10.2.1. Seguridad y disponibilidad

Con el paso de los años, el tratamiento de la información se ha ido automatizando y, en consecuencia, la importancia y cantidad de los datos que manejan los sistemas infomáticos ha ido aumentando. Esto ha atraído el interés de acceder fraudulentamente lo que ha supuesto el aumento de los ataques.

Paralelamente a los ataques, la seguridad de estos sistemas ha ido aumentando y la importancia que ha cobrado esta también. En la actualidad, la seguridad de los sistemas, sobre todos los conectados a redes, no se parece absolutamente en anda a aquella que existía en los años 70 cuando el tráfico en internet se limitaba a un puñado de hackers conectados desde las principales universidades de los EE.UU.

La presente unidad es meramente introductoria: presenta conceptos e ideas propias de la seguridad y cita técnicas que se estudiarán con moderada profundidad en unidades posteriores.

10.2.1.1. Introducción

10.2.1.1.1. Conceptos

Antes de entrar en harina es conveniente definir una serie de términos muy comunes al hablar sobre la seguridad en los sistemas informáticos:

Seguridad informática

Son las medidas y controles que aseguran la confidencialidad, integridad y disponibilidad de todos los activos del sistema de información.

Activo

Cpmponente del sistema informático susceptible de ser protegido. Puede ser tanto hardware, como software como datos.

Amenaza

Es un suceso o acción cuya consecuencia o propósito, de llevarse a cabo, provoca daño al sistema. Dependiendo de la característica a la que atendamos pueden ser:

  • Externa o interna, si atendemos al lugar de procedencia del agente causante.

  • Físicas o lógicas, si atendemos al activo del sistema al que afectan. Las físicas actúan sobre el hardware, mientras que las lógicas, al software y datos.

Ataque

Es la materialización de una amenaza no fortuita, que persigue la consecución de un daño.

Accidente

Es la materialización de una amenaza fortuita que provoca un daño.

Vulnerabilidad

Es el grado de exposición del sistema a las amenazas. Las vulnerabilidades pueden presentarse:

  • En el hardware (p.e. acceso indiscriminado al servidor).

  • En el software (p.e. un bug).

  • En los datos (p.e. no firmar los mensajes).

Riesgo

Es el grado de exposición a una amenaza, descontadas las contramedidas que se hayan tomado para evitarlas.

Atacante

Es el agente que consuma o intenta consumar la amenaza que explota cierta vulnerabilidad. Puede ser tanto interno como externo a la organización. Referidos a los atacantes hay una serie de términos comunes:

  • Hacker es un experto en asuntos informáticos, use como use sus conocimientos. Dennis Ritchie o Richard Stallman entran dentro de esta definición.

  • Cracker es la persona que vulnera la seguridad de un sistema informática de forma ilícita. Si lo hiciera, en cambio, para poner a prueba el sistema e informar al propietario, deberíamos referirnos a él como hacker.

  • Lamer es la persona con escasos conocimientos técnicos (pero generalmente una excelente opinión de sí mismo) que presume ante los demás a pesar de sus carencias. Es muy común en el ámbito de la seguridad y, por lo general, intenta atacar sistemas aplicando recetas basadas en herramientas prefabricadas cuyo funcionamiento apenas entiende.

Impacto

Es el grado de daño que produce un ataque consumado con éxito parcial o total.

Contramedida

Es la acción encaminada a prevenir la amenaza que aprovecha cierta vulnerabilidad.

Plan de seguridad o plan de contingencias

Es el conjunto de todas las contramedidas implementadas sobre un sistema.

Analisis forense

Referido a la seguridad, es el conjunto de acciones destinadas a extraer información de los dispositivos de almacenamiento, sin alterar su estado a fin de conocer las causas por kas que se ha producido un accidente o las vulnerablidades que ha explotado o intendo explotar un ataque.

Fiabilidad

Es la probabilidad de que un sistema se comporte tal y como se espera de él.

../../_images/EsquemaSeguridad.png

Pese a todo el esfuerzo que se dedique a la seguridad, es indispensable tener presente que la seguridad absoluta no existe. De hecho, es célebre al respecto la frase del experto en seguridad y profesor universitario Gene Spafford:

El único sistema verdaderamente seguro es aquel que esté apagado, enterrado en un bloque de hormigón, sellado en una habitación revestida de plomo y protegido con vigilantes armados… y aun así tengo mis dudas

10.2.1.1.2. Objetivos

La seguridad en los sistemas de información se encamina a conseguir los siguientes objetivos:

  • Confidencialidad, que consiste en prevenir que individuos no autorizados accedan a la información almacenada, transmitida o tratada por el sistema informático.

  • Integridad, que consiste en garantizar que los datos, ya sea almacenados o transmitidos, no se vean alterados fortuitamente o fraudulentamente por un tercero ajeno al creador.

  • Disponibilidad, que consiste en garantizar en todo momento el acceso sobre el sistema y sus datos a las persona autorizadas.

  • No repudio, esto es, garantizar que el emisor de un mensaje no pueda negar que lo envió (repudio en origen), así como que el receptor no pueda negar que lo recibió (repudio en destino).

  • Auditabilidad, que es la posibilidad de un sistema para ser analizado posteriormente mediante el registro de su comportamiento.

10.2.1.2. Clasificación

Dependiendo del criterio que usemos podemos establecer dos clasificaciones diferentes para la seguridad:

  • Según sea el recurso que protege, puede ser física o lógica.

  • Según sea el momento en que se aplica, puede ser activa o pasiva.

10.2.1.2.1. Según su objeto

Dado que en un sistema informático hay hardware, componente físico, software, componente lógico; y datos, de naturaleza lógica también; la seguridad puede ir encaminada a proteger un recurso físico o un recurso lógico.

10.2.1.2.1.1. Seguridad física

Es, como ya se ha definido, la seguridad encaminada a proteger los componentes físicos del sistema informático. A grandes rasgos podemos identificar las siguientes amenazas físicas:

Amenazas físicas

Naturaleza

Amenaza

Contramedida

Fortuita

Catástrofe natural

Copia remota. Ubicación.

Accidente

Mantenimiento. Protección. Ubicación.

Fallo de suministro

SAI, Regleta.

Rotura

Copia, Redundancia

Provocada

Robo

Control físico del acceso

Sabotaje

La tabla representa amenazas físicas que pueden derivar en un problema de seguridad física o lógica. Por ejemplo, un problema en el suministro eléctrico (una sobretensión, por ejemplo), puede provocar la rotura de un componente físico (seguridad física); pero otro fallo eléctrico como un apagón puede derivar en la pérdida de datos (seguridad lógica). Es por ello que en las contramedidas se citan en ocasiones soluciones típicas de la seguridad física (como una regleta protectora), en ocasiones soluciones de seguridad lógica (copia de datos), y en ocasiones de ambas (SAI o control físico del acceso).

Centrándonos en las medidas propias de la seguridad física:

  • El SAI como herramienta para evitar la inutilización de componentes físicos, se tratará en la última sección del tema.

  • Para los accidentes fortuitos, es siempre conveniente:

    • Un adecuado mantenimiento del lugar donde se dispone el sistema informático. Una gotera, por ejemplo, puede provocar que el agua se cuele en el recinto y que malogre el hardware. Otro ejemplo, puede ser que un inapropiado mantenimiento de la red eléctrica derive en un cortocircuito que provoque un incendio.

    • Habilitar medidas de protección que minimicen el accidente. Por ejemplo, disponer detectores de incendios, colocar extintores, o usar material ignífugo para dificultar la extensión del fuego.

    • Evitar situar el sistema informático en un lugar con más probabilidades de sufrir accidentes (o catástrofes naturales). Por ejemplo, si situamos nuestras oficinas colindantes con un negocio donde se trabaje con materiales explosivos e inflamables, tenemos más papeletas para acabar sufriendo un incendio.

  • El control físico del acceso salvaguarda a nuestros equipos de su robo o de su sabotaje1:

    • Puertas con cerradura.

    • Controles biométricos.

    • Vigilantes jurados.

10.2.1.2.1.2. Seguridad lógica

Por su parte, la seguridad lógica se encamina a proteger los componentes lógicos y los datos.

Amenazas lógicas

Amenaza

Contramedidas

Robo de datos

  • Cifrado.

  • Control del acceso.

Pérdida de datos

  • Copia de seguridad.

  • RAID

  • Protección física del disco.

Corrupción de datos

  • Protección física del disco.

  • Sistemas de ficheros tolerantes a fallos

  • Técnicas de hash.

Alteración del software

  • Control lógico del acceso.

  • Software de protección.

La tabla, en especial las contramedidas propuestas, requiere cierta explicación.

  • El robo de datos puede producirse por dos vías:

    • Por el acceso físico al hardware y el robo del soporte de almacenamiento. En este caso, sería aplicable lo explicado bajo el epígrafe anterior.

    • Por el acceso lógico a través de la red, en cuyo caso habría que aplicar contramedidas de control como:

      • Política de contraseñas.

      • Permisos.

      • Software de contención: cortafuegos, proxies, antivirus, etc.

    En cualquier caso, consumado el robo hay un modo de que la información no pueda ser leída por el ladrón: haber almacenado cifrados los datos.

  • La pérdida de datos puede paliarse aplicando distintas contramedidas dependiendo de cuál sea la causa que origina la pérdida:

    • Contra pérdidas por la rotura del dispositivo de almacenamiento, puede habilitarse medidas que protejan al dispositivo (p.e. ante un apagón, disponer un SAI), redundancia en los discos (RAID) o copias de seguridad.

    • Contra pérdidas por borrado accidental, la contramedida adecuada es disponer copias de seguridad.

  • La corrupción de los datos puede derivar en pérdida (una corrupción fortuita) o en obtener información errónea (en especial, si la corrupción ha sido intencionada porque el atacante ha modificado la información inicial). Para la primera corrupción, debe procurarse proteger el sistema de almacenamiento de fallos de suministro (p.e. mediante SAI) y utilizar sistemas de ficheros tolerantes a fallos, que se recuperan ante un fallo inesperado. Ante una corrupción intencionada de los datos, existen mecanismos para conocer que esa corrupción se ha producido como la firma digital que incorpora técnicas de hash.

    Ver también

    Para conocer en profundidad las técnicas de cifrado y firma digital hay una unidad íntegra dedicada a la criptografía.

  • La alteración del software puede deberse:

    • Una alteración manual llevada a cabo por alguien que ha accedido al sistema. Por ejemplo, si logra permisos de administrador, puede susutituir un programa por otro con el mismo nombre.

    • Una alteración provocada por algún software especializado (virus, troyano, etc)

Otro aspecto a destacar en la seguridad son las herramientas que se usan para amenazarla:

Herramientas de diagnóstico

Son herramientas que sirven para encontrar vulnerabilidades, como un escaneador de puertos. No son programas maliciosos en sí, y de hecho están pensados para usarse en el diagnóstico de la seguridad.

Puertas traseras (backdoors)

Son agujeros que incluye el propio programador en su programa y que permiten obtener acceso ilícito al mismo.

Software malicioso

Nombre genérico que engloba todo software diseñado con propósitos espurios. También es conocido por el anglicismo malware. Dependiendo de cómo funcionen reciben distinto nombre:

Virus

Código que se adhiere a un fichero ejecutable y entra en funcionamiento al ejecutar éste.

Un conocido virus de los tiempos de MS-DOS fue el ping pong que se adhería no aun ejecutable sino a los sectores de arranque.

Gusano

Código que se propaga de ordenador a ordenador sin necesidad de intervención humana. Con la generalización de la conexión de redes de los ordenadores, los virus han perdido protagonismo frente a los gusanos.

Troyano

Es un código malicioso que finge ser un programa legítimo. El troyano más famoso del mundo posiblemente haya sido I love you que apareció en el año 2000 e infectaba el ordenador gracias a un mensaje de correo con un prometedor asunto como «I love you» y un adjunto que prometía ser una carta de amor. Al pinchar sobre la carta, se desencadenaba su efecto. El troyano, además, tenía una componente de gusano ya que su código, además de afectar al ordenador, consultaba la lista de contactos y reenviaba correos igualmente amorosos a las direcciones de la lista.

Los daños que ocasionan puede ser diversos:

  • Colapsar el sistema agotando recursos.

  • Generar publicidad.

  • Borrar información.

  • Cifrar la información para cobrar un rescate por ella. Este tipo de malware recibe el nombre de ransomware2 y ha florecido en los últimos años. El más celebre de ellos fue WannaCry, que llegó a tener efecto mundial y en España afectó a Telefónica. En 2019, un ransomware llamado Ryuk cifró las bases de datos del Ayuntamiento de Jerez (noticia en El Confidencial y El País).

10.2.1.2.2. Según su momento de aplicación

Una contramedida puede actuar en el momento en que se produce la amenaza o después de esta.

10.2.1.2.2.1. Seguridad activa

Las técnicas de seguridad activa se desencadenan en el momento en que se produce la amenaza con el objeto de prevenirla. De este modo, son medidas de securidad activa:

  • Todas las medidas de control de acceso encaminadas a salvarguardar sotfware, datos y hardware:

    • Autenticación.

    • Políticas de permisos.

    • Control físico: biométricos, etc.

  • Software de defensa:

    • Cortafuegos.

    • Antivirus.

  • Sistemas de ficheros tolerantes a fallos.

  • Firma digital que evita que la información firmada pueda adulterarse.

  • Sistemas de protección ante fallos y accidentes:

    • SAI (online o interactivo) que previene las consecuencias nocivas sobre el hardware de picos y bajadas de tensión.

    • SIstemas de protección física.

10.2.1.2.2.2. Seguridad pasiva

Las técnicas de seguridad pasiva se establecen para paliar los efectos negativos que haya producido una amenaza.

  • Cifrado que, tras un robo de información, evita que esta se pueda leer.

    Nota

    Es obvio que si establecemos que la amenaza no es el mero robo de los datos, sino el acceso efectivo a ellos; el cifrado es entonces seguridad activa, no pasiva.

  • SAI ante cortes de suministro eléctrico que mantienen activo el sistema, al menos por un tiempo, y cuando estén a punto de agotarse son capaces de hacer que el sistema de apague ordenadamente.

  • La redundancia que permite mantener el servicio ante la pérdida de uno de los componentes redundantes. Por ejemplo, en sistemas con discos redundantes (RAID), la ruptura de un disco no supone ni la pérdida de información ni el cese del servicio. Pero la redundancia no sólo puede llevarse a cabo en el almecenamiento. También puede ser redjundante un servicio de correo y cuando caiga el servidor prioritario de correo (fallo en la red o en hardware del servidor), seguir admitiendo mensajes uno alternativo.

  • Las copias de seguridad de los datos para recuperar datos perdidos por la ruptura de un dispositivo de almacenamiento.

10.2.1.3. Disponibilidad

La disponibilidad es el grado de garantía que proporciona un sistema informático de ofrecer su servicio a los usuarios autorizados. Lo ideal es que la disponibilidad fuera absoluta, pero en la práctica es inevitable que se produzca interrupciones, que pueden tener dos naturalezas:

  • Previstas, producidas por cambios planificados en el software o el hardware.

  • Imprevistas, producidas por contingencias diversas: un fallo en el suministro eléctrico, un ataque, la rotura de algún componente físico, etc.

10.2.1.3.1. Técnicas

Técnicas para mejorar la disponibilidad son:

  • Cualquier técnica de seguridad activa que evite una amenaza que suponga una interrupción. Por ejemplo, un control físico del acceso que impida que se lleve a cabo un sabotaje; o labores de mantenimiento que ayuden a preservar la integridad del hardware.

  • SAI que mantenga el suministro eléctrico en caso de apagón. Si este no es muy prolongado y las baterías del SAI gozan de suficiente autonomía, el hardware nunca llegará a sufrir las consecuencias del percance y el servicio no sufrirá interrupciones.

  • La redundancia en el sistema que posibilita la continuación del servicio, cuando una de las partes redundantes falla. Pueden proporcionar redundancia:

    • RAID para la redundancia en el almacenamiento.

    • Proxies que redirijan las conexiones hacia servidores redundantes:

      ../../_images/proxy2.png

10.2.1.3.2. Medida

Matemáticamente podemos medir la disponibilidad como la relación entre el tiempo en que se encuentra disponible el servicio y el tiempo total. Por ejemplo, si a lo largo de un año, el servidor se ha encontrado fuera de línea la mitad del tiempo, su disponibilidad habrá sido de un –inaceptable– 50%. A esto respecto los proveedores de servicios deben indicar siempre entre las características del mismo el llamado SLA («Acuerdo de nivel de servicio» en castellano) que es la disponibilidad mínima que se compromenten a ofrecer para el servicio.

En alta disponibilidad, el SLA ideal es el definido por la regla de los cinco nueves que consiste en estar disponible el 99,999% del tiempo, o lo que es lo mismo, sólo será inaccesible algo más de 5 minutos al año. Este es un nivel muy exigente que muy pocos logran alcanzar. Amazon, por ejemplo, sólo se compromete a una disponibilidad del 99,95%. Otras reglas de referencia son la regla de los tres nueves (99,9%) y la de los cuatro nueves 99,99%.

En cualquier caso, para el cálculo la disponibilidad se definen otros cuatro conceptos:

Símbolo

Descripción

TBF

Tiempo entre fallos consecutivos

TR

Tiempo de reparación del fallo

TF

Tiempo de funcionamiento entre fallos consecutivos

N

Número de fallos en la unidad de tiempo (1 año)

los cuales podemos representar gráficamente así:

../../_images/disponibilidad.png

A partir de estas medias podemos definir distintas métricas:

  • Los totales de las anteriores:

    \[ \begin{align}\begin{aligned}\mathit{TTR} = \sum_i {\mathit{TR_i}}\\\mathit{TTF} = \sum_i {\mathit{TF_i}}\\\text {(Tiempo total)} \;\; \mathit{TTBF} = TT = \sum_i {\mathit{TBF_i}}\end{aligned}\end{align} \]
  • Los tiempos medios se calculan como:

    \[ \begin{align}\begin{aligned}\mathit{MTTR} = \dfrac{TTR}{N}\\\mathit{MTTF} = \dfrac{TTF}{N}\\\mathit{MTBF} = \dfrac{TT}{N}\end{aligned}\end{align} \]

Y la propia disponibilidad tal y como la hemos definido. En consecuencia:

\[D = \dfrac{TTF}{TT} = \dfrac{MTTF}{MTBF}\]

Ejemplo

Calcular los tiempos medios de reparación, de funcionamiento y entre fallos, y la disponibilidad de un servidor que en el último año ha fallado diez veces, de las cuales se ha subsanado 3 veces en cinco minutos el error, cinco veces en diez minutos y dos veces en una hora.

\[ \begin{align}\begin{aligned}TTR = 3*5 + 5*10 + 2*60 = 185 \: \text{minutos}\\TT = 1 \: \text{año} = 525600 \; \text{minutos}\\TTF = 525600 - 185 = 525415 \; \text{minutos}\end{aligned}\end{align} \]

Los tiempos medios son:

\[ \begin{align}\begin{aligned}MTTR = 18,5 \; \text{minutos}\\MTBF = 52560 \; \text{minutos}\\MTTF = 52541,5 \; \text{minutos}\end{aligned}\end{align} \]

Y la disponibilidad:

\[D = \dfrac{525415}{525600} = 99,96\%\]

10.2.1.3.3. Ejercicios sobre disponibilidad

  1. Un servicio web ha sufrido las siguientes interrupciones en el curso de un año:

    • Seis cortes eléctricos, cada uno de los cuales se subsanó en 5 minutos.

    • Dos caídas de la conexión a internet que duraron, respectivamente, 40 minutos y 20 minutos.

    • Un cambio de uno de los discos del RAID que se llevó a cabo en 15 minutos.

      Nota

      El hardware actual impide cambiar en caliente los discos.

    • Dos actualización del kernel del sistema operativo, que obligaron a reiniciar el servidor y se demoraron tres minutos cada una.

    • Un pico de tensión que quemó un switch intermedio en la red local y cuya sustitución se demoró nueve minutos.

    Se pide:

    1. Calcular TTR (tiempo total de reparación), TTF (tiempo total de funcionamiento) y MTBF (tiempo medio entre fallos).

    2. La disponibilidad del sistema.

    3. Expliqué qué contramedidas utilizaría para evitar cada una de esas interrupciones. Además de citarlas, indique si son seguridad activa o pasiva.

    1. ¿Cuáles de esas contramedidas podría llevar a cabo para cumplir con la regla de los cuatro nueves?

Notas al pie

1

Es obvio que también salvaguarda del robo de información, ya que un ladrón puede tener el propósito de robar un disco duro, no por el valor del componente, sino por el valor de los datos que este contiene.

2

ransom significa rescate en inglés.