12 KiB
Bloque 4 Tema 5. Conceptos de seguridad de los sistemas de información. Seguridad física y lógica. Amenazas y vulnerabilidades. Técnicas criptográficas y protocolos seguros. Firma digital. Infraestructura física de un CPD. Sistemas de gestión de incidencias. Control remoto de puestos de usuario.
Este tema aborda los conceptos fundamentales de seguridad de la información, la criptografía, la infraestructura de un Centro de Procesamiento de Datos y la gestión de incidencias.
1. Fundamentos de seguridad de la información
La seguridad de la información se basa en tres propiedades fundamentales conocidas como la tríada CIA. La confidencialidad garantiza que solo los autorizados pueden acceder a la información, y se protege mediante cifrado, control de acceso y VPN. La integridad garantiza que la información no es alterada sin autorización, y se protege mediante hash, firmas digitales y sumas de comprobación. La disponibilidad garantiza que el sistema funciona y da servicio cuando se necesita, y se protege mediante redundancia, backups y monitorización.
Otras propiedades importantes son la autenticidad, que permite verificar la identidad del emisor; el no repudio, que impide que el emisor niegue haber enviado un mensaje; y la trazabilidad, que permite registrar quién hizo qué y cuándo.
Las definiciones clave sobre amenazas son las siguientes. Una amenaza es un evento que puede causar daño, como un ataque, una catástrofe o un error humano. Una vulnerabilidad es una debilidad del sistema que puede ser explotada. El riesgo es el resultado de multiplicar la probabilidad por el impacto de que una amenaza explote una vulnerabilidad. Una contramedida es la acción que reduce el riesgo.
Los tipos de amenazas se clasifican en externas, internas y físicas. Las amenazas externas incluyen malware como virus, gusanos, troyanos y ransomware, así como ataques de red como denegación de servicio, ataques de hombre en el medio e ingeniería social mediante phishing. Las amenazas internas provienen de empleados malintencionados, errores humanos o privilegios excesivos. Las amenazas físicas incluyen incendios, inundaciones, robos de equipos y cortes eléctricos.
2. Seguridad física
La seguridad física protege el hardware, las instalaciones y las personas frente a amenazas físicas.
El control de acceso físico incluye perímetros de seguridad con vallas y muros, control de acceso a instalaciones mediante tarjetas de proximidad o biometría, videovigilancia mediante cámaras CCTV y registro de visitas.
La protección contra desastres físicos abarca la protección contra incendios mediante detectores de humo y temperatura y sistemas de extinción con agente limpio como gases inertes del tipo FM-200 o Novec, que no dañan los equipos electrónicos. También incluye la protección del suministro eléctrico mediante SAI o sistemas de alimentación ininterrumpida para cortes breves, y grupos electrógenos o generadores para cortes prolongados. La temperatura y humedad deben mantenerse mediante sistemas de climatización de precisión, con temperatura entre 18 y 27 grados centígrados y humedad relativa entre el 40 y el 60 por ciento.
3. Seguridad lógica
La seguridad lógica protege los sistemas de información frente al acceso, alteración o destrucción no autorizados por medios electrónicos.
El control de acceso lógico se basa en la identificación y autenticación mediante tres factores posibles: algo que se sabe, como una contraseña; algo que se tiene, como un token o el DNIe; y algo que se es, como la biometría. La autenticación multifactor o MFA combina al menos dos de estos factores.
Los modelos de control de acceso principales son los siguientes. El DAC o Discretionary Access Control permite que el propietario del recurso decida quién accede. El MAC o Mandatory Access Control impone reglas del sistema según etiquetas de seguridad. El RBAC o Role-Based Access Control asigna permisos a roles, y los usuarios tienen roles. El ABAC o Attribute-Based Access Control basa el acceso en atributos del usuario, el recurso y el entorno.
Las contraseñas deben tener una longitud mínima de doce caracteres, combinar mayúsculas, minúsculas, números y caracteres especiales, y nunca almacenarse en texto claro, sino mediante funciones de hash con sal usando algoritmos como bcrypt, Argon2 o PBKDF2.
Un firewall o cortafuegos filtra el tráfico de red según reglas de IP, puerto y protocolo. Los tipos principales son el filtrado de paquetes, la inspección con estado o stateful inspection, el proxy de nivel de aplicación y el firewall de nueva generación o NGFW, que incorpora inspección profunda de paquetes, IDS e IPS integrado.
Los sistemas IDS, o Intrusion Detection System, detectan y alertan sobre intrusiones. Los sistemas IPS, o Intrusion Prevention System, detectan y también bloquean las intrusiones en tiempo real.
4. Técnicas criptográficas
La criptografía simétrica utiliza la misma clave para cifrar y descifrar. Es muy rápida pero tiene el problema de cómo compartir la clave de forma segura. Los algoritmos principales son DES, que está obsoleto; Triple DES, que está en desuso; AES, que es el estándar actual con claves de 128, 192 o 256 bits; y ChaCha20, una alternativa moderna a AES.
La criptografía asimétrica o de clave pública utiliza un par de claves: la clave pública, que se distribuye libremente y cifra datos o verifica firmas, y la clave privada, que se guarda en secreto y descifra datos o genera firmas. Lo que cifra la clave pública solo lo descifra la clave privada y viceversa. Es más lenta que la simétrica pero no tiene el problema de distribución de claves. Los algoritmos principales son RSA para cifrado y firma, DSA solo para firma, ECDSA y ECC para firma y cifrado con claves más cortas, y Diffie-Hellman para el intercambio de claves.
En la práctica se usa un esquema híbrido: la clave de sesión simétrica se intercambia usando criptografía asimétrica, que es la base de TLS y PGP.
Las funciones hash criptográficas transforman una entrada de cualquier longitud en una cadena de longitud fija. Sus propiedades son que son deterministas, unidireccionales, con resistencia a colisiones y con efecto avalancha. Los algoritmos son MD5, que está obsoleto; SHA-1, que también está obsoleto; SHA-256, que es el estándar actual de la familia SHA-2; y SHA-3, el más reciente, basado en Keccak.
5. Firma digital
La firma digital garantiza tres propiedades simultáneamente: la autenticidad, que el mensaje proviene realmente del firmante; la integridad, que el mensaje no ha sido modificado; y el no repudio, que el firmante no puede negar haber firmado.
El proceso de firma es el siguiente: se calcula el hash del mensaje usando SHA-256, y luego se cifra ese hash con la clave privada del firmante, obteniendo la firma digital.
El proceso de verificación es el inverso: se descifra la firma con la clave pública del firmante para obtener el hash original, se calcula el hash del mensaje recibido y se comparan ambos hashes. Si coinciden, la firma es válida.
Un certificado digital vincula una clave pública con la identidad de su propietario, avalado por una Autoridad de Certificación o CA. El estándar utilizado es X.509. La infraestructura de clave pública o PKI gestiona los certificados digitales e incluye la CA que emite y firma los certificados, la RA o Registration Authority que verifica la identidad del solicitante, la CRL o lista de certificados revocados, y el protocolo OCSP para la verificación en tiempo real del estado de un certificado.
En España, la Fábrica Nacional de Moneda y Timbre, o FNMT, emite certificados a los ciudadanos. El DNIe contiene un chip criptográfico con certificado de identidad y de firma. La plataforma arroba Firma de la Administración General del Estado permite la validación de firmas electrónicas.
Los protocolos seguros más importantes son TLS, que proporciona cifrado de comunicaciones y sustituyó a SSL; HTTPS, que es HTTP sobre TLS; SSH para acceso remoto seguro a servidores; S/MIME para firma y cifrado de correo electrónico; PGP y GPG para cifrado y firma de ficheros y correo; IPsec para cifrado a nivel de paquete IP, base de muchas VPN; y SFTP y FTPS para transferencia segura de ficheros. De TLS existen las versiones 1.2, ampliamente usada, y 1.3, la versión actual y más segura.
6. Infraestructura física de un CPD
Un CPD o Centro de Procesamiento de Datos es la instalación física que alberga los sistemas informáticos de una organización: servidores, almacenamiento, equipos de red y telecomunicaciones.
La clasificación de los CPD por nivel de disponibilidad sigue el estándar del Uptime Institute con cuatro niveles TIER. El nivel TIER I tiene una disponibilidad del 99,671 por ciento, lo que supone un tiempo de inactividad máximo de 28 horas al año, sin redundancia. El TIER II tiene disponibilidad del 99,741 por ciento y componentes redundantes. El TIER III alcanza el 99,982 por ciento y es concurrentemente mantenible. El TIER IV llega al 99,995 por ciento y es tolerante a fallos, con un tiempo de inactividad máximo de 26 minutos al año.
El acondicionamiento del CPD incluye los siguientes aspectos. La ubicación debe estar en una planta intermedia o elevada, alejada de zonas con riesgo de inundación o sísmicas, y con control de acceso físico estricto. El suelo técnico o falso suelo elevado permite el paso de cables y la distribución del aire frío. La climatización debe mantener la temperatura entre 18 y 27 grados y la humedad entre el 40 y el 60 por ciento, con sistemas de pasillos fríos y calientes para optimizar el flujo de aire. La electricidad se protege con SAI para cortes breves, grupos electrógenos para cortes prolongados y unidades de distribución de energía redundantes. Contra incendios se utilizan detectores de aspiración de partículas como VESDA y sistemas de extinción con gases inertes como FM-200 o Novec 1230, que no dañan los equipos.
7. Sistemas de gestión de incidencias
Un sistema de gestión de incidencias permite registrar, clasificar, asignar y resolver los problemas que afectan a los sistemas de información. El estándar de referencia es ITIL, que define los procesos de gestión de servicios tecnológicos.
Las fases del ciclo de vida de una incidencia son la detección y registro, la clasificación y priorización, la asignación al equipo responsable, el diagnóstico y resolución, y el cierre con documentación.
Los sistemas más utilizados son herramientas como ServiceNow, Jira Service Management, Remedy o Redmine.
8. Control remoto de puestos de usuario
El control remoto de puestos de usuario permite a los técnicos acceder y gestionar los equipos de los usuarios desde otra ubicación. Las herramientas más utilizadas son Remote Desktop Protocol o RDP de Microsoft, VNC o Virtual Network Computing, y herramientas comerciales como TeamViewer o AnyDesk.
Es fundamental que el acceso remoto se realice de forma segura, utilizando siempre cifrado, autenticación robusta y, preferiblemente, a través de una VPN corporativa.
Miniresumen final del tema
La seguridad de la información se basa en la tríada CIA: confidencialidad, integridad y disponibilidad. La seguridad física protege el hardware y las instalaciones. La seguridad lógica controla el acceso mediante contraseñas, firewalls e IDS. La criptografía simétrica es rápida pero comparte clave; la asimétrica resuelve ese problema con par de claves pública y privada. La firma digital garantiza autenticidad, integridad y no repudio. Un CPD se clasifica por niveles TIER según disponibilidad y debe cumplir requisitos estrictos de climatización, electricidad y contra incendios.