seguridad

Seguridad

Introduccin

La seguridad informtica y de red ayuda a asegurar que solo el personal autorizado tenga acceso a

los dispositivos. Tambin ayuda a mantener el funcionamiento correcto de los datos y el equipo.

Las amenazas a la seguridad pueden ser internas o externas, es decir, pueden provenir del interior

o el exterior de una organizacin, y el nivel de dao posible puede variar enormemente:

Amenazas internas: usuarios y empleados que tienen acceso a los datos, los equipos y la

red.

Amenazas externas: usuarios que no pertenecen a una organizacin y no tienen

autorizacin de acceso a la red o los recursos.

El robo, la prdida, la intrusin en una red y el dao fsico son algunas de las formas en que se

puede daar una red o una PC. El dao o la prdida de equipos pueden implicar una prdida de

productividad. La reparacin y el reemplazo de equipos le pueden hacer perder tiempo y dinero a

una compaa. El uso no autorizado de una red puede exponer informacin confidencial, vulnerar

la integridad de los datos y reducir los recursos de la red.

Un ataque que disminuye de forma deliberada el rendimiento de una PC o una red tambin puede

daar la produccin de una organizacin. La implementacin deficiente de medidas de seguridad

en los dispositivos de red inalmbrica demuestra que no se necesita conectividad fsica para que

los intrusos accedan sin autorizacin.

Las responsabilidades principales de un tcnico incluyen la seguridad de los datos y la red. El

cliente o la organizacin pueden depender de usted para asegurar que los datos y los equipos de

computacin estn protegidos. Es posible que deba realizar tareas ms delicadas que las que se le

asignan al empleado comn. Es posible que repare, configure e instale equipos. Necesita saber

cmo realizar las configuraciones para proteger la red y, al mismo tiempo, mantenerla disponible

para los que necesitan acceder a ella. Debe asegurarse de que se apliquen parches y

actualizaciones de software, de que se instale software antivirus y de que se utilice software

antispyware. Tambin le pueden solicitar que instruya a los usuarios sobre cmo mantener buenas

prcticas de seguridad en los equipos de computacin.

En este captulo, se revisan los tipos de ataques que amenazan la seguridad de las PC y de los

datos que contienen. Los tcnicos son responsables de la seguridad de los datos y los equipos de

computacin de una organizacin. En este captulo, se describe cmo puede trabajar con los

clientes para asegurarse de que se aplique la mejor proteccin posible.

Para proteger correctamente las PC y la red, el tcnico debe entender los dos tipos de amenazas a

la seguridad informtica:

Fsicas: sucesos o ataques que implican el robo, el dao o la destruccin de equipos, como

servidores, switches y cables.

Datos: sucesos o ataques que implican la eliminacin, el dao o el robo de informacin, la

denegacin de acceso a usuarios autorizados y el otorgamiento de acceso a usuarios no

autorizados.

ADWARE, SPYWARE Y SUPLANTACIN

DE IDENTIDAD (PHISHING)

Amenazas de seguridad

Tipos de amenazas de seguridad

El malware es cualquier software creado para realizar acciones malintencionadas. El malware

incluye el adware, el spyware, el grayware, los virus, los gusanos, los caballos de Troya y los

rootkits. La suplantacin de identidad (phishing) es una accin humana malintencionada que utiliza

software comn y contenido elaborado especialmente con este fin. El malware se suele instalar en

una PC sin el conocimiento del usuario. Estos programas abren ventanas adicionales en la PC o

cambian la configuracin de esta. El malware es capaz de modificar los exploradores Web para

que abran pginas Web especficas que no son la pgina Web deseada. Esto se conoce como

redireccionamiento del explorador. El malware tambin puede recopilar informacin almacenada

en la PC sin el consentimiento del usuario.

Adware

El adware es un programa de software que muestra material publicitario en la PC. El adware se

suele distribuir con la descarga de software. Por lo general, el adware se muestra en ventanas

emergentes. En ocasiones, las ventanas emergentes de adware son difciles de controlar y abren

ventanas nuevas a tal velocidad que los usuarios no llegan a cerrarlas todas.

Spyware

El spyware es similar al adware. Se distribuye sin la intervencin o el conocimiento del usuario.

Una vez que se instala y se ejecuta, el spyware controla la actividad de la PC. Luego, el spyware

enva esta informacin a la persona o la organizacin responsable de la ejecucin del programa.

Grayware

El grayware es similar al adware. El grayware puede ser malintencionado y, a veces, se instala con

el consentimiento del usuario. Por ejemplo, un programa de software gratuito puede requerir la

instalacin de una barra de herramientas que muestra material publicitario o que realiza un

seguimiento del historial de navegacin Web de un usuario.

Suplantacin de identidad (phishing)

La suplantacin de identidad (phishing) es una tcnica en la que el atacante finge representar a

una organizacin externa legtima, como un banco. Se establece la comunicacin con la posible

vctima mediante correo electrnico, por telfono o mensaje de texto. El atacante puede solicitar la

verificacin de informacin, como una contrasea o un nombre de usuario, con el supuesto fin de

evitar consecuencias terribles.

Muchos ataques de malware son ataques de suplantacin de identidad (phishing) que intentan

persuadir al lector de que les proporcione a los atacantes acceso a informacin personal sin

saberlo. Cuando completa un formulario en lnea, los datos se envan al atacante. El malware se

puede eliminar con herramientas para eliminar virus, spyware o adware.

NOTA: son muy pocas las ocasiones en que se necesita proporcionar informacin confidencial

personal o financiera en lnea. Las empresas legtimas no solicitan informacin confidencial por

correo electrnico. Por lo tanto, desconfe. Ante cualquier duda, comunquese por correo o por

telfono para confirmar la validez de la solicitud.



Virus, gusanos, troyanos y rootkits

Virus

Los virus son programas creados con fines malintencionados que enva un atacante. Los virus se

transfieren a otra PC mediante correo electrnico, transferencias de archivos y mensajera

instantnea, y se ocultan mediante su unin a cdigo informtico, al software o a los documentos

de la PC. Cuando se accede al archivo, el virus se ejecuta e infecta la PC. Un virus puede daar o

incluso borrar archivos de la PC, utilizar el correo electrnico para propagarse a otras PC, impedir

que la PC arranque, hacer que no se carguen las aplicaciones o que no funcionen correctamente

o, incluso, borrar todo el contenido del disco duro. Si el virus se propaga a otras PC, dichas PC

pueden continuar propagando el virus.

Algunos virus pueden ser extremadamente peligrosos. Uno de los tipos de virus ms dainos se

utiliza para registrar las pulsaciones de teclas. Los atacantes pueden utilizar estos virus para

recopilar informacin confidencial, como contraseas y nmeros de tarjetas de crdito. El virus le

enva al atacante los datos que recopila. Los virus tambin pueden modificar o destruir informacin

en una PC. Los virus invisibles pueden infectar una PC y permanecer latentes hasta que el

atacante los active.

Gusanos

Un gusano es un programa que se autoduplica y que daa las redes. Los gusanos utilizan la red

para duplicar su cdigo en los hosts de una red y, por lo general, lo hacen sin la intervencin del

usuario. La diferencia entre un gusano y un virus es que el gusano no necesita unirse a un

programa para infectar un host. Los gusanos se suelen propagar mediante la explotacin de las

vulnerabilidades conocidas del software legtimo.

Troyanos

Un troyano es un tipo de software malintencionado que se camufla como un programa legtimo. La

amenaza de un troyano se oculta en un software que aparenta hacer una cosa, pero, detrs de

escena, hace otra. El programa troyano se puede reproducir como un virus y propagarse a otras

PC. Los daos a los datos informticos, la exposicin de la informacin de inicio de sesin y la

prdida de la produccin pueden ser considerables. Es posible que se requiera un tcnico para que

realice reparaciones, y que los empleados pierdan o deban reemplazar datos. Una PC infectada

puede enviar datos muy importantes a la competencia e infectar a otras PC de la red al mismo

tiempo.

Software antivirus

El software antivirus est diseado para detectar, deshabilitar y eliminar virus, gusanos y troyanos

antes de que infecten una PC. Sin embargo, el software antivirus queda rpidamente

desactualizado, y es responsabilidad del tcnico aplicar las actualizaciones, los parches y las

definiciones de virus ms recientes como parte de un programa de mantenimiento regular. Muchas

organizaciones establecen una poltica de seguridad por escrito que les prohbe a los empleados

instalar software que no les haya proporcionado la compaa. Las organizaciones tambin

advierten a los empleados sobre los peligros de abrir archivos adjuntos de correo electrnico que

pueden contener un virus o un gusano.

Rootkits

Un rootkit es un programa malintencionado que obtiene acceso total a un sistema de computacin.

Por lo general, el ataque directo a un sistema de computacin mediante el uso de una

vulnerabilidad conocida o una contrasea se realiza para obtener acceso de nivel de adminis trador

de cuenta. Debido a que el rootkit obtiene este acceso privilegiado, el programa puede ocultar los

archivos, las ediciones del registro y las carpetas que utiliza para evitar que los detecten los

programas antivirus o antispyware tpicos. Es muy difcil detectar la presencia de un rootkit, ya que

tiene los derechos para controlar y modificar los programas de seguridad que, de lo contrario,

podran detectar la instalacin de software malintencionado. Se puede utilizar software especial

para eliminar algunos rootkits, pero a veces es necesario volver a instalar el sistema operativo para

asegurar que se elimin el rootkit por completo.

NOTA: no suponga que los archivos adjuntos de correo electrnico son seguros, aun cuando los

enve un contacto de confianza. La PC del emisor puede estar infectada con un virus que intenta

propagarse. Siempre examine los archivos adjuntos de correo electrnico antes de abrirlos.



Seguridad en la Web

Las herramientas que se utilizan para crear pginas Web ms potentes y verstiles tambin

pueden hacer que las PC sean ms vulnerables a los ataques. Los siguientes son algunos

ejemplos de herramientas Web:

ActiveX: Los exploradores con soporte ActiveX son nicamente Internet Explorer y los que

utilizan el motor de IE. Es una tecnologa creada por Microsoft para controlar la interactividad

en las pginas Web. Si se habilita ActiveX en una pgina Web, se debe descargar un

pequeo programa o applet para obtener acceso a la funcionalidad total.

Java: lenguaje de programacin que permite ejecutar applets en un explorador Web. Algunos

ejemplos de applets Java pueden ser una calculadora o un contador de visitas de una pgina.

JavaScript: lenguaje de programacin desarrollado para interactuar con el cdigo fuente

HTML y permitir que los sitios Web sean interactivos. Algunos ejemplos pueden ser un

banner giratorio o una ventana emergente.

Adobe Flash: herramienta multimedia que se utiliza para crear medios interactivos para la

Web. Flash se usa para crear animaciones, videos y juegos en las pginas Web.

Microsoft Silverlight: herramienta que se utiliza para crear medios interactivos enriquecidos

para la Web. Silverlight es similar a Flash y comparte muchas de sus caractersticas.

Los atacantes pueden utilizar cualquiera de estas herramientas para instalar un programa en una

PC. Para evitar esos ataques, la mayora de los exploradores tienen una configuracin que obliga

al usuario de la PC a autorizar la descarga o el uso de dichas herramientas.

Filtrado ActiveX

Al explorar la Web, es posible que algunas pginas no funcionen correctamente a menos que

instale un control ActiveX. Algunos controles ActiveX estn creados por terceros y pueden ser

malintencionados. El filtrado ActiveX permite explorar la Web sin ejecutar controles ActiveX.

Una vez que se instala un control ActiveX para un sitio Web, se ejecuta tambin en otros sitios.

Esto puede reducir el rendimiento o introducir riesgos de seguridad. Cuando se habilita el filtrado

ActiveX, puede elegir a qu sitios Web se les permite ejecutar controles ActiveX. Los sitios que no

estn aprobados no pueden ejecutar estos controles, y el explorador no muestra notificaciones

para que los instale o los habilite.

Para habilitar el filtrado ActiveX en Internet Explorer 9, utilice la siguiente ruta, que se muestra en la

Figura 1:

Seguridad > Filtrado ActiveX

Para ver contenido ActiveX en un sitio Web con el filtrado ActiveX habilitado, haga clic en el cono

azul de Filtrado ActiveX en la barra de direcciones y, luego, haga clic en Desactivar el filtrado

ActiveX.

Despus de ver el contenido, puede volver a activar el filtrado ActiveX para el sitio Web siguiendo

los mismos pasos.

Bloqueador de elementos emergentes

Un elemento emergente es una ventana de un explorador Web que se abre sobre otra ventana del

explorador. Algunos elementos emergentes se inician durante la exploracin, por ejemplo, un

enlace en una pgina que abre un elemento emergente para mostrar informacin adicional o una

imagen ampliada. Otros elementos emergentes son iniciados por un sitio Web o un anunciante, y

suelen ser molestos o no deseados, en especial cuando se abren varios al mismo tiempo en una

pgina Web.

Los bloqueadores de elementos emergentes son herramientas que se incorporan a los

exploradores Web o que operan como programas independientes, y que habilitan al usuario a

limitar o bloquear la mayora de los elementos emergentes que aparecen al navegar la Web. El

bloqueador de elementos emergentes de Internet Explorer se activa de manera predeterminada

cuando se instala el explorador. Cuando se encuentra una pgina Web que contiene elementos

emergentes, se muestra un mensaje que informa que se bloque un elemento emergente. Se

puede utilizar un botn en el mensaje para permitir que se muestre el elemento emergente una vez

o para cambiar las opciones de bloqueo de elementos emergentes de la pgina Web.

Para desactivar el bloqueador de elementos emergentes en Internet Explorer, utilice la siguiente

ruta:

Herramientas > Bloqueador de elementos emergentes > Desactivar el bloqueador de

elementos emergentes

Para cambiar la configuracin del bloqueador de elementos emergentes en Internet Explorer, utilice

la siguiente ruta:

Herramientas > Bloqueador de elementos emergentes > Configuracin del bloqueador de

elementos emergentes

El Bloqueador de elementos emergentes se puede configurar de la siguiente manera, como se

muestra en la Figura 2:

Agregar un sitio Web para permitir elementos emergentes en l.

Cambiar las notificaciones que se muestran al bloquear elementos emergentes.

Cambiar el nivel de bloqueo. Alto bloquea todos los elementos emergentes, Medio bloquea

la mayora de los elementos emergentes automticos y Bajo permite los elementos

emergentes de sitios seguros.

Filtro SmartScreen

El filtro SmartScreen utiliza un servicio Web basado en Microsoft y requiere el acceso al sitio Web

de Microsoft que permite el firewall y el servidor proxy. En Internet Explorer, el filtro SmartScreen,

que se muestra en la Figura 3, detecta sitios Web de suplantacin de identidad (phishing), analiza

sitios en busca de elementos sospechosos, revisa los sitios y descarga una lista de sitios y

archivos malintencionados. El filtro SmartScreen se activa de manera predeterminada cuando se

instala Internet Explorer. Para desactivar el filtro SmartScreen, utilice la siguiente ruta:

Seguridad > Filtro SmartScreen > Desactivar el filtro SmartScreen

Para analizar la pgina Web actual, utilice la siguiente ruta:

Seguridad > Filtro SmartScreen > Comprobar este sitio Web

Para informar sobre una pgina Web sospechosa, utilice la siguiente ruta:

Seguridad > Filtro SmartScreen > Notificar sitio Web no seguro



Exploracin de InPrivate

Los exploradores Web retienen informacin sobre las pginas que visita, las bsquedas que

realiza, los nombres de usuario y las contraseas, entre otra informacin identificable. Esta

caracterstica resulta til cuando se utiliza una PC en el hogar protegida con una contrasea.

Cuando se utiliza una computadora porttil fuera del hogar o una PC en un lugar pblico, como una

biblioteca o un bar con servicio de Internet, la informacin retenida por un explorador Web puede

verse comprometida. Cualquier persona que utilice dicha PC despus de usted puede utilizar su

informacin para robar su identidad o su dinero, o para cambiar las contraseas de sus cuentas

importantes.

Es posible explorar la Web sin que el explorador retenga informacin personal sobre usted o sus

hbitos de exploracin. Esto se denomina exploracin de InPrivate. La exploracin de InPrivate

impide que el explorador Web almacene la siguiente informacin:

Nombres de usuario

Contraseas

Cookies

Historial de navegacin

Archivos temporales de Internet

Datos de formularios

Para iniciar la exploracin de InPrivate en Windows 7, utilice la siguiente ruta, como se muestra en

la ilustracin:

Haga clic con el botn secundario en Internet Explorer > Iniciar la exploracin de InPrivate .

Si ya se inici Internet Explorer, utilice la siguiente ruta:

Seguridad > Exploracin de InPrivate

Tambin puede presionar Ctrl + Mays + P.

Durante la exploracin, el explorador almacena determinada informacin, como archivos

temporales y cookies, pero una vez que finaliza la sesin de InPrivate, la informacin se borra.

Al iniciar la exploracin de InPrivate, se abre una nueva ventana del explorador. Solo esta ventana

proporciona privacidad, pero todas las pestaas que se abran dentro de ella cuentan con la misma

proteccin. Las otras ventanas del explorador no estn protegidas por la exploracin de InPrivate.

Al cerrar la ventana del explorador, finaliza la sesin de exploracin de InPrivate.



Correo no deseado

El correo no deseado, tambin conocido como correo basura, es correo electrnico no solicitado.

En la mayora de los casos, el correo no deseado se utiliza como mtodo publicitario. Sin embargo,

se puede utilizar para enviar enlaces perjudiciales, programas malintencionados o contenido

engaoso, con el fin de obtener informacin confidencial como un nmero de seguridad social o

informacin de una cuenta bancaria.

Cuando se lo usa como mtodo de ataque, el correo no deseado puede incluir enlaces a un sitio

Web infectado o un archivo adjunto que puede infectar una PC. Estos enlaces o archivos adjuntos

pueden tener como resultado la aparicin de numerosos elementos emergentes diseados para

llamarle la atencin y llevarlo a sitios de publicidad. El exceso de ventanas emergentes puede

cubrir la pantalla de un usuario en poco tiempo, acaparar recursos y hacer que la PC funcione ms

despacio. En casos extremos, los elementos emergentes pueden provocar que una PC se bloquee

o que se muestre una pantalla azul de la muerte (BSOD, Blue Screen of Death).

Muchos antivirus y programas de software de correo electrnico detectan el correo no deseado y lo

eliminan automticamente de la bandeja de entrada. El ISP suele filtrar la mayora del correo no

deseado antes de que llegue a la bandeja de entrada del usuario. Aun as, es posible que algunos

mensajes de correo no deseado lleguen al destinatario. Algunos de los indicadores ms comunes

de correo no deseado son los siguientes:

El correo electrnico no tiene asunto.

El correo electrnico solicita la actualizacin de una cuenta.

El correo electrnico contiene muchos errores de ortografa o una puntuacin extraa.

Los enlaces del correo electrnico son largos o crpticos.

El correo electrnico se camufla como correspondencia proveniente de una empresa legtima.

En el correo electrnico se le solicita que abra un archivo adjunto.

La mayora del correo no deseado se enva desde varias PC en redes que estn infectadas con un

virus o un gusano. Estas PC comprometidas envan la mayor cantidad posible de correo

electrnico masivo.



Ataques TCP/IP

TCP/IP es la suite de protocolos que controla las comunicaciones en Internet. Lamentablemente,

algunas caractersticas de TCP/IP se pueden manipular, lo que provoca vulnerabilidades de la red.

Denegacin de servicio

La denegacin de servicio (DoS, Denial of Service) es una forma de ataque que les impide a los

usuarios acceder a servicios normales, como correo electrnico o un servidor Web, debido a que el

sistema est ocupado respondiendo a cantidades anormalmente grandes de solicitudes. La DoS

funciona enviando tal cantidad de solicitudes a un recurso del sistema que el servicio solicitado se

sobrecarga y deja de funcionar, como se muestra en la Figura 1.

DoS distribuida

Los ataques de DoS distribuida (DDoS, Distributed DoS) utilizan muchas PC infectadas,

denominadas zombis o botnets, para iniciar un ataque. El objetivo es obstruir o saturar el acceso

al servidor objetivo, como se muestra en la Figura 2. Las PC zombis se ubican en distintos puntos

geogrficos, por lo que resulta difcil rastrear el origen del ataque.

Saturacin SYN

Una solicitud SYN es la comunicacin inicial que se enva para establecer una conexin TCP. Un

ataque de saturacin SYN abre de forma aleatoria los puertos TCP en el origen del ataque y satura

el equipo o la PC de la red con una gran cantidad de solicitudes SYN falsas. Esto provoca la

denegacin de la sesin a otros usuarios, como se muestra en la Figura 3. Un ataque de

saturacin SYN es un tipo de ataque DoS.

Suplantacin de identidad (spoofing)

En un ataque de suplantacin de identidad (spoofing), una PC finge ser una PC de confianza para

obtener acceso a los recursos. La PC utiliza una direccin IP o MAC falsificada para hacerse pasar

por una PC de confianza en la red.

Ataque man-in-the-middle

Un atacante realiza un ataque man-in-the-middle (intermediario) al interceptar las comunicaciones

entre las PC para robar la informacin que transita por la red. Tambin se puede utilizar un ataque

man-in-the-middle para manipular mensajes y transmitir informacin falsa entre hosts, como se

muestra en la Figura 4, puesto que los hosts no saben que se modificaron los mensajes.

Reproduccin

Para realizar un ataque de reproduccin, el atacante intercepta y registra las transmisiones de

datos. Luego, esas transmisiones se reproducen en la PC de destino. La PC de destino trata a

esas transmisiones reproducidas como si fueran autnticas y las enviara la fuente original De esta

forma, el atacante logra ingresar sin autorizacin a un sistema o una red.

Envenenamiento de DNS

Los registros DNS del sistema se cambian para que sealen a servidores impostores. El usuario

intenta acceder a un sitio legtimo, pero el trfico se desva a un sitio impostor. El sitio impostor se

utiliza para obtener informacin confidencial, como nombres de usuario y contraseas. Luego, un

atacante puede recuperar los datos desde esa ubicacin.


Acceso a datos y equipos

Ingeniera social

La ingeniera social se produce cuando un atacante busca obtener acceso a los equipos o a una

red engaando a las personas para que le proporcionen la informacin de acceso necesaria. Por lo

general, el ingeniero social se gana la confianza de un empleado y lo convence de que divulgue su

informacin de nombre de usuario y contrasea.

Un ingeniero social puede hacerse pasar por un tcnico para obtener acceso a las instalaciones.

Una vez dentro, el ingeniero social puede espiar para recopilar informacin, buscar papeles con

contraseas y nmeros de internos telefnicos en los escritorios, u obtener un directorio con las

direcciones de correo electrnico de una compaa.

Las siguientes son algunas de las precauciones bsicas para protegerse de la ingeniera social:

Nunca divulgue su contrasea.

Solicite siempre una identificacin a las personas desconocidas.

Restrinja el acceso a las visitas.

Acompae a todas las visitas.

Nunca deje escrita su contrasea en el rea de trabajo.

Bloquee la PC cuando se levante del escritorio.

No permita que nadie entre detrs de usted por una puerta que requiera una tarjeta de

acceso.


Acceso a datos y equipos

Eliminacin permanente de datos, destruccin y reciclamiento de discos duros

Borrar archivos de un disco duro no los elimina por completo de la PC. El sistema operativo elimina

la referencia al archivo de la tabla de asignacin de archivos, pero los datos permanecen. Estos

datos no se eliminan por completo hasta que el disco duro almacena otros datos en la misma

ubicacin y sobrescribe los datos anteriores. Para evitar la posibilidad de recuperar la informacin,

los discos duros se deben borrar completamente (mediante la eliminacin permanente de los

datos) con software especializado. Una vez que los datos se borraron completamente del disco

duro, se puede destruir o reciclar el disco duro.

Eliminacin permanente de datos

La eliminacin permanente de datos, tambin conocida como eliminacin segura, es un

procedimiento que se realiza para borrar de forma permanente los datos de un disco duro. La

eliminacin permanente de datos se suele realizar en discos duros que contienen datos

confidenciales, como informacin financiera. No basta con borrar los archivos o con formatear la

unidad. Si no se los borra correctamente, se pueden utilizar herramientas de software para

recuperar carpetas, archivos e, incluso, particiones enteras. Utilice software diseado

especficamente para sobrescribir los datos varias veces y dejarlos inutilizables. Es importante

recordar que la eliminacin permanente de datos es irreversible y que los datos no se podrn

volver a recuperar jams.

El software de eliminacin segura tarda mucho tiempo en borrar un disco. Muchos programas

ofrecen varias opciones para sobrescribir datos. Se pueden utilizar patrones especiales de 1 y 0,

algoritmos matemticos, bits aleatorios y varias sobrescrituras. Con los discos de ms de 2 TB, as

como en los casos de varias sobrescrituras, es posible que no resulte prctico utilizar software de

eliminacin permanente de datos, en especial si se tienen que borrar muchos discos. Como en los

discos duros los datos se almacenan magnticamente, se pueden utilizar imanes para borrarlos.

Desmagnetizacin

La desmagnetizacin interrumpe o elimina el campo magntico que permite el almacenamiento de

datos en un disco duro. Un electroimn es un imn cuyo campo magntico se intensifica cuando se

le aplica corriente. Una herramienta de desmagnetizacin puede costar USD 20 000 o ms, de

modo que no resulta una solucin prctica para la mayora de los usuarios. Esta herramienta tarda

alrededor de 10 segundos en desmagnetizar un disco duro, por lo que puede ahorrar mucho

tiempo y dinero si se necesita borrar una gran cantidad de discos duros.

Tambin existen barras desmagnetizadoras que se pueden utilizar para trabajos ms pequeos,

como la que se muestra en la Figura 1. Las barras desmagnetizadoras utilizan imanes potentes en

lugar de electroimanes y son mucho ms econmicas. Para utilizar una barra desmagnetizadora,

se debe desarmar el disco duro y se deben exponer los platos a la barra durante,

aproximadamente, dos minutos.

Destruccin de discos duros

Las compaas que manejan datos confidenciales siempre deben establecer polticas claras para

la eliminacin de los discos duros. Es importante saber que formatear una PC y volver a instalarle

un sistema operativo no asegura que la informacin no se pueda recuperar. Para las compaas

que manejan datos confidenciales, la mejor opcin es destruir el disco duro. Perforar los platos de

la unidad, como se muestra en la Figura 2, no es el mtodo ms eficaz para destruir un disco duro,

ya que los datos se pueden recuperar mediante software forense de datos avanzado. Para

asegurar por completo que no se puedan recuperar los datos de un disco duro, rompa

cuidadosamente los platos con un martillo y elimine los restos de forma segura.

Unidades de estado slido

Las unidades de estado slido (SSD, Solid State Drive) estn compuestas por memoria flash en

lugar de platos magnticos. Las tcnicas frecuentes para borrar datos, como la desmagnetizacin y

la destruccin del disco duro, no son eficaces en estos discos. Para asegurar completamente que

no se puedan recuperar los datos de una SSD, realice una eliminacin segura o triture la unidad.

Otros medios de almacenamiento, como los discos pticos y los disquetes, tambin se deben

destruir. Utilice una trituradora diseada para destruir este tipo de medios.

Reciclamiento de discos duros

Los discos duros que no contienen datos confidenciales se pueden volver a utilizar en otras PC. Se

puede volver a formatear la unidad e instalar un nuevo sistema operativo. Se pueden realizar dos

tipos de formateo:

Formato estndar: tambin denominado formato de alto nivel, crea un sector de arranque y

configura un sistema de archivos en el disco. El formato estndar solo se puede realizar

despus de completar un formato de bajo nivel.

Formato de bajo nivel: la superficie del disco se marca con marcadores de sector para

indicar dnde se almacenarn fsicamente los datos en el disco, y se crean pistas. Por lo

general, el formato de bajo nivel se suele realizar en la fbrica despus del armado del disco

duro.

Procedimientos de seguridad

Polticas de seguridad

Qu es una poltica de seguridad?

Una poltica de seguridad es un conjunto de reglas, pautas y listas de comprobacin. Los tcnicos

y administradores de red de una organizacin trabajan juntos para desarrollar las reglas y pautas

relacionadas con las necesidades de seguridad de los equipos de computacin. Las polticas de

seguridad incluyen los siguientes elementos:

Una instruccin de uso aceptable de la PC para la organizacin.

Las personas que tienen permitido usar los equipos de computacin.

Los dispositivos que se permite instalar en una red, as como las condiciones de la

instalacin. Los mdems y los puntos de acceso inalmbricos son ejemplos de hardware que

puede dejar a la red expuesta a un ataque.

Los requisitos necesarios para conservar la confidencialidad de los datos en una red.

El proceso para que los empleados obtengan acceso a los equipos y los datos. Este proceso

puede requerir que el empleado firme un acuerdo con respecto a las reglas de la compaa.

Tambin enumera las consecuencias por incumplimiento.

Las polticas de seguridad deben describir la forma en que la compaa se ocupa de los problemas

de seguridad. Si bien las polticas de seguridad locales pueden variar segn la organizacin,

existen preguntas que toda organizacin se debe hacer:

Qu activos requieren proteccin?

Cules son las posibles amenazas?

Cmo se debe proceder en caso de una infraccin de seguridad?

Qu tipo de capacitacin se ofrecer para instruir a los usuarios finales?

NOTA: para que una poltica de seguridad sea eficaz, todos los empleados deben seguirla y

hacerla cumplir.



Requisitos de la poltica de seguridad

Por lo general, el valor de los equipos fsicos es mucho menor que el valor de los datos que

contienen. La obtencin de datos confidenciales por parte de delincuentes o de la competencia de

una compaa puede tener consecuencias muy costosas. Una prdida de esta ndole puede tener

como consecuencia la prdida de la confianza en la compaa y el despido de los tcnicos

informticos a cargo de la seguridad informtica. Para proteger los datos, se pueden implementar

varios mtodos de proteccin de seguridad.

Una organizacin debe esforzarse por lograr la proteccin de seguridad ms eficaz y accesible

contra la prdida de datos y el dao al software y los equipos. Los tcnicos de red y la gerencia de

la organizacin deben trabajar juntos para desarrollar una poltica de seguridad que asegure la

proteccin de los datos y los equipos contra toda amenaza de seguridad. Al desarrollar una poltica

de esta clase, la gerencia debe calcular el costo de la prdida de datos en comparacin con los

gastos de proteccin de seguridad y determinar qu nivel de equilibrio resulta aceptable. Una

poltica de seguridad incluye una declaracin exhaustiva acerca del nivel de seguridad requerido y

sobre cmo se lograr dicha seguridad.

Es posible que participe en el desarrollo de la poltica de seguridad para un cliente o una

organizacin. Al crear una poltica de seguridad, formule las siguientes preguntas para determinar

los factores de seguridad:

La PC se encuentra en un hogar o en una empresa? Las PC domsticas son vulnerables

a intrusiones inalmbricas. Las PC comerciales tienen un alto riesgo de intrusiones en la red,

debido a que las empresas atraen ms a los piratas informticos y a que los usuarios

legtimos pueden hacer mal uso de los privilegios de acceso.

Cuenta con acceso a Internet en todo momento? Cuanto ms tiempo una PC est

conectada a Internet, mayor es la posibilidad de ataques. Toda PC que acceda a Internet

debe usar un firewall y un software antivirus.

La PC es una computadora porttil? Con las computadoras porttiles, la seguridad fsica

es un problema. Existen medidas para proteger las computadoras porttiles, como el uso de

cables de seguridad, la biometra y las tcnicas de seguimiento.

Las siguientes son algunas reas clave que se deben tratar al crear una poltica de seguridad:

El proceso para manejar los incidentes de seguridad de una red.

El proceso para auditar la seguridad de red existente.

El marco de seguridad general para la implementacin de la seguridad de la red.

Las conductas permitidas.

Las conductas prohibidas.

Qu se debe registrar y cmo almacenar los registros: Visor de eventos, archivos de registro

del sistema o archivos de registro de seguridad.

Acceso de red a los recursos mediante permisos de cuentas.

Tecnologas de autenticacin para acceder a los datos: nombres de usuario, contraseas,

biometra y tarjetas inteligentes.

La poltica de seguridad tambin debe proporcionar informacin detallada sobre los siguientes

asuntos en caso de emergencia:

Los pasos que se deben seguir despus de una infraccin de seguridad.

A quin se debe contactar en caso de emergencia.

Qu informacin se debe compartir con los clientes, los proveedores y los medios de

comunicacin.

Las ubicaciones secundarias que se pueden utilizar en una evacuacin.

Los pasos que se deben seguir una vez que finaliz la emergencia, incluida la prioridad de

restauracin de servicios.

Se debe describir con claridad el alcance de la poltica y las consecuencias del incumplimiento. Las

polticas de seguridad se deben revisar con regularidad y se deben actualizar segn sea necesario.

Mantenga un historial de revisin para tener un seguimiento de todos los cambios en la poltica. La

seguridad es responsabilidad de todas las personas que integran la compaa. Se debe capacitar a

todos los empleados, incluidos los que no utilicen PC, para que comprendan la poltica de

seguridad, y se les debe informar sobre todas las actualizaciones que se realicen en dicha poltica.

En una poltica de seguridad, tambin se debe definir el acceso de los empleados a los datos.

Dicha poltica debe proteger los datos sumamente confidenciales del acceso pblico y, a la vez,

asegurar que los empleados puedan realizar sus tareas. Los datos se pueden clasificar desde

pblicos hasta de mxima confidencialidad, con varios niveles distintos entre ambas

clasificaciones. La informacin pblica puede ser vista por cualquier persona y no tiene requisitos

de seguridad. La informacin pblica no se puede utilizar con fines maliciosos para daar a una

compaa o a una persona. La informacin de mxima confidencialidad es la que requiere ms

seguridad, ya que la exposicin de esos datos puede ser sumamente perjudicial para un gobierno,

una compaa o una persona.



Nombres de usuario y contraseas

El nombre de usuario y la contrasea son dos datos que necesitan los usuarios para iniciar sesin

en una PC. Cuando un atacante conoce uno de ellos, solo necesita decodificar o descubrir el otro

dato para obtener acceso al sistema de computacin. Es importante cambiar el nombre de usuario

predeterminado de las cuentas de administrador o de invitado, ya que dichos nombres de usuario

son ampliamente conocidos. Algunos equipos domsticos de networking tienen nombres de

usuario predeterminados que no se pueden cambiar. Siempre que sea posible, cambie los

nombres de usuario predeterminados de todos los usuarios de las PC y los equipos de red.

Por lo general, el administrador del sistema define una convencin de nomenclatura para los

nombres de usuario al crear inicios de sesin en una red. Un ejemplo comn de nombre de usuario

es la inicial del nombre de pila seguida del apellido completo de la persona. Mantenga una

convencin de nomenclatura simple para que no resulte difcil recordarla. Los nombres de usuario,

al igual que las contraseas, son datos importantes que no se deben revelar.

Solicitud de contraseas

Las pautas para crear contraseas son un componente importante de las polticas de seguridad.

Todo usuario que deba iniciar sesin en una PC o conectarse a un recurso de red debe tener una

contrasea. Las contraseas ayudan a impedir el robo de datos y las acciones malintencionadas.

Adems, ayudan a asegurar que el registro de eventos se lleve a cabo correctamente al asegurar

que el usuario es la persona correcta.

Los inicios de sesin en una red proporcionan un medio para registrar la actividad de la red e

impedir o permitir el acceso a los recursos. En caso de no poder iniciar sesin en una PC, no utilice

el nombre de usuario y la contrasea de otro usuario, incluso si se trata de un compaero de

trabajo o de un amigo, ya que esto puede invalidar el registro. En cambio, informe al administrador

de red cualquier problema que tenga para iniciar sesin en una PC o para autenticar el acceso a

los recursos de red protegidos.

En toda organizacin, el uso de informacin de inicio de sesin segura y encriptada para las PC

con acceso a una red debe ser un requisito mnimo. El software malintencionado puede vigilar la

red y registrar las contraseas en forma de texto sin encriptar. Si las contraseas estn

encriptadas, los atacantes deben decodificar la encriptacin para descifrarlas.

Los atacantes pueden obtener acceso a los datos de una PC sin proteccin. La proteccin con

contrasea puede evitar el acceso no autorizado al contenido. Todas las PC deben estar

protegidas con contrasea. Se recomiendan tres niveles de proteccin con contrasea:

BIOS: impide que se inicie el sistema operativo y que se modifique la configuracin del BIOS

sin la contrasea correcta, como se muestra en la Figura 1.

Inicio de sesin: impide el acceso no autorizado a la PC local, como se muestra en la

Figura 2.

Red: impide el acceso del personal no autorizado a los recursos de red, como se muestra en

la Figura 3.



Requisitos de contrasea

Al asignar contraseas, el nivel de control de la contrasea debe coincidir con el nivel de

proteccin requerido. Algunas contraseas deben tener una extensin mnima e incluir una

combinacin de caracteres en mayscula y minscula con nmeros y smbolos. Esto se conoce

como contraseas seguras. Las polticas de seguridad suelen requerir que los usuarios cambien

sus contraseas con regularidad y controlar la cantidad de intentos de ingreso de contrasea antes

del bloqueo temporal de una cuenta. Las siguientes son algunas pautas para crear contraseas

seguras:

Extensin: utilice ocho caracteres como mnimo.

Complejidad: incluya letras, nmeros, smbolos y signos de puntuacin. Utilice diversas

teclas, no solo letras y caracteres comunes.

Variacin: cambie las contraseas con frecuencia. Establezca un recordatorio para cambiar

las contraseas de correo electrnico y sitios Web bancarios y de tarjetas de crdito cada tres

o cuatro meses.

Diversidad: utilice una contrasea diferente para cada sitio o PC que utilice.

Para crear, eliminar o modificar una contrasea en Windows 7 o Windows Vista, utilice la siguiente

ruta, como se muestra en la Figura 1:

Inicio > Panel de control > Cuentas de usuario

Para crear, eliminar o modificar una contrasea en Windows XP, utilice la siguiente ruta:

Inicio > Panel de control > Cuentas de usuario > Cambiar una cuenta; haga clic en la cuenta

que desea cambiar.

Para evitar que usuarios no autorizados accedan a recursos de red y PC locales, bloquee su

estacin de trabajo, computadora porttil o servidor cuando est ausente.

Protector de pantalla con contrasea

Es importante asegurar que las PC estn protegidas cuando los usuarios no las utilizan. Las

polticas de seguridad deben incluir una regla que exija que la PC se bloquee al activarse el

protector de pantalla. Esto asegura que, cuando el usuario se aleja de la PC durante un perodo

breve, se active el protector de pantalla, y no pueda utilizarse la PC hasta que el usuario inicie

sesin.

Para establecer el bloqueo de protector de pantalla en Windows 7 y Windows Vista, utilice la

siguiente ruta:

Inicio > Panel de control > Personalizacin > Protector de pantalla . Elija un protector de

pantalla y un tiempo de espera y, a continuacin, seleccione la opcin Mostrar la pantalla de

inicio de sesin al reanudar, como se muestra en la Figura 2.

Para establecer el bloqueo de protector de pantalla en Windows XP, utilice la siguiente ruta:

Inicio > Panel de control > Pantalla > Protector de pantalla . Elija un protector de pantalla y un

tiempo de espera y, a continuacin, seleccione la opcin Proteger con contrasea al reanudar.



Permisos de archivo y de carpeta

Los niveles de permisos se configuran para limitar el acceso de usuarios individuales o grupales a

determinados datos. Tanto FAT32 como NTFS ofrecen permisos de uso compartido de carpetas y

de nivel de carpeta para usuarios con acceso a la red. En la Figura 1, se muestran los permisos de

carpeta. Solo NTFS ofrece seguridad adicional de permisos de nivel de archivo. En la Figura 2, se

muestran los permisos de nivel de archivo.

Para configurar permisos de nivel de archivo o carpeta, utilice la siguiente ruta:

Haga clic con el botn secundario en el archivo o la carpeta y seleccionePropiedades >

Seguridad > Editar...

Para configurar permisos de recursos compartidos de red para una PC con NTFS, cree un recurso

compartido de red y asigne permisos compartidos a los usuarios o grupos. Solo los usuarios y

grupos que posean tanto permisos NTFS como permisos compartidos pueden acceder a un

recurso compartido de red.

Para configurar permisos de uso compartido de carpetas en Windows 7, utilice la siguiente ruta:

Haga clic con el botn secundario en la carpeta y seleccione Compartir con.

Puede elegir una de las siguientes cuatro opciones de uso compartido de archivos:

Nadie: no se comparte la carpeta.

Grupo en el hogar (lectura): la carpeta solo se comparte con los miembros del grupo en el

hogar. Los miembros del grupo en el hogar solo pueden leer el contenido de la carpeta.

Grupo en el hogar (lectura y escritura): la carpeta se comparte solo con los miembros del

grupo en el hogar. Los miembros del grupo en el hogar pueden leer el contenido de la carpeta

y crear archivos y carpetas dentro de la carpeta.

Usuarios especficos... : abre el cuadro de dilogo Uso compartido de archivos. Elija los

usuarios y grupos con los que desea compartir el contenido de la carpeta y seleccione el nivel

de permiso para cada uno.

Para configurar permisos de uso compartido de carpetas en Windows Vista, utilice la siguiente ruta:

Haga clic con el botn secundario en una carpeta y seleccione Compartir...

Para configurar permisos de uso compartido de carpetas en Windows XP, utilice la siguiente ruta:

Haga clic con el botn secundario en una carpeta y seleccione Compartir y seguridad...

Si bien todos los sistemas de archivos mantienen un registro de los recursos, solo los sistemas de

archivos con diarios, que son reas especiales donde se registran los cambios del archivo antes de

las modificaciones, pueden registrar el acceso por usuario, fecha y hora. El sistema de archivos

FAT32 no posee capacidades de registro en diario ni de encriptacin. Por lo tanto, las situaciones

que requieren buena seguridad suelen implementarse mediante NTFS. En caso de necesitarse

mayor seguridad, se pueden ejecutar determinadas utilidades, como CONVERT, para actualizar un

sistema de archivos FAT32 a NTFS. El proceso de conversin es irreversible. Es importante que

defina claramente sus objetivos antes de realizar la transicin. En la Figura 3, se muestra una

comparacin de los dos sistemas de archivos.

Principio de privilegios mnimos

Debe limitarse el acceso de los usuarios solo a los recursos que necesitan de un sistema de

computacin o una red. No debe permitirse el acceso a todos los archivos del servidor, por

ejemplo, si solo necesitan acceder a una nica carpeta. Si bien puede resultar ms sencillo permitir

el acceso de los usuarios a toda la unidad, es ms seguro limitar el acceso solo a la carpeta que

necesitan para realizar su trabajo. Esto se conoce como principio de privilegios mnimos. Limitar

el acceso a los recursos tambin permite evitar el acceso de programas malintencionados a esos

recursos en caso de que se infecte la PC del usuario.

Restriccin de los permisos de usuario

Los permisos de uso de recursos compartidos de red y de archivos pueden otorgarse

individualmente o mediante la membresa de un grupo. Si se niegan permisos de uso de un

recurso compartido de red a una persona o un grupo, esta denegacin anula cualquier permiso

otorgado. Por ejemplo, si a una persona se le niega el permiso de acceso a un recurso compartido

de red, el usuario no puede acceder a este aunque sea el administrador o forme parte del grupo

administrador. La poltica de seguridad local debe describir los recursos a los que puede acceder

cada usuario y grupo, y el tipo de acceso para cada uno.

Al modificar los permisos de una carpeta, se presenta la opcin de aplicar los mismos permisos a

todas las subcarpetas. Esto se denomina propagacin de permisos. La propagacin de permisos

es una forma sencilla de aplicar permisos a muchos archivos y carpetas rpidamente. Una vez que

se establecen los permisos de la carpeta principal, las carpetas y los archivos que se crean dentro

de ella heredan sus permisos.

Firewalls de software

Un firewall de software es un programa que se ejecuta en una PC para permitir o impedir el trfico

entre la PC y otras PC a las que est conectada. El firewall de software aplica un conjunto de

reglas a las transmisiones de datos mediante la inspeccin y el filtrado de paquetes de datos. El

Firewall de Windows es un ejemplo de firewall de software. Se instala de manera predeterminada

durante la instalacin del OS.

Todas las comunicaciones que se llevan a cabo mediante TCP/IP estn asociadas a un nmero de

puerto. El protocolo HTTP, por ejemplo, utiliza el puerto 80 de manera predeterminada. Un firewall

de software, como el que se muestra en la Figura 1, puede proteger a una PC de las intrusiones a

travs de los puertos de datos. Es posible controlar el tipo de datos que se envan a otra PC

seleccionando qu puertos estarn abiertos y cules estarn bloqueados. Deben crearse

excepciones para permitir que determinado trfico o determinadas aplicaciones se conecten a la

PC. Los firewalls bloquean las conexiones de red entrantes y salientes, a menos que se definan

excepciones para abrir y cerrar los puertos que necesita un programa.

Para deshabilitar puertos con el Firewall de Windows en Windows 7, como se muestra en la

Figura 2, siga estos pasos:

Paso 1. Seleccione Inicio > Panel de control > Firewall de Windows > Configuracin

avanzada.

Paso 2. En el panel izquierdo, seleccione si desea configurar Reglas de entrada o Reglas de salida

y haga clic en Nueva regla... en el panel derecho.

Paso 3. Seleccione el botn de opcinPuerto y haga clic en Siguiente.

Paso 4. Elija TCP o UDP.

Paso 5. Elija Todos los puertos locales oPuertos locales especficos para definir puertos

individuales o un rango de puertos y, a continuacin, haga clic en Siguiente.

Paso 6. Elija Bloquear la conexin y haga clic en Siguiente.

Paso 7. Elija cundo se aplica la regla y haga clic en Siguiente.

Paso 8. Proporcione un nombre y una descripcin opcional para la regla y haga clic en Finalizar.

Para deshabilitar puertos con el Firewall de Windows en Windows Vista, siga estos pasos:

Paso 1. Seleccione Inicio > Panel de control > Firewall de Windows > Cambiar configuracin

> Continuar > Excepciones > Agregar puerto...

Paso 2. Proporcione un nombre y un nmero de puerto o un rango de puertos.

Paso 3. Elija TCP o UDP y haga clic enAceptar.

Para deshabilitar puertos con el Firewall de Windows en Windows XP, siga estos pasos:

Paso 1. Seleccione Inicio > Panel de control > Firewall de Windows > Excepciones > Agregar

puerto....

Paso 2. Proporcione un nombre y un nmero de puerto o un rango de puertos.

Paso 3. Elija TCP o UDP y haga clic enAceptar.

NOTA: en una red segura, habilite el firewall interno del OS para obtener seguridad adicional. Es

posible que algunas aplicaciones no funcionen correctamente si el firewall no se configura como

corresponde.

Biometra y tarjetas inteligentes

La seguridad biomtrica compara caractersticas fsicas con perfiles almacenados para identificar

personas. Un perfil es un archivo de datos que contiene caractersticas conocidas de una persona.

Una huella digital, como la que se muestra en la Figura 1, los patrones faciales o el escaneo de

retina, que se muestra en la Figura 2, son ejemplos de datos biomtricos. Tericamente, la

seguridad biomtrica brinda mayor proteccin que las medidas de seguridad como las contraseas

o las tarjetas inteligentes, ya que las contraseas pueden averiguarse y las tarjetas inteligentes

pueden sustraerse. Los dispositivos biomtricos comunes disponibles incluyen lectores de huellas

digitales, escneres de retina y dispositivos de reconocimiento facial y de voz. El usuario obtiene

acceso si sus caractersticas coinciden con los parmetros guardados y si proporciona la

informacin de inicio de sesin correcta.

La combinacin de dispositivos biomtricos, que miden la informacin fsica de un usuario, con

medidas de seguridad secundarias como una contrasea o un pin, es ideal para las reas

extremadamente seguras. No obstante, para la mayora de las organizaciones pequeas, este tipo

de solucin es demasiado costosa.

Seguridad con tarjetas inteligentes

Una tarjeta inteligente es una pequea tarjeta de plstico, de un tamao similar al de una tarjeta de

crdito, con un pequeo chip incorporado, como la que se muestra en la Figura 3. El chip es un

portador de datos inteligente, capaz de procesar, almacenar y proteger datos. Las tarjetas

inteligentes almacenan informacin privada, como nmeros de cuenta bancaria, identificacin

personal, historias clnicas y firmas digitales. Las tarjetas inteligentes proporcionan autenticacin y

encriptacin para mantener los datos a salvo.

Llaveros transmisores de seguridad

Un llavero transmisor de seguridad es un pequeo dispositivo cuyo aspecto es similar al de un

llavero, como se muestra en la Figura 4. Posee un radio que se comunica con una PC a travs de

un alcance corto. El transmisor es lo suficientemente pequeo como para llevarlo en un llavero. La

PC debe detectar la seal del llavero transmisor para aceptar un nombre de usuario y una

contrasea.

Copias de seguridad de datos

Una copia de seguridad de datos almacena una copia de la informacin de una PC en medios de

copia de seguridad extrables que pueden conservarse en lugares seguros. La realizacin de

copias de seguridad de datos es uno de los mtodos ms eficaces para evitar la prdida de estos.

Los datos pueden perderse o daarse en circunstancias tales como robos, fallas de equipos o un

desastre. Si el hardware informtico presenta una falla, pueden restaurarse los datos de la copia

de seguridad en el hardware que funciona.

Las copias de seguridad de datos deben realizarse con regularidad e incluirse en un plan de

seguridad. Las copias de seguridad de datos ms actuales suelen almacenarse externamente,

para proteger los medios de copia de seguridad en caso de que ocurra algo en la instalacin

principal. Los medios de copia de seguridad suelen reutilizarse para ahorrar en los costos de

medios. Siempre siga las pautas de rotacin de medios de la organizacin.

Las siguientes son algunas consideraciones para las copias de seguridad de datos:

Frecuencia: la realizacin de copias de seguridad puede llevar mucho tiempo. En ocasiones,

es ms sencillo realizar una copia de seguridad completa mensual o semanalmente y, luego,

realizar copias de seguridad parciales de los datos que se hayan modificado desde la ltima

copia de seguridad completa. No obstante, tener muchas copias de seguridad parciales

incrementa el tiempo necesario para restaurar los datos.

Almacenamiento: para obtener seguridad adicional, las copias de seguridad deben

trasladarse diariamente, semanalmente o mensualmente a una ubicacin de almacenamiento

externa, segn lo exija la poltica de seguridad.

Seguridad: las copias de seguridad pueden protegerse con contraseas. Se debe ingresar la

contrasea para poder restablecer los datos de los medios de copia de seguridad.

Validacin: siempre deben validarse las copias de seguridad para asegurar la integridad de

los datos.

Encriptacin de datos

La encriptacin suele utilizarse para proteger datos. La encriptacin es el proceso que consiste en

transformar datos mediante un algoritmo complicado para hacerlos ilegibles. Se debe utilizar una

clave especial para volver a convertir la informacin ilegible en datos legibles. Se utilizan

programas de software para encriptar archivos, carpetas e incluso unidades enteras.

El Sistema de cifrado de archivos (EFS, Encrypting File System) es una caracterstica de Windows

que permite encriptar datos. El EFS est directamente vinculado a una cuenta de usuario

determinada. Solo el usuario que encript los datos puede acceder a estos una vez encriptados

con el EFS. Para encriptar datos con el EFS, siga estos pasos:

Paso 1. Seleccione uno o ms archivos o carpetas.

Paso 2. Haga clic con el botn secundario en los datos seleccionados y, a continuacin, haga clic

en Propiedades.

Paso 3. Haga clic en Avanzado....

Paso 4. Seleccione la casilla de verificacinCifrar contenido para proteger datos.

Paso 5. Las carpetas y los archivos encriptados con el EFS se muestran en verde, como se

muestra en la ilustracin.

En las ediciones Ultimate y Enterprise de Windows 7 y Windows Vista, se incluye una caracterstica

denominada BitLocker para encriptar todo el volumen del disco duro. BitLocker tambin permite

encriptar unidades extrables. Para utilizar BitLocker, debe haber, como mnimo, dos volmenes en

un disco duro. Un volumen del sistema se mantiene sin encriptar y debe tener, como mnimo,

100 MB. Este volumen contiene los archivos que requiere Windows para arrancar. Windows 7 crea

este volumen de manera predeterminada durante la instalacin.

Si se utiliza BitLocker con Windows Vista, se puede utilizar una herramienta especial denominada

Herramienta de preparacin de unidad BitLocker para reducir el volumen que contiene el sistema

operativo. Una vez que se redujo el volumen, se puede crear un archivo de sistema para cumplir

con los requisitos de BitLocker.

Una vez que se cre el volumen del sistema, debe inicializarse el mdulo de plataforma segura

(TPM, Trusted Platform Module). El TPM es un chip especializado que se instala en la motherboard

de una PC y se utiliza para la autenticacin de hardware y software. El TPM almacena informacin

especfica del sistema host, como claves de encriptacin, certificados digitales y contraseas. Las

aplicaciones que utilizan encriptacin pueden aprovechar el chip TPM para proteger elementos

como la informacin de autenticacin de usuarios, la proteccin de licencias de software, y

archivos, carpetas y discos encriptados. La integracin de seguridad de hardware, como el TPM,

con seguridad de software permite obtener un sistema de computacin mucho ms seguro que si

se utiliza solo seguridad de software.

Para inicializar el mdulo TPM, siga estos pasos:

Paso 1. Inicie la PC y configure el BIOS.

Paso 2. Busque la opcin TPM en las pantallas de configuracin del BIOS. Consulte el manual de

la motherboard para ubicar la pantalla correcta.

Paso 3. Elija Habilitar y presione Intro.

Paso 4. Guarde los cambios en la configuracin del BIOS.

Paso 5. Reinicie la PC.

Para activar BitLocker, siga estos pasos:

Paso 1. Haga clic en Inicio > Panel de control > Seguridad > Cifrado de unidad BitLocker .

Paso 2. Si aparece el mensaje del control de cuentas de usuario (UAC, User Account Control),

haga clic en Continuar.

Paso 3. En la pgina Cifrado de unidad BitLocker, haga clic en Activar BitLockeren el volumen

del sistema operativo.

Paso 4. Si no se inicializa el TPM, aparece el Asistente para inicializar el hardware de seguridad

del TPM. Siga las instrucciones que proporciona el Asistente para inicializar TPM. Reinicie la PC.

Paso 5. La pgina Guardar la contrasea de recuperacin tiene las siguientes opciones:

Guardar contrasea en una unidad USB: esta opcin permite guardar la contrasea en una

unidad USB.

Guardar contrasea en una carpeta: esta opcin permite guardar la contrasea en una

unidad de red o en otra ubicacin.

Imprimir contrasea: esta opcin permite imprimir la contrasea.

Paso 6. Una vez que guard la contrasea de recuperacin, haga clic en Siguiente.

Paso 7. En la pgina Cifrar el volumen de disco seleccionado, seleccione la casilla de

verificacin Ejecutar la comprobacin del sistema de BitLocker.

Paso 8. Haga clic en Continuar.

Paso 9. Haga clic en Reiniciar ahora.

Paso 10. Se muestra la barra de estadoCifrado en curso.

Programas de proteccin contra software malintencionado

Algunos tipos de ataques, como los que realizan el spyware y la suplantacin de identidad,

recopilan datos del usuario que un atacante puede utilizar para obtener informacin confidencial.

Debe ejecutar programas de anlisis de virus y spyware para detectar y eliminar software no

deseado. Actualmente, muchos exploradores cuentan con una configuracin y herramientas

especiales que impiden el funcionamiento de varias formas de software malintencionado. Es

posible que deban utilizarse muchos programas distintos y que deban realizarse varios anlisis

para eliminar completamente todo el software malintencionado. Ejecute solo un programa de

proteccin contra malware a la vez.

Proteccin antivirus: los programas antivirus suelen ejecutarse automticamente en

segundo plano para detectar problemas. Cuando se detecta un virus, se advierte al usuario, y

el programa intenta eliminar el virus o ponerlo en cuarentena, como se muestra en la

Figura 1.

Proteccin contra spyware: los programas antispyware examinan en busca de

registradores de pulsaciones de teclas, que capturan las pulsaciones de las teclas, as como

otros malwares, para eliminarlos de la PC, como se muestra en la Figura 2.

Proteccin contra adware: los programas antiadware buscan programas que muestran

anuncios publicitarios en la PC.

Proteccin contra suplantacin de identidad: los programas contra suplantacin de

identidad bloquean las direcciones IP de los sitios Web de suplantacin de identidad

conocidos y advierten al usuario sobre los sitios Web sospechosos.

NOTA: el software malintencionado puede incorporarse en el sistema operativo. Las compaas de

desarrollo de software de seguridad ofrecen herramientas de eliminacin especiales que permiten

limpiar el sistema operativo.

Antivirus falso

Al navegar en Internet, es comn ver anuncios publicitarios de productos y software. Estos

anuncios pueden ser un mtodo para infectar la PC de un usuario. Algunos de estos anuncios

muestran mensajes que indican que la PC del usuario est infectada con un virus u otro malware.

Al anuncio publicitario o la ventana emergente pueden tener un aspecto similar al de una ventana

de advertencia real de Windows que indica que la PC est infectada y debe limpiarse, como se

muestra en la Figura 3. No obstante, al hacer clic en Eliminar, Limpiar, Aceptar o, incluso, Cancelar

o Salir, puede iniciar la descarga y la instalacin del malware. Este tipo de ataque se denomina

antivirus falso.

Ante una ventana de advertencia sospechosa, nunca haga clic dentro de la ventana de

advertencia. Cierre la ficha o el explorador para ver si desaparece la ventana de advertencia. Si la

ficha o el explorador no se cierran, presione ALT+F4 para cerrar la ventana o utilice el

administrador de tareas para finalizar el programa. Si la ventana de advertencia no desaparece,

examine la PC con un buen programa antivirus o de proteccin contra adware conocido, a fin de

asegurarse de que la PC no est infectada.

Reparacin de sistemas infectados

Cuando un programa de proteccin contra malware detecta que una PC est infectada, elimina la

amenaza o la pone en cuarentena. No obstante, lo ms probable es que la PC siga en riesgo. Lo

primero que se debe hacer para reparar una PC infectada es quitarla de la red, a fin de evitar que

se infecten otras PC. Desenchufe fsicamente todos los cables de red de la PC y deshabilite todas

las conexiones inalmbricas.

El siguiente paso consiste en seguir las polticas establecidas de respuesta ante incidentes. Estas

pueden incluir notificar al personal de TI, guardar archivos de registro en medios extrables o

apagar la PC. En el caso de un usuario domstico, actualice los programas de proteccin contra

software malintencionado instalados y realice anlisis completos de todos los medios instalados en

la PC. Muchos programas antivirus se pueden configurar para que se ejecuten cuando se inicia el

sistema, antes de que se cargue Windows. Esto permite que el programa acceda a todas las reas

del disco sin interferencias del sistema operativo o de algn malware.

Puede ser difcil eliminar virus y gusanos de una PC. Se requieren herramientas de software para

eliminar los virus y reparar el cdigo informtico que modific el virus. Estas herramientas de

software pueden obtenerse a travs de fabricantes de sistemas operativos y compaas de

software de seguridad. Asegrese de descargar estas herramientas de un sitio legtimo.

Arranque la PC en Modo seguro, a fin de evitar que se carguen la mayora de los controladores.

Instale programas de proteccin contra malware adicional y realice anlisis completos para eliminar

el malware adicional o ponerlo en cuarentena. Es posible que deba comunicarse con un

especialista para asegurarse de que la PC est completamente limpia. En algunos casos, se debe

reformatear y restaurar la PC a partir de una copia de seguridad, o volver a instalar el sistema

operativo.

El servicio de restauracin del sistema puede incluir archivos infectados en un punto de

restauracin. Una vez que se elimin el malware de la PC, deben eliminarse los archivos de

restauracin del sistema. Si se utiliza la restauracin del sistema para restaurar la PC, no se

incluirn los puntos de restauracin que contengan archivos infectados, a fin de que no vuelvan a

infectar la PC.

Para eliminar los archivos de recuperacin del sistema actuales en Windows 7, siga estos pasos:

Paso 1. Haga clic con el botn secundario en Equipo > Propiedades > ficha Proteccin del

sistema.

Paso 2. Seleccione la unidad que contiene los puntos de restauracin que desea eliminar.

Paso 3. Haga clic en Configurar....

Paso 4. Haga clic en Eliminar, junto aElimine todos los puntos de restauracin (incluida la

configuracin del sistema y las versiones de archivos anteriores).

En Windows Vista y Windows XP, siga estos pasos:

Paso 1. Cree un punto de restauracin.

Paso 2. Haga clic con el botn secundario en la unidad que contiene los puntos de restauracin

que desea eliminar.

Paso 3. Seleccione Propiedades; haga clic en la ficha General > Liberador de espacio en disco.

Paso 4. Windows analiza el disco.

Paso 5. En la ventana Liberador de espacio en disco (C:), haga clic en la fichaMs opciones >

Limpiar....

Paso 6. Haga clic en Eliminar en la ventana Liberador de espacio en discopara eliminar todo,

menos el punto de restauracin ms reciente.

Actualizaciones de archivos de firma

Las estrategias de seguridad cambian constantemente, al igual que las tecnologas que se utilizan

para proteger equipos y datos. A diario, se descubren nuevas vulnerabilidades de seguridad. Los

atacantes buscan permanentemente nuevas formas de infiltrarse en las PC y las redes. Los

fabricantes de software deben crear y ofrecer nuevos parches con frecuencia para corregir las

fallas y vulnerabilidades de los productos. Si un tcnico deja una PC sin proteccin, puede acceder

un atacante. Las PC sin proteccin que acceden a Internet suelen infectarse en pocos minutos.

Las amenazas a la seguridad por parte de virus y gusanos estn siempre presentes. Dado que

siempre estn desarrollndose nuevos virus, se debe actualizar el software de seguridad de

manera continua. Si bien este proceso puede realizarse automticamente, los tcnicos deben

saber cmo actualizar cualquier tipo de software de proteccin y todos los programas de aplicacin

del cliente en forma manual.

Los programas de deteccin de virus, spyware y adware buscan patrones en el cdigo de

programacin del software de una PC. Estos patrones se determinan mediante un anlisis de los

virus que se interceptan en Internet y en las redes LAN. Estos patrones de cdigo se denominan

firmas. Los editores de software de proteccin compilan las firmas en tablas de definicin de

virus. Para actualizar los archivos de firma del software antivirus y antispyware, primero debe

verificar si los archivos de firma son los ms recientes. Es posible revisar el estado del archivo al

acceder a la opcin Acerca de del software de proteccin o al iniciar la herramienta de

actualizacin del software de proteccin.

Para actualizar un archivo de firma, siga estos pasos:

Paso 1. Cree un punto de restauracin de Windows. Si el archivo que carga est daado, el

establecimiento de un punto de restauracin le permite regresar al estado anterior.

Paso 2. Abra el programa antivirus o antispyware. Si el programa est configurado para ejecutar u

obtener actualizaciones automticamente, es posible que deba desactivar la funcin automt ica

para llevar a cabo estos pasos manualmente.

Paso 3. Seleccione el botn Actualizar.

Paso 4. Una vez que se actualiz el programa, utilcelo para examinar la PC.

Paso 5. Una vez que finalice el examen, revise el informe para ver si incluye virus u otros

problemas que no pudieron tratarse y elimnelos.

Paso 6. Configure el programa antivirus o antispyware para que se actualice automticamente y se

ejecute de manera regular.

Siempre recupere los archivos de firma del sitio Web del fabricante, para asegurarse de que la

actualizacin sea autntica y no est daada por virus. Esto puede generar una gran demanda en

el sitio Web del fabricante, en especial cuando se lanzan nuevos virus. Para evitar el exceso de

trfico en un nico sitio Web, algunos fabricantes distribuyen los archivos de firma para que

puedan descargarse de varios sitios de descarga. Estos sitios de descarga se denominan

reflejos.

PRECAUCIN: al descargar archivos de firma de un reflejo, asegrese de que el sitio reflejado sea

un sitio legtimo. Siempre acceda al enlace del sitio reflejado desde el sitio Web del fabricante.

Tipos comunes de encriptacin de comunicaciones

Codificacin hash

La codificacin hash asegura que no se daen ni se alteren los mensajes durante su transmisin.

La codificacin hash utiliza una funcin matemtica para crear un valor numrico exclusivo para los

datos. Si se cambia un solo carcter, el resultado de la funcin, denominado sntesis del mensaje,

no ser el mismo. No obstante, la funcin es unidireccional. Conocer la sntesis del mensaje impide

que el atacante recree el mensaje, lo que dificulta que una persona intercepte y modifique los

mensajes. En la Figura 1, se muestra la codificacin hash. Los algoritmos de hash ms conocidos

son el algoritmo de hash seguro (SHA, Secure Hash Algorithm), la sntesis del mensaje 5 (MD5,

Message Digest 5) y el estndar de cifrado de datos (DES, Data Encryption Standard).

Encriptacin simtrica

La encriptacin simtrica exige que ambas partes de una conversacin encriptada utilicen una

clave de encriptacin para codificar y decodificar los datos. El emisor y el receptor deben utilizar

claves idnticas. En la Figura 2, se muestra la encriptacin simtrica. DES y 3DES son ejemplos de

encriptacin simtrica.

Encriptacin asimtrica

La encriptacin asimtrica exige dos claves: una clave privada y una clave pblica. La clave

pblica puede distribuirse ampliamente, incluso enviarse por correo electrnico en forma texto no

cifrado o publicarse en la Web. En cambio, una persona conserva la clave privada, y esta no debe

revelarse a nadie. Estas claves pueden utilizarse de dos formas.

La encriptacin de clave pblica se utiliza cuando una nica organizacin necesita recibir texto

encriptado de varias fuentes. La calve pblica puede distribuirse ampliamente y utilizarse para

encriptar los mensajes. El destinatario es la nica persona que debe tener la clave privada, la cual

se utiliza para descifrar los mensajes.

En el caso de las firmas digitales, se requiere una clave privada para encriptar un mensaje y una

clave pblica para decodificar el mensaje. Este enfoque permite que el receptor se sienta seguro

respecto del origen del mensaje, ya que la clave pblica solo permitira descifrar un mensaje

encriptado con la clave privada del creador. En la Figura 3, se muestra la encriptacin asimtrica

mediante firmas digitales. La encriptacin RSA es el ejemplo ms conocido de encriptacin

asimtrica.

Identificadores de conjunto de servicios

Como en las redes inalmbricas se utilizan ondas de radio para transmitir datos, resulta sencillo

para los atacantes monitorear y obtener datos sin necesidad de conectarse fsicamente a una red.

Los atacantes logran acceder a una red cuando estn dentro del alcance de una red inalmbrica

sin proteccin. Los tcnicos deben configurar el nivel de seguridad adecuado de los puntos de

acceso y las NIC inalmbricas.

Al instalar servicios inalmbricos, utilice tcnicas de seguridad inalmbrica de inmediato, a fin de

evitar el acceso no deseado a la red. Deben configurarse puntos de acceso inalmbrico con una

configuracin de seguridad bsica que sea compatible con la seguridad de la red existente.

Identificador de conjunto de servicios (SSID, Service Set Identifier) es el nombre de la red

inalmbrica. Un punto de acceso o router inalmbrico realiza el broadcast del SSID de manera

predeterminada, de modo que los dispositivos inalmbricos puedan detectar la red inalmbrica.

Introduzca manualmente el SSID en los dispositivos inalmbricos para conectarse a la red

inalmbrica cuando se haya deshabilitado el broadcast del SSID en el punto de acceso o router

inalmbrico.

Para deshabilitar el broadcast del SSID, utilice la siguiente ruta, como se muestra en la ilustracin:

Wireless > Basic Wireless Settings(Inalmbrico > Configuracin inalmbrica bsica);

seleccione Disabled (Deshabilitada) para el broadcast del SSID; Save Settings >

Continue (Guardar configuracin > Continuar).

Al deshabilitar el broadcast del SSID, la seguridad es muy baja. Si se deshabilita el broadcast del

SSID, cada usuario de PC que desee conectarse a la red inalmbrica deber introducir

manualmente el SSID. Cuando una PC busque una red inalmbrica, realizar el broadcast del

SSID. Los piratas informticos experimentados pueden interceptar fcilmente esta informacin y

utilizarla para suplantar su router y capturar sus credenciales.

Filtrado de direcciones MAC

El filtrado de direcciones MAC es una tcnica que se utiliza para implementar seguridad en el nivel

de dispositivos en una red LAN inalmbrica. Como cada dispositivo inalmbrico tiene una direccin

MAC nica, los puntos de acceso y routers inalmbricos pueden impedir que los dispositivos

inalmbricos se conecten a la red si no poseen direcciones MAC autorizadas. Para implementar el

filtrado de direcciones MAC, ingrese la direccin MAC de todos los dispositivos inalmbricos.

Para configurar un filtro de direcciones MAC, como se muestra en la ilustracin, siga estos pasos:

Paso 1. Seleccione Wireless > Wireless MAC Filter (Inalmbrico > Filtro MAC inalmbrico).

Paso 2. Seleccione Enabled (Habilitado).

Paso 3. Seleccione Prevent (Evitar) oPermit (Permitir) en el tipo de restriccin de acceso.

Paso 4. Haga clic en Wireless Client List(Lista de clientes inalmbricos).

Paso 5. Seleccione el cliente.

Paso 6. Haga clic en Save to MAC Address Filter List > Add > Save Settings >

Continue (Guardar en la lista de filtro de direcciones MAC > Agregar > Guardar configuracin >

Continuar).

Repita los pasos anteriores para agregar ms clientes inalmbricos a la lista de filtros de

direcciones MAC.

Es posible obtener la direccin MAC de una NIC inalmbrica escribiendo ipconfig /allen el smbolo

del sistema. La direccin MAC se rotula Physical Address (Direccin fsica) en la salida. En

dispositivos que no son PC, la direccin MAC suele estar en la etiqueta del dispositivo o en las

instrucciones del fabricante.

El filtrado de direcciones MAC puede resultar tedioso si hay muchos dispositivos conectados a la

red. Asimismo, si se utiliza el filtrado de direcciones MAC, es posible que un atacante descubra una

direccin MAC con herramientas de piratera informtica inalmbricas. Una vez que el atacante

obtuvo la direccin MAC, puede utilizarla para suplantar la PC que se aprob mediante el filtrado

de direcciones MAC. En su lugar, utilice una tecnologa de encriptacin slida.

Modos de seguridad inalmbrica

Utilice un sistema de encriptacin inalmbrico para codificar la informacin que desea enviar, a fin

de evitar la captura y el uso no deseados de los datos. Ambos extremos de todos los enlaces

deben utilizar el mismo estndar de encriptacin.

La mayora de los puntos de acceso inalmbrico admiten varios modos de seguridad diferentes.

Los ms comunes son los siguientes:

WEP: la privacidad equivalente por cable (WEP, Wired Equivalent Privacy) es el estndar de

seguridad de primera generacin para conexiones inalmbricas. Los atacantes descubrieron

rpidamente que la encriptacin WEP era fcil de quebrantar. Las claves de encriptacin que

se utilizaban para codificar los mensajes podan detectarse mediante programas de

monitoreo. Una vez obtenidas las claves, era posible decodificar fcilmente los mensajes.

WPA: el acceso protegido Wi-Fi (WPA, Wi-Fi Protected Access) es una versin mejorada de

WEP que abarca el estndar 802.11i completo (una capa de seguridad para sistemas

inalmbricos). WPA utiliza una encriptacin mucho ms segura que la encriptacin WEP.

WPA2: el acceso protegido Wi-Fi 2 (WPA2, Wi-Fi Protected Access) es una versin mejorada

de WPA. Este protocolo introduce niveles de seguridad ms elevados que WPA. WPA2

admite encriptacin slida, lo que proporciona seguridad de nivel gubernamental. Existen dos

versiones de WPA2: personal (autenticacin de contrasea) y empresarial (autenticacin de

servidor).

Agregados a WPA y WPA2

Se agregaron otras implementaciones de seguridad al estndar WPA.

TKIP: el protocolo de integridad de clave temporal (TKIP, Temporal Key Integrity Protocol) es

una tecnologa que cambia la clave de encriptacin por paquete y proporciona un mtodo

para verificar la integridad de los mensajes.

EAP: el protocolo de autenticacin extensible (EAP, Extensible Authentication Protocol) utiliza

un servidor de autenticacin centralizado para aumentar la seguridad.

PEAP: el protocolo de autenticacin extensible protegido (PEAP, Protected Extensible

Authentication Protocol) es un protocolo que no utiliza un servidor de certificados.

AES: el estndar de encriptacin avanzada (AES, Advanced Encryption Standard) es un

mtodo de encriptacin simtrica con clave agregado solo a WPA2.

Para aportar ms seguridad inalmbrica, utilice la siguiente ruta, como se muestra en la ilustracin:

Wireless > Wireless Security (Inalmbrico > Seguridad Inalmbrica); seleccioneSecurity

Mode (Modo de seguridad);Encryption Type (Tipo de encriptacin);escriba la Pre-shared

Key (Clave previamente compartida); y establezca Key Renewal > Save Settings >

Continue(Renovacin de clave > Guardar configuracin > Continuar).

Acceso inalmbrico

Antenas inalmbricas

El alcance y el patrn de la seal de la antena que est conectada a un punto de acceso

inalmbrico pueden influir en los lugares donde se puede recibir la seal. Evite transmiti r seales

fuera del rea de la red mediante la instalacin de una antena con un patrn que sea til para los

usuarios de la red.

Algunos dispositivos inalmbricos permiten modificar el nivel de potencia del alcance inalmbrico.

Esto puede resultar provechoso en dos aspectos:

Es posible reducir el tamao de la red inalmbrica para evitar la cobertura de reas no

deseadas. Utilice una computadora porttil o un dispositivo mvil para determinar el rea de

cobertura. Reduzca el nivel de potencia de alcance hasta que el rea de cobertura tenga el

tamao deseado.

Aumente el nivel de potencia en reas donde hay muchas redes inalmbricas, a fin de reducir

al mnimo la interferencia de las dems redes y permitir que los clientes permanezcan

conectados.

Acceso de dispositivos de red

Muchos dispositivos inalmbricos que desarrolla un fabricante determinado tienen el mismo

nombre de usuario y la misma contrasea de manera predeterminada para acceder a la

configuracin inalmbrica. Si no se modifican, los usuarios no autorizados pueden conectarse

fcilmente al punto de acceso y modificar la configuracin. Cambie el nombre de usuario y la

contrasea predeterminados la primera vez que se conecte al dispositivo de red. Algunos

dispositivos permiten cambiar tanto el nombre de usuario como la contrasea, pero otros solo

permiten cambiar la contrasea.

Para cambiar la contrasea predeterminada, como se muestra en la ilustracin, utilice la siguiente

ruta:

Administration > Management(Administracin > Gestin); escriba la nueva contrasea del

router; Re-enter to confirm > Save Settings (Volver a introducir la contrasea para confirmar >

Guardar configuracin).

Configuracin protegida de Wi-Fi

Para muchas personas, configurar un router inalmbrico e ingresar manualmente las

configuraciones puede ser difcil. Antes, muchas personas simplemente conectaban el dispositivo y

utilizaban la configuracin predeterminada. Si bien esta configuracin permita conectar fcilmente

los dispositivos, dejaba numerosos huecos de seguridad, como la falta de encriptacin, el uso del

SSID predeterminado y el uso de una contrasea de administracin predeterminada. La

configuracin protegida de Wi-Fi (WPS, Wi-Fi Protected Setup) se desarroll para ayudar a las

personas a configurar una red inalmbrica rpida y fcilmente, y con seguridad habilitada.

Con WPS, la forma ms comn en que se conectan los usuarios es el mtodo PIN. Con el mtodo

PIN, el router inalmbrico posee un PIN configurado de fbrica que est impreso en una etiqueta o

se muestra en una pantalla. Cuando un dispositivo inalmbrico intenta conectarse al router

inalmbrico, el router solicita el PIN. Una vez que el usuario introduce el PIN en el dispositivo

inalmbrico, se conecta a la red y se habilita la seguridad.

WPS presenta una falla de seguridad importante. Se desarroll un software que permite interceptar

el trfico y recuperar el PIN de WPS y la clave de encriptacin previamente compartida. Una

prctica de seguridad recomendada consiste en deshabilitar WPS del router inalmbrico, siempre

que sea posible.

Firewalls

Un firewall de hardware es un componente de filtrado fsico que inspecciona los paquetes de datos

de la red antes de que lleguen a las PC y a otros dispositivos de una red. Un firewall de hardware

es una unidad independiente que no utiliza los recursos de las PC que protege, por lo que el

rendimiento de procesamiento no se ve afectado. Es posible configurar el firewall para que bloquee

varios puertos individuales, un rango de puertos o, incluso, el trfico especfico de una aplicacin.

El router inalmbrico Linksys E2500 tambin es un firewall de hardware.

Los firewalls de hardware permiten el paso de dos tipos de trfico diferentes a la red:

Las respuestas al trfico que se origina desde el interior de la red.

El trfico destinado a un puerto que se dej intencionalmente abierto.

Existen varios tipos de configuraciones de firewall de hardware:

Filtro de paquetes: los paquetes no pueden atravesar el firewall, a menos que coincidan con

la regla establecida configurada en el firewall. El trfico puede filtrarse en funcin de

diferentes atributos, como la direccin IP de origen, el puerto de origen, o la direccin IP o el

puerto de destino. El trfico tambin puede filtrarse en funcin de los servicios o protocolos de

destino, como WWW o FTP.

Inspeccin de paquetes con estado:es un firewall que realiza un seguimiento del estado de

las conexiones de red que atraviesan el firewall. Los paquetes que no forman parte de una

conexin conocida se descartan.

Capa de aplicacin: se interceptan todos los paquetes que se desplazan desde una

aplicacin o hacia ella. Se impide que todo el trfico externo no deseado llegue a los

dispositivos protegidos.

Proxy: es un firewall instalado en un servidor proxy que inspecciona todo el trfico y admite o

rechaza paquetes segn las reglas configuradas. Un servidor proxy es aquel que acta como

rel entre un cliente y un servidor de destino en Internet.

Los firewalls de hardware y software protegen los datos y los equipos de una red del acceso no

autorizado. Se debe utilizar un firewall junto con un software de seguridad. En la Figura 1, se

comparan los firewalls de hardware y software.

Para configurar los parmetros del firewal

seguridad

Documents