destinada la bomba lógica dejando al usuario prácticamente indefenso ante el ataque lógico que tiene lugar en su PC.
🌐 Conceptos Avanzados de Red
DMZ (Zona Desmilitarizada)
Es una red perimetral que separa la red interna de Internet. Permite que servidores (Web, Mail, DNS) den servicios externos sin comprometer la seguridad de los equipos internos.
Ataques DDoS y Spoofing
- DDoS: Ataque de fuerza bruta que satura un servidor con peticiones hasta dejarlo inoperativo.
- Spoofing: Técnicas de suplantación de identidad (IP, DNS o Email) para engañar al sistema.
Conejos o Bacterias
Programas que no dañan archivos directamente, pero se reproducen exponencialmente hasta consumir todos los recursos (RAM/CPU), provocando una negación de servicio.
🔗 Recursos de Seguridad Recomendados:
Apunte de Julio: La seguridad absoluta no existe, pero la mayoría de los ataques se evitan con sentido común: no abras adjuntos sospechosos y mantén siempre tu sistema actualizado.
🐰 Ataques de «Conejos» o Bacterias
Los conejos o bacterias son programas que no dañan los datos de forma directa. Su peligrosidad reside en su capacidad de reproducirse de forma exponencial. El objetivo es consumir todos los recursos del sistema (CPU, RAM o disco) hasta provocar una negación de servicio (DoS).
¿Cómo funcionan?
Imagina un entorno Unix sin límites de procesos (quata). Un usuario podría ejecutar un código malicioso (conocido como fork bomb) que realice lo siguiente:
:(){ :|:& };:
Este pequeño script reserva memoria y crea una copia de sí mismo. La copia hace lo mismo, y en cuestión de segundos, miles de procesos activos bloquean por completo el procesador y la memoria RAM, obligando al sistema a detenerse o reiniciarse.
🛡️ Cómo prevenirlos
La mejor forma de evitar que un «conejo» tumbe un servidor es configurar límites de recursos para los usuarios. En sistemas Linux/Unix, esto se gestiona mediante:
- Límites de cuota (ulimit): Restringe el número máximo de procesos que un usuario puede abrir.
- Cgroups: En sistemas modernos, permite aislar y limitar el uso de CPU y memoria de forma granular.
Apunte de Julio: Aunque parezca un ataque antiguo, sigue ocurriendo por accidente cuando un programador crea un bucle infinito que genera procesos. Por eso, configurar siempre los límites de usuario en un servidor es una regla de oro de la administración.
¡Cuidado con los procesos infinitos! ¿Te ha pasado alguna vez en tus laboratorios? 👇
Espero que esta guía os ayude a mantener vuestros equipos seguros. ¡Gracias por vuestra visita! 👇
