CLASIFICACIÓN DE LOS INTRUSOS EN LAS REDES:-HACKERS: entran en los sistemas para demostrar y poner a prueba su inteligencia y conocimientos ,pero no pretenden dañar los sistemas informáticos.-CRACKERS: individuos que atacan un sistema informático para obtener beneficios de forma ilegal o provocar daños, motivados por intereses económicos, políticos, religiosos, e.t.c.-SNIFFERS: se dedican a rastrear y descifrar mensajes que viajan por las redes de datos.-PHREAKERS: sabotean las redes telefónicas para poder realizar llamadas gratuitas.-SPAMMERS: responsables del envío masivo de miles de mensajes de correo electrónico no solicitado, provocando el colapso de servidores y la saturación de los buzones de correo de usuarios.-PIRATAS INFORMÁTICOS: especialistas en el pirateo de programas y contenidos digitales.

CLASIFICACIÓN DE LOS INTRUSOS EN LAS REDES:-LAMMERS(WANNABES): novatos que bajan scripts o programas de Internet y los ejecutan sin tener realmente un conocimiento técnico de lo que están haciendo o cómo funcionan. A pesar de sus conocimientos limitados, la mayoría de los ataques que se producen actualmente son de su responsabilidad.-AMENAZAS DEL PERSONAL INTERNO: muchos de los ataques e incidentes de seguridad están relacionados(de forma voluntaria o involuntaria)con los empleados de la organización.-EXEMPLEADOS: los ex-empleados pueden actuar contra su antigua organización o empresa motivados por el descontento, la venganza o el despecho. En muchos casos utilizan sus antiguas cuentas de usuario aún no canceladas.-INTRUSOS REMUNERADOS: expertos informáticos contratados por un tercero para la sustracción de información confidencial, llevar a cabo delitos informáticos.-CREADORES DE VIRUS Y PROGRAMAS DAÑINOS: expertos informáticos que para demostrar sus conocimientos crean programas de código malicioso y los distribuyen a través de internet para conseguir una propagación a gran escala y así alcanzar mayor notoriedad.

MOTIVACIONES DE LOS ATACANTES: MICE- Money,Ideology,Compromise y Ego

En general, podemos considerar la siguiente tipología de motivaciones de los atacantes:• Consideraciones económicas: llevar a cabo operaciones fraudulentas; robo deinformación confidencial que posteriormente es vendida a terceros; extorsiones ( si no se paga un determinado “rescate” se elimina información o se daña de forma irreparable un sistema que haya sido comprometido); intentos de manipulación de las cotizaciones de valores bursátiles; etcétera.• Diversión: algunos usuarios de Internet realizan estos ataques como una forma de pasar el rato delante de su ordenador. • Ideología: ataques realizados contra determinadas organizaciones, empresas y websites gubernamentales, con un contenido claramente político.• Autorrealización.• Búsqueda de reconocimiento social y de un cierto estatus dentro de una comunidadde usuarios.

FASES DE UN ATAQUE INFORMÁTICO - los ataques contra las redes o sistemas Informáticos constan de las siguientes fases:-Descubrimiento y exploración-Búsqueda de vulnerabilidades-Explotación de las vulnerabilidades-Corrupción o compromiso del sistema-Eliminación de huellas Para llevar a cabo el ataque los intrusos deben de contar con los factores que compone el “TRIÁNGULO DE LA INTRUSIÓN”

MEDIOS Y HERRAMIENTAS DE LOS ATACANTES(HACKING TOOLS):-Escáneres de puertos-Sniffers-Exploits-Backdoors kits-Rootkits-Auto-rooters-Password crackers-Generadores de código malicioso-Spoofing tools-Herramientas de cifrado

TIPOS DE ATAQUES INFORMÁTICOS

TIPOS DE ATAQUES INFORMÁTICOS: se pueden diferenciar los ataques informáticos dependiendo de si son ataques activos(son ataques que modifican diversos parámetros del sistema) o ataques pasivos(solo se limitan a registrar y guardar la información del sistema). Entre los principales tipos de ataques informáticos tenemos:-Ataques de reconocimiento(Whois, TCP SYN Scan, TCP CONNECT Scan, TCP Window Scan,TCP ACK Scan, UDP Scan, FIN Scan, Idle Scan)-Detección de vulnerabilidades-Interceptación de mensajes-Sniffing de tráfico-Ataques Spoofing(IP Spoofing, DNS Spoofing, SMTP Spoofing)-Suplantación de identidad usando keyloggers o capturando la contraseña-Modificación de las tablas de enrutamiento-Conexión no autorizada a equipos y servidores(utilización de backdoors, rootkits,wardialing, exploits)-Introducción de malware en el sistema-Ataques XSS(Cross-Site-Scripting) -Ataques de inyección de código SQL-Ataques contra los sistemas criptográficos-DoS y DDoS(Supernuke, SYN Flood, Land Attack, Smurf, e.t.c)-Fraudes, engaños y extorsiones

INCIDENTES DE SEGURIDAD:¿Qué es un incidente de seguridad? Es un hecho o amenaza que atenta contra la Confidencialidad , Integridad y Disponibilidad de un sistema informático. Un incidente de seguridad puede ser provocado por una acción intencionada de un usuario interno o de un atacante externo. Los objetivos pueden ser utilizar,manipular, eliminar o tener acceso a los recursos o activos de la organización sin autorización. Aunque un incidente podría ser la consecuencia de un error(casual o deliberado), o de un desastre natural. En España la LOPD define una incidencia de seguridad, en el contexto de los ficheros de datos de carácter personal, como “cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos”

IDENTIFICACIÓN Y CARACTERIZACIÓN DE LOS DATOS DE FUNCIONAMIENTO DEL SISTEMA: Los LOGs de los dispositivos informáticos nos facilitan el registro de posibles incidentes o comportamientos anómalos, errores de configuración de dispositivos,cambios en las configuraciones de los equipos, uso de recursos sensibles por partede los usuarios, la desconexión de algún dispositivo, e.t.c. Además nos proporcionan información estadística que nos sirve para evaluar el rendimientode los sistemas informáticos.

ALGUNAS DEFINICIONES:

Intrusión: Conjunto de acciones que intentan comprometer la integridad, confidencialidad o disponibilidad de un recurso.-No solo penetraciones contra un sistema.

Detección de intrusos: Análisis automático de parámetros que modelan la actividad de un entorno con el propósito de detectar e identificar intrusiones.

Sistema de detección de intrusos (IDS): Mecanismo de seguridad que lleva a cabo la detección de intrusos.-No tiene por qué ser un programa o producto concreto.

¡¡¡Ningún mecanismo de seguridad sustituye a, sino quetrabaja junto a.!!! Los cortafuegos se basan en un sistema de restricciones y excepciones.Problema: cuando un atacante enmascara el tráfico o se comunica directamente con una aplicación remota el cortafuegos no cumple con su misión de primera barrera de seguridad.

Por que un IDS? -La prevención no siempre es suficiente.*Los sistemas cortafuegos no son mágicos*- Proporcionan conocimiento del entorno.- Detección rápida de actividades sospechosas. . .- . . . ¡y respuesta ante ellas!- Registro adicional de incidentes (¿Pruebas judiciales?).

CARACTERÍSTICAS BÁSICAS DE LOS IDS:Los Sistemas de Detección de Intrusiones(IDS) son los encargados de detectar y reaccionar de forma automática ante los incidentes de seguridad en las redesde datos y sistemas informáticos. Los IDS monitorizan el funcionamiento de los equipos y las redes en busca deprobables intrusiones, anomalías o actividad sospechosa, avisando además a losadministradores mediante mensajes y alarmas.

IDS: CLASIFICACIÓN

En función del origen de los datos a analizar:- IDSs basados en maquina (HIDS, Host-based IDS). -IDSs basados en red (NIDS, Network-based IDS).

En función de la técnica de análisis utilizada:-Detección de anomalías (Anomaly detection).-Detección de usos indebidos (Misuse detection).

Otras clasificaciones: -Tiempo real vs. periódicos.-Activos vs. pasivos. -Centralizados vs. distribuidos.

TERMINOLOGÍA, TIPOLOGÍA ¿NIDS, HIDS, …?

CLASIFICACIÓN ORIGEN DE DATOS HIDS-Solo procesa datos asociados a un recurso. Tipos:-Verificadores de integridad del sistema (SIV, System Integrity Veriers).-Monitores de registros (LFM, Log File Monitors).-Sistemas de decepción (Deception Systems).

CLASIFICACIÓN ORIGEN DE DATOS NIDS -Procesa datos asociados a varios recursos. -No tienen por qué estar ubicados en toda la red. -En la actualidad, los más utilizados.

Entre las distintas situaciones de “tráfico anómalo” que suelen acompañar a los intentos de intrusión, podríamos destacar algunas como estas:

-Enrutamiento anómalo de los paquetes de datos-Fragmentación deliberada de los paquetes de datos-Utilización de IPs no válidas dentro de la organización (IP Spoofing)-DNS Spoofing-Inundación de segmentos SYN desde uno o varios origenes (DoS de tipo SYNFlooding)-Inundación de segmentos UDP o paquetes ICMP de eco (ataques Smurf y Fraggle)-ARP Spoofing

CLASIFICACIÓN TÉCNICA DE ANÁLISIS ANOMALY DETECTION IDEA: Una intrusión es una anomalía. Conozco lo que es “normal” en un sistema, para poder detectar lo que no lo es (anomalías). PROBLEMA: La elaboración de modelos de comportamiento es muy compleja. -Sistemas sofisticados o de aprendizaje automático (redes neuronales, reconocimiento geométrico. . . ). -Poco utilizados en sistemas reales.

CLASIFICACIÓN TÉCNICA DE ANÁLISIS MISUSE DETECTION

IDEA: No conozco lo que es “normal” en un sistema, sino que directamente conozco lo anormal y lo puedo detectar.

PROBLEMA: Solo detecto los ataques que conozco. -Diferentes aproximaciones. La más habitual: pattern matching (cada intrusión tiene un patrón asociado). -En la actualidad, los más utilizados en sistemas reales.

CLASIFICACIÓN OTROS

Tiempo real vs. Periódicos:-El IDS trabaja permanentemente o a intervalos.

Activos vs. Pasivos:- El IDS es capaz de iniciar una respuesta automática o simplemente informa.

Centralizados vs. Distribuidos:- El IDS y la lógica asociada al mismo se implementan en un único sistema o se distribuyen en una red.

DIDS en la Red

ARQUITECTURA DE LOS IDS: Los sistemas de detección de intrusos que hay en la actualidad tienen cada uno una arquitectura y comportamiento diferente uno del otro, pero pese a ello es posible generar un esquema que contenga módulos comunes en la arquitectura de cada IDS. Un sistema de detección de intrusos siempre tiene su elemento central, un sensor(motor de análisis) que se encarga de la detección de intrusiones. Este sensor contiene los mecanismos de toma de decisiones con respecto a las intrusiones. Estos reciben los datos en bruto a partir de tres principales fuentes de información:-La base de Datos de conocimiento del IDS -Los Logs del Sistema -Los Logs de auditoría

PROCESO DE DETECCIÓN DE INTRUSOS EN LOS IDS: Las tareas que lleva a cabo un IDS se la puede resumir en cuatro etapas descritas a continuación:Prevención.- el IDS utiliza mecanismo para dificultar las intrusiones, desviando la atención de los recursos a los intrusos, simulando posibles situaciones de intrusión con el tráfico, a fin de determinar la existencia de situaciones sospechosas.Monitoreo de Intrusiones.- el sistema utiliza distintas técnicas de monitoreo para las actividades sospechosas, guardando logs del trafico que se considera sospechoso, el cual es revisado por el administrador, luego se pasa a la siguiente etapa de detección.Detección de Intrusiones.- el tráfico monitoreado es analizado por diferentes técnicas, si se ha detectado una intrusión el sistema emite una notificación al modulo de respuesta.

INTRUSION PREVENTION SYSTEMS(IPS) Un IPS es un sistema que va más allá del IDS convencional ya que permiteprevenir las intrusiones. Los IPS pueden bloquear determinados ataques antes de que se lleven a cabo, ya que estos trabajan in-line. El tráfico del atacante que logrado burlar al cortafuegos tiene que atravesar al IPS.

HONEY POTS Y HONEYNETS: se basan en la idea “know your enemy”

HONEYPOTS:Son recursos de red, como servidores, aplicaciones oservicios comprometidos que sirven como señuelos paraser atacados y poder capturar eventos.

CARACTERÍSTICAS DE LOS HONEYPOTS:

-Necesitan pocos recursos de red, y recursos de maquina.-Son usados para la recolección de datos de un objetivoespecíficamente, como un sistema operativo comprometido, una aplicación comprometida, etc-Disminuyen la cantidad de falsos positivos.-Generan riesgos muy altos para la red, los atacantes pueden usar estos honeypots en contra de la red.

HONEYNET

Red de honeypots que se caracterizan por una alta interacción simulando una arquitectura de red con servicios y aplicaciones.

Entre los componentes de una HONEYNET tenemos: varios equipos y servidores señuelos, un NIDS, un servidor de LOG, un cortafuegos señuelo (honeywall) y un router.

HONEYNETS VIRTUALES La idea de la creación de honeynets virtuales es poder tener múltiples honeypots dentro de un mismo anfitrión.Ventajas:-Múltiples Sistemas Operativos corriendo bajo un mismo host-Generan un gran volumen de información bajo una zona controlada.-Mayor flexibilidad en el uso de honeypots-Disminución de costos en la creación de honeypots

INCIDENTE DE SEGURIDAD:Evento que pueda provocar una interrupción o degradación de los servicios ofrecidos por el sistema, o bien afectar a la confidencialidad o integridad dela información.

DEFINICIÓN DE UN PLAN DE RESPUESTA A INCIDENTES (PRI) A la hora de definir e implantar un PLAN DE RESPUESTA A INCIDENTES (PRI) se tienen que tomar en cuenta una serie de actividades y tareas entre las que destacamos: - Constitución de un Equipo de Respuesta a Incidentes - Definición de una Guía de Procedimientos - Detección de un incidente de seguridad - Análisis del incidente - Contención, erradicación y recuperación - Identificación del atacante y posibles actuaciones legales - Comunicación con terceros y relaciones públicas - Documentación del incidente de seguridad - Análisis y revisión a posteriori del incidente

EQUIPO DE RESPUESTA A INCIDENTES DE SEGURIDAD INFORMÁTICA(CSIRT):

Un Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) es una

entidad de servicios responsable de recibir, revisar y responder a actividades o reportes

vinculados a incidentes informáticos.

El CSIRT está compuesto por personas que cuentan con la experiencia y formación

necesarias para poder actuar ante incidentes de seguridad informática.

En la mayoría de los casos solo las grandes organizaciones cuentan con un CSIRT.

CSIRT. PROCEDIMIENTOS Y ACTIVIDADES A REALIZAREl personal que forma parte del CSIRT debe de estar dotado con los medios técnicos y materiales necesarios para realizar su trabajo. Conviene también destacar la necesidad de que los miembros del CSIRT se mantengan en un ciclo continuo de formación. Como parte del Plan de Respuesta a Incidentes la organización debe definir de manera clara y detallada una guía con los procedimientos y acciones necesarias para la restauración rápida, eficiente y segura de la capacidad de procesamiento informático y de comunicaciones de la organización, así como la recuperación de datos dañados o destruidos. El objetivo de la Guía de Procedimientos es conseguir una respuesta sistemática ante los incidentes de seguridad. Una buena Guía de Procedimientos permitirá minimizar los daños ocasionados y facilitar la recuperación del sistema afectado.

DETECCIÓN DE UN INCIDENTE DE SEGURIDAD: RECOLECCIÓN DE INFORMACIÓN

DETECCIÓN DE UN INCIDENTE DE SEGURIDAD: RECOLECCIÓN DE INFORMACIÓN

ANÁLISIS DE UN INCIDENTE DE SEGURIDAD El PRI debe definir cómo el equipo de respuesta debería proceder al análisis de un posible incidente de seguridad em cuanto sea detectado por la organización.

El IETF propone la siguiente priorización de las tareas a realizar por parte del CSIRT en respuesta a incidentes de seguridad:-Prioridad uno: seguridad de las personas y la vida humana-Prioridad dos: proteger datos e información sensible-Prioridad tres: proteger datos e información de la organización- Prioridad cuatro: prevenir daños en los sistemas informáticos- Prioridad cinco: minimizar la interrupción de los servicios

CONTENCIÓN, ERRADICACIÓN Y RECUPERACIÓN Dentro del PRI, el equipo de respuesta debe elegir una determinada estrategia decontención para el incidente, la erradicación y la posterior recuperación del incidente.

IDENTIFICACIÓN DEL ATACANTE Y POSIBLES ACCIONES LEGALES:La identificación del atacante puede ser uma tarea ardua, algunas organizaciones optanpor no seguir legalmente al atacante por el esfuerzo necesario: tramites judiciales, costes, publicación em los medios....

– Acciones legales

–Indemnizaciones

–Responsabilidades

–Problema: lagunas legales en algunos países

COMUNICACIÓN CON TERCEROS Y RELACIONES PÚBLICAS: El PRI tiene que contemplar cómo la organización debería informar a terceros la causa y consecuencias de un incidente de seguridad informática. Dentro del PRI deberían prever los contactos com organismos de respuesta a incidentes de seguridadinformática( ej. CERT), con las furzas de seguridad del estado (Policía o Guardia Civil). El PRI debería contemplar el contacto, en caso de incidente de seguridad, con los ISPs,con los fabricantes del hardware/software implicados en el incidente, com los tercerosque pudieran haber sido perjudicados (limitando así las responsabilidades legales). Además se debe tener en cuenta la normativa de cada país, algunos países obligan anotificar los incidentes de seguridad a determinados organismos administrativos y a losciudadanos que pudieran verse implicados en el incidente. Por último también será conveniente definir un Plan de Comunicación con los Medios:agencias de noticias, emisoras de radio y TV, prensa...

DOCUMENTACIÓN DEL INCIDENTE DE SEGURIDAD: El PRI debe establecer la forma de documentar los incidentes de seguridadreflejando de forma precisa y clara los siguientes aspectos:-Descripción del tipo de incidente-Hechos registrados (logs en los equipos)- Daños producidos en el sistema informático- Decisiones y actuaciones del equipo de respuesta- Comunicaciones a terceros y a los medios- Evidencias obtenidas durante la investigación- Impresiones y comentarios del personal involucrado- Recomendaciones y actuaciones para reforzar la seguridad y evitar incidentessimilares en el futuro

Es importante destacar que una correcta y completa documentación del incidentede seguirdad nos ayudará en el estudio de las causas y consecuencias en elsistema informático y los activos de la organización.

ANÁLISIS Y REVISIÓN A POSTERIORI DEL INCIDENTE: VERIFICACIÓN DE LA INTRUSIÓN: El PRI tiene que contemplar la etapa del análisis y revisión del incidente con el objetivo de determinar a las conclusiones que ha llegado la organización y lo que ha aprendido a consecuencia del mismo. Por esté motivo será necesario la elaboración de un informe final del incidente donde se desarrollen los siguientes aspectos detalladamente: -Investigación sobre las causas y consecuencias del incidente -Estudio de la documentación generada por el equipo de respuesta y revisión detallada de los logs de todos los dispositivos afectados por el incidente -Evaluación del coste del incidente para la organización y análisis de las consecuencias que haya podido tener para terceros -Revisión de la información intercambiada con otras empresas y medios de comunicación -Seguimiento de las acciones legales emprendidas contra los responsables del incidente -Revisión de las actuaciones y decisiones del equipo de respuesta, así como su composición -Formación, desempeño del equipo de respuesta y rapidez de las actuaciones -Análisis de los procedimientos y herramientas utilizados, así como la adquisición de nuevas herramientas y recursos para reforzar la seguridad y mejorar la respuesta en el futuro -Revisión de la Política de Seguridad de la organización-Revisión de las directrices actuales y las previstas por la organización para reforzar la seguridad

PRÁCTICAS RECOMENDADAS POR EL CERT/CC (Computer Emergency Response Team/Coordination Center) Algunas de las recomendaciones agrupadas en tres fases o etapas son:1.PREPARACIÓN DE LA RESPUESTA ANTE INCIDENTES DE SEGURIDAD:-Definición del plan de actuación y los procedimientos para responder a incidentes-Documentación del plan de actuación y los procedimientos para responder a incidentes-Comprobación de que el plan de actuación y los procedimientos previstos cumplen conlos requisitos legales y las obligaciones contractuales con terceros-Adquisición e instalación de herramientas informáticas y dispositivos que faciliten larespuesta ante incidentes-Verificación de los procedimientos y dispositivos de copias de seguridad-Creación de un archivo de discos de arranque y un conjunto de copias con todas lasaplicaciones y servicios necesarios para el funcionamiento de los sistemas informáticos,así como de los parches y actualizaciones correspondientes-Formación y entrenamiento del personal afectado por el plan y procedimientos deactuación-Mantenimiento actualizado de una base de datos de contactos(personas y organizaciones)

2.GESTIÓN DEL INCIDENTE DE SEGURIDAD:-Aislamiento de los equipos afectados por el incidente, realizando además una copiade seguridad completa de sus discos duros-Captura y protección de toda la información asociada con el incidente: logs de los equipos y dispositivos de red, tráfico intercambiado a través de las redes, e.t.c-Catalogación y almacenamiento seguro de toda está información para poder preservar las evidencias-Revisión de toda la información disponible para poder caracterizar el tipo de incidente o intento de intrusión-Comunicación con las personas y organismos que deberían ser informados del incidente, cumpliendo con lo establecido en las políticas y procedimientos de respuesta a incidentes-Participación en las medidas de investigación y de persecución legal de los responsables-Aplicación de soluciones de emergencia para tratar de contener el incidente: desconectarequipos afectados, cambiar contraseñas, desactivar servicios y dispositivos afectados, e.t.c-Eliminación de todos los medios posibles que faciliten nuevas intrusiones: cambiar contraseñas de los equipos afectados, revisar la configuración de los equipos, detectar yanular los cambios realizados por los intrusos , e.t.c-Recuperación de la actividad normal de los sistemas afectados: reinstalación de aplicacionesy servicios, restauración de los datos de los usuarios desde copias de seguridad, e.t.c

3.SEGUIMIENTO DEL INCIDENTE DE SEGURIDAD:-Identificación de las lecciones y principales conclusiones de cada incidentede seguridad, recurriendo para ello al análisis post mórtem de los equiposafectados por el incidente y entrevistando a las personas implicadas en la gestión del incidente de seguridad-Implementación de las mejoras de seguridad propuestas como consecuenciade las “lecciones aprendidas” en cada incidente de seguridad: revisión de laspolíticas y procedimientos de seguridad, realización de un nuevo análisisdetallado de las vulnerabilidades y riesgos del sistema informático, e.t.c

PLAN DE RECUPERACIÓN DE NEGOCIO: la definición e implantación de un Plan de Recuperación de Negocio(Plan de Continuidad de Negocio o Plan de Contingencias)constituye un elemento fundamental para poder garantizar una respuesta adecuada frentea desastres y situaciones catastróficas, asegurando la integridad y la recuperación de datos. El Plan de Recuperación de Negocio debe especificar los objetivos y prioridades de laorganización en caso de un desastre que afecte a la continuidad del negocio. Es necesario contemplar la disponibilidad de los recursos y medios que permitan restaurar el funcionamiento del sistema informático, así como recuperar datos, aplicaciones y servicios básicos utilizados como soporte al negocio de la organización:-Disponibilidad de un Centro Alternativo o Centro de Reserva para la ubicación de los recursos informáticos (servidores y bases de datos corporativas)-Líneas de Back-Up para las comunicaciones-Sistemas de almacenamiento RAID en los servidores-Implantación de clusters de servidores con balanceo de carga-Herramientas para llevar a cabo una replicación de los documentos y las bases de datos, que puede ser síncrona, asíncrona o periódica

CENTRO DE RESPALDO: una parte fundamental del Plan de Recuperación de Negocioes la existencia de un Centro de Respaldo o Centro de Back-Up. Es un centro equipado conlos equipos informáticos adecuados y tener las copias de seguridad de los datos más críticos para la organización. Se puede optar por diferentes estrategias a la hora de implantarlo:-No disponemos de un centro de back-up y no disponemos de copias de seguridad externas.En esta situación el tiempo de recuperación no se puede predecir, o incluso puede que sea imposible recuperar los datos, programas y documentos del sistema afectado. Muchas PYMES se encuentran en esta situación.-Se transportan periódicamente copias de seguridad a un almacén. En este caso se podría considerar que tenemos un Plan de Recuperación de Negocio, ya que tenemos copias de seguridad externas. El tiempo de recuperación puede ser alto, superior a una semana.

CENTRO DE RESPALDO:Centro de Back-up “Frio”- se trata de un centro que cuenta con equipamiento suficiente de hardware/software y de comunicaciones para mantener los servicioscríticos de la organización. El centro dispone además de copias de seguridad de losdatos y las aplicaciones de la organización. El tiempo de recuperación puede ser deuno a varios días.

CENTRO DE RESPALDO:Centro de Back-up “Caliente”- se trata de un centro con equipamiento suficiente de hardware/software y de comunicaciones para mantener los servicioscríticos de la organización, y además el equipamiento esta en funcionamiento y dispone de una réplica de todos los datos y aplicaciones del sistema informático,que se realizan de forma periódica ( a diario o cada hora). El tiempo de recuperaciónEs de unas horas, inferior a un día.

Centro de Back-up “Caliente”(Mirror)- se trata de un centro con el mismo equipamientoque el Centro Principal y que trabaja de un modo paralelo a éste, pudiendo entrar en acción inmediatamente que detecte la caída del Centro Principal. Es un sistema redundanteideal para entornos en los que se requiera una alta disponibilidad

ORGANISMOS DE GESTIÓN DE INCIDENTE S

El análisis forense en un sistema informático es una ciencia moderna que permite reconstruir lo que ha sucedido en un sistema tras un incidente de seguridad. Este análisis puede determinar quién, desde dónde, cómo, cuándo y qué acciones ha llevado a cabo un intruso en los sistemas afectados por un incidente de seguridad. El análisis forense es un área perteneciente al ámbito de la seguridad informática surgida a raíz del incremento de los diferentes incidentes de seguridad. En el análisis forense se realiza un análisis posterior de los incidentes de seguridad, mediante el cual se trata de reconstruir como se ha penetrado o vulnerado en el sistema. Por tanto, cuando se está realizando un análisis forense se intenta responder a las siguientes preguntas:• ¿Quién ha realizado el ataque?

• ¿Cómo se realizo?

• ¿Qué vulnerabilidades se han explotado?

• ¿Qué hizo el intruso una vez que accedió al sistema?

• Etc.

ETAPAS O FASES EN EL ANÁLISIS FORENSE DE UN INCIDENTE INFORMÁTICO:• IDENTIFICACIÓN Y CAPTURA DE EVIDENCIAS- En esta fase se realiza un estudio inicial mediante entrevistas y documentación entregada por el cliente con el objetivo de tener una idea inicial del problema que nos vamos a encontrar.• PRESERVACIÓN DE LAS EVIDENCIAS- Se realiza una obtención de los datos e informaciones esenciales para la investigación. Se duplican o clonan los dispositivosimplicados para un posterior análisis. En esta fase habrá que tener mucho cuidado en la adquisición de los datos puesto que cabe la posibilidad de incumplir los derechos fundamentales del atacante.• ANÁLISIS DE LA INFORMACIÓN OBTENIDA-Se realiza un estudio con los datos adquiridos en la fase anterior. En esta fase también habrá que tener mucho cuidadopuesto que cabe la posibilidad de incumplir los derechos fundamentales del atacante.• ELABORACIÓN DEL INFORME CON LAS CONCLUSIONES- En esta fase se elabora el informe que será remitido a la dirección de la organización o empresa. Posteriormente, se podrá usar para acompañar la denuncia que realicemos a la autoridad competente.

*Podemos obtener mas información en el RFC 3227

Terminología Se puede decir que el término “Evidencia Digital” abarca cualquier información en formato digital que pueda establecer una relación entre un delito y su autor. Desde el punto de vista del derecho probatorio, puede ser comparable con “un documento” como prueba legal.

Los tipos de evidencia digital se pueden catalogar en 2 grandes grupos:-VolátilTodo tipo de evidencia que solo se puede capturar en el momento y en el sitio, dado que los elementos informáticos, sistemas operativos, equipos de redes u otros elementos, deben permanecer operando o en estado activo (encendidos).-No volátilTodo tipo de evidencia que se puede capturar sobre unidades de almacenamiento, para este tipo de evidencia los equipos puede no necesariamente estar operativos o encendidos. A este conjunto pertenece todo tipo de almacenamiento permanente.

Ejemplo de formulario para recabar la información en la primera fase del análisis forense

CAPTURA DE EVIDENCIAS La captura de datos es una de las actividades más críticas en el análisis forense. Dicha criticidad es debida a que, si se realizase mal, todo el análisis e investigación posterior no sería válido debido a que la información saldría con impurezas, es decir, la información que creemos que es del origen no lo es realmente.

Una vez que se ha detectado un incidente de seguridad, uno de los primerosproblemas del analista en la recogida de datos se resume en decir si el equipo hay que apagarlo o no.¿Apagar o no el equipo? Esta decisión, aunque pueda parecer trivial, no lo es tanto, porque las consecuenciaspueden ser varias: perder evidencias que estén en la memoria volátil, ver los usuariosconectados, ver los procesos en ejecución, conocer las conexiones existentes, etc.

CAPTURA DE EVIDENCIAS VOLÁTILES Y NO VOLÁTILES: Una evidencia es toda aquella información que podrá ser capturada y analizadaposteriormente para interpretar de la forma más exacta posible el incidente deseguridad: en que ha consistido, que daños ha provocado, cuáles son susconsecuencias y quién pudo ser el responsable. También se pueden considerarcomo evidencias los campos magnéticos y los pulsos eléctricos emitidos por losequipos informáticos.

La captura de evidencias digitales se complica con las evidencias volátiles, o sea aquella información que se perdería al apagar un equipo informático. Podríamos considerar las siguientes evidencias volátiles:-Volcado de memoria global del sistema y de cada proceso-Procesos y servicios en ejecución dentro del sistema-Controladores instalados-Información de la situación y con figuración de los servicios y las tarjetas de red-Usuarios y grupos de usuarios activos dentro del sistema

PRESERVACIÓN DE LAS EVIDENCIAS DIGITALES: CADENA DE CUSTODIA A la hora de preservar las evidencias digitales será necesario contemplar una seriede tareas de tipo técnico y de medidas de carácter organizativo, teniendo en cuenta las recomendaciones de la IOCE (Organización Internacional sobre Evidencias Informáticas) .-En primer lugar se deberá utilizar un adecuado método de identificación, precinto, etiquetado y almacenamiento de las evidencias, considerando incluso el uso de una marca horaria en cada evidencia.-Las evidencias deben de preservarse de factores ambientales adversos-Es necesario garantizar que los datos digitales adquiridos de copias no sean alterados-Es importante documentar todo el proceso de adquisición de evidencias. La documentación debe reflejar de forma clara y precisa la identificación de las personas que participan en el proceso, así como el momento y lugar de la captura-Es fundamental, más que nada desde el punto de vista legal, el mantenimiento de la cadena de custodia. Por tal motivo, deben de estar perfectamente definidas las funciones y obligaciones de cada uno de los miembros del equipo de análisis forense

Existen en cualquier estado un conjunto de infraestructuras criticas que cada vez más están siendo controladas por sistemas informáticos.

Existen actualmente unidades militares de reciente creación cuya misión es la de defender al país de esas amenazas. Un ejemplo reciente es la creación en EEUU de un unidad de estas características para enfrentar la amenaza de unidades similares creadas en China.

Posibles consecuencias de una guerra cibernética:-Cortes de suministro eléctrico ataques contra centrales nucleares, hidroeléctricas y térmicas-Colapso total de las redes telefónicas y los sistemas de comunicaciones-Desarrollo de ataques específicos contra los sistemas de comunicaciones civiles y militares-Ataques contra los sistemas financieros (bolsa)-Intervención en los sistemas que controlan el tráfico aéreo y ferroviario, provocando accidentes y dejando inoperantes estas redes de transporte-Caos financiero: ataques a entidades financieras y a las bolsas-Destrucción de grandes bases de datos estatales (Hacienda, Seguridad Social, Ministerio de Justicia…)-Sabotajes en las capitales y grandes ciudades-Otros sabotajes contra las empresas más importantes y organismos locales-Lanzamiento de bombas electromagnéticas con el objetivo de neutralizar todos los equipos informáticos militares no protegidos y silenciar las principales emisoras de radio

CASOS FAMOSOS

2001- Ataque del británico Gary Mckinnon en 2001 consiguió acceder a una red de ordenadores de una base naval norteamericana de la que extrajo 950 contraseñas. Actualmente ha perdido todos los recursos para evitar su extradición a EEUU, donde se enfrenta a una condena de 70 años de cárcel y 70 millones de dólares

CASOS FAMOSOS

Wikileaks :Publicación de miles de documentos secretos del gobierno de los EEUU en 2010

2007- espionaje industrial patrocinado por el gobierno chino2008- fallo en la agencia federal de aviación (FAA) de EEUU provocaba un colapso en el trafico aéreo de todo el país

CONSECUENCIAS DE LOS FALLOS Y ATAQUES INFORMATICOS: Los fallos informáticos puede ocasionar grandes perdidas en las empresas por ejemplo en 2005 un fallo informático en el sistema de facturación de la compañía alemana LUFTHANSA provoco en 2004 varias Decenas de miles de cancelaciones , retrasos en vuelos de la compañía a nivel mundial.

ESPIONAJE EN LAS REDES DE ORDENADORES ECHELON:-ECHELON: Es una red de espionaje electrónico creada en la década de 1950 por la NSA cuya misión es el espionaje de todo tipo de comunicaciones electromagnéticas (redes gsm, internet, fax, )-Esta red se apoya en varios centros de interceptación que se encuentran repartidos por todo el mundo-La red es capaz de capturar grandes cantidades de información y de filtrarla para detectar transmisiones de otros gobiernos, grupos terrorista, e.t.c-La existencia de esta red fue divulgada en los años 70 pero no tuvo gran repercusión hasta que en la década de los 90 se desvelo que la red fue utilizada para espionaje industrial en beneficio de empresas norteamericanas en grandes contratos -También se comenta, aunque no hay confirmación oficial, que fue la red ECHELON la que facilito la localización de un terrorista checheno que fue eliminado mientras hablaba por su móvil

ENFOPOL (ENFORCEMENT POLICE) :-Este proyecto nace en Bruselas en 1995 y se basa en una serie de requisitos técnicos que los operadores de telecomunicaciones deben implantar en sus sistemas para facilitar la interceptación de las comunicaciones de sus abonados ante eventuales demandas de la policía o la justicia.-Entre los datos que pueden ser accedidos se encuentra la dirección IP, direccionesde correo electrónico, identificadores y contraseñas de acceso, números de cuentasbancarias-En España la ley obliga a los proveedores de servicios a retener los datos de conexión y tráfico durante un periodo de hasta 12 meses-A raíz de los atentados del 11-m en España y del 7 de julio en Londres los gobiernos europeos se han mostrado partidarios de facilitar el acceso de la policía a las llamadas telefónicas y los correos de los ciudadanos . Medidas que están siendo copiadas por países como Francia y Alemania

CARNIVORE:-Es un polémico programa desarrollado por el FBI en el año 2000 para interceptar y leer mensajes de correo y otras comunicaciones entre presuntos terroristas, contando para ello con la colaboración de las operadoras de telecomunicaciones. Este programa se utilizo muy activamente a raíz de los atentados del 11-S en EEUU-En enero de 2005 se anunciaba la intención de desecharlo debido a sus altos costes y sustituirlo por otras soluciones más económicas-En 2004 se daba a conocer que la CIA había aportado fondos para el desarrollo de nuevos métodos de escucha automática y no detectable de servicios de chat en internet . En la actualidad ese programa también se centra en la interceptación de telefonía IP