LEY DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN Y EL COMERCIO ELECTRÓNICO (LSSI)

Objeto
Regular el régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica.

¿Qué se entiende por servicio de la sociedad de la información?

Cualquier actividad que cumpla con los siguientes requisitos:

• Recibe una contraprestación económica.
• La actividad se realiza a distancia por medios telemáticos. 
• A petición individual del destinatario del servicio.
• Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico.

Regula.

• Las obligaciones de los prestadores de servicios.
• Las comunicaciones comerciales por vía electrónica.
• Los contratos electrónicos: su validez y eficacia.
• El régimen sancionador aplicable a los prestadores de servicios de la sociedad de la información.
• LSSI - Entornos Web.

LEGISLACIÓN SOBRE SEGURIDAD INFORMÁTICA.

Constitución Española.

Artículo 18.3
Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.

Artículo 18.4
La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

Código Penal.

Artículo 197.1
El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.

Artículo 197.3
(Añadido por ley Orgánica 5/2010 de 22 de junio).

El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis a dos años.

Tipifica claramente el HACKING como delito.

Artículo 264.1
(Redacción según ley Orgánica 5/2010, de 22 de junio).

El que por cualquier medio, si autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con pena de prisión de seis meses a dos años.

Tipifican claramente el CRACKING como delito (revelación de secretos y daños).

Artículo 264.2
(Añadido por ley Orgánica 5/2010 de 22 de junio).

El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con pena de prisión de seis meses a tres años.

Tipifica claramente los ataques DOS como delito.

Artículo 199
El que revelase secretos ajenos, de los que tenga conocimiento por razón de su oficio o sus relaciones laborales, será castigado con la pena de prisión de uno a tres años de multa de seis a doce meses.

El profesional que, con incumplimiento de su obligación de sigilo o reserva, divulgue los secretos de otra persona, será castigado con la pena de prisión de uno a cuatro años de multa de doce a veinticuatro meses e inhabilitación especial para dicha profesión por tiempo de dos a seis años. 

COMANDO GPG y OPENSSL.

GPG.

1. Crear claves pública y privada:

      gpg --gen-key

2. Vemos las claves:

      gpg --list-key   (para ver la pública)

      gpg --list-secret-key (para ver la privada)

3. Exportamos la clave

      gpg --armor --output clave.txt --export Pedro Pérez

4. Cifrar un fichero:

      gpg --armor -encrypt --recipient Pedro Pérez --output clave2.txt clave.txt

5. Importar clave:

      gpg --import clave.txt

6. Descifrar:

      gpg --decrypt clave2.txt

OPENSSL.

1. Encriptar:

      openssl enc -aes128 -in clave.txt -out nuevo.txt -k hola

2. Desencriptar:

      openssl enc -aes128 -d -in nuevo.txt -out nuevo2.txt -k hola

AUTENTICACIÓN DE ACCESO PAM.

Conjunto de librerías compartidas, que permiten seleccionar como deben identificarse los usuarios ante una aplicación.

El uso de PAM, permite cambiar el funcionamiento de un método de autenticación, sin necesidad de cambiar las aplicaciones que utilizan ese método y también cambiar el método de autenticación de una aplicación, solo cambiando las librerías compartidas que usan en el proceso de autenticación.

RASTREO DE PUERTOS.

Rastreo de puertos TCP SYN Scan.
Se inicia con un paquete SYN en la máquina de origen, al que la maquina de destino corresponde con un paquete SYN/ACK, que es finalmente respondido por la maquina que inicia la conexión por un paquete ACK.

Rastreo de puertos UDP.
UDP no está orientado a la conexión y no tiene un paquete SYN como TCP, pero si un paquete se envía a un puerto que no está abierto, responde con un mensaje ICMP Port Unrecheable. La mayoría de los escanéos de puertos UDP usan este método, e infieren que si no hay respuesta, el puerto está abierto, pero si está filtrada por un firewall, dará una información errónea.

Ejemplo correcto, enviar una consulta DNS.

ESCANER DE PUERTOS.

Se usa para analizar por medio de un programa el estado de los puertos de una máquina conectada a una red de comunicaciones. Detecta si un puerto está abierto, cerrado o protegido por un cortafuegos. Nmap por ejemplo.

SISTEMA DE DETECCIÓN DE INTRUSOS (IDS)

Definición.
Programa usado para detectar accesos no autorizados a un ordenador o a una red. Pueden ser ataques de hackers, o script kiddies que usan herramientas automáticas.

El IDS suele tener sensores virtuales (por ejemplo un sniffer de red) con los que el núcleo del IDS obtiene datos externos (sobre el tráfico de red).

Suelen disponer de una base de datos "firmas" de ataques conocidos.

Tipos.

HostIDS (HIDS).
Intenta detectar rastros de intrusos o modificaciones realizadas por ellos en dichos equipos y hacen un reporte de sus conclusiones.

NetworkIDS(NIDS).
Un IDS basado en red, detectando ataques a todo el segmento de la red.
Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.

MALWARE.

¿Que es?
También llamado software malicioso (desarrollado) para acceder a ordenadores sin autorización y producir efectos no deseados.

Tipos.

• Virus.
• Gusano.
• Troyano.

Virus.

Código malicioso que infecta otros archivos.

Existen principalmente en ficheros ejecutables y macros.

Actúa al ejecutar el fichero infectado.

Gusano.

Realiza copias de si mismo para propagarse a través de la red.

Troyano.

Crea una puerta trasera para la administración remota de un usuario no autorizado.

Descargas, visitas web, etc.

Otros.

• Infostealers (Ladrones de información).
• Key logger.
• Spyware.
• PWstealer. 

SEGURIDAD ACTIVA EN EL SISTEMA. CONTROL DE ACCESO.

¿Que es?
Ejercer el poder de decidir sobre quien puede interactuar con un recurso.

Aplicado a la seguridad informática.
Aplicación de barreras y procedimientos que resguarden el acceso a los datos, de tal manera que solo accedan personas autorizadas.

Pasos que la componen.
Autorización.
Establecer que puede hacer la persona sobre el recurso y privilegios que tiene sobre el.

Autenticación.
Identificar a la persona o entidad que trata de acceder a un recurso.

Auditoría.
Registro en un log de los accesos o intentos de acceso a los recursos por parte de los usuarios autorizados o no.

COMO ME PROTEJO.

Auditorias de seguridad informática.
Estudio para identificar y corregir vulnerabilidades.

• Se enumeran Sistemas Operativos, servicios, aplicaciones, tipologías y protocolos de red.
• Se detectan, comprueban y evalúan vulnerabilidades.
• Medidas de corrección de errores.
• Recomendaciones.

Tipos.

• Interna de seguridad (redes locales).
• Seguridad perimetral (conexión al exterior).
• Test de intrusión (acceso a sistemas).
• De código de aplicaciones (vulnerabilidades de aplicaciones).
• Analisis forense (valoración de daños y como se produjeron).

¿Sobre quién se realiza?
Estaciones de trabajo, redes, servidores y usuarios.

Objetivos.

• Revisar seguridad de sistemas.
• Verificar el cumplimiento de la normativa y legislación vigentes.
• Elaborar un informe sobre el grado de seguridad y cumplimiento.
• Dar recomendaciones sobre medidas (solucionar problemas).

Normativa.

COBIT (control de tecnologías de la información).

ISO 27002 (buenas prácticas de seguridad de la información).

ISO 27001 (requisitos de auditoria y sistemas de gestión de la seguridad).

RENOVACIÓN DE CERTIFICADOS.

Pueden expirar o ser revocados.

¿Cómo saber si ha sido revocado un certificado?
Consultar la CRL (lista de revocación de certificados) de la CA. Para ello consultaremos online la CA usando el protocolo OCSP.

¿Cómo proteger la clave privada?
Utilizar cifrado simétrico. Uso de smartcard.

PKI.

Definición.
Sistema de publicación de certificados digitales, que asegura que se confía en que las claves públicas de dichos certificados, pertenecen a la entidad que se dice (función certificadora).

Elementos.
Autoridad de certificación (CA).
Elemento central de la PKI.
2 claves 1 pública, 1 privada.
Firma certificados.
Establecen si confían o no.

Autoridad de registro (RA).
Controla la generación de certificados.
2 personas. Identificar el propietario de la clave pública, para expedir el certificado digital.

Funciones.
Procesar peticiones de usuarios.
Comprobar identidad de los usuarios mediante documentación.
Solicitar a la CA la expedición del certificado digital (ejecutar software).  

CLAVE PÚBLICA

¿Que es?
Sentencia de bits que se pueden guardar en un  fichero.

¿A quién pertenece?
Certificados digitales: documento que tiene información sobre una persona o entidad, junto a su clave pública.

¿Pertenece a quien lo envía?
Infraestructuras de clave pública.

EJEMPLO DE MENSAJE CIFRADO

B manda un mensaje cifrado.

B lo cifra con su clave privada.

El mensaje podrá ser descifrado con la clave pública de B.

Se conoce la clave pública de B, pero no la privada.

Solo B descifra algo con su clave pública (no repudio).

Mensaje original - firma (usando clave privada) - mensaje cifrado - clave pública - mensaje verificado.
Si surgen cambios no se podrá descifrar con la clave pública (integridad).

Firmar el resumen digital en vez de el mensaje es mas rápido.

Proceso.
Tenemos el texto en claro, lo firmamos digitalmente (mediante función hash), obtenemos el resumen digital firmado con la clave privada del firmante.
Lo que se envía es el texto en claro + el resumen digital firmado.

Si los dos resúmenes son iguales NO REPUDIO/AUTENTICACIÓN.

Proceso de verificación (resúmenes distintos).
Resumen descifrado con clave pública no asociada a la privada con la que se firmó.

Integridad.

• Mensaje recibido distinto al enviado por el emisor.
• El mensaje es el enviado por el firmante sin modificaciones.

 

RESUMEN HASH

Resumen digital de un texto en claro (p). F hash (p) = r.

Una misma entrada da lugar a una misma salida.

Un cambio, da como solución un resultado distinto.

El tamaño del resumen digital, es menor que el texto en claro original.

CRIPTOGRAFÍA HÍBRIDA

Nace de la unión de la criptografía simétrica y la criptografía  asimétrica.

La criptografía asimétrica la utilizaremos para la distribución de la clave.

La criptografía simétrica la usaremos para cifrar y descifrar.

CRIPTOGRAFIA

Simétrica.
 Se utiliza la misma clave para cifrar y descifrar.

Ventajas.

• Cifrado y descifrado rápido.

Desventajas.

• Distribución de clave insegura.
• Muchas claves a memorizar.

Asimétrica.
 Se utiliza una clave para el cifrado y otra para el descifrado.

k= privada.
k'= pública.

Si queremos enviar un mensaje secreto a A, utilizaremos la clave pública de A (k'A), que lo puede descifrar A.

Ventajas.

• Se utilizan menos claves.
• Existe mayor seguridad.

Desventajas.

• Más lento.

ATAQUES INFORMÁTICOS

Definición:

Intento organizado y deliberado de una o más personas para causar daños a un sistema informático o red.

Tipos:

Pasivos: El atacante no altera la información, solo la escucha o monitoriza.

Este tipo de ataques es difícil de detectar.

Activos: El atacante modifica la información o crea un falso flujo de datos.

TIPOS DE SEGURIDAD INFORMÁTICA

Criterio de clasificación. Según la naturaleza del activo a proteger.

Seguridad física: Proteger el hardware, de incendios, inundaciones, etc.

Seguridad lógica: Proteger el software (aplicaciones, sistema operativo y datos), de virus, pérdida de datos, etc.

Criterio de clasificación. Según el momento preciso de actuación I.

Seguridad activa: Se realiza antes de que se produzca el percance (medidas preventivas).

Seguridad pasiva: Se realiza después de que se produzca el percance (medidas paliativas).

Criterio de clasificación. Según el momento preciso de actuación II.

Prevención: Acciones que se toman antes de que se produzca el percance, para evitarlo (a nivel de software, hardware y red).

Detección: Acciones que se toman para detectar que se ha producido un percance.

Recuperación: Acciones que se toman para llevar el sistema a su estado antes del ataque (restaurar el sistema, mediante copia de seguridad).

Análisis forense: Acciones realizadas para tratar de averiguar que ha hecho el atacante y así prevenir futuros ataques.

CENTRO DE PROCESAMIENTO DE DATOS (CPD)

Definición.

También llamado centro de cálculo, es aquel donde se concentran los recursos necesarios para el procesamiento de la información.

Seguridad física.

Proteger el lugar donde se concentran los recursos necesarios para el procesamiento de la información, usando barreras físicas y procedimientos de control.

Requisitos.

• Disponibilidad y monitorización todos los días del año.
• Fiabilidad infalible.
• Seguridad, redundancia y diversificación.
• Control ambiental / prevención de incendios.

Tener en cuenta.

• La ubicación.
• Suministro eléctrico.
• Control de acceso.
• Protección contra incendios.
• Climatización. 
• Recuperación de datos en caso de desastre.

Ubicación.
 Zona tranquila, pero no desolada, evitar interferencias de radio y televisión, evitar proximidad a almacenes que contengan o trabajen con gas nocivo o inflamable, evitar sótanos, plantas encima de garajes (usar plantas intermedias). Ruido y vibraciones amortiguados.

Suministro eléctrico.

1. Gran empresa: Sistema independiente del resto de la instalación o uso de grupos electrógenos.  
2. Pequeña empresa: Uso de SAIs.

Control de acceso.

Uso de:

• Servicio de vigilancia.
• Sistemas biométricos de acceso al CPD.
• Detectores de metales.
• Alarma y sensores.

Protección contra incendios.

Sistemas de detección precoz: Analizar continuamente el aire para observar la composición del mismo y detectar el incendio, incluso antes de que se produzca.

Sistemas de desplazamiento de oxigeno: Reducir la concentración de oxigeno, extinguiendo así el fuego sin usar agua, que dañaría el sistema.

Normas de evacuación de la instalación.

Climatización.

Se trata simplemente de refrigerar los equipos, no de enfriar la habitación en la que se encuentran los mismos.

Dirigir el aire frío hacia los equipos a refrigerar, solo a la parte que absorbe el aire y desde el suelo.

Uso de pasillos fríos y calientes.

Recuperación en caso de desastre.

Utilización de las siguientes medidas:

• Política de RAID.
• Política de copias de seguridad.

Tener un centro de backup independiente, en otra localización.

SAI

Proporcionan corriente en caso de corte de luz y protegen los equipos frente a picos de tensión.

Estos sistemas están provistos de baterías.

Tipos.

Stand-by PowerSystem (SPS)-off.line SAI

Sistema de alimentación en estado de espera, provisto de baterías, que se activan en caso de fallo eléctrico.

On-line SAI

Sistema de alimentación en línea, que alimenta los equipos mediante una batería interna.