PLANTEAMIENTO DEL PROBLEMA
La web
se ha convertido en una herramienta fundamental para las organizaciones, según
el informe sociedad de la información presentado el mes de Julio de 2014 por la
Comisión de regulación de comunicaciones CRC, el porcentaje de organizaciones
con presencia en la Web para el año 2012 en Colombia fue del 74%; actualmente
no se tienen cifras oficiales pero el ministerio de las TIC colombiano cree que
el aumento es significativo; de ahí que muchos usuarios utilicen servicios en
la Web y también exista un gran número
de vulnerabilidades, amenazas y ataques dirigidos a la misma, que involucra a
usuarios y organizaciones; por lo tanto se deben implementar medidas de
seguridad adecuadas que permitan proteger tanto a organizaciones como usuarios,
la seguridad web es una tarea que involucra las dos partes, pero de alguna
forma no se ha tenido en cuenta la relevancia de los usuarios en los protocolos
seguridad, es decir no se les ha capacitado para que aprendan a identificar las
amenazas y adoptar mecanismos que les permitan proteger su información y la de
la organización.
La
universidad Nacional abierta y a Distancia cuenta con un sistema de seguridad
informática que permite gestión de vulnerabilidades y riesgos; sin embargo
actualmente se encuentra expuesta contra amenazas de seguridad web dada la
cantidad de usuarios y la falta de políticas y controles implementados que
permitan mitigar tales amenazas. Si bien existen procedimientos establecidos
sobre el uso de contraseñas, no existe definida una periodicidad para realizar
el cambio de contraseñas, tampoco existe un número de intentos determinados
para acceder al campus, ni alertas que les indiquen a un usuario si se ha intentado
acceder al sistema en repetidas ocasiones sin éxito, de manera que alguien
diferente al usuario puede intentar
entrar al sistema hasta lograrlo.
Con el
avance de los sistemas de información se hace necesario ir implementando
distintos mecanismos que permitan lograr una mayor seguridad y control en la
Web, de manera que no se expongan los datos de los usuarios y la misma
infraestructura tecnológica de la organización; de ahí la pertinencia de hacer
una revisión de aquellos mecanismos de seguridad web que se tienen en el
momento y los que se pueden ir adoptando para mejorar los estándares de
seguridad. Las universidades son blancos de ataques, muchas veces llevados a
cabo por los mismos estudiantes o personas
externas, uno de los casos más relevantes en Colombia son los ataques
exitosos que ha sufrido la Universidad de los Andes, el primero en el año 2013,
en el que un estudiante implementando un software malicioso accedió al sistema
y realizo cambios de notas, el hecho más reciente se presentó en el mes de
marzo de 2016, cuando el grupo de Hacker denominado Anonymous, cambio los
contenidos e inhabilitando los servidores por un periodo de tiempo prolongado;
un ataque Web exitoso compromete desde información valiosa de la organización,
privacidad de los usuarios, espionaje corporativo e inhabilitación de
prestación de servicios virtuales. Son
muchas las investigaciones existentes sobre seguridad Web, pero dada la
dinámica actual siempre se hace necesario ahondar más sobre el tema y proponer
soluciones acordes al tipo de vulnerabilidades de cada organización; desde el
2013 el trafico malicioso y ataques web se han incrementado peligrosamente, la
masificación de dispositivos móviles utilizados para acceder a la web y la
infraestructura global de internet están siendo explotadas por la
ciberdelincuencia para lanzar ataques empleando diferentes técnicas.
ii. Describir el propósito de
la investigación:
Diseñar
un plan de seguridad informático orientado a la Web, con especificaciones de
las vulnerabilidades descubiertas en el portal de la Universidad Nacional
Abierta y a Distancia, herramientas y procedimientos disponibles para
mitigarlas, así como las recomendaciones que dicha organización debe tener en
cuenta para ejecutar el plan. Con la implementación del plan de seguridad Web
la organización contara con altos niveles de seguridad que permitan
salvaguardar la integridad y privacidad de la información y la infraestructura
informática.
iii.
Generar las preguntas de investigación:
¿Se encuentran 100% protegidos los usuarios que
acceden y usan la plataforma de la UNAD?
¿Cuáles son las amenazas Web a las que está
expuesta el portal de la UNAD?
¿Cómo afectan las posibles vulnerabilidades identificadas
a los usuarios que interactúan en la plataforma?
¿Qué efectos tiene disminuir las amenazas o riesgos
que se puedan encontrar en la plataforma?
¿Qué consecuencias puede tener no mitigar las
amenazas cuando se conoce una reciente vulnerabilidad?
¿Qué consecuencias puede tener no actualizar los
protocolos y servicios con los que cuenta la plataforma?
iv.
Definir la terminología a utilizar:
Amenazas informáticas:
“El hecho de conectar una red a un entorno externo nos da la posibilidad
de que algún atacante pueda entrar en ella, y con esto, se puede hacer robo de
información o alterar el funcionamiento de la red.” (Wikipedia, 2016)
Ataques informáticos:
“Un ataque informático es un método por el cual un individuo, mediante un
sistema informático, intenta tomar el control, desestabilizar o dañar otro
sistema informático (ordenador, red privada, etcétera).” (Wikipedia, 2016)
Denegación de servicio:
“Un ataque de denegación de servicios, también llamado ataque DoS (siglas
en inglés de Denial of Service) o DDoS (de Distributed Denial of Service), es
un ataque a un sistema de computadoras o red que causa que un servicio o
recurso sea inaccesible a los usuarios legítimos.” (Wikipedia, 2016)
HTTP
En inglés Hypertext Transfer Protocol.
Protocolo de Transferencia de Hipertexto. HTTP es un protocolo con la ligereza
y velocidad necesaria para distribuir y manejar sistemas de información
hipermedia. HTTP ha sido usado por los servidores World Wide Web desde su
inicio en 1993.
HTTPS
Creado
por Netscape Communications Corporation para designar documentos que llegan
desde un servidor web seguro. Esta seguridad es dada por el protocolo SSL (Secure Socket Layer) basado en la tecnología
de encriptación y autenticación desarrollada por RSA
Data Security Inc.
Ingeniería social:
“Existen diferentes tipos de ataques en Internet como virus, troyanos u
otros, dichos ataques pueden ser contrarrestados o eliminados pero hay un tipo
de ataque, que no afecta directamente a los ordenadores, sino a sus usuarios,
conocidos como “el eslabón más débil”. Dicho ataque es capaz de almacenar
conseguir resultados similares a un ataque a través de la red, saltándose toda
la infraestructura creada para combatir programas maliciosos.” (Wikipedia, 2016)
Internet:
“Es un conjunto descentralizado de redes de comunicación interconectadas
que utilizan la familia de protocolos TCP/IP, lo cual garantiza que las redes
físicas heterogéneas que la componen como una red lógica única de alcance
mundial.” (Wikipedia, 2016)
Políticas de seguridad:
“La política de seguridad es un documento de alto nivel que denota el
compromiso de la gerencia con la seguridad de la información. Contiene la
definición de la seguridad de la información desde el punto de vista de cierta
entidad.” (Wikipedia, 2015)
Seguridad Web:
“Rama de la Seguridad
Informática que se encarga específicamente de la seguridad de sitios
web, aplicaciones
web y servicios web.” (Wikipedia,
2015)
Servidor:
“Un servidor es una aplicación en ejecución (software) capaz de atender
las peticiones de un cliente y devolverle una respuesta en concordancia.”
(Wikipedia, 2016)
Vulnerabilidad:
“Las vulnerabilidades son puntos
débiles del software que permiten que un atacante comprometa la integridad,
disponibilidad o confidencialidad del mismo. Algunas de las vulnerabilidades
más severas permiten que los atacantes ejecuten código arbitrario, denominadas
vulnerabilidades de seguridad, en un sistema comprometido” (Wikipedia, 2016)
HTLM5
Planeación para desarrollar la actividad
CONCEPTO
|
DESCRIPCIÓN
|
Cronología (¿Cuándo?)
|
Ataques a los
protocolos TSL y SSL que vienen produciéndose en gran cantidad de sitios web,
la interceptación del tráfico y robo de credenciales de acceso de usuarios al
sistema, ponen en riesgo constantemente la seguridad de la plataforma de la
UNAD. Se ha detectado falta de políticas de seguridad en la implementación y
cambio de contraseñas. Son muchos los estudios que proponen utilizar
tecnologías para detectar y prevenir ataques informáticos.
|
Axiomas (¿Quién?)
|
Los gobiernos de todo
el mundo, compañías dedicadas a prestar servicios de seguridad como Avast,
ESET, Norton y otras organizaciones educativas principalmente como el MIT,
tienen grupos especializados en detectar las amenazas que van apareciendo
periódicamente y los pasos o metodologías que se deben implementar para
protegerse.
|
Método (¿Cómo?)
|
Identificar la mayor
cantidad de amenazas con respecto a seguridad Web que tiene la Universidad
Nacional Abierta y a Distancia, mediante la exploración del campus.
Investigar sobre las
amenazas actuales y emergentes en seguridad web, para que en base a las
amenazas identificadas, diseñar y proponer un plan de seguridad web orientado
a mitigar tales amenazas.
Esta investigación se
realiza en un tiempo máximo de 3 meses.
|
Ontología (¿Qué?)
|
Mejorar los niveles
de seguridad web en la Universidad Nacional Abierta y a Distancia, de manera
que se mantenga la integridad de la información y la prestación de los
servicios educativos desde la plataforma sin contratiempos relacionados con
la seguridad web.
|
Tecnología (¿Con
qué?)
|
Mediante
el uso de programas diseñados para hacer auditoria a los sitios web.
ü Nessus: Escáner de vulnerabilidades web.
ü Nikto: Escáner de vulnerabilidades Web.
ü John
the Ripper: para descifrar contraseñas
ü Metasploit:
penetración.
|
Teleología (¿Para
qué?)
|
Mediante un equipo con conexión a internet y
los conocimientos de la utilización de la herramienta se identifican las
fallas de la web de la UNAD, de acuerdo a los resultados obtenidos y las
normas sobre seguridad existentes se crea el pan de seguridad.
|
Topografía (¿Dónde?)
|
Todas las sedes de la
UNAD en Colombia, así como los lugares de donde se conectan los usuarios que
acceden a su plataforma, es decir todo lo relacionado con el campus académico
como servicios.
|
Ecología (¿Contra
qué?)
|
Se debe lograr
detectar y neutralizar cualquier amenaza que ponga en vilo el buen
funcionamiento de la plataforma de la UNAD, ya que en ella concurren miles de
usuarios a realizar actividades educativas.
|
Etiología (¿Por qué?)
|
La UNAD, cuenta con
más de ocho mil usuarios, que acceden día a día a su plataforma, presta
servicios educativos de calidad a nivel virtual, por lo que una interrupción
del sistema o el robo de credenciales de un estudiante, docente, directivo o
administrador de la plataforma, sin duda repercute negativamente en la
educación, bien sea de un solo usuario o de un grupo determinado.
|
Experiencia
(¿Cuánto?)
|
Es imposible predecir
cuándo se sufrirá un ataque web, al igual que es imposible tener un grado de
seguridad del 100%, pero se ha demostrado a lo largo del tiempo que con altos
niveles de seguridad y un plan de seguridad en caso de ataque se logra
detener intrusiones, aun cuando ya estén efectuándose, manteniendo la
integridad de los servicios y la información.
Al realizar este
estudio se logra un plan de seguridad que si bien es diseñado para la UNAD,
puede ser aplicado en diferentes organizaciones con similares
características.
|
REFERENCIA BIBLIOGRÁFICA
Hernández,
J. & Arenas, A., (2014). Avance de Colombia en la sociedad de la
información. Comisión de regulación de comunicaciones. Consultado el 10 de
abril de 2016. Disponible en: http://colombiatic.mintic.gov.co/602/articles-6807_archivo_pdf.pdf
Espectador,
(2016). Anonymous ataca el sitio web de la Universidad de los Andes. Consultado
el 10 de Abril de 2016, disponible en: http://www.elespectador.com/noticias/actualidad/anonymous-ataca-el-sitio-web-de-universidad-de-los-ande-articulo-620617
Obando,
V. (2015). Universidades victimas de “hackers”. El espectador. Consultado el 10 de Abril de 2016, disponible
en: http://www.elespectador.com/noticias/judicial/universidades-victimas-de-hackers-articulo-560884
Vulnerabilidad. (2016, 28 de
marzo). Wikipedia, La enciclopedia libre. Fecha de consulta: 09:19, abril 13,
2016 desde
https://es.wikipedia.org/w/index.php?title=Vulnerabilidad&oldid=90111425.
Seguridad informática. (2016,
10 de abril). Wikipedia, La enciclopedia libre. Fecha de consulta: 09:26, abril
13, 2016 desde
https://es.wikipedia.org/w/index.php?title=Seguridad_inform%C3%A1tica&oldid=90385025.
Ataque
informático. (2016, 31 de marzo). Wikipedia, La enciclopedia libre. Fecha de
consulta: 09:28, abril 13, 2016 desde
https://es.wikipedia.org/w/index.php?title=Ataque_inform%C3%A1tico&oldid=90159522.
Política
de seguridad. (2015, 22 de marzo). Wikipedia, La enciclopedia libre. Fecha de
consulta: 09:30, abril 13, 2016 desde
https://es.wikipedia.org/w/index.php?title=Pol%C3%ADtica_de_seguridad&oldid=80935448.
Internet.
(2016, 5 de abril). Wikipedia, La enciclopedia libre. Fecha de consulta: 09:32,
abril 13, 2016 desde https://es.wikipedia.org/w/index.php?title=Internet&oldid=90278362.
Servidor.
(2016, 30 de marzo). Wikipedia, La enciclopedia libre. Fecha de consulta:
09:33, abril 13, 2016 desde https://es.wikipedia.org/w/index.php?title=Servidor&oldid=90156594.
Ataque
de denegación de servicio. (2016, 21 de marzo). Wikipedia, La enciclopedia
libre. Fecha de consulta: 09:37, abril 13, 2016 desde
https://es.wikipedia.org/w/index.php?title=Ataque_de_denegaci%C3%B3n_de_servicio&oldid=89956387.
No hay comentarios:
Publicar un comentario