TRABAJO COLABORATIVO No 2

PLANTEAMIENTO DEL PROBLEMA

La web se ha convertido en una herramienta fundamental para las organizaciones, según el informe sociedad de la información presentado el mes de Julio de 2014 por la Comisión de regulación de comunicaciones CRC, el porcentaje de organizaciones con presencia en la Web para el año 2012 en Colombia fue del 74%; actualmente no se tienen cifras oficiales pero el ministerio de las TIC colombiano cree que el aumento es significativo; de ahí que muchos usuarios utilicen servicios en la Web y también  exista un gran número de vulnerabilidades, amenazas y ataques dirigidos a la misma, que involucra a usuarios y organizaciones; por lo tanto se deben implementar medidas de seguridad adecuadas que permitan proteger tanto a organizaciones como usuarios, la seguridad web es una tarea que involucra las dos partes, pero de alguna forma no se ha tenido en cuenta la relevancia de los usuarios en los protocolos seguridad, es decir no se les ha capacitado para que aprendan a identificar las amenazas y adoptar mecanismos que les permitan proteger su información y la de la organización.

La universidad Nacional abierta y a Distancia cuenta con un sistema de seguridad informática que permite gestión de vulnerabilidades y riesgos; sin embargo actualmente se encuentra expuesta contra amenazas de seguridad web dada la cantidad de usuarios y la falta de políticas y controles implementados que permitan mitigar tales amenazas. Si bien existen procedimientos establecidos sobre el uso de contraseñas, no existe definida una periodicidad para realizar el cambio de contraseñas, tampoco existe un número de intentos determinados para acceder al campus, ni alertas que les indiquen a un usuario si se ha intentado acceder al sistema en repetidas ocasiones sin éxito, de manera que alguien diferente al usuario puede  intentar entrar al sistema hasta lograrlo.

Con el avance de los sistemas de información se hace necesario ir implementando distintos mecanismos que permitan lograr una mayor seguridad y control en la Web, de manera que no se expongan los datos de los usuarios y la misma infraestructura tecnológica de la organización; de ahí la pertinencia de hacer una revisión de aquellos mecanismos de seguridad web que se tienen en el momento y los que se pueden ir adoptando para mejorar los estándares de seguridad. Las universidades son blancos de ataques, muchas veces llevados a cabo por los mismos estudiantes o personas  externas, uno de los casos más relevantes en Colombia son los ataques exitosos que ha sufrido la Universidad de los Andes, el primero en el año 2013, en el que un estudiante implementando un software malicioso accedió al sistema y realizo cambios de notas, el hecho más reciente se presentó en el mes de marzo de 2016, cuando el grupo de Hacker denominado Anonymous, cambio los contenidos e inhabilitando los servidores por un periodo de tiempo prolongado; un ataque Web exitoso compromete desde información valiosa de la organización, privacidad de los usuarios, espionaje corporativo e inhabilitación de prestación de  servicios virtuales. Son muchas las investigaciones existentes sobre seguridad Web, pero dada la dinámica actual siempre se hace necesario ahondar más sobre el tema y proponer soluciones acordes al tipo de vulnerabilidades de cada organización; desde el 2013 el trafico malicioso y ataques web se han incrementado peligrosamente, la masificación de dispositivos móviles utilizados para acceder a la web y la infraestructura global de internet están siendo explotadas por la ciberdelincuencia para lanzar ataques empleando diferentes técnicas.

ii. Describir el propósito de la investigación:

Diseñar un plan de seguridad informático orientado a la Web, con especificaciones de las vulnerabilidades descubiertas en el portal de la Universidad Nacional Abierta y a Distancia, herramientas y procedimientos disponibles para mitigarlas, así como las recomendaciones que dicha organización debe tener en cuenta para ejecutar el plan. Con la implementación del plan de seguridad Web la organización contara con altos niveles de seguridad que permitan salvaguardar la integridad y privacidad de la información y la infraestructura informática.

iii. Generar las preguntas de investigación:

¿Se encuentran 100% protegidos los usuarios que acceden y usan la plataforma de la UNAD?

¿Cuáles son las amenazas Web a las que está expuesta el portal de la UNAD?

¿Cómo afectan las posibles vulnerabilidades identificadas a los usuarios que interactúan en la plataforma?

¿Qué efectos tiene disminuir las amenazas o riesgos que se puedan encontrar en la plataforma?

¿Qué consecuencias puede tener no mitigar las amenazas cuando se conoce una reciente vulnerabilidad?

¿Qué consecuencias puede tener no actualizar los protocolos y servicios con los que cuenta la plataforma?

 iv. Definir la terminología a utilizar:

Amenazas informáticas:

“El hecho de conectar una red a un entorno externo nos da la posibilidad de que algún atacante pueda entrar en ella, y con esto, se puede hacer robo de información o alterar el funcionamiento de la red.” (Wikipedia, 2016)

Ataques informáticos:

“Un ataque informático es un método por el cual un individuo, mediante un sistema informático, intenta tomar el control, desestabilizar o dañar otro sistema informático (ordenador, red privada, etcétera).” (Wikipedia, 2016)

Denegación de servicio:

“Un ataque de denegación de servicios, también llamado ataque DoS (siglas en inglés de Denial of Service) o DDoS (de Distributed Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos.” (Wikipedia, 2016)

HTTP

En inglés Hypertext Transfer Protocol. Protocolo de Transferencia de Hipertexto. HTTP es un protocolo con la ligereza y velocidad necesaria para distribuir y manejar sistemas de información hipermedia. HTTP ha sido usado por los servidores World Wide Web desde su inicio en 1993.

HTTPS

Creado por Netscape Communications Corporation para designar documentos que llegan desde un servidor web seguro. Esta seguridad es dada por el protocolo SSL (Secure Socket Layer) basado en la tecnología de encriptación y autenticación desarrollada por RSA Data Security Inc.

Ingeniería social:

“Existen diferentes tipos de ataques en Internet como virus, troyanos u otros, dichos ataques pueden ser contrarrestados o eliminados pero hay un tipo de ataque, que no afecta directamente a los ordenadores, sino a sus usuarios, conocidos como “el eslabón más débil”. Dicho ataque es capaz de almacenar conseguir resultados similares a un ataque a través de la red, saltándose toda la infraestructura creada para combatir programas maliciosos.” (Wikipedia, 2016)

Internet:

“Es un conjunto descentralizado de redes de comunicación interconectadas que utilizan la familia de protocolos TCP/IP, lo cual garantiza que las redes físicas heterogéneas que la componen como una red lógica única de alcance mundial.” (Wikipedia, 2016)

Políticas de seguridad:

“La política de seguridad es un documento de alto nivel que denota el compromiso de la gerencia con la seguridad de la información. Contiene la definición de la seguridad de la información desde el punto de vista de cierta entidad.” (Wikipedia, 2015)

Seguridad Web:

“Rama de la Seguridad Informática que se encarga específicamente de la seguridad de sitios web, aplicaciones web y servicios web.” (Wikipedia, 2015)

  

Servidor:

“Un servidor es una aplicación en ejecución (software) capaz de atender las peticiones de un cliente y devolverle una respuesta en concordancia.” (Wikipedia, 2016)

Vulnerabilidad:

“Las vulnerabilidades son puntos débiles del software que permiten que un atacante comprometa la integridad, disponibilidad o confidencialidad del mismo. Algunas de las vulnerabilidades más severas permiten que los atacantes ejecuten código arbitrario, denominadas vulnerabilidades de seguridad, en un sistema comprometido” (Wikipedia, 2016)

HTLM5

Planeación para desarrollar la actividad

CONCEPTO	DESCRIPCIÓN
Cronología (¿Cuándo?)	Ataques a los protocolos TSL y SSL que vienen produciéndose en gran cantidad de sitios web, la interceptación del tráfico y robo de credenciales de acceso de usuarios al sistema, ponen en riesgo constantemente la seguridad de la plataforma de la UNAD. Se ha detectado falta de políticas de seguridad en la implementación y cambio de contraseñas. Son muchos los estudios que proponen utilizar tecnologías para detectar y prevenir ataques informáticos.
Axiomas (¿Quién?)	Los gobiernos de todo el mundo, compañías dedicadas a prestar servicios de seguridad como Avast, ESET, Norton y otras organizaciones educativas principalmente como el MIT, tienen grupos especializados en detectar las amenazas que van apareciendo periódicamente y los pasos o metodologías que se deben implementar para protegerse.
Método (¿Cómo?)	Identificar la mayor cantidad de amenazas con respecto a seguridad Web que tiene la Universidad Nacional Abierta y a Distancia, mediante la exploración del campus. Investigar sobre las amenazas actuales y emergentes en seguridad web, para que en base a las amenazas identificadas, diseñar y proponer un plan de seguridad web orientado a mitigar tales amenazas. Esta investigación se realiza en un tiempo máximo de 3 meses.
Ontología (¿Qué?)	Mejorar los niveles de seguridad web en la Universidad Nacional Abierta y a Distancia, de manera que se mantenga la integridad de la información y la prestación de los servicios educativos desde la plataforma sin contratiempos relacionados con la seguridad web.
Tecnología (¿Con qué?)	Mediante el uso de programas diseñados para hacer auditoria a los sitios web. ü  Nessus: Escáner de vulnerabilidades web. ü  Nikto: Escáner de vulnerabilidades Web. ü  John the Ripper: para descifrar contraseñas ü  Metasploit: penetración.
Teleología (¿Para qué?)	Mediante un equipo con conexión a internet y los conocimientos de la utilización de la herramienta se identifican las fallas de la web de la UNAD, de acuerdo a los resultados obtenidos y las normas sobre seguridad existentes se crea el pan de seguridad.
Topografía (¿Dónde?)	Todas las sedes de la UNAD en Colombia, así como los lugares de donde se conectan los usuarios que acceden a su plataforma, es decir todo lo relacionado con el campus académico como servicios.
Ecología (¿Contra qué?)	Se debe lograr detectar y neutralizar cualquier amenaza que ponga en vilo el buen funcionamiento de la plataforma de la UNAD, ya que en ella concurren miles de usuarios a realizar actividades educativas.
Etiología (¿Por qué?)	La UNAD, cuenta con más de ocho mil usuarios, que acceden día a día a su plataforma, presta servicios educativos de calidad a nivel virtual, por lo que una interrupción del sistema o el robo de credenciales de un estudiante, docente, directivo o administrador de la plataforma, sin duda repercute negativamente en la educación, bien sea de un solo usuario o de un grupo determinado.
Experiencia (¿Cuánto?)	Es imposible predecir cuándo se sufrirá un ataque web, al igual que es imposible tener un grado de seguridad del 100%, pero se ha demostrado a lo largo del tiempo que con altos niveles de seguridad y un plan de seguridad en caso de ataque se logra detener intrusiones, aun cuando ya estén efectuándose, manteniendo la integridad de los servicios y la información. Al realizar este estudio se logra un plan de seguridad que si bien es diseñado para la UNAD, puede ser aplicado en diferentes organizaciones con similares características.

REFERENCIA BIBLIOGRÁFICA

Hernández, J. & Arenas, A., (2014). Avance de Colombia en la sociedad de la información. Comisión de regulación de comunicaciones. Consultado el 10 de abril de 2016. Disponible en: http://colombiatic.mintic.gov.co/602/articles-6807_archivo_pdf.pdf

Espectador, (2016). Anonymous ataca el sitio web de la Universidad de los Andes. Consultado el 10 de Abril de 2016, disponible en: http://www.elespectador.com/noticias/actualidad/anonymous-ataca-el-sitio-web-de-universidad-de-los-ande-articulo-620617

Obando, V. (2015). Universidades victimas de “hackers”. El espectador.  Consultado el 10 de Abril de 2016, disponible en: http://www.elespectador.com/noticias/judicial/universidades-victimas-de-hackers-articulo-560884

Vulnerabilidad. (2016, 28 de marzo). Wikipedia, La enciclopedia libre. Fecha de consulta: 09:19, abril 13, 2016 desde https://es.wikipedia.org/w/index.php?title=Vulnerabilidad&oldid=90111425.

Seguridad informática. (2016, 10 de abril). Wikipedia, La enciclopedia libre. Fecha de consulta: 09:26, abril 13, 2016 desde https://es.wikipedia.org/w/index.php?title=Seguridad_inform%C3%A1tica&oldid=90385025.

Ataque informático. (2016, 31 de marzo). Wikipedia, La enciclopedia libre. Fecha de consulta: 09:28, abril 13, 2016 desde https://es.wikipedia.org/w/index.php?title=Ataque_inform%C3%A1tico&oldid=90159522.

Política de seguridad. (2015, 22 de marzo). Wikipedia, La enciclopedia libre. Fecha de consulta: 09:30, abril 13, 2016 desde https://es.wikipedia.org/w/index.php?title=Pol%C3%ADtica_de_seguridad&oldid=80935448.

Internet. (2016, 5 de abril). Wikipedia, La enciclopedia libre. Fecha de consulta: 09:32, abril 13, 2016 desde https://es.wikipedia.org/w/index.php?title=Internet&oldid=90278362.

Servidor. (2016, 30 de marzo). Wikipedia, La enciclopedia libre. Fecha de consulta: 09:33, abril 13, 2016 desde https://es.wikipedia.org/w/index.php?title=Servidor&oldid=90156594.

Ataque de denegación de servicio. (2016, 21 de marzo). Wikipedia, La enciclopedia libre. Fecha de consulta: 09:37, abril 13, 2016 desde https://es.wikipedia.org/w/index.php?title=Ataque_de_denegaci%C3%B3n_de_servicio&oldid=89956387.