Seguridad web y aplicaciones.
Introducción
Con el paso del tiempo, la tecnología ha estado en constante crecimiento, pero desafortunadamente ha traído consigo las amenazas cibernéticas. Todas las vulnerabilidades como la exposición de información, incumplimiento de regulaciones y filtración de datos se pueden evadir gracias a los distintos mecanismos de seguridad que nos ofrece la seguridad informática.
Desarrollo
Seguridad informática
La seguridad informática es el conjunto de normas, herramientas y procedimientos que tienen un objetivo en común: garantizar integridad, confidencialidad, disponibilidad y buen uso de la información que se encuentra en un sistema informático. La habilidad de identificar y eliminar vulnerabilidades es una de las características que la seguridad en un ambiente de red debe ofrecer. Para conseguir un buen nivel de seguridad, es necesario cumplir ciertas normas, como la restricción a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, protocolos, planes de emergencia, entre muchos otros, para así, minimizar el impacto de desempeño en una computadora. Sin embargo existen riesgos relacionados con la inseguridad informática, por ejemplo, el fraude informático, la piratería, espionaje, saturacion de recursos, robo de información, etc.
Una de las funciones principales de la seguridad informática es asegurar que los equipos computacionales funcionen de manera correcta y también que puedan anticipar las fallas, robos, boicot y cualquier otro factor que atente contra la infraestructura informática. Otro punto crucial que debe de proteger un sistema informático es al usuario que lo utiliza y la información que le pertenece.
Una de las funciones principales de la seguridad informática es asegurar que los equipos computacionales funcionen de manera correcta y también que puedan anticipar las fallas, robos, boicot y cualquier otro factor que atente contra la infraestructura informática. Otro punto crucial que debe de proteger un sistema informático es al usuario que lo utiliza y la información que le pertenece.
Amenaza
Se define como amenaza a la posibilidad de violación de seguridad, que surge cuando se da una circunstancia, capacidad, acción o evento que se pudiera corromper la seguridad y pueda causar un prejuicio. En otras palabras, una amenaza es un peligro posible que una vulnerabilidad puede explotar.
Ataque
El ataque es un asalto a la seguridad del sistema derivado de una amenaza inteligente, en otras palabras, un acto inteligente y deliberado, que puede eludir los servicios de seguridad y corromper la política de seguridad de un sistema.
En la seguridad informática, los ataques se pueden dividir en 2 partes:
1. Obtención del contenido de mensaje: El atacante obtiene el contenido del mensaje, sin embargo no le hace ninguna modificación y llega a su destinatario.
2. Análisis del tráfico: El atacante observa el patrón de los mensajes que se envían.
1. Suplantación de identidad: Es el mensaje que es creado por el atacante; el atacante finge ser el remitente y es enviando a un destinatario.
2. Repetición: El atacante captura pasivamente una unidad de datos y después lo retransmite de tal forma que produce un efecto no autorizado.
3. Modificación de mensaje: El atacante obtiene el mensaje antes de que llegue al destinatario y le hace algunas modificaciones, ya sea agregando o quitando información al mensaje y luego se lo reenvía al destinatario.
4. Interrupción de servicio: El atacante se encarga de interrumpir el servicio proporcionado por un servicio.
En la seguridad informática, los ataques se pueden dividir en 2 partes:
Ataques pasivos
Son aquellos que se dan en forma de escucha o de observación, las cuales no son autorizadas. Con este tipo de ataque se consigue que el oponente pueda conseguir información que se esté transmitiendo. Los ataques pasivos son muy difíciles de detectar, ya que no implican alteraciones a los datos. Existen 2 tipos de ataques pasivos, los cuales son los siguientes:1. Obtención del contenido de mensaje: El atacante obtiene el contenido del mensaje, sin embargo no le hace ninguna modificación y llega a su destinatario.
2. Análisis del tráfico: El atacante observa el patrón de los mensajes que se envían.
Ataques activos
Son aquellos que implican una modificación del flujo de datos, o la creación de un flujo falso. Los ataques pasivos son totalmente opuestos a los pasivos. Desafortunadamente es muy difícil prevenir por completo los ataques activos ya que se requiere de una protección física de todas las herramientas de comunicación y las rutas en todo momento. Existen 4 tipos de ataque pasivos, los cuales son:1. Suplantación de identidad: Es el mensaje que es creado por el atacante; el atacante finge ser el remitente y es enviando a un destinatario.
2. Repetición: El atacante captura pasivamente una unidad de datos y después lo retransmite de tal forma que produce un efecto no autorizado.
3. Modificación de mensaje: El atacante obtiene el mensaje antes de que llegue al destinatario y le hace algunas modificaciones, ya sea agregando o quitando información al mensaje y luego se lo reenvía al destinatario.
4. Interrupción de servicio: El atacante se encarga de interrumpir el servicio proporcionado por un servicio.
Mecanismos de seguridad
Un mecanismo de seguridad se encarga de detectar un ataque que atente contra la seguridad de un sistema, en donde el mecanismo puede prevenirlo o restablecerse de dicho ataque. Los mecanismos de seguridad se pueden dividir en dos partes:
1. Cifrado: Es el uso de algoritmos matemáticos para transformar datos en una forma inteligible.
2. Firma digital: Son los datos añadidos o transformación criptográfica de una unidad de datos la cual permite al receptor verificar la fuente para protegerse de de la falsificación.
3. Control de acceso: Serie de mecanismos que refuerzan los derechos de acceso a recursos.
4. Integridad de datos: Serie de mecanismos utilizados para verificar la identidad de una entidad de una unidad de datos o del flujo de unidades de datos.
5. Intercambio de autentificación: Mecanismo diseñado para comprobar la identidad de una entidad a través del intercambio de información.
6. Relleno de tráfico: Es la inserción de bits en espacios de un flujo de datos para frustrar los intentos de análisis de trafico.
7. Control de enrutamiento: Permite la selección de rutas que son seguras físicamente para determinados datos, y permite cambios de enrutamieno cuando se sospecha de una brecha en la seguridad.
8. Notarización: Es el uso de una tercera parte confiable para asegurar determinadas propiedades de un intercambio de datos.
1. Funcionabilidad fiable: Es la que se considera correcta con respecto a algunos criterios establecidos por una politica de seguridad.
2. Etiquetas de seguridad: La marca asociada a un recurso que designe atributos de seguridad.
3. Detección de acciones: Deteccion de acciones relacionadas con la seguridad.
4. Informe para la auditoria de segurdad: Recopilación de datos para facilitar una auditoria de seguridad.
5. Recuperación de la seguridad: Maneja las peticiones de los mecanismos y lleva a cabo acciones de recuperación.
PONER TABLA ATAQUE VS MECNISMOS
Mecanismos específicos de seguridad
Pueden ser incorporados en una capa de protocolo adecuada para ofrecer alguno de los servicios de seguridad OSI. Existen 8 tipos de macanismos específicos, los cuales son:1. Cifrado: Es el uso de algoritmos matemáticos para transformar datos en una forma inteligible.
2. Firma digital: Son los datos añadidos o transformación criptográfica de una unidad de datos la cual permite al receptor verificar la fuente para protegerse de de la falsificación.
3. Control de acceso: Serie de mecanismos que refuerzan los derechos de acceso a recursos.
4. Integridad de datos: Serie de mecanismos utilizados para verificar la identidad de una entidad de una unidad de datos o del flujo de unidades de datos.
5. Intercambio de autentificación: Mecanismo diseñado para comprobar la identidad de una entidad a través del intercambio de información.
6. Relleno de tráfico: Es la inserción de bits en espacios de un flujo de datos para frustrar los intentos de análisis de trafico.
7. Control de enrutamiento: Permite la selección de rutas que son seguras físicamente para determinados datos, y permite cambios de enrutamieno cuando se sospecha de una brecha en la seguridad.
8. Notarización: Es el uso de una tercera parte confiable para asegurar determinadas propiedades de un intercambio de datos.
Mecanismos generales de seguridad
Son aqullos mecanismos no especificos de ninguna capa de protocolo o sistema de seguridad OSI en particular. Existen 5 tipos de macanismos especificos, los cuales son:1. Funcionabilidad fiable: Es la que se considera correcta con respecto a algunos criterios establecidos por una politica de seguridad.
2. Etiquetas de seguridad: La marca asociada a un recurso que designe atributos de seguridad.
3. Detección de acciones: Deteccion de acciones relacionadas con la seguridad.
4. Informe para la auditoria de segurdad: Recopilación de datos para facilitar una auditoria de seguridad.
5. Recuperación de la seguridad: Maneja las peticiones de los mecanismos y lleva a cabo acciones de recuperación.
PONER TABLA ATAQUE VS MECNISMOS
Ataque vs Mecanismos
| Ataques/Mecanismos | Cifrado | Firma digital | Control de acceso | Integridad de los datos | Intercambio de autentificación | Relleno de tráfico | Control de enrutamiento | Notarización |
|---|---|---|---|---|---|---|---|---|
| Obtención del contenido | Y | Y | ||||||
| Análisis del tráfico | Y | Y | Y | |||||
| Suplantación | Y | Y | Y | Y | ||||
| Repetición | Y | Y | Y | |||||
| Modificación de mensajes | Y | Y | Y | |||||
| Interrupción del servicio | Y | Y |
Servicios de seguridad
Se le dice servicio de seguridad a aquel que mejora la seguridad de los sistemas de procesamiento de datos y la transferencia de información. Este tipo de servicios están diseñados para disminuir los ataques a la seguridad y hacen uso de uno o varios mecanismos para proporcionar dicho servicio. Los servicios de seguridad se dividen en 5 categorías, las cuales son las siguientes:
-Autentificación: Esta mismo se divide en dos partes, Autentificación de entidades origen/destino y Autentificación de origen de los datos.
-Control de acceso: Previene el uso no autorizado de una fuente.
-Confidencialidad de los datos: Esta a su vez se divide en los siguientes servicios, confidencialidad de conexión, no orientada a la conexión, de campos seleccionados y de flujo de tráfico.
-Integridad de los datos: Este servicio de seguridad se encuentra organizado de la siguiente manera: Integridad de la conexión con recuperación, conexión sin recuperación, conexión de campos seleccionados, Integridad no orientada a la conexión y no orientada a la conexión de campos seleccionados.
-No repudio: Que a su vez se divide en no repudio origen y destino.
-Autentificación: Esta mismo se divide en dos partes, Autentificación de entidades origen/destino y Autentificación de origen de los datos.
-Control de acceso: Previene el uso no autorizado de una fuente.
-Confidencialidad de los datos: Esta a su vez se divide en los siguientes servicios, confidencialidad de conexión, no orientada a la conexión, de campos seleccionados y de flujo de tráfico.
-Integridad de los datos: Este servicio de seguridad se encuentra organizado de la siguiente manera: Integridad de la conexión con recuperación, conexión sin recuperación, conexión de campos seleccionados, Integridad no orientada a la conexión y no orientada a la conexión de campos seleccionados.
-No repudio: Que a su vez se divide en no repudio origen y destino.
Conclusión
La seguridad informática ha ayudado a mantener tanto a las computadoras como servidores a salvo, manteniendo la información y datos de forma segura ya que siempre debe estar preparada para el ataque. No obstante, las vulnerabilidades, las amenas y los ataques están a la orden del día, pues, así como el nivel de seguridad informática crece, existen vulnerabilidades que los hackers pueden encontrar y de ese modo atentar contra la estabilidad de un sistema seguro. Sin embargo para eso existen los mecanismos y servicios de seguridad, los cuales hacen que un sistema sea más seguro, contrarrestando los ataques y amenazas de una forma eficiente. Gracias a la seguridad informática podemos estar confiados, sentirnos libres de peligro y riesgo. Aunque no exista un sistema de seguridad 100% seguro la mayoría de los sistemas informáticos han otorgado una experiencia satisfactoria, la cual hace que el usuario final esté en un ecosistema seguro en el que no tiene que preocuparse, más sin embargo, se debe de tomar precaución y estar al pendiente no solo de la amenaza o el ataque, sino de estar preparados para actuar en contra de la amenaza o ataque. Es importante que la seguridad informática debe estar a la vanguardia y estar al tanto a las amenazas o ataques que los hackers hacen, ya que, si no se está preparado para una amenaza o ataque puede entrar en riesgo el sistema que se está protegiendo y así generar inestabilidad tanto para el usuario como los programadores que se encargan de la seguridad informática. En la actualidad la seguridad informática es utilizada en masa, organizaciones y usuarios finales la utilizan día a día para poder navegar en Internet y de ese modo estar confiados, pues, una de las principales objetivos de la seguridad informática es mantener la información y datos del usuario seguros, todo esto a partir de mecanismos como el cifrado, control de acceso, firma digital, relleno de trafico, entre otros, ademas de otorgar servicios de seguridad como la autentificación, control de acceso, no repudio, confidencialidad de los datos e integridad de los datos. Todos estos mecanismos y servicios de seguridad son necesarios para estar preparados y así combatir las amenazas y los ataques. Aunque un sistema informático no puede llegar a ser totalmente seguro, las medidas, servicios y mecanismos de seguridad pueden asegurarnos estar preparados ante las amenazas y los ataques, de tal forma que un sistema informático pueda evitar o recuperarse de los daños y problemas que pueden generar los intrusos.
Referencias bibliográficas:
1. Stallings G. (2004). FUNDAMENTOS DE SEGURIDAD EN REDES. APLICACIONES Y ESTÁNDARES. . Madrid: Pearson Edacación.
PAra verificar la seguridad, incluso en web. Siempre una Empresa de Auditorias de Seguridad es una buena solución.
ResponderBorrar