Revista GRADA 

El número de páginas web supera los mil millones, la cifra se alcanzó hace algún tiempo, según los datos difundidos en tiempo real por la web Internet Live Stats A esa hora, el número de páginas web había ascendido a más de 1.060 millones, una cifra que no para de crecer y a un ritmo considerable, según revelan los datos.
 
Internet, esa red mundial interconectada, ideada por el británico Tim Berners-Lee, (artículo) que presentó su idea por escrito el 12 de marzo de 1989 (fecha oficial establecida como el nacimiento de la web) y que estableció la primera comunicación entre un cliente y un servidor usando el protocolo HTTP un poco más tarde, allá por noviembre de 1989, celebró sus 25 años este 2014.
 


A pesar de que los inicios de la web fueron tímidos, los gurús de la red afirman que el punto de inflexión en la creación de páginas web tuvo lugar en 1993 con la introducción del navegador Mosaic, que propició un auténtico “boom” de nuevas páginas, crecimiento que, no ha ido sino aumentando a un ritmo acelerado desde entonces y con el único punto negativo destacable del estallido o desplome de la burbuja de las punto-com en 2001.

Los algoritmos de los buscadores evolucionan a la vez que lo hacen las necesidades de las personas. Al principio la única manera que había de organizar la información era mediante directorios, ¿quién no se acuerda cómo era buscar en Ask y Yahoo?

La revolución de los buscadores vino cuando Sergey Brin y Larry Page fueron capaces de crear un algoritmo de IR que ordenaba las páginas por el número enlaces que recibían y te las ofrecía en una lista de 10 resultados. Gracias a este desarrollo del PageRank nació Google.

Poco a poco los buscadores fueron incorporando este sistema y añadiendo otros algoritmos de IR en paralelo (o reescribiendo directamente el core). Por ejemplo algoritmos centrados en las páginas y sus relaciones (como el HITS, TrustRank, Okapi 25, Tf-idf…), evolucionando hacia el contenido y calidad (los de NLP; LSI, LDA, Spamdexing…) para llegar a las entidades (con el AuthorRank, el SocialGraph…).

El problema sobretodo reside en que es muy difícil para un buscador capturar la intención real del usuario en una búsqueda y ofrecer un resultado óptimo. Y este problema es todavía más complejo de resolver por los algoritmos cuando hablamos de búsquedas de nombre de entidades y la intención que hay detrás ellas.

Una entidad puede ser una persona, un lugar o una cosa. Y estas entidades se pueden asociar a fechas, acciones u otras entidades.

Internet, esa red mundial interconectada, ideada por el británico Tim Berners-Lee, que presentó su idea por escrito el 12 de marzo de 1989 (fecha oficial establecida como el nacimiento de la web) y que estableció la primera comunicación entre un cliente y un servidor usando el protocolo HTTP un poco más tarde, allá por noviembre de 1989, celebró sus 25 años en 2014.

En Google para resolver las necesidades de los usuarios,  se usa el Knowledge Graph (KG o copia de Wikipedia para los amigos).
 
Bing también tiene su propio KG, pero si no está seguro no te lo muestra y te ofrece en el lateral queries relacionadas antes de mostrártelo.

Entonces para que los buscadores puedan ofrecer las respuestas específicas más populares o una ayuda para que el usuario pueda completar su tarea inicial, no sólo tienen que capturar la intención, sino también las relaciones que hay entre las entidades. Para ello hace falta que esa información se extraiga, se relacione y se almacene en algún lugar. Y la mejor manera de lograrlo eficientemente es mediante grafos.

Seguridad Informática: Análisis Forense de Sistemas

 Número 90 #RevistaGRADA

El análisis forense es un área perteneciente al ámbito de la seguridad informática surgida a raíz del incremento de los diferentes incidentes de seguridad. En el análisis forense se realiza un análisis posterior de los incidentes de seguridad, mediante el cual se trata de reconstruir como se ha penetrado o vulnerado en el sistema. Por tanto, cuando se está realizando un análisis forense se intenta responder a las preguntas que ofrecerán las respuestas e información adecuadas para preservar nuestros sistemas de información con riesgos minimizados.

Desgraciadamente, muchos consultores de seguridad se limitan a proporcionar listas detalladas con conclusiones de sus pruebas, sin intentar realizar un el análisis de orden superior para responder a la pregunta "por qué".

¿Quién ha realizado el ataque? ¿Cómo se realizo? ¿Qué vulnerabilidades se han explotado? ¿Qué hizo el intruso una vez que accedió al sistema? Etcétera.

El área de la ciencia forense es la que más ha evolucionado dentro de la seguridad, ya que los incidentes de seguridad han incrementado en los últimos años. Además, los ataques son diferentes y por tanto hay que actualizar las técnicas de análisis en cada momento.

El procedimiento utilizado para llevar a cabo un análisis forense es el siguiente:

• Estudio preliminar. En esta fase se realiza un estudio inicial mediante entrevistas y documentación entregada por el cliente con el objetivo de tener una idea inicial del problema que nos vamos a encontrar.

• Adquisición de datos. Se realiza una obtención de los datos e informaciones esenciales para la investigación. Se duplican o clonan los dispositivos implicados para un posterior análisis. En esta fase habrá que tener mucho cuidado en la adquisición de los datos puesto que cabe la posibilidad de

incumplir los derechos fundamentales del atacante.

• Análisis e investigación. Se realiza un estudio con los datos adquiridos en la fase anterior. En esta fase también habrá que tener mucho cuidado puesto que cabe la posibilidad de incumplir los derechos fundamentales del atacante.

• Realización del informe. En esta fase se elabora el informe que será remitido a la dirección de la organización o empresa. Posteriormente, se podrá usar para acompañar la denuncia que realicemos a la autoridad competente.

Una vez hemos visto cuál ha sido la motivación que produce el análisis forense, nos centraremos y describiremos más detalladamente dicha ciencia.

El análisis forense en un sistema informático es una ciencia moderna que permite reconstruir lo que ha sucedido en un sistema tras un incidente de seguridad. Este análisis puede determinar quién, desde dónde, cómo, cuándo y qué acciones ha llevado a cabo un intruso en los sistemas afectados por un incidente de seguridad.

Un incidente de seguridad es cualquier acción fuera de la ley o no autorizada: ataques de denegación de servicio, extorsión, posesión de pornografía infantil, envío de correos electrónicos ofensivos, fuga de información confidencial dentro de la organización..., en cual está involucrado algún sistema telemático de nuestra organización.

Las fuentes de información que se utilizan para realizar un análisis forense, son diversas: Correos electrónicos, IDS/IPS, Archivos de logs de los cortafuegos, Archivos de logs de los sistemas, Entrevistas con los responsables de seguridad y de los sistema, etcétera.

Los incidentes de seguridad normalmente son muy complejos y su resolución presenta muchos problemas. A continuación se muestran las siguientes fases en la prevención, gestión y detección de incidentes:

1) Preparación y prevención. En esta fase se toman acciones para preparar la organización antes de que ocurra un incidente. Por tanto, se deberá empezar por tratar de analizar qué debe ser protegido y qué medidas técnicas y organizativas tienen que implementarse. Una vez hechos los diversos análisis, la organización ya tiene identificadas las situaciones que pueden provocar un incidente de seguridad y ha seleccionado los controles necesarios para reducirlas.

2) Detección del incidente. La detección de un incidente de seguridad es una de las fases más importante en la securización de los sistemas. Hay que tener en cuenta que la seguridad absoluta es muy difícil y es esta fase la que nos sirve para clasificar y priorizar los incidentes acaecidos en nuestra organización.

Blog de Chema Alonso: “Un informático en el lado del mal”.

http://www.elladodelmal.com/

LA GUERRA DE LAS TECNOLÓGICAS: 'GET BIG FAST'

Revista GRADA - Abril - Número 89

Nos guste o no, las empresas de tecnología han invadido nuestros espacios. Se suelen citar los éxitos, y olvidar los fracasos; estos últimos han sido bastantes más que negocios prósperos y rentables entorno al ‘hardware’ y al ‘software’.

Hace unos días se presentaba Spartan, el nuevo navegador que sustituye a Internet Explorer en Windows 10. Es la solución que han propuesto, a la progresión de uso de Google Chrome, en los sistemas Windows.  Esto recuerda a la encarnizada batalla que se libraba a finales de los noventa entre  Netscape y Microsoft por, el monopolio del software de navegación en la red, y que terminó con el producto estrella de Netscape Communications. Basta indagar, para conocer la estrategia de aniquilación que utilizó Microsoft, para imponer su producto.

Spartan pretende frenar el ascenso del navegador de Google, y continuar ofreciendo innovación tecnológica que les permita mantener el liderazgo en la web. Cuenta la historia que cuando Mark Zuckerberg adquirió uno de los edificios de la antigua Sun Microsystems para poner un cuartel de Facebook, no quitó el logo y solo le dio la vuelta para que nadie olvidara que mañana otro puede llegar y poner su empresa ahí…

Pero no es producto de la casualidad esta batalla constante entre empresas de base tecnsobre s ﷽﷽mpresas de base tecnolidad esta batalla constante entre empresas de base tecnoloa conocer la estrategia de aniquilaciiológica, que tiene un origen empírico.

Algunas de las materias objeto de estudio el éxito de las tecnologías de la información y la comunicación, y en el desarrollo de la electrónica, son: “Metcalfe, Moore, y los seis grados de separación”.

 
La Ley de Metcalfe está en las tesis de lo que se viene llamando estrategia GBF (get big fast) que practican algunas de las grandes empresas en internet (Yahoo, AOL, Amazon, y la misma Microsoft), o sea, consiste en disponer lo más rápidamente posible de cuantos más clientes mejor. Así, cuanta más gente usa un producto Microsoft, más valor tiene usarlo.

El 15 de junio de 1998, Benjamin Lipman en un artículo en la edición digital de Forbes, propone la Ley inversa de Metcalfe:

"la privacidad y seguridad en una red es inversamente proporcional a n al cuadrado, siendo n el número de nodos de la red".

De forma resumida; al crecer aumentan los posibles beneficios, pero esto también conlleva nuevos inconvenientes y riesgos.

Muchos eBusiness han seguido una estrategia de ‘Get Big Fast’ (GBF), mantener continuamente los precios bajos y la comercialización basada en gran medida en construir una gran comunidad de usuarios/clientes.

Hasta principios de 2000, los mercados recompensaban ​​la estrategia (GBF), pero desde entonces los valores de mercado se han derrumbado y decenas de nuevas empresas de la economía han fracasado. El ascenso y la caída de las 'puntocom' no es simplemente un caso de una burbuja especulativa. Muchas empresas tropezaron cuando crecieron tan rápidamente que no fueron capaces de cumplir con los pedidos, o proporcionar un servicio de calidad. 

Los partidarios de la estrategia (GBF), se centran en las evaluaciones positivas que generan rendimientos crecientes y favorecen empresas agresivas, pero no han prestado la debida atención a las reacciones negativas que pueden limitar el crecimiento, por ejemplo, la erosión de la calidad del servicio. Motivo por el Microsoft lanza Spartan en estos momentos junto a Windows 10.  

Abordamos estos temas con un modelo dinámico formal de la competencia ‘en línea’ y empresas ‘mortero click’ en el comercio electrónico (B2C). El modelo genera endógenamente la demanda, la cuota de mercado, la calidad del servicio, la habilidad y la retención de empleados, la creación de contenidos, la valoración de mercado y otras variables clave. El modelo está calibrado para el mercado del ‘libro en online”, y Amazon es el referente a seguir en su evolución.

Todo tiene un límite, y esta la tuvo con ‘la burbuja de las puntocom’.

Recursos:

La burbuja de las ‘puntocom’.

http://en.wikipedia.org/wiki/Dot-com_bubble

      Instrucciones para realizar un buen MOOC

Enlace a Revista GRADA. #Grada88

Si estás pensando en desarrollar proyectos formativos ‘online’ de cararácer MOOC, este artículo puede ser de utilidad. Existen numerosas posibilidades tecnológicas (plataformas) en las que desarrollar el proyecto.

En cuanto a plataformas tecnológicamente cerradas, puedes construir el proyecto en COURSERA, FUTURE LEARN  o MIRIADAX, eso si; bajo costes de alojamiento.

En cuanto a plataformas tecnológicamente abiertas,  nos centramos en las que ofrecen más garantías en cuanto a herramientas y servicios de alojamiento; esta es GOOGLE COURSE BUILDER. Nos permite implementar el grueso de los servicios de Google: YouTuBe, Gmail, Google Drive, Docs, Google+, etcétera. Es de código abierto y gratuito.

 Es imprescindible generar redes de conocimiento, que permiten la aportación de personas ajenas al propio curso. Este tipo iniciativas pueden enriquecer un MOOC desde múltiples puntos de vista (tecnología, materiales, docentes, enseñanza…) y le ayudan a generar una audiencia de todo el planeta. El aspecto colaborativo de los MOOC debe ser siempre una máxima en esta metodología abierta.

La mayor parte del esfuerzo se consume en el diseño, selección y creación de contenidos escritos y audiovisuales. Y en la planificación pedagógica del proceso de enseñanza-aprendizaje. Como en cualquier otro proyecto de comunicación, si la pre-producción está bien realizada la producción va sobre ruedas.

Un MOOC donde aparece el profesor hablando a una webcam con su biblioteca personal en el fondo no es un MOOC: realizar contenidos audiovisuales con un nivel ajustado a las exigencias marcadas en un guión previo, es justo lo que eleva la calidad

La cuestión de la evaluación es una de las más complicadas en un MOOC (no podemos imaginar a un profesor llevándose miles de exámenes para corregir…).
  
 La propuesta de evaluaciones especiales, sorprenderán a unos y excitarán a otros tantos.

Los MOOCs no solucionarán todos los problemas de la formación (extra), ni acabarán con las prácticas más conservadoras de la formación online, pero pueden aportar “aire fresco” al ecosistema educativo.
El ecosistema educativo está pasando lo mismo que en el ecosistema de medios: en las últimas dos décadas han aparecido nuevos actores que compiten con las viejas especies educativas (la escuela, la universidad), y mediáticas (la televisión, la prensa). Estas nuevas especies – desde los MOOCS hasta Twitter – se están abriendo camino en nuestra atención y ofrecen alternativas a las viejas formas de mediación educativa y comunicativa. En este contexto los MOOCs pueden llegar a ofrecer un espacio de enseñanza-aprendizaje diferente.

Es imprescindible informar a los alumnos convenientemente de en qué consiste el MOOC, si no se quiere experimentar cómo solo lo acaba el 5% de tus estudiantes. Fragmentar el contenido para hacerlo ameno y llamativo, explicar en qué consisten las actividades, que conocimiento adquirirá el alumno o alumna, y por supuesto quienes serán los docentes, es un tipo de información que el estudiante tiende a valorar en gran forma antes de decidirse por comenzar con el MOOC.

Si quieres que tu MOOC esté realmente vivo y se convierta en masivo, además de la transmideliadad permite la comunicación entre los usuarios, y la posibilidad que compartan experiencias, documentos, logros… El colectivismo es clave en la era 2.0 de las TIC, y por supuesto que deben estar presente en los MOOC. Además, es la mejor forma de hacer un proyecto viral: permitiendo que la gente se sienta parte del mismo.

En un MOOC desatendido, los estudiantes no se sentirán cómodos. Es necesario implementar mejoras, atender las peticiones si realmente mejoran el proyecto, contestar dudas… e incluso realizar encuestas para que los alumnos vean que se toma en consideración sus inquietudes y propuestas.

Los MOOCS de hoy, no son sino el inicio de una nueva tendencia en materia de educación, cuyo techo aun se desconoce. Pensar que ya está todo visto en materia MOOC es del todo menos cierto, y durante los próximos años seremos testigos de un número inimaginable de nuevas modalidades de evaluación, enseñanza, actividades, certificaciones, usabilidad, gamificación. Es algo fundamental.

Regla: Conjugar responsables editores de vídeo, community manager, narrativas transmedia, innovación educativa, novedades pedagógicas y culturas colaborativas.

Recursos:

Google Course Builder

https://code.google.com/p/course-builder/

¡Nuevo Curso! Protección y Cifrado de Datos

PROTECCIÓN Y CIFRADO DE DATOS

21 horas presenciales

Mecanismo Máquina de Cifrado

Objetivos

 En este curso se tratan, de forma conceptual y técnicamente, el impacto que las nuevas tecnologías y los servicios de Internet plantean en relación con el derecho fundamental a la protección de datos de carácter personal. Se abordarán las cuestiones relacionadas con el uso de cookies, big data, cloud computing o el derecho al olvido. En las prácticas, nos centramos en las herramientas que permiten a las organizaciones identificar de forma preventiva los posibles riesgos que un producto o servicio puede implicar para la privacidad, y las herramientas para el cifrado de datos y seguridad de la información.


Destinatarios

Dirigido a empresas y/o profesionales que comercialicen y publiciten productos a través de las nuevas tecnologías. Además, aquellos que tengan interés en adoptar en sus organizaciones medidas de seguridad como el cifrado de datos e incorporar los certificados electrónicos, la firma digital y gestionar con la Administración Electrónica.

Imagen en color del ordenador 'Colossus'.

CONTENIDOS - Programa Formativo

  - Protección de datos en la actualidad.
  - Cookies y otras tecnologías de monitorización en Internet.
  - Técnicas de anonimización y seudoanonimización.

  - Big data y protección de datos.

  - Quiebras de seguridad.
  - EIPD: herramienta preventiva.
  - El derecho al olvido en Internet.

  - Cifrado de datos: aspectos legales, y herramientas.

  - Certificados Digitales, Firma electrónica y Administración Electrónica.

¿Dónde?

Información: Cámara de Comercio de Badajoz.

¿Cuándo?

Del 19 de marzo al 14 de abril  

Descargar documentación:

 Descarga

   
Preinscipción:

¡Inscríbete! 

Más información:

CAMARA DE COMERCIO DE BADAJOZ

Aplicaciones GNU/Linux para todos los usos

Te ha llegado el momento, te apetece probar alguna de las versiones de sistemas operativos o aplicaciones basadas en Linux... tratamos de ofrecente un post con las versiones más significativas según tus necesidades.

 

Figura 1.  Recopilatorio aplicaciones GNU/Linux.

elementary OS

 Figura 2. Elementary OS (Wikipedia).

 

elementary.io es sin duda, la distribución basada en Linux más atractiva. Alguno de los mejores diseñadores de software abierto en activo, participan en su desarrollo.

Descatar que además de incorporar aplicaciones básicas de propia creación, como el navegador o editor de textos... mejoran la experiencia. Por ejemplo, en lugar de utilizar el navaegador Firefox o Chrome, utilizan el Midori, ajustado a su filosofía de diseño.

openSUSE

 

Figura 3. Captura desktop OpenSUSE.

 openSUSE si trabajas la mayor parte del tiempo sobre un PC potente... renderizado de vídeo, edición de imágenes, etcetera... encontrarás en openSUSE la versión más profesional de las que existen. La experiencia de usuario se ha conseguido lograr integrando el entorno de escritorio con el resto del sistema operativo.

debian

 Figura 4. Debian.

Si deseas "levantar" tu propio servidor, Debian es la disrtibución más sólida. Destaca su sencillo manejo, además de la extensa documentación que te facilitarán tanto la instalación, como su uso.

Figura 5. Captura de pantalla de ubuntuMATE.

Es la mejor de las opciones para instalar en nuestro portátil; ubuntuMATE hace muy fácil detectar e isntalar cualquier disposivo de hardware privativo, por lo que se añade a un excelente rendimiento y uso eficiente de los recursos. Características que prolongan la duración de la batería.

Sugar

 

Figura 6. Captura de pantalla Sugar.

    

Sugar, es una distribución basada en Fedora orientada a educadores. Aunque existen otras distribuciones de GNU/Linux para niños, ha escogido Sugar proque no es sólo una colección de software para niños, está actualmente respaldada por un equipo cuyo único objetivo es crear una plataforma para la educación. 

En próximos post, escribiremos sobre: Arch, Raspberry Pi, Steam OS, Tails, KXStudio y AVLinux, SUSE Linux y Red Hat; además de Lubuntu. Te esperamos.

¿Qué es un análisis forense de sistemas informáticos?

El análisis forense es un área perteneciente al ámbito de la seguridad informátcia surgida a raíz del incremento de los diferentes incidentes de seguridad. En el análisis forense se realiza un análisis psoterior de los incidentes de seguridad, mediante el cual se trata de reconstruir como se ha penetrado o vulnerado en el sistema. Por tanto, cuando se está realizando un análisis forense se intenta responder a las preguntas que ofrecerán las respuestas e información adecuadas para preservar nuestros sistemas de información con riesgos minimizados.

Desgracidamente, muchos consultores de seguridad se limitan a proporcionar listas detalladas con conclusiones de sus pruebas, sin intentar realizar un el análisis de orden superior para responder a la pregunta "por qué".

 Figura 1. "Para un atacante nunca es imposible penetrar en un sistema informático, únicamente es improbable".

       ¿Quién ha realizado el ataque?

   ¿Cómo se realizo?

 

   ¿Qué vulnerabilidades se han explotado?

   ¿Qué hizo el intruso una vez que accedió al sistema?

   Etcétera.

El área de la ciencia forense es la que más ha evolucionado dentro de la seguridad, ya que (tal y como se muestra en las siguientes figuras) los incidentes de seguridad han incrementado en los últimos años. Además, los ataques son difrentes y por tanto hay que actualizar las técnicas de análisis en cada momento.

 

 Figura 2. Gráfico correspondiente a la "cibercriminalidad" del Ministerio del Interior.

El procedimiento utilizado para llevar a cabo un análisis forense es el siguiente:

• Estudio￿ preliminar. En esta fase se realiza un estudio inicial mediante entrevistas y documentación entregada por el cliente con el objetivo de tener una idea inicial del problema que nos vamos a encontrar.

• Adquisición￿de￿datos. Se realiza una obtención de los datos e informaciones esenciales para la investigación. Se duplican o clonan los dispositivos implicados para un posterior análisis. En esta fase habrá que tener mucho cuidado en la adquisición de los datos puesto que cabe la posibilidad de

incumplir los derechos fundamentales del atacante.

• Análisis￿e￿investigación. Se realiza un estudio con los datos adquiridos en la fase anterior. En esta fase también habrá que tener mucho cuidado puesto que cabe la posibilidad de incumplir los derechos fundamentales del atacante.

• Realización￿del￿informe. En esta fase se elabora el informe que será remitido a la dirección de la organización o empresa. Posteriormente, se podrá usar para acompañar la denuncia que realicemos a la autoridad competente.

 Figura 3. Ejemplo de fases proporcionado por ragonjar.org

¿Qué es un análisis forense?

Una vez hemos visto cuál ha sido la motivación que produce el análisis forense,

nos centraremos y describiremos más detalladamente dicha ciencia.

El análisis forense en un sistema informático es una ciencia moderna que permite reconstruir lo que ha sucedido en un sistema tras un incidente de seguridad. Este análisis puede determinar quién, desde dónde, cómo, cuándo y qué acciones ha llevado a cabo un intruso en los sistemas afectados por un incidente de seguridad.

Incidentes de seguridad

 Un incidente de seguridad es cualaquier acción fuera de la ley o no autorizada: ataques de denegación de servicio, extorsión, posesión de pornografía infantil, envío de correos electrónicos ofensivos, fuga de información confidencial dentro de la organización..., en cual está involucrado algún sistema telemático de nuestra organización.

 

Figura 4. Visualización ejemplo de un archivo log.

Las fuentes de información que se utilizan para realizar un análisis forense, son diversas:

     - Correos electrónicos.

     - IDS/IPS.

     - Archivos de logs de los cortafuegos.

     - Archivos de logs de los sistemas.

     - Entrevistas con los responsables de 

       seguridad y de los sistemas.

     - Etcétera.

Figura 5. Esquema de sistema información en red.

Metodología en un incidente de seguridad 
    

Los incidentes de seguridad normalmente son muy complejos y su resolución presenta muchos problemas. A continuación se muestran las siguientes fases en la prevención, gestión y detección de incidentes:

1)￿Preparación￿y￿prevención. En esta fase se toman acciones para preparar la organización antes de que ocurra un incidente. Por tanto, se deberá empezar por tratar de analizar qué debe ser protegido y qué medidas técnicas y organizativas tienen que implementarse. Una vez hechos los diversos análisis se podrá considerar que la organización ya tiene identificadas las situaciones que pueden provocar un incidente de seguridad y ha seleccionado los controles necesarios para reducirlas.

Pero aun hecho dicho análisis, siempre hay situaciones que no van a poder ser protegidas, por lo que se tendrá que elaborar un plan de continuidad de negocio. Dicho plan está formado por un conjunto de planes de contingencia para cada una de las situaciones que no están controladas.

2)￿Detección￿del￿incidente. La detección de un incidente de seguridad es una de las fases más importante en la securización de los sistemas. Hay que tener en cuenta que la seguridad absoluta es muy difícil y es esta fase la que nos sirve para clasificar y priorizar los incidentes acaecidos en nuestra organización. La clasificación es la siguiente:

• Accesos no autorizados: un usuario no autorizado accede al sistema.

• Código malicioso: ha habido una infección de programas maliciosos (virus, gusano spyware, troyano, etc.) en un sistema.

 

Figura 6. Ejemplo de detección código malicioso.

Programas maliciosos

   A) Virus: es un archivo ejecutable que desempeña acciones (dañar archivos, reproducirse, etc) en un ordenador sin nuestro consentimiento.

   B) Gusano: es un código malicioso que se reproduce y extiende a un gran número de ordenadores.

  C) Spyware: es un programa que recopila información de un ordenador y la envía a terceras personas sin el consentimiento del propietario.

   D)Troyano: también conocido como caballo de troya, es un programa que obtiene las contraseñas haciéndose pasar por otro programa. 

- Denegación de servicio: incidente que deja sin dar servicio (dns, web, correo electrónico, etc.) a un sistema.

- Phishing: consiste en suplantar la identidad de una persona o empresa para estafar. Dicha estafa se realiza mediante el uso de ingeniería social consiguiendo que un usuario revele información confidencial (contraseñas, cuentas bancarias, etc.). El atacante suplanta la imagen de una empresa u organización y captura ilícitamente la información personal que los usuarios introducen en el sistema.

Dos casos de phishing

En el año 2006 la Agencia Estatal de Administración Tributaia (AEAT) sufrió un ataque de phishing que se llevó a cabo mediante dos fases. La primera un envío masivo de correos electrónicos suplantando la identidad de la AEAT. En la segunda fase trataron de obtener dinero ilegalmente con la información que solicitaron haciéndoso pasar por AEAT.

 

Figura 7. Ejemplo de phishing.

Aprovechando las fechas del cierre del impuesto de valor añadido (IVA) se solicitaba el acceso a un enlace para poder optar a la deducción fiscal. Al acceder a la web trampa, se solicitaban datos como la tarjeta de crédito, entre otros, para obtener la información y poder estafar a los usuarios. La siguiente figura muestra las webs trampas. 

Éstas eran idénticas a la web de la AEAT por esas fechas.

 

Figura 8. Ejemplo de formulario fraudulento para obtener datos personales.

• Recogida de información: un atacante obtiene información para poder realizar

otro tipo de ataque (accesos no autorizados, robo, etc.).

• Otros: engloba los incidentes de seguridad que no tienen cabida en las categorías anteriores.

La detección de un incidente de seguridad se realiza a través de diversas fuentes.

A continuación se enumeran algunas de ellas:

• Alarma de los antivirus.

• Alarmas de los sistemas de detección de intrusión y/o prevención (IDS y/o

IPS).

• Alarmas de sistemas de monitorización de los sistemas (zabbix, nagios,

etc.).

• Avisos de los propios usuarios al detectar que no funcionan correctamente los sistemas informáticos.

• Avisos de otras organizaciones que han detectado el incidente.

• Análisis de los registros de los sistemas.

Una vez detectado el incidente a través de cualquier vía, para poder gestionarlo es recomendable tener al menos los siguientes datos:

•  Hora y fecha en la que se ha notificado el incidente.

•  Quién ha notificado el incidente.

• Clasificación del incidente (accesos no autorizados, phishing, denegación de servicio, etc.).

• Hardware y software involucrado en el incidente (si se pueden incluir los

números de serie, es recomendable).

• Contactos para gestionar el incidente.

• Cuándo ocurrió el incidente.

Si en dicha incidencia se encuentran involucrados datos de carácter personal,es de obligado cumplimiento, según el Real Decreto de Desarrollo de la LOPD, un registro de incidencias. En la figura 5 se muestra un ejemplo de un registro de incidencias.

 

Figura 9. Ejemplo de formulario para comunicar incidencias a la AEPD.

 

3)￿Respuesta￿inicial. En esta fase se trata de obtener la máxima información posible para determinar qué tipo de incidente de seguridad ha ocurrido y así poder analizar el impacto que ha tenido en la organización. La información obtenida en esta fase será utilizada en la siguiente para poder formular la estrategia a utilizar. Dicha información será fruto como mínimo de:

Entrevistas con los administradores de los sistemas.

• Revisión de la topología de la red y de los sistemas.

• Entrevistas con el personal de la empresa que hayan tenido algo que ver

con el incidente con el objetivo de contextualizarlo.

• Revisar los logs de la detección de la intrusión.

4)￿Formulación￿de￿una￿estrategia￿de￿respuesta￿

ante￿el￿incidente. 

Una vez recabada la información de la fase anterior, hay que analizarla para después tomar una decisión sobre cómo actuar. Las estrategias a utilizar dependerán de varios factores: criticidad de los sistemas afectados, si el incidente ha salido a la luz pública, la habilidad del atacante, cómo de sensible es la información a la que se ha tenido acceso, si el sistema de información está caído y la repercusión que esto tiene, etc.

Estrategias de respuesta

Si la web corporativa ha sido atacada y modificada, una estrategia recomendada en este caso sería: reparar la web, monitorizarla, investigarla mientras este online. En el caso que haya un robo de información la estrategia recomendada seria: clonar los sistemas que hayan sido implicados, investigar el robo, realizar un informe, registrarlo en el registro de incidencias cumpliendo la LOPD y denunciarlo ante los Cuerpos del Estado o en los juzgados.

5)￿Investigación￿del￿incidente. En esta fase se determina quién, cuándo, dónde, qué, cómo y por qué ha ocurrido el incidente. Para investigar dicho incidente se divide el proceso en dos fases:

• Adquisición￿de￿los￿datos. La obtención de los datos es la acumulación de pistas y hechos que podrían ser usados durante el análisis forense de los ordenadores para la obtención de evidencias.

Obtención de datos

Los datos a obtener son los siguientes: evidencias de los sistemas involucrados (obtención de los datos volátiles, obtención de la fecha y hora del sistema, obtención del timestamp de los ficheros involucrados, obtención de los ficheros relevantes, obtención de las copias de seguridad, etc.), evidencias de los equipos de comunicaciones (logs de los IDS/IPS, logs de los routers, logs de los cortafuegos, obtención de las copias de seguridad, logs de autenticación de los servidores, logs de la VPN, etc.), obtención de los testimonios de los afectados, etc.

• Análisis￿forense. En esta fase se revisan todos los datos adquiridos en la fase anterior.

6)￿Redacción￿del￿informe. En esta última fase se redacta un informe que será entregado a la dirección de la organización o empresa así como a los cuerpos de policía del Estado o al juzgado si el incidente se denuncia. Dicho informe puede ser de dos clases: ejecutivo y técnico. 

El informe ejecutivo es un informe enfocado a personas sin conocimientos técnicos, mientras que el informe técnico explica de una manera técnicamente detallada el procedimiento del

análisis. Se describirá más adelante, en el apartado relativo a la redacción del informe.

En próximos post, trataremos los diferentes tipos de Análisis Forenses, y sus principales características.