Ing. Federico Carlos Juárez Anguiano
Gerente IT Advisory
KPMG
fjuarez@kpmg.com.mx

Alguna vez te has preguntado:
¿La información que está almacenada en tu computadora, por ejemplo, tus archivos de Word, Excel y correos electrónicos están seguros y solo tú tienes acceso a ellos?
¿La información que capturas o consultas en los sistemas de tu trabajo son confiables y no han sido modificados por alguna persona no autorizada?
¿Alguna persona, además de ti, puede utilizar o ver tus correos electrónicos?
¿Es posible que tu computadora sea infectada por un virus o gusano y que la información sea borrada?
¿Sería posible identificar quién tuvo acceso a mis archivos o sistema y qué hizo cuando lo utilizó?
¿Cómo puede alguien tener acceso no autorizado a mi computadora y a los sistemas de mi trabajo?
¿Qué se puede hacer para evitarlo?

Para que sea sencillo comprender y contestar estas preguntas, a continuación explicaré algunas de las herramientas y/o controles de seguridad que protegen la información y que deberían estar implementados en tu empresa, además de la manera en cómo ayudan estos controles y qué puede pasar si no están implementados.
Comencemos por los controles de acceso relacionados con identificación, autentificación y autorización. En la actualidad, la mayor parte de las computadoras personales y los sistemas están configurados para que al momento de ser encendidos o al comenzar a utilizarlos se ingrese un usuario y una contraseña; la computadora personal o sistema utiliza el nombre del usuario para identificarlo y reconocer los privilegios o permisos que se tendrán al acceder.
¿Qué pasaría si no existiera este control de acceso? Entraríamos directo a la computadora o al sistema y podríamos comenzar a utilizarlo, y los privilegios que tendría dentro del sistema o computadora personal serían los mismos para todos. Ahora bien, es importante considerar que, para que este control funcione, siempre se deben modificar las contraseñas predeterminadas de fábrica y asignar contraseñas robustas o complejas a las cuentas que se creen, es decir, deben estar conformadas por palabras que no sean de diccionario, compuestas de números, letras, símbolos y de más de ocho caracteres. ¿Por qué es importante esto? Porque una de las maneras más sencillas en la que cualquier usuario mal intencionado o hacker intenta, es utilizar contraseñas predeterminadas, las cuales pueden ser encontradas en manuales de los fabricantes de los sistemas e Internet o tratar de adivinar las contraseñas utilizando palabras de diccionario o herramientas para lo que se denomina “ataques de diccionario y/o fuerza bruta”.
Al modificar las contraseñas predeterminadas y asignar contraseñas robustas estamos evitando que un usuario no autorizado tenga éxito en identificar nuestra contraseña y acceda a nuestra computadora personal o sistema.
Es importante considerar la implementación de un sistema de Identity Management o administración de identidad, que consiste en una herramienta que permite asignar y administrar los usuarios, las contraseñas y los privilegios que va tener el usuario en cada sistema, de manera centralizada; esto puede ayudar a las personas a tener un solo usuario y contraseña y, en caso de ser necesario, modificarlos; solo se haría una vez y el cambio se aplicaría a todos los sistemas. Por otro lado, beneficia a los administradores de los sistemas en tener una consola de administración centralizada.
Otro punto importante es utilizar protocolos de comunicación y/o administración remota que sean seguros. ¿Qué quiere decir esto? Que cuando se entra a una aplicación Web se pide ingresar el usuario y la contraseña; si se revisa la dirección de la página que aparece en la parte superior del navegador o URL, se observa el protocolo que se está utilizando para enviar la información de usuario y contraseña -que puede ser http o https-; en caso de que sea http se está utilizando un protocolo que no es recomendable por seguridad, debido a que envía el usuario y la contraseña en texto claro, lo cual hace posible que un usuario mal intencionado, conectado en la misma red, pueda utilizar un programa de análisis de tráfico de red (sniffer) para ver la información que viaja en esta y capturarla, con la finalidad de utilizarla y tener acceso no autorizado al sistema.
Otro caso similar sucede cuando se utilizan protocolos inseguros de administración remota, como telnet, en el cual se envían los usuarios y las contraseñas sin cifrar. Para evitar este tipo de ataques es importante utilizar protocolos que envíen la información cifrada, por ejemplo: https en lugar de http y ssh en lugar de telnet.
Es importante que los administradores de sistemas de las empresas implementen mecanismos de autentificación y de almacenamiento de las contraseñas robustas; esto, para evitar ataques en los que se tome la información de los usuarios. Algunos de los mecanismos de autentificación que no son seguros son Lan Manager en servidores Windows, los cuales, en combinación con una contraseña débil, hace posible que un usuario mal intencionado pueda capturar el usuario y la contraseña cuando los usuarios se autentifican en el dominio, y puedan descifrar y utilizar ataques de fuerza bruta o diccionario para identificar la contraseña.
Otra de las principales herramientas de seguridad que se implementan en las empresas para proteger la información son los firewalls, los cuales pueden ser aplicaciones y/o dispositivos que se implementan a nivel de red o en las computadoras personales y servidores; su función es filtrar la información que envían o reciben de la red, dependiendo del equipo del que proviene y hacia dónde se dirige.
Una herramienta que también suele implementarse en las empresas para proteger la información son los llamados IPS (Intrusion Prevention Systems) e IDS (Intrusion Detection Systems). Estas dos herramientas funcionan monitoreando la información que se envía por la red, y basándose en ciertos patrones o comportamientos de la información que viaja en la red permiten identificar si un sistema, computadora personal o servidor está siendo atacado, con la finalidad de que los administradores de sistemas puedan hacer algo antes de que el atacante logre tener acceso o éxito en su ataque al equipo.
Además de las antes mencionadas, existen herramientas como los Sistemas de Prevención de Fugas de Información (Data Loss Prevention Systems: DLP, por sus siglas en inglés), que tienen como finalidad monitorear el uso de la información que hacen los usuarios y controlar qué usuario y por cuáles canales (por ejemplo, correo electrónico, USB, CD, DVD; mensajeros ICQ, messenger, comunicator, etcétera), es posible enviar o recibir información.
Una de las herramientas más utilizadas y conocidas son los antivirus. Estos son programas que permiten identificar virus, gusanos, malware o código malicioso que, de manera general, se pueden describir como programas que tienen diversos efectos desde provocar que nuestra computadora se vuelva más lenta hasta que nuestra información se destruya o se nieguen servicios.
Otra de las herramientas que toda empresa debería implementar son los denominados correlacionadores de eventos. Estas herramientas funcionan de la siguiente manera y tienen relación con otras dos que son: los logs y los servidores de syslogs. En caso de que se presente algún incidente o problema de seguridad y se requiera identificar si un usuario entró al sistema o a una computadora personal y cuáles son las diversas actividades que pudo realizar, es necesario que los sistemas cuenten con una funcionalidad que les permita registrar o almacenar, en los que se denominan logs, cuáles fueron las actividades que realizó.
Una vez que los logs son generados pueden enviarse al servidor de syslog, que no es más que una herramienta que se encarga de concentrar los logs de varios sistemas para que, posteriormente, un administrador de sistemas pueda analizarlos y sirvan de ayuda para resolver algún problema de seguridad. Respecto a los correlacionadores de eventos, estos funcionan igual que los servidores de syslogs, con la diferencia de que tienen la capacidad automática de analizar la información.
Existen muchas herramientas adicionales a las que hemos mencionado; sin embargo, estas son las más comunes. Cabe destacar que la implementación de una de estas herramientas o de todas es insuficiente para garantizar que la información va a estar segura. Existe una serie de procedimientos, políticas, análisis de riesgos, estrategias de seguridad y otras actividades que deben considerarse para tener una seguridad más razonable de los sistemas e información de una empresa.