LÍE A DE IV ESTIGACIÓ: REDES Y SISTEMAS...
Transcript of LÍE A DE IV ESTIGACIÓ: REDES Y SISTEMAS...
L�EA DE I�VESTIGACI�: REDES Y SISTEMAS OPERATIVOS
AUTOR: JOHNNY DAVID VILLAVICENCIO MORÁN
ESTUDIO DE LAS VULNERABILIDADES EN TECNOLOGÍAS DE VIRTUALIZACIÓN CON VMWARE EN MICROCOMPUTADORAS,
DETERMINANDO LOS DELITOS INFORMÁTICOS QUE PODRÍAN AFECTAR A ESTOS SISTEMAS, EN EL SECTOR EMPRESARIAL DE LA CIUDAD DE
GUAYAQUIL, EN EL AMBITO BANCARIO, COMERCIAL, Y DE SERVICIOS EN GENERAL
PROYECTO DE TESIS �° 6
TUTOR: ING. OMAR OTERO MSc.
U�IVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN SISTEMAS
COMPUTACIONALES
ESTUDIO DE LAS VULNERABILIDADES EN TECNOLOGÍAS DE VIRTUALIZACIÓN CON VMWARE EN MICROCOMPUTADORAS,
DETERMINANDO LOS DELITOS INFORMÁTICOS QUE PODRÍAN AFECTAR A ESTOS SISTEMAS, EN EL SECTOR EMPRESARIAL DE LA CIUDAD DE
GUAYAQUIL, EN EL AMBITO BANCARIO, COMERCIAL, Y DE SERVICIOS EN GENERAL
TESIS DE GRADO
Previa a la obtención del Título de:
I�GE�IERO E� SISTEMAS COMPUTACIO�ALES
JOHNNY DAVID VILLAVICENCIO MORÁN
TUTOR: ING. OMAR OTERO MSc.
GUAYAQUIL – ECUADOR
2011
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE I�GE�IERIA E� SISTEMAS COMPUTACIO�ALES
ESTUDIO DE LAS VULNERABILIDADES EN TECNOLOGÍAS DE VIRTUALIZACIÓN CON VMWARE EN MICROCOMPUTADORAS,
DETERMINANDO LOS DELITOS INFORMÁTICOS QUE PODRÍAN AFECTAR A ESTOS SISTEMAS, EN EL SECTOR EMPRESARIAL DE LA CIUDAD DE
GUAYAQUIL, EN EL AMBITO BANCARIO, COMERCIAL, Y DE SERVICIOS EN GENERAL
Proyecto de trabajo de grado que se presenta como requisito para optar por el título
de INGENIERO en SISTEMAS COMPUTACIONALES
Autor: Johnny Villavicencio Morán
C.I. 1711913473
Tutor: Ing. Omar Otero
Guayaquil, 5 de Septiembre de 2011
i
U�IVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN SISTEMAS
COMPUTACIONALES
ESTUDIO DE LAS VULNERABILIDADES EN TECNOLOGÍAS DE VIRTUALIZACIÓN CON VMWARE EN MICROCOMPUTADORAS,
DETERMINANDO LOS DELITOS INFORMÁTICOS QUE PODRÍAN AFECTAR A ESTOS SISTEMAS, EN EL SECTOR EMPRESARIAL DE LA CIUDAD DE
GUAYAQUIL, EN EL AMBITO BANCARIO, COMERCIAL, Y DE SERVICIOS EN GENERAL
TESIS DE GRADO
Previa a la obtención del Título de:
I�GE�IERO E� SISTEMAS COMPUTACIO�ALES
JOHNNY DAVID VILLAVICENCIO MORÁN
TUTOR: ING. OMAR OTERO MSc.
GUAYAQUIL – ECUADOR
2011
ii
CERTIFICADO DE ACEPTACIÓ� DEL TUTOR
En mi calidad de Tutor del Primer Curso de Fin de Carrera, nombrado por el Departamento de Graduación y la Dirección de la Carrera de Ingeniería en Sistemas Computacionales de la Universidad de Guayaquil,
CERTIFICO:
Que he analizado el Proyecto de Grado presentado por el egresado JOHNNY DAVID VILLAVICENCIO MORÁN, como requisito previo para optar por el título de Ingeniero cuyo problema es:
ESTUDIO DE LAS VULNERABILIDADES EN TECNOLOGÍAS DE VIRTUALIZACIÓN CON VMWARE EN MICROCOMPUTADORAS, DETERMINANDO LOS DELITOS INFORMÁTICOS QUE PODRÍAN AFECTAR A ESTOS SISTEMAS, EN EL SECTOR EMPRESARIAL DE LA CIUDAD DE GUAYAQUIL, EN EL AMBITO BANCARIO, COMERCIAL, Y DE SERVICIOS EN GENERAL
considero aprobado el trabajo en su totalidad.
Presentado por:
JOHNNY DAVID VILLAVICENCIO MORAN C.I.: 1711913473
Tutor: Ing. Omar Otero MSc.
Guayaquil, 5 de Septiembre de 2011
iii
Guayaquil, 5 de Septiembre de 2011
APROBACIO� DEL TUTOR
En mi calidad de Tutor del trabajo de investigación, ESTUDIO DE LAS VULNERABILIDADES EN TECNOLOGÍAS DE VIRTUALIZACIÓN CON VMWARE EN MICROCOMPUTADORAS, DETERMINANDO LOS DELITOS INFORMÁTICOS QUE PODRÍAN AFECTAR A ESTOS SISTEMAS, EN EL SECTOR EMPRESARIAL DE LA CIUDAD DE GUAYAQUIL, EN EL AMBITO BANCARIO, COMERCIAL, Y DE SERVICIOS EN GENERAL
Elaborado por el Sr. JOHNNY DAVID VILLAVICENCIO MORÁN, egresado de la Carrera de Ingeniería en Sistemas Computacionales, Facultad de Ciencias Matemáticas y Físicas de la Universidad de Guayaquil, previo a la obtención del Título de Ingeniero en Sistemas, me permito declarar que luego de haber orientado, estudiado y revisado, la Apruebo en todas sus partes.
Atentamente
………………………………….
Ing. Omar Otero MSc.
TUTOR
iv
TRIBU�AL DE GRADO
DECANO DE LA FACULTAD DIRECTOR CIENCIAS MATEMATICAS Y FISICAS
MIEMBRO DEL TRIBUNAL MIEMBRO DEL TRIBUNAL
ING. OMAR OTERO MSc.
TUTOR SECRETARIO
v
DEDICATORIA
Dedico a Dios que me ha dado la fuerza, salud y mucha sabiduría, para luchar y
alcanzar la meta que me he propuesto.
A mi esposa Esthelita que sin su apoyo, amor y paciencia no hubiera sido posible
concluir con éxito esta gran meta.
A mis Padres Dalton y Lourdes por creer en mí y darme su apoyo incondicional que
me motivaron a lo largo de este proyecto.
A ustedes dedico esta Tesis
Johnny Villavicencio Morán
vi
AGRADECIMIE�TO
A Dios, por su ayuda constante sosteniendo mi vida y guiándome a alcanzar esta meta
que sirve a mi edificación y crecimiento profesional.
A mi Esposa y a mis padres por su esfuerzo y aliento en todo instante.
Al Ing. Omar Otero quien fue mi Tutor y guía para la culminación a satisfacción del
presente Proyecto de Investigación.
Johnny Villavicencio Morán.
vii
�DICE GE�ERAL
CO�TE�IDO PÁG. PÁGI�AS PRELIMI�ARES UNIVERSIDAD DE GUAYAQUIL ......................................................................................... i
CERTIFICADO DE ACEPTACIÓN DEL TUTOR................................................................. ii
APROBACION DEL TUTOR................................................................................................. iii
TRIBUNAL DE GRADO ........................................................................................................ iv
DEDICATORIA ....................................................................................................................... v
AGRADECIMIENTO ............................................................................................................. vi
ÍNDICE GENERAL ............................................................................................................... vii
ÍNDICE DE CUADROS ......................................................................................................... xii
ÍNDICE DE GRÁFICOS ....................................................................................................... xiv
RESUMEN ........................................................................................................................... xvii
INTRODUCCIÓN .................................................................................................................... 1
CAPÍTULO I.- EL PROBLEMA
PLANTEAMIENTO DEL PROBLEMA ................................................................................. 5
SITUACIÓN CONFLICTO NUDOS CRÍTICOS .................................................................... 6
CAUSAS Y CONSECUENCIAS DEL PROBLEMA ............................................................. 7
DELIMITACIÓN DEL PROBLEMA ...................................................................................... 8
FORMULACIÓN DEL PROBLEMA ...................................................................................... 8
EVALUACIÓN DEL PROBLEMA ......................................................................................... 8
OBJETIVO GENERAL ............................................................................................................ 9
OBJETIVOS ESPECÍFICOS .................................................................................................. 10
ALCANCES ........................................................................................................................... 10
viii
JUSTIFICACIÓN E IMPORTANCIA ................................................................................... 11
CAPÍTULO II.- MARCO TEÓRICO
ANTECEDENTES DEL ESTUDIO ....................................................................................... 13
FUNDAMENTACIÓN TEÓRICA......................................................................................... 13
LAS MICROCOMPUTADORAS .......................................................................................... 14
CARACTERÍSTICAS DE LA MICROCOMPUTADORAS ............................................ 15
COMPONENTES DE LAS MICROCOMPUTADORAS ................................................. 16
LAS MAQUINAS VIRTUALES ........................................................................................... 18
VENTAJAS DE LAS MÁQUINAS VIRTUALES ............................................................ 19
MÁQUINAS VIRTUALES VMWARE ............................................................................... 22
VERSIONES DE MÁQUINAS VIRTUALES VMWARE .............................................. 24
LA VIRTUALIZACIÓN ........................................................................................................ 26
VENTAJAS Y DESVENTAJAS DE LA VIRTUALIZACIÓN ........................................ 28
TIPOS DE VIRTUALIZACIÓN ........................................................................................ 30
TIPO NATIVO, UNHOSTED O SOBRE EL METAL DESNUDO (BARE METAL) .... 30
TIPO HOSTED. ................................................................................................................. 31
VULNERABILIDADES EN MÁQUINAS VIRTUALES VMWARE ................................. 32
VULNERABILIDADES EN OPENSSL, BIN Y VIM ...................................................... 33
AGUJERO EN MÁQUINA VIRTUAL VMWARE FUSION ......................................... 344
VULNERABILIDADES EN EL SOFTWARE DHCP .................................................... 355
VULNERABILIDADES EN VARIOS PRODUCTOS VMWARE ................................ 366
MÚLTIPLES VULNERABILIDADES EN VARIOS PRODUCTOS VMWARE. 24-11-2009 .................................................................................................................................... 37
VMWARE MÚLTIPLES VULNERABILIDADES ........................................................ 399
VULNERABILIDAD EN VMWARE AFECTA A EQUIPOS BAJO WINDOWS ...... 41
¿QUÉ ES X-FORCE? ............................................................................................................. 42
SOFTWARE DE PROTECCIÓN PARA MÁQUINAS VIRTUALES VMWARE .............. 43
ix
SEGURIDAD DE LA GESTIÓN DE LA VIRTUALIZACIÓN ........................................... 45
IBM VIRTUAL SERVER SECURITY PARA VMWARE ................................................... 44
PLANIFICAR: DEFINICIÓN DE UNA CONFIGURACIÓN ADECUADA ................... 49
HACER: SEGURIDAD ADMINISTRATIVA EN LAS OPERACIONES ....................... 51
VERIFICAR: MONITORIZACIÓN DE ACCIONES ADMINISTRATIVAS ................. 52
ACTUAR: LA IMPORTANCIA DE LA RESPUESTA .................................................... 54
LOS SISTEMAS INFORMÁTICOS ...................................................................................... 55
LA INFORMACIÓN .............................................................................................................. 56
LA INFORMACIÓN ISO/IEC 17799 ............................................................................... 56
SEGURIDAD INFORMÁTICA ............................................................................................. 57
IMPORTANCIA DE PROTEGER LA INFORMACIÓN ................................................. 58
TÉRMINOS DE LA SEGURIDAD INFORMÁTICA ....................................................... 59
SEGURIDAD DEPENDIENDO DE LA AMENAZA ........................................................... 60
LA SEGURIDAD FÍSICA ................................................................................................. 60
TIPOS DE DESASTRES ................................................................................................... 61
LA SEGURIDAD LÓGICA ................................................................................................... 61
OBJETIVOS ....................................................................................................................... 62
CONTROLES DE ACCESO .............................................................................................. 63
NIVELES DE SEGURIDAD INFORMÁTICA ..................................................................... 67
LOS DELITOS INFORMÁTICOS ........................................................................................ 71
CARACTERÍSTICAS DE LOS DELITOS ........................................................................ 72
DENUNCIAS DE DELITOS INFORMÁTICOS ................................................................... 84
DELÍTOS INFORMÁTICOS EN MÁQUINAS VIRTUALES ............................................. 85
PREGUNTAS A CONTESTARSE ........................................................................................ 87
VARIABLES DE LA INVESTIGACIÓN ............................................................................. 88
VARIABLE INDEPENDIENTE ........................................................................................ 88
VARIABLE DEPENDIENTE ............................................................................................ 88
DEFINICIONES CONCEPTUALES ..................................................................................... 88
x
FUNDAMENTACIÓN FILOSÓFICA ................................................................................ 109
FUNDAMENTACIÓN LEGAL .......................................................................................... 112
SANCIONES PARA LOS DELITOS INFORMÁTICOS EN EL ECUADOR ................... 112
CÓDIGO DE PROCEDIMIENTO PENAL Y CÓDIGO DE PROCEDIMIENTO CIVIL . 113
DELITOS INFORMÁTICOS ............................................................................................... 113
LOS ARTÍCULOS................................................................................................................ 114
TIPOS DE DELITOS INFORMÁTICOS EXISTENTES EN LA LEGISLACIÓN ECUATORIANA .................................................................................................................. 117
CAPÍTULO III.- METODOLOGÍA
MODALIDAD DE LA INVESTIGACIÓN ......................................................................... 127
MÉTODO CIENTÍFICO. ................................................................................................. 127
MÉTODO INDUCTIVO .................................................................................................. 128
MÉTODO DEDUCTIVO ................................................................................................. 128
TIPOS DE INVESTIGACIÓN ............................................................................................. 129
INVESTIGACIÓN DESCRIPTIVA................................................................................. 130
INVESTIGACIÓN DIAGNÓSTICA ............................................................................... 130
INVESTIGACIÓN BIBLIOGRÁFICA ............................................................................ 131
POBLACIÓN Y MUESTRA ................................................................................................ 132
OPERACIONALIZACIÓN DE VARIABLES .................................................................... 133
INSTRUMENTOS DE RECOLECCIÓN DE DATOS ........................................................ 134
INSTRUMENTOS DE LA INVESTIGACIÓN ................................................................... 137
PROCEDIMIENTOS DE LA INVESTIGACIÓN ............................................................... 138
ANÁLISIS E INTERPRETACIÓN DE LOS RESULTADOS ............................................ 139
RESULTADOS DE LAS ENCUESTAS ............................................................................. 140
xi
CAPÍTULO IV.- MARCO ADMI�ISTRATIVO
CRONOGRAMA .................................................................................................................. 160
PRESUPUESTO ................................................................................................................... 161
CAPÍTULO V.- CO�CLUSIO�ES Y RECOME�DACIO�ES
CONCLUSIONES Y RECOMENDACIONES .................................................................... 163
CONCLUSIONES ............................................................................................................ 163
RECOMENDACIONES ................................................................................................... 169
xii
Í�DICE DE CUADROS CO�TE�IDOS PÁG.
CUADRO 1
DELITOS INFORMÁTICOS ............................................................................................... 113
CUADRO 2
VIOLACIÓN DE CLAVES O SISTEMAS DE SEGURIDAD ........................................... 118
CUADRO 3
DESTRUCCIÓN O SUPRESIÓN DE DOCUMENTOS, PROGRAMAS .......................... 120
CUADRO 4
DAÑOS INFORMÁTICOS .................................................................................................. 121
CUADRO 5
FRAUDE INFORMÁTICO .................................................................................................. 122
CUADRO 6
MATRIZ DE OPERACIÓN DE VARIABLES ................................................................... 133
CUADRO 7
PREGUNTA 1 DE LA ENCUESTA .................................................................................... 140
CUADRO 8
PREGUNTA 2 DE LA ENCUESTA .................................................................................... 141
CUADRO 9
PREGUNTA 3 DE LA ENCUESTA ................................................................................... 142
CUADRO 10
PREGUNTA 4 DE LA ENCUESTA ................................................................................... 143
CUADRO 11
PREGUNTA 5 DE LA ENCUESTA ................................................................................... 144
xiii
CUADRO 12
PREGUNTA 6 DE LA ENCUESTA ................................................................................... 145
CUADRO 13
PREGUNTA 7 DE LA ENCUESTA ................................................................................... 146
CUADRO 14
PREGUNTA 8 DE LA ENCUESTA ................................................................................... 147
CUADRO 15
PREGUNTA 9 DE LA ENCUESTA ................................................................................... 148
CUADRO 16
PREGUNTA 10 DE LA ENCUESTA ................................................................................. 149
CUADRO 17
PREGUNTA 11 DE LA ENCUESTA ................................................................................. 150
CUADRO 18
CRONOGRAMA .................................................................................................................. 151
CUADRO 19
PRESUPUESTO ................................................................................................................... 153
xiv
Í�DICE DE GRÁFICOS
CO�TE�IDOS PÁG.
GRÁFICO 1
LAS MICROCOMPUTADORAS .......................................................................................... 14
GRÁFICO 2
COMPONENTES DE LAS MICROCOMPUTADORAS ..................................................... 16
GRÁFICO 3
ARQUITECTURA TÍPICA DE UNA MÁQUINA VIRTUAL ............................................. 18
GRÁFICO 4
FUNCIONAMIENTO DE VMWAREL ................................................................................ 23
GRÁFICO 5
LA VIRTUALIZACIÓN ........................................................................................................ 27
GRÁFICO 6
VIRTUALIZACIÓN TIPO NATIVO .................................................................................... 31
GRÁFICO 7
VIRTUALIZACIÓN TIPO HUESPED .................................................................................. 32
GRÁFICO 8
IBM VIRTUAL SERVER SECURITY PARA VMWARE ................................................... 27
GRÁFICO 9
SEGURIDAD INFORMÁTICA ............................................................................................. 57
GRÁFICO 10
SEGURIDAD DE LA INFORMACIÓN ................................................................................ 27
xv
GRÁFICO 11
SEGURIDAD FÍSICA ............................................................................................................ 60
GRÁFICO 12
SEGURIDAD LÓGICA ....................................................................................................... 627
GRÁFICO 13
DELITOS INFORMÁTICOS ............................................................................................... 727
GRÁFICO 14
VIRUS INFORMÁTICOS Y MALWARE ............................................................................ 76
GRÁFICO 15
GUSANO INFORMÁTICO ................................................................................................... 77
GRÁFICO 16
PHISHING .............................................................................................................................. 78
GRÁFICO 17
PAISES AMERICANOS ........................................................................................................ 80
GRÁFICO 18
PAÍSES EUROPEOS .............................................................................................................. 81
GRÁFICO 19
DELITOS MÁS SANCIONADOS EN AMÉRICA ............................................................... 82
GRÁFICO 20
DELITOS MÁS SANCIONADOS EN EUROPA ................................................................. 83
GRÁFICO 21
SANCIONES PARA LOS DELITOS INFORMÁTICOS EN EL ECUADOR ................... 112
GRÁFICO 22
PREGUNTA 1 DE LA ENCUESTA .................................................................................... 140
xvi
GRÁFICO 23
PREGUNTA 2 DE LA ENCUESTA ................................................................................... 141
GRÁFICO 24
PREGUNTA 3 DE LA ENCUESTA ................................................................................... 142
GRÁFICO 25
PREGUNTA 4 DE LA ENCUESTA ................................................................................... 143
GRÁFICO 26
PREGUNTA 5 DE LA ENCUESTA ................................................................................... 144
GRÁFICO 27
PREGUNTA 6 DE LA ENCUESTA ................................................................................... 145
GRÁFICO 28
PREGUNTA 7 DE LA ENCUESTA ................................................................................... 146
GRÁFICO 29
PREGUNTA 8 DE LA ENCUESTA ................................................................................... 147
GRÁFICO 30
PREGUNTA 9 DE LA ENCUESTA ................................................................................... 148
GRÁFICO 31
PREGUNTA 10 DE LA ENCUESTA ................................................................................. 149
GRÁFICO 32
PREGUNTA 11 DE LA ENCUESTA ................................................................................. 150
xvii
U�IVERSIDAD DE GUAYAQUIL
FACULTAD DE CIE�CIAS MATEMATICAS Y FISICAS CARRERA DE I�GE�IERIA E� SISTEMAS COMPUTACIO�ALES
ESTUDIO DE LAS VULNERABILIDADES EN TECNOLOGÍAS DE VIRTUALIZACIÓN CON VMWARE EN MICROCOMPUTADORAS,
DETERMINANDO LOS DELITOS INFORMÁTICOS QUE PODRÍAN AFECTAR A ESTOS SISTEMAS, EN EL SECTOR EMPRESARIAL DE LA CIUDAD DE
GUAYAQUIL, EN EL AMBITO BANCARIO, COMERCIAL, Y DE SERVICIOS EN GENERAL
RESUME�
El objetivo del presente trabajo de investigación es estudiar las vulnerabilidades que pudieran tener las máquinas virtuales VMware en microcomputadoras ante posibles delitos informáticos, con la finalidad de contribuir a la seguridad de la información del sector empresarial de la ciudad de Guayaquil. La fundamentación técnica del Marco Teórico se desarrolló sobre la virtualización, máquinas virtuales, seguridades y delitos informáticos, los antecedentes de estudio, la fundamentación filosófica se basó en el pragmatismo y la llamada filosofía de la tecnología y la fundamentación legal se basó en los artículos del código Civil y Penal de la Ley ecuatoriana referente a los Delitos Informáticos. La metodología se fundamenta en la investigación bibliográfica, de campo, exploratoria y descriptiva, los instrumentos utilizados fueron la entrevista y la encuesta aplicadas a una población que estuvo conformada por un conjunto de personas de los Departamentos de Sistemas y de expertos en Delitos informáticos y de virtualización que componen el sector empresarial de la ciudad de Guayaquil en el ámbito bancario, comercial y de servicios en general. El procesamiento de los datos y los resultados de la investigación se realizó utilizando métodos estadísticos, aplicando las técnicas de las encuestas y las entrevistas realizadas a expertos en virtualización y delitos informáticos que permiten obtener valiosa información para mejorar la seguridad de las máquinas virtuales en las empresas. Conclusiones y recomendaciones. Vale destacar que los expertos coinciden en que violentar claves o sistemas de seguridad, robo de información, entre otros, son los delitos que se podrían dar si el administrador de servidores lo permitiera. Es importante conocer que las máquinas virtuales tienen vulnerabilidades y que los delitos informáticos pueden darse como en cualquier sistema operativo. Logrando concientizar al personal de sistemas para que busque herramientas que le permitan monitorear, administrar y asegurar que su red no sea fácilmente vulnerable.
Virtualización VMware Delitos Informáticos
Autor: Johnny Villavicencio Tutor: Ing. Omar Otero
1
I�TRODUCCIÓ�
La virtualización se empieza a usar desde la década de los sesenta, cuando surgió la
necesidad de particionar los mainframe de gran tamaño mejorando su utilidad. Hoy
en día los equipos basados en arquitectura x86 (32Bits) resuelven los mismos
problemas complejos que realizaban los mainframes de aquella década. Para esto
VMware inventa la virtualización para estas plataformas en la década de los noventa
abordando los problemas de infrautilización rigidez y de otra índole superando de
esta manera muchos desafíos.
Virtualizar no es más que crear varios entornos virtuales compartiendo el mismo
hardware dentro de un equipo físico, ya sean estos servidores, dispositivos de
almacenamiento, una red y hasta varios sistemas operativos, donde todos pueden ser
ejecutados al mismo tiempo.
En la actualidad VMware se ha convertido en un líder mundial en virtualización para
x86, teniendo más de 190.000 clientes en el mundo.
IBM es quien empieza a implementar la virtualización de sus mainframe,
particionándolas en máquinas virtuales independientes, permitiendo a los mainframe
realizar múltiples tareas, ejecutar muchas aplicaciones y procesos al mismo tiempo.
De esta manera se aprovechó el gran costo que tenían los mainframes y la capacidad
de los mismos.
2
La virtualización en los años 80 y 90 dejan de ser usadas, con la aparición del cliente-
servidor, los servidores x86 y los equipos de escritorio económicos. No obstante en
1999 VMware introduce en los sistemas X86 un medio que solucionaría muchos
problemas que se estaban ocasionando en dichos equipos.
VMware para ser considerado líder en la tecnología de la virtualización tuvo que
superar en los procesadores x86, 17 intrusiones específicas que generaban problemas
al virtualizar. Para esto VMware desarrolla una técnica de virtualización adaptable
que las atrapa convirtiéndolas en seguras.
Hoy en día, las necesidades que tienen las empresas para utilizar la virtualización de
sus tecnologías, ha hecho que también estén pensando en robustecer las seguridades,
las mismas que se han visto vulneradas por personas no autorizadas que hacen uso de
herramientas tecnológicas con fines maliciosos.
Por lo que en el mundo informático globalizado, la tendencia a intrusiones
maliciosas en la virtualización son cada vez más frecuentes, convirtiéndose en un
nuevo blanco para la realización de ataques que no existían hasta ahora. Estas
incursiones están provocando que las máquinas virtuales ya no sean vistas como
seguras a nivel empresarial, cuyo principal objetivo era la de mejorar sus
infraestructuras informáticas en cuanto a la escalabilidad, optimización de recursos,
costos, seguridad y una diversidad de modalidades en la administración de servidores.
3
Existe una gran demanda en la virtualización de sistemas operativos y aplicaciones
que corren como si estuvieran en una plataforma nativa, no obstante la inseguridad
técnica que se produce hoy en día, hacen que estas tecnologías sean vulnerables.
Cabe entonces realizarnos las preguntas: qué debilidades y riesgos tienen las
máquinas virtuales frente a los ataques de malware, cómo contrarrestarlas, y en caso
de darse un ataque cuál sería el proceso a seguir para certificar la garantía de las
políticas de seguridad y la protección tanto de la información como de las tecnologías
que facilitan la gestión de esa información.
Es por esto que se hace necesario realizar una investigación que pueda identificar y
determinar cuáles son los riesgos que existen y que tienen las máquinas virtuales
frente al mundo actual, y de esta manera comprobar y especificar cuáles son las
seguridades a aplicar en estas tecnologías, de tal forma que permita a las empresas
proteger mejor las plataformas de virtualización.
Para este estudio se desarrollarán los siguientes capítulos:
CAPÍTULO 1.- EL PROBLEMA
Se basa en el Planteamiento del problema donde se enfoca la realidad del tema,
Ubicación del Problema en un contexto, Situación Conflicto, Causas del problema y
sus Consecuencias, Delimitación del Problema, Planteamiento, Evaluación del
4
Problema, Objetivos de la investigación y la Justificación e importancia de la
investigación.
CAPÍTULO 2.- MARCO TEÓRICO
Se desarrolla sobre la base de conceptos de las microcomputadoras, las máquinas
virtuales, máquinas virtuales VMware, la virtualización, vulnerabilidades de las
máquinas virtuales, los sistemas informáticos, la seguridad física, la seguridad lógica,
los delitos informáticos y las fundamentaciones como la Fundamentación teórica,
Fundamentación Filosófica, Fundamentación Legal y Definiciones Conceptuales.
CAPÍTULO 3.- METODOLOGÍA
Tiene temas relacionados con la modalidad de la investigación, tipo de investigación,
la población, muestra y los resultados de la investigación que estarán procesados
mediante un sistema estadístico aplicado a través de las encuestas, se formularán
preguntas que permitirán conocer diferentes concepciones sobre las vulnerabilidades
de las máquinas virtuales VMware y los delitos informáticos.
CAPÍTULO 4.- MARCO ADMINISTRATIVO
Se presenta el cronograma, presupuesto.
CAPÍTULO 5.- CONCLUSIONES Y RECOMENDACIONES
Se presentan las conclusiones y recomendaciones del presente trabajo.
5
CAPÍTULO I
PLA�TEAMIE�TO DEL PROBLEMA
La virtualización de los sistemas operativos hoy en día es considerada como
necesaria e invaluable en toda Organización, aún más si esta requiere optimizar
sus recursos tecnológicos.
Cabe indicar que estas máquinas virtuales pueden tener vulnerabilidades, por lo
que se necesita dar seguridad ante los delitos, que personas mal intencionadas
quieran ejercer sobre ellas.
Uno de los problemas más graves es el desconocimiento en el uso de las
herramientas de virtualización en nuestro medio, pensando que estas son
realmente seguras y que no es necesario establecer seguridades como se lo hace
con las estructuras físicas.
Los Delitos informáticos con el pasar del tiempo y la evolución de la tecnología se
han vuelto cada vez más perjudiciales de forma directa o indirecta, causando daño
a los bienes tecnológicos y la información de las empresas, sean estas físicas o
lógicas.
6
Este es un problema grave en todos los sectores empresariales, ya que en el Ecuador
la tendencia al uso de Máquinas virtuales VMware, sigue estando al alza, por las
riquezas tecnológicas que brindan este tipo de tecnologías, pero con el crecimiento de
personas conocedoras de informática y del internet, los delitos informáticos van
creciendo cada día en nuestro medio, por lo que es muy importante tomar medidas de
seguridad, para no tener consecuencias en el futuro en el caso de querer darse un
delito.
Por lo tanto, considero concienciar a los Administradores de Sistemas en que no solo
con virtualizar los sistemas están seguros, sino también tener presente que pueden
haber vulnerabilidades y que estas pueden ser aprovechadas por personas mal
intencionadas para cometer algún delito que puede ser perjudicial para las empresas.
SITUACIÓ� CO�FLICTO �UDOS CRÍTICOS
Debido a la muy poca información sobre seguridad a las máquinas virtuales, la
protección que estas demandan no son suficientes para salvaguardar la integridad de
la información que estos poseen, por lo tanto son vulnerables a todo tipo de ataques
maliciosos, lo cual es sumamente crítico debido a que la tendencia en las
organizaciones es la de ser más eficientes, ágiles y evitar grandes inversiones
virtualizando varios hosts o servidores en una misma máquina física, donde el
7
tráfico entre ellos se hace más difícil de monitorear y proteger, convirtiendo esta
situación en un riesgo potencial de seguridad de la información.
CAUSAS Y CO�SECUE�CIAS DEL PROBLEMA
Las causas que me motivan a realizar esta investigación son las siguientes:
CAUSAS CO�SECUE�CIAS
La necesidad por virtualizar los sistemas operativos.
Máquinas virtuales con pobre implementación de medidas de seguridad que eviten problemas a las Organizaciones.
Los ataques maliciosos están en auge y creciendo a nivel mundial.
Daños a la infraestructura implementada y pérdida de información con consecuencias graves para una empresa.
El desconocimiento de las vulnerabilidades en las máquinas virtuales.
Ambientes de máquinas virtuales desprotegidos, que dejan abiertas las posibilidades de ataques maliciosos.
La falta de conocimiento de los delitos informáticos tipificados en el código de Procedimiento Penal.
Robo de información, fraude, falsificación electrónica, estafas. etc. y en su gran mayoría sin sanción a los culpables.
8
DELIMITACIÓ� DEL PROBLEMA
Campo: Tecnologías de Información.
Área: Seguridades Lógicas en entornos virtuales.
Aspecto: Las Vulnerabilidades en máquinas virtuales VMware.
Tema: Estudio de las vulnerabilidades en tecnologías de virtualización con
VMware en microcomputadoras, determinando los delitos informáticos
que afectan a estos sistemas.
FORMULACIÓ� DEL PROBLEMA
¿Cómo afecta el desconocimiento de las vulnerabilidades que puedan tener las
máquinas virtuales VMware frente a los delitos informáticos en el Área de Sistemas
de una Organización?
EVALUACIÓ� DEL PROBLEMA
El presente Proyecto de Tesis tiene los siguientes aspectos de evaluación:
Original: No existe un estudio en nuestro país con respecto a las debilidades en
seguridad que puedan tener las máquinas virtuales.
9
Importante: Debido al auge en la utilización de la virtualización en las empresas
hoy en día, por los beneficios de estas técnicas son muchas.
Concreto: El problema está formulado de una manera clara y precisa.
Relevante: Es necesario el conocimiento de las debilidades en las máquinas
virtuales VMware, como un aporte importante en el entorno
Organizacional.
Contextual: La virtualización es una técnica cada vez más arraigada a los
departamentos de Sistemas de nuestro país.
OBJETIVO GE�ERAL
Estudiar las vulnerabilidades que puedan tener las Máquinas Virtuales VMware en
microcomputadoras, para contribuir a la seguridad de la información en los ambientes
que utilizan este tipo de tecnología.
Analizar los posibles delitos informáticos, que se encuentran tipificados en la Ley
según el Código de Procedimiento Penal de nuestro medio, identificando los que
podrían afectar a las máquinas virtuales VMware.
10
OBJETIVOS ESPECÍFICOS
Identificar las principales vulnerabilidades que existen en las máquinas virtuales
VMware, apoyando a la comprensión de éstas, para que de esta forma, se pueda
mejorar la protección en estos ambientes virtuales.
Determinar los principales delitos informáticos que se podrían producir en estas
máquinas virtuales VMware, como una contribución al conocimiento en el
mundo de la seguridad informática.
Analizar los principales delitos informáticos encontrados en estas máquinas
virtuales y proponer las posibles soluciones que contrarresten estos delitos.
ALCA�CES
Investigar y detallar el concepto, tipos, técnicas, inconvenientes, ventajas y
desventajas en la implementación de las máquinas virtuales en un entorno
empresarial.
Identificar y describir las debilidades o vulnerabilidades en cuanto a las
seguridades de la información, que existen en las máquinas virtuales, como un
riesgo de seguridad informática – (lógica); tomando como base VMware; ya que
esta es la tecnología más usada en la actualidad.
11
Determinar las principales formas de intrusión no autorizada, que puedan
vulnerar las seguridades de las máquinas virtuales VMware, afectando su
integridad.
Analizar los principales delitos informáticos encontrados, en las tecnologías
VMware, proponiendo soluciones que neutralicen estas amenazas si éstas fueran
posibles.
JUSTIFICACIÓ� E IMPORTA�CIA
El objetivo de este Proyecto de Tesis, es pretender que las empresas busquen
fortalecer las seguridades de sus sistemas virtualizados y así resguardar al activo más
importante de toda compañía, como lo es la información. Asimismo concientizar al
público en general, usuario de estas tecnologías, de la importancia de proteger y
cerrar las puertas que dejen vulnerables a los sistema, bases de datos, etc.; de
ataques maliciosos dirigidos a las máquinas virtuales muy tendientes a ser usadas hoy
en día por sus múltiples ventajas y beneficios. De esta forma contribuimos también al
campo de la Seguridad informática.
Con el avance tecnológico y el uso masificado del internet, el delito informático en
el mundo también ha buscado su avance y por cada nueva tecnología hay alguien
buscando la forma de violentar su seguridad para demostrar su inteligencia y
12
alimentar su ego, así también como personas inescrupulosas tratando de obtener un
beneficio de forma fraudulenta en cada nueva tecnología descubierta.
Estamos viendo que la tendencia en el mundo, sobre todo empresarial, es la de
optimizar costos y recursos tecnológicos, es por esto que la virtualización se está
convirtiendo en una herramienta muy utilizada para mejorar su infraestructura; ya
que ésta presenta ventajas competitivas para una compañía; y también porque ayuda
a la administración de recursos de una forma eficiente y en una sola consola.
Debido a que la virtualización es relativamente nueva y que en nuestro país no es
muy difundido o conocido casos de delitos en estas tecnologías, el aporte de este
estudio de proyecto de tesis contribuirá en gran medida al conocimiento de posibles
soluciones y principalmente a prevenir o a proteger estos sistemas para evitar
intrusiones que signifiquen una pérdida en tiempo, hardware, recursos e incluso en
pérdida de dinero.
Es por esto que el presente Proyecto de Tesis proveerá de valiosa información para la
Seguridad Informática (lógica), en la consecución de sus objetivos, y de esta manera
ayudar a las empresas a prevenir intrusiones asegurando una mejor seguridad.
13
CAPÍTULO II
MARCO TEÓRICO
A�TECEDE�TES DEL ESTUDIO
Revisando los archivos de la Facultad de Ciencias Matemáticas y Físicas, Carrera
de Ingeniería en Sistemas Computacionales, no se ha encontrado ningún otro
proyecto con similares características a las de este título “ESTUDIO DE LAS
VULNERABILIDADES EN TECNOLOGÍAS DE VIRTUALIZACIÓN CON
VMWARE EN MICROCOMPUTADORAS, DETERMINANDO LOS DELITOS
INFORMÁTICOS QUE PODRÍAN AFECTAR A ESTOS SISTEMAS, EN EL
SECTOR EMPRESARIAL DE LA CIUDAD DE GUAYAQUIL, EN EL
AMBITO BANCARIO, COMERCIAL, Y DE SERVICIOS EN GENERAL”, por
lo cual se puede aplicar este proyecto.
FU�DAME�TACIÓ� TEÓRICA
Las microcomputadoras han experimentado con el transcurso del tiempo un
cambio considerable, tanto en su conceptualización, tecnología como en sus
múltiples usos en la sociedad. Es necesario entender la evolución de las
microcomputadoras como un desarrollo al entorno organizacional, considerando
que estas ocupaban espacios físicos muy grandes y que poco a poco con el avance
tecnológico nacen nuevos conceptos debido a su tamaño y características basadas
en los microprocesadores. También los problemas en las seguridades informáticas
han crecido a causa de los delitos informáticos y como los equipos virtualizados
14
Las Microcomputadoras
van incursionando en el mundo organizacional utilizando máquinas virtuales en
microcomputadoras.
La virtualización es una de las herramientas que más se están utilizando hoy en día en
las organizaciones; toda organización busca optimizar sus recursos sin que esto tenga
que influir en el rendimiento y respuesta de sus sistemas.
LAS MICROCOMPUTADORAS
Para el Profesor Israel J. Ramírez de la Universidad de los Andes
Una microcomputadora es la computadora digital más pequeña y de propósito general, que puede ejecutar instrucciones de programas para llevar a cabo una amplia variedad de tareas. Las microcomputadoras fueron diseñadas, en un principio, para ser utilizadas por una sola persona o usuario en un momento determinado, y las mismas no son más que uno de los resultados de la evolución de las computadoras (P.3).
Gráfico 1
Elaboración: http://elticus.com/imgdicc/microcomputadoras.jpg Fuente: http://elticus.com/imgdicc/microcomputadoras.jpg
15
Con los avances en la industria electrónica y la invención de los tubos de vacío, el
transistor, los circuitos integrados y otros inventos más, se dio comienzo a la era de
las microcomputadoras, así mismo con la creación del primer microprocesador la
evolución de los microcomputadoras han pasado de los antiguos mainframes a los
equipos de cómputo actuales pequeños, sencillos y accesibles.
CARACTERÍSTICAS DE LA MICROCOMPUTADORAS
� La microcomputadoras Surgen en la Cuarta Generación de las Computadoras.
� Están construidas a base de microprocesadores.
� Tienen una gran versatilidad para agregar nuevos dispositivos físicos.
� Tiene unidades de almacenamiento secundario tales como: los CD’s, los DVD’s, los pendrive y los discos duros.
� Son de uso personal, más conocidas como monousuario, aunque en la actualidad son utilizadas también como multiusuario.
� Son relativamente de costos bajos.
� No requieren de personas especializadas para su instalación y utilización.
� Se pueden procesar millones de instrucciones por segundo.
� Son más pequeñas y portables.
� Son utilizadas por pequeñas, medianas y grandes empresas, también por personas
naturales.
� Tiene un gran impacto social en los países industrializados.
� El peso de las computadoras de escritorio está entre los 10 kg aproximadamente.
16
Gráfico 2
Componentes de las Microcomputadoras
Elaboración: Hugo Enrique Raya Galván Fuente: http://www.monografias.com/trabajos71/word-power-ponit-excel- algoritmos/image004.jpg
COMPO�E�TES DE LAS MICROCOMPUTADORAS
Las computadoras por ser electrónicas y digitales contiene los siguientes
componentes:
� La Unidad Central de Proceso (CPU), quien se encarga de ejecutar las
instrucciones y es el único que cuenta con las unidades de memoria aritmética y
de control.
� Memorias RAM y ROM, que permiten almacenar temporalmente
17
información.
� Bus de datos, permite transmitir los datos de un lado a otro de la
computadora.
� Disco Duro y Cinta Magnética, permiten guardar mucha información.
� Impresoras, permite obtener la información impresa en un papel.
� Monitor, Permite visualizar la información por pantalla.
� Dispositivos de entrada y salida, nos permite escuchar o ver la información de una computadora.
Algunos dispositivos de entrada y salida tenemos:
� Fax/Módems, nos permite comunicarnos con otras
computadoras a través de líneas telefónica.
� Scanner, nos permite digitalizar la información que se encuentra impresa en un papel.
� Barcode Readers, nos permite leer código de barras.
� Teclado y Mouse, nos permiten ingresar información de entrada.
� Tarjeta de red, nos permite conectarnos con varios equipos para compartir información y recursos.
De acuerdo a lo anterior se puede inferir, que con el paso del tiempo los componentes
de las microcomputadoras han ido aumentando según la necesidad.
18
LAS MAQUI�AS VIRTUALES
Según: http://www.vmware.com/es/virtualization/virtual-machine.html
Una máquina virtual es un contenedor de software perfectamente aislado que puede ejecutar sus propios sistemas operativos y aplicaciones como si fuera un ordenador físico. Una máquina virtual se comporta exactamente igual que lo hace un ordenador físico y contiene sus propios CPU, RAM, disco duro y tarjetas de interfaz de red (�IC) virtuales (es decir, basados en software). El sistema operativo no puede establecer una diferencia entre una máquina virtual y una máquina física, ni tampoco lo pueden hacer las aplicaciones u otros ordenadores de una red. Incluso la propia máquina virtual considera que es un ordenador “real”. Sin embargo, una máquina virtual se compone exclusivamente de software y no contiene ninguna clase de componente de hardware. El resultado es que las máquinas virtuales ofrecen una serie de ventajas con respecto al hardware físico (P.1).
Gráfico 3
Arquitectura típica de una máquina virtual
Elaboración: Johnny Villavicencio Fuente: http://www.pcmag.com/encyclopedia_term/0,2542,t=virtual+machine +monitor&i=55827,00.asp
VM 1 OS
APP
VM 2 OS
APP
VM n-1 OS
APP
VM n OS
APP
VIRTUAL MACHI�E MO�ITOR (VMM)
PARTE FÍSICA (HARDWARE)
19
VE�TAJAS DE LAS MÁQUI�AS VIRTUALES
Las máquinas virtuales cuentan con cuatro características fundamentales: • Las máquinas virtuales tienen compatibilidad con todos los ordenadores
estándar x86.
• Las máquinas virtuales contienen aislamiento, es decir que están separadas
unas de otras, como si no estuvieran en el mismo equipo físicamente.
• Las máquinas virtuales se encuentran encapsuladas en un entorno
informático completo.
• Las máquinas virtuales se ejecutan de manera independiente al hardware
subyacente.
En la página, http://www.vmware.com/es/virtualization/virtual-machine.html
COMPATIBILIDAD
Al igual que un ordenador físico, una máquina virtual aloja sus propios sistema operativo y aplicaciones guest, y dispone de los mismos componentes (placa base, tarjeta VGA, controlador de tarjeta de red, etc.). Como consecuencia, las máquinas virtuales son plenamente compatibles con la totalidad de sistemas operativos x86, aplicaciones y controladores de dispositivos estándar, de modo que se puede utilizar una máquina virtual para ejecutar el mismo software que se puede ejecutar en un ordenador x86 físico.
AISLAMIE�TO
Aunque las máquinas virtuales pueden compartir los recursos físicos de un único ordenador, permanecen completamente aisladas unas de otras, como si se tratara de máquinas independientes. Si, por ejemplo, hay cuatro máquinas virtuales en un solo servidor físico y falla una de ellas, las otras
20
tres siguen estando disponibles. El aislamiento es un factor importante que explica por qué la disponibilidad y protección de las aplicaciones que se ejecutan en un entorno virtual es muy superior a las aplicaciones que se ejecutan en un sistema tradicional no virtualizado.
E�CAPSULAMIE�TO
Una máquina virtual es básicamente un contenedor de software que agrupa o “encapsula” un conjunto completo de recursos de hardware virtuales, así como un sistema operativo y todas sus aplicaciones, dentro de un paquete de software. El encapsulamiento hace que las máquinas virtuales sean extraordinariamente portátiles y fáciles de gestionar. Por ejemplo, puede mover y copiar una máquina virtual de un lugar a otro como lo haría con cualquier otro archivo de software, o guardar una máquina virtual en cualquier medio de almacenamiento de datos estándar, desde una memoria USB de bolsillo hasta las redes de área de almacenamiento (SA�) de una empresa.
I�DEPE�DE�CIA DE HARDWARE
Las máquinas virtuales son completamente independientes de su hardware físico subyacente. Por ejemplo, se puede configurar una máquina virtual con componentes virtuales (CPU, tarjeta de red, controlador SCSI, pongamos por caso) que difieren totalmente de los componentes físicos presentes en el hardware subyacente. Las máquinas virtuales del mismo servidor físico pueden incluso ejecutar distintos tipos de sistema operativo (Windows, Linux, etc.).
Si se combina con las propiedades de encapsulamiento y compatibilidad, la independencia del hardware proporciona la libertad para mover una máquina virtual de un tipo de ordenador x86 a otro sin necesidad de efectuar ningún cambio en los controladores de dispositivo, en el sistema operativo o en las aplicaciones. La independencia del hardware también significa que se puede ejecutar una mezcla heterogénea de sistemas operativos y aplicaciones en un único ordenador físico (P.1).
21
Las máquinas virtuales siendo sólo un software, son como otra máquina física, donde
se puede instalar el sistema operativo y las aplicaciones que se deseen, estas pueden
ser utilizadas para capacitaciones, investigaciones, pruebas y también las empresas
las utilizan como servidores aprovechando las ventajas y beneficios que estas les
pueden brindar, tales como compatibilidad, aislamiento, encapsulamiento e
independencia del hardware.
Entre las máquinas virtuales más utilizadas e importantes tenemos: 1.- Virtual PC.- Es un programa que permite virtualizar, el mismo que fue
desarrollado por Connectix y luego comprado por Microsoft para crear virtualización
de equipos.
Su objetivo principal es emular el uso del hardware utilizando la virtualización de los
sistemas operativos sean estos uno o varios.
2.- VirtualBox.- Es un programa para virtualizar en arquitecturas x86, fue creado
por la empresa innotek GmbH de Alemania. Actualmente lo desarrolla Oracle
Corporation, haciéndolo parte de su familia de productos de virtualización.
Permite instalar varios sistemas operativos en un ambiente virtual (Sistemas
invitados) dentro de otro sistema operativo que se lo conoce como (sistema anfitrión).
3.- VMware.- Es una máquina virtual que permite virtualizar sistemas operativos
en equipos X86. En este programa se incluyen ESX Server, Fusion, Virtual Server,
22
Workstation, Player. Este programa funciona en Windows, Linux, y en la plataforma
Mac OS X.
4.- Xen.- Es una máquina virtual fue desarrollada por la Universidad de Cambridg,
con las siguientes características: brinda aislamiento seguro, control de los recursos,
garantiza la calidad de servicio, permite migrar las máquinas virtuales en caliente y es
de código abierto. Además, se pueden ejecutar instancias de los sistemas operativos
con sus características, en un equipo sencillo.
A parte de estas máquinas virtuales se podrían citar:
KVM, IBM POWER SYSTEMS, OpenVZ, Virtuozzo, FreeVPS, Linux-VServer.
FreeBSD Jails, Solaris Containers, AIX.
MÁQUI�AS VIRTUALES VMWARE
Las máquinas virtuales VMware son sistemas de virtualización por software, es decir
que simula a un ordenador físico con algunas características de hardware. Al ejecutar
este simulador se puede configurar el hardware dependiendo a lo que se requiera,
como varios CPU’s, Bios, tarjeta de video, memoria RAM, sonido, tarjeta de red,
discos duros, conexiones USB, etc.
Este virtualizador permite que se ejecuten al mismo tiempo varios ordenadores con
sus respectivos sistemas operativos dentro de un mismo hardware a la vez, de esta
manera se distribuye y se aprovecha mejor los recursos físicos de un equipo, al ser
23
una capa intermedia entre el hardware emulado y el software, la velocidad de
ejecución se va a ser disminuido un poco, pero esto no afecta a los entornos puestos
en producción.
Las máquinas virtuales VMware aunque son parecidas a Virtual PC, tienen
diferencias que afectan en la manera en que el software interactúa con el hardware y
el rendimiento de la virtualización varía dependiendo de las características físicas en
donde se ejecuten y también de los recursos de hardware virtuales que se le hayan
asignado a los ambientes virtuales.
Gráfico 4
Funcionamiento de VMware, una de las
Máquinas virtuales de sistema más populares
Elaboración: Radoslaw Korzeniewski Fuente: http://es.wikipedia.org/wiki/Archivo:VMware-schema.png (RadekK)
24
VERSIO�ES DE MÁQUI�AS VIRTUALES VMWARE
Según, http://es.wikipedia.org/wiki/VMware
VMWARE SERVER (A�TES GSX)
Esta versión, a diferencia de la anterior, tiene un mejor manejo y administración de recursos; también corre dentro de un sistema operativo (host), está pensada para responder a una demanda mayor que el Workstation. Otra diferencia entre VMware Server y Workstation es que se pueden ejecutar de manera concurrente más máquinas virtuales soportando servidores con hasta 32 procesadores y/o 64 GB de memoria, ofreciendo funcionalidad de administración remota, soporta una API avanzada y funcionalidad de scripting y se puede ejecutar en modo headless. VMWARE ESXI
Es una versión completa del producto ESX, pero con varias limitaciones, entre ellas: no permite instalar controladores (drivers) para hardware adicional (es decir, si el ESXi no posee los controladores el hardware no puede ser utilizado); no permite utilizar las funciones avanzadas de movimiento de maquinas virtuales encendidas (O�) de un equipo físico a otro (VMOTIO�), ni hacerlo con el almacenamiento (STORAGEMOTIO�).
Sin embargo, es muy útil para conocer el funcionamiento del ESX, e incluso algunos fabricantes (como HP o DELL) dan la opción de comprar servidores pre cargados con ese sistema operativo en una memoria USB integrada en el equipo. VMWARE ESX SERVER
Esta versión es un sistema complejo de virtualización, pues corre como sistema operativo dedicado al manejo y administración de máquinas virtuales dado que no necesita un sistema operativo host sobre el cual sea necesario instalarlo. Pensado para la centralización y virtualización de servidores, esta versión no es compatible con una gran lista de hardware doméstico, por ejemplo no reconoce los disco IDE como unidades de almacenamiento y
25
sería inútil instalarlo en este tipo de discos (en la versión 3.5 ya esta soportado sata).Es realmente útil, ya que solamente ocupa 10 Mb de Ram y 55 de Disco Duro, aproximadamente...Para su administración, hay que instalar un software en una máquina remota, que se conecta por entorno web. VMWARE FUSIO�
Es un software de naturalización desarrollado por VMware, Inc. para ordenadores Macintosh con procesador Intel. Fusion permite correr en ordenadores Mac basados en Intel aplicaciones x86 como Windows, Linux, �etWare y Solaris y correr simultáneamente Mac OS como sistema principal que almacena a los demás sistemas operativos invitados. VMWARE WORKSTATIO�
Es sin duda una potente utilidad que permite tener varios sistemas operativos instalados sin necesidad de particiones, consiguiendo además que cambiar de uno a otro sea sencillo, casi tanto como cargar un programa más.
VMWARE PLAYER
Es una fantástica aplicación que te permite ejecutar un PC virtual en tu sistema, lo que significa literalmente poder tener dos ordenadores en uno. Es como el hermano pequeño de VMware Workstation, con menos opciones y funcionalidades, pero con la gran ventaja de ser totalmente gratuito. VMware Player permite usar máquinas virtuales creadas en VMware Workstation, GSX Server o ESX Server. VMWARE ACE (E�TOR�O I�FORMÁTICO SEGURO)
Es una solución de software integrada en VMware Workstation que permite a cualquier persona implementar y administrar máquinas virtuales seguras y de plataforma independiente que los usuarios finales pueden utilizar en su PC de trabajo, computadoras personales, o incluso un dispositivo multimedia portátil USB (en el camino de una aplicación
26
portable ). VMware ACE permite el acceso seguro a los recursos empresariales de los entornos informáticos seguros. Estos entornos de PC aislados se ejecutan sobre PCs existentes. Con la gestión de derechos virtual, los controles integrados de protección de copia, y el cifrado automático, VMware ACE ayuda a prevenir el robo, la manipulación, y la copia no autorizada de aplicaciones, datos, configuración del sistema y archivos. Los administradores pueden proteger los datos y garantizar el cumplimiento de las políticas de TI, incluyendo software de gestión del ciclo de vida y el acceso a datos y aplicaciones. En esencia, VMware ACE permite la creación de máquinas virtuales portátiles (P.1).
Existen diferentes versiones y tipos de máquinas virtuales VMware, las mismas que
se podrán utilizar dependiendo a la necesidad y al equipo en que se trabaje, estas
pueden ser para virtualizar servidores como por ejemplo VMware ESX Server o
VMware ESXI, también podemos utilizar las máquinas virtuales VMware para
laboratorios u otros fines, para esto tenemos al VMware Workstation, VMware
Player, etc.
Las pantallas para la instalación de la máquina virtual VMware ESX se encuentran en el Anexo 6.
LA VIRTUALIZACIÓ�
En la página, http://www.virtualizacion.com/?page_id=7
La virtualización es una tecnología que fue desarrollada por
IBM en los años 60s. La primera computadora diseñada específicamente para virtualización fue el mainframe IBM S/360 Modelo 67. Esta característica de virtualización ha sido un Standard de la línea que siguió (IBM S/370) y sus sucesoras, incluyendo la serie actual. Durante los 60s y los 70s fueron muy populares, pero las máquinas virtuales desaparecieron prácticamente durante los 80s y los 90s. �o era hasta el final del
27
La Virtualización
90s que volvió a resurgir la tecnología de las maquinas virtuales y no solamente en el área tradicional de servidores sino también en muchas otras áreas del mundo de la computación (P.7).
Gráfico 5
Elaboración: http://www.pcactual.com Fuente: http://www.pcactual.com/articulo/laboratorio/especiales/7434 /virtualizacion_apodera_del.html
La virtualización crea una capa de abstracción entre el hardware de la
computadora o host y el sistema operativo de una máquina virtual, siendo el
Hypervisor o Virtual Machine Monitor el que maneja los recursos físicos de la PC
(unidad de red, memoria, cpu y unidad de almacenamiento), de tal manera que se
podría crear múltiples máquinas virtuales y cada una con el interface del hardware
que se requiera sea compatible con el sistema operativo que se vaya a instalar.
28
VE�TAJAS Y DESVE�TAJAS DE LA VIRTUALIZACIÓ�
VE�TAJAS:
Según la página, www.virtualizacion.com/
La solución de virtualización permite gestionar de forma
centralizada los sistemas virtualizados así como sus recursos de almacenamiento y de red proporcionando:
• Rápida incorporación de nuevos recursos para los servidores
virtualizados.
• Reducción de los costos de espacio y consumo necesario de
forma proporcional al índice de consolidación logrado
(Estimación media 10:1).
• Reducción de los costos de IT gracias al aumento de la
eficiencia y la flexibilidad en el uso de recursos. • Administración global centralizada y simplificada.
• �os permite gestionar nuestro CPD como un pool de recursos o
agrupación de toda la capacidad de procesamiento, memoria, red y almacenamiento disponible en nuestra infraestructura.
• Mejora en los procesos de clonación y copia de sistemas: Mayor facilidad para la creación de entornos de test que permiten poner en marcha nuevas aplicaciones sin impactar a la producción, agilizando el proceso de las pruebas.
• Aislamiento : un fallo general de sistema de una máquina virtual no afecta al resto de máquinas virtuales
• �o sólo aporta el beneficio directo en la reducción del hardware necesario, sino también en sus costos asociados.
• Reduce los tiempos de parada. • Migración en caliente de máquinas virtuales (sin pérdida de
servicio) de un servidor físico a otro, eliminando la necesidad
29
de paradas planificadas por mantenimiento de los servidores físicos.
• Balanceo dinámico de máquinas virtuales entre los servidores físicos que componen el pool de recursos, garantizando que cada máquina virtual ejecute en el servidor físico más adecuado y proporcionando un consumo de recursos homogéneo y óptimo en toda la infraestructura.
• Alto grado de satisfacción general (P.1).
DESVE�TAJAS:
Carrero, David (Noviembre, 2009)
• Menor rendimiento, dado que una máquina virtual corre en
una capa intermedia a la del hardware real, siempre tendrá un rendimiento inferior.
• Teóricamente no se podrá utilizar hardware que no esté soportado por el hypervisor de virtualización.
• La aceleración de vídeo se ve afectada por el menor rendimiento.
• Aumento de las máquinas virtuales, como una vía para ahorrar compra servidores dedicados reales.
• A veces se desaprovechan los recursos con la creación de
máquinas virtuales que no son necesarias.
• La avería o fallo de un servidor anfitrión de virtualización afecta a todos los servidores virtuales que aloja.
• Como cada producto de virtualización usa sus propios sistemas, no hay uniformidad o estandarización de formatos, la portabilidad entre plataformas es realmente complicada.
• La virtualización incide de forma directa en la venta de servidores reales, aunque los servidores utilizados para virtualizar suelen ser más potentes y por supuesto más caros (P.1).
30
La virtualización tiene múltiples ventajas y muchos beneficios que hacen que
las empresas se inclinen por virtualizar sus servidores, pero así mismo hay
varias desventajas que se deben tener muy en cuenta para establecer
estrategias y procedimientos que las contrarresten.
TIPOS DE VIRTUALIZACIÓ�
En la actualidad las máquinas virtuales se pueden clasificar en dos grandes grupos:
1.- Tipo nativo, unhosted o sobre el metal desnudo (bare metal).
2.- Tipo hosted.
TIPO �ATIVO, U�HOSTED O SOBRE EL METAL DES�UDO (BARE METAL).
En este tipo, el hipervisor se ejecuta directamente sobre el hardware real del equipo
para que controle todo el hardware y pueda monitorizar los sistemas operativos
virtualizados. Las máquinas virtuales que corren de forma simultánea lo hacen en otro
nivel que está por encima del hipervisor. Ejemplos: VMware ESXi, VMware ESX,
Xen, Citrix XenServer y Microsoft Hyper-V Server.
31
Virtualización tipo �ativo
Gráfico 6
Elaboración: http://www.pcactual.com/ Fuente: http://www.pcactual.com/articulo/laboratorio/especiales/7434/ virtualizacion_apodera_del.html
TIPO HOSTED.
En este tipo, la aplicación del Hypervisor se ejecuta sobre un sistema operativo
convencional para luego virtualizar diversos sistemas operativos. Como la
virtualización se la realiza en una capa más alejada del hardware, el rendimiento del
hipervisor va a ser menor. Ejemplos: Sun VirtualBox, Sun VirtualBox OSE, VMware
Workstation, VMware Server, VMware Player, QEMU, Microsoft Virtual PC y
Microsoft Virtual Server.
32
Virtualización tipo huésped
Gráfico 7
Elaboración: http://www.pcactual.com/ Fuente: http://www.pcactual.com/articulo/laboratorio/especiales/7434/ virtualizacion_apodera_del.html
VUL�ERABILIDADES E� MÁQUI�AS VIRTUALES VMWARE
A continuación se detallan algunas de las vulnerabilidades más importantes que se
has detectado en las máquinas virtuales VMware con el pasar de los años, las mismas
que se detallan a continuación:
33
VUL�ERABILIDADES E� OPE�SSL, BI� Y VIM
Según, http://www.rzw.com.ar/seguridad-informatica-5379.html
Múltiples vulnerabilidades en VMWare ESX 3.x
VMware ha publicado una actualización de OpenSSL, bind y vim para VMware ESX 3.0.3 y 3.0.2, que corrigen múltiples vulnerabilidades que podrían permitir a un atacante remoto evadir restricciones de seguridad y ejecutar código arbitrario.
VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. VMware ESX permite asignar recursos de procesador, memoria, almacenamiento de información y redes en múltiples máquinas virtuales.
La primera de las vulnerabilidades corregidas es un fallo en OpenSSL que omitía la validación del valor de retorno de la función 'EVP_VerifyFinal'. Esto podría ser aprovechado por un atacante remoto para evadir restricciones de seguridad a través de firmas 'SSL/TLS' para claves RSA y ECDSA especialmente manipuladas.
Se ha corregido un fallo en bind que omitía la validación del valor de retorno de la función 'DSA_do_verify'. Esto podría ser aprovechado por un atacante remoto para evadir restricciones de seguridad a través de un servidor D�S malicioso con un certificado DSA especialmente manipulado.
Otro de los problemas corregidos reside en el escapado de caracteres especiales en Vim, lo que permitiría ejecutar comandos de la shell introduciendo la clave de carácter 'K' en líneas que contengan el carácter ';'. Esto podría ser aprovechado por un atacante remoto ejecutar comandos de la shell a través de archivos vimscript especialmente manipulados. También se solucionan varios problemas de validación de entrada en funciones de sistema de Vim. Un atacante podría ejecutar código si la víctima abre con vim un documento especialmente manipulado.
Se ha corregido un desbordamiento de memoria intermedia basada en heap en la función 'mch_expand_wildcards' de 'os_unix.c' en Vim. Esto podría ser aprovechado por un atacante
34
remoto para ejecutar código arbitrario a través de nombres de archivo especialmente manipulados.
Por último, se ha corregido un error en el procesamiento de cadenas en la función 'helptags_one' de 'src/ex_cmds.c' en Vim. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario a través de un archivo con 'help-tags' especialmente manipuladas. Se recomienda aplicar la actualización disponible.
Estas vulnerabilidades fueron encontradas en el año 2009 para VMware ESX 3.0.3 y
3.0.2, si bien es cierto las actualizaciones están disponibles en la página de VMware
para corregir Openssl, bin y vim, hay muchas empresas cuyos departamentos de
sistemas desconocen de las mismas y por ende las que tengan instaladas estas
versiones y no se hayan parchado, aún presentarían las vulnerabilidades, más que
nada en nuestro medio.
AGUJERO E� MÁQUI�A VIRTUAL VMWARE FUSIO�
Según, la revista PC World, en su página http://www.idg.es/pcworldtech/mostrarNoticia.asp?id=79445&seccion=actualidad
Agujero descubierto en VMware Fusion mediante el cual,
una máquina virtual Windows (o Linux) residente en un sistema Mac OS X podría ejecutar código malicioso en la máquina desarrollada por Apple. Concretamente, esta vulnerabilidad afecta a la versión 2.0.4 de Fusion.
Según declara Kostya Kortchinsky, investigador de exploits en Immunity Inc, una vulnerabilidad crítica en una máquina virtual de VMWare podría ser utilizada para leer y escribir en el sistema operativo nativo que la alberga (el sistema padre).
35
De hecho, "este exploit utiliza varias vulnerabilidades de la función Display del producto para permitir la lectura y escritura arbitraria de memoria en el host. Por lo tanto, un invitado podría ejecutar código en dicho host, que es el sistema operativo principal", aclara Kortchinsky.
Por su parte, VMware publicó una alerta de seguridad el pasado viernes advirtiendo de la vulnerabilidad, además de incluir un enlace a la nueva versión parcheada de la solución. Se trata de un fichero de 186 MB que se puede descargar gratuitamente desde la web del fabricante .
Si bien es cierto que esta es una vulnerabilidad encontrada en el año 2009, no
podemos dejar de lado la importancia de conocerla y parchar nuestro sistema
VMware Fusion en las versiones indicadas en caso de utilizar esta herramienta.
VUL�ERABILIDADES E� EL SOFTWARE DHCP Según, www.rzw.com.ar/seguridad-informatica-5421.html
El software DHCP en el uso de la tecnología de virtualización que se ejecutan en máquinas virtuales de VMware asigna dirección IP diferente, pero los investigadores de IBM descubrieron que puede ser utilizado por los hackers para controlar el ordenador.
IBM Internet Security investigador Systems, dijo Cruz, para muchas aplicaciones en el software de VMware se ejecutan en el usuario, esto es una mala noticia. Dijo que a través del uso de esta vulnerabilidad, un atacante puede controlar completamente la tecnología de virtualización en este entorno para ejecutar cualquier máquina virtual. Los investigadores de IBM han desarrollado el uso de estos códigos de tres vulnerabilidades.
Con el fin de atacar el sistema, el hacker debe obtener
primero el software que se ejecuta en un acceso a la máquina virtual.
36
Como vemos en esta vulnerabilidad es muy delicado tener un servidor de DHCP, ya
que un hacker puede utilizarlo para controlar el ordenador.
Este tipo de entornos son los preferidos para los hackers, que ven cómo, al aumentar
la superficie de ataque, podrían aprovechar para acceder a un mayor número de
recursos tan pronto como se descubra una vulnerabilidad en alguna de las
aplicaciones o plataformas que coexista.
VUL�ERABILIDADES E� VARIOS PRODUCTOS VMWARE
Según, www.csirtcv.gva.es/html/es/alerts/1516/ Sistemas afectados: VMware Workstation 7.1.1 y anteriores VMware Player 3.1.1 y anteriores VMware ACE Management Server 2.7.1 y anteriores Riesgo: Medio
Descripción:
Los 3 problemas de seguridad son:
• Los instaladores de VMware Workstation 7.x y VMWare Player 3.x cargan un archivo index.htm que se encuentra en el directorio de trabajo en el que se va a instalar la aplicación. Esto puede permitir a un atacante facilitar un archivo malicioso al sistema antes de iniciarse la instalación.
El problema puede ser explotado en el momento en que la aplicación se instala. Las versiones instaladas de Workstation y Player no se ven afectadas.
37
Actualización de del paquete libpng a la versión 1.2.44
Existe una condición de desbordamiento de búfer en libpng. Esto podía permitir la ejecución de código con los privilegios de la aplicación que use libpng. Dos problemas potenciales de denegación de servicio también se abordan en la actualización.
• El tercer fallo afecta a ACE Management Server (AMS) y
viene provocado por una vulnerabilidad en Apache HTTP Server, donde una función no controla correctamente las cabeceras en subrequests en determinadas circunstancias cuando se usan mutihilos (MPM). Esto puede permitir a atacantes remotos obtener información sensible a través de una solicitud manipulada que permita el acceso a ubicaciones de la memoria asociadas con una solicitud anterior. También el módulo mod_isapi de Apache puede ser forzado a cargar una librería específica antes de que se complete el procesado de una petición, provocando una corrupción de memoria. Esto puede permitir a un atacante remoto ejecutar código arbitrario.
Solución, descargar los parches para cada producto.
Estas vulnerabilidades aparecen el 24-09-2010 por lo que se deben descargar los
parches respectivos para evitar que personas mal intencionadas puedan hacer uso
de estas vulnerabilidades.
MÚLTIPLES VUL�ERABILIDADES E� VARIOS PRODUCTOS VMWARE. 24-11-2009
Según, http://comunidad.dragonjar.org/f150/vmware-multiples
Múltiples vulnerabilidades han sido identificadas en varios productos de VMware, que podrían ser explotadas por atacantes remotos para realizar una larga lista de diferentes ataques contra la seguridad de los sistemas.
38
Sistemas afectados:
VMware vCenterServer versiones 4.x VMware VirtualCenter versiones 2.x VMware Server versiones 2.x VMware ESX versiones 4.x VMware ESX versiones 3.x VMware ESXI versiones 4.x VMware ESXI versiones 3.x VMware VMA versiones 4.x Riesgo: Alto Descripción:
VMware ha publicado actualizaciones para múltiples paquetes que afectan a JRE, Tomcat, ntp, kernel, python, bind, libxml, libxml2, curl, y gnutil. Para estas vulnerabilidades se corrigen varios errores que pueden ser explotados por usuarios locales para eludir ciertas restricciones de seguridad, revelar información sensible o manipular ciertos datos, y por usuarios maliciosos remotos para revelar información sensible, realizar ataques de Cross-Site Scripting, manipular datos, ignorar ciertas restricciones de seguridad, causar Denegación de Servicio (DoS - Denial of Service), o comprometer un sistema de usuario.
La mayoría de estas vulnerabilidades han sido reportadas en el nuevo Advisory VMSA-2009-0016, pero también se han actualizado otras alertas de seguridad: - VMSA-2009-0014.1 que resuelve nuevas vulnerabilidades en DHCP, Service Console kernel y JRE. - VMSA-2009-0002.2 que resuelve nuevas vulnerabilidades en Tomcat.
Solución, descargar los parches para cada producto.
Estas vulnerabilidades encontradas el 24-11-2009 ponen en evidencia que las
máquinas virtuales no son completamente seguras, para aquellos departamentos de
39
IT que no tengan el soporte de VMware o alguna empresa que brinde este soporte, es
más que seguro que no se enterarán de las vulnerabilidades a las que están
expuestos.
VMWARE MÚLTIPLES VUL�ERABILIDADES
Según, www.cservices.com.ar/web/noticiaDetalle.aspx?ID=314
Se han reportado múltiples vulnerabilidades en productos VMWare, que podrían ser aprovechadas por usuarios locales maliciosos para revelar información importante o escalar privilegios, y por usuarios remotos maliciosos para revelar información importante, causar una denegación de servicio o potencialmente comprometer el sistema. Versiones Afectadas por estas vulnerabilidades: • VMware Workstation 7.0 • VMware Workstation 6.5.3 y anteriores • VMware Player 3.0 • VMware Player 2.5.3 y anteriores • VMware ACE 2.6 • VMware ACE 2.5.3 y anteriores • VMware Server 2.0.2 y anteriores • VMware Fusion 3.0 • VMware Fusion 2.0.6 y anteriores • VMware VIX API para Windows 1.6.x • VMware ESXi 4.0 con actualización anterior a ESXi400-
201002402-BG • VMware ESXi 3.5 con actualización anterior a ESXe350-
200912401-T-BG • VMware ESX 4.0 sin las actualizaciones ESX400-201002401-
BG y ESX400-200911223-UG • VMware ESX 3.5 sin la actualización ESX350-200912401-BG • VMware ESX 3.0.3 sin la actualización ESX303-201002203-UG • VMware ESX 2.5.5 sin la actualización Upgrade Patch 15
40
Detalle
1. Dos errores en VMware Tools para Windows pueden ser aprovechados para realizar ejecución de código arbitrario y potencialmente escalar privilegios.
2. Un error en el servicio USB puede ser aprovechado para escalar privilegios ubicando en el "host" un archivo ejecutable malicioso.
3. Un error en la librería "libpng" puede ser aprovechado para revelar memoria no inicializada por medio de una imagen especialmente elaborada.
4. Un error de límites y dos errores de enteros truncados en el códec "VMnc" pueden ser aprovechados para realizar ejecución de código arbitrario.
5. Un error en el servicio de autorización "vmware-authd" puede ser aprovechado para causar que la aplicación deje de responder.
6. Un error en ciertos componentes que permiten implementar redes virtuales puede ser aprovechado para revelar información importante.
7. Un error de formato de enteros en "vmrun" puede ser aprovechado para escalar privilegios.
El impacto de estas vulnerabilidades es CRÍTICA.
Estas vulnerabilidades encontradas en muchos de los productos VMware son muy
críticas, por lo que lo recomendable es que todo departamento de IT aplique las
actualizaciones necesarias, si bien es cierto que muchas de las vulnerabilidades han
sido reportadas en años anteriores, esto no es indicativo que muchas de las empresas
hayan parchado sus sistemas virtuales.
Para estas vulnerabilidades se puede acceder a descargar los parches respectivos en la
página principal de VMware.
41
VUL�ERABILIDAD E� VMWARE AFECTA A EQUIPOS BAJO WI�DOWS
Según, www.vsantivirus.com/vul-vmware-250208.htm
Se ha reportado una vulnerabilidad crítica en VMware (25-02-2008) que afecta a versiones instaladas en Windows. VMware es un sistema de virtualización por software, esto es un programa que simula un sistema físico (una computadora). Pueden ejecutarse múltiples sistemas virtuales dentro de un mismo hardware de manera simultánea.
Si se instala VMware en Windows, y se ha habilitado una carpeta compartida, es posible que un programa que se ejecute en el equipo virtual pueda acceder al sistema operativo del host, o sea al de la computadora en que se ejecuta la máquina virtual. El acceso permite la modificación, creación o ejecución de archivos en determinadas ubicaciones.
La carpeta compartida de VMware permite la transferencia de datos entre el sistema virtual y el sistema principal. La vulnerabilidad afecta a las versiones VMware Workstation, VMware Player y VMware ACE que se ejecutan en Windows. Las versiones de este producto para Windows Server, Mac y Linux basados en host, no son vulnerables. El fallo fue reportado a VMware por la compañía de seguridad Core Security Technologies.
Por el momento, la solución es deshabilitar la carpeta compartida. El problema no afecta la línea de software de virtualización para servidores, VMware Server y VMware ESX Server, ya que no utilizan carpetas compartidas.
Las nuevas versiones de VMware Client para Windows también deshabilitan las carpetas compartidas por defecto. Por lo tanto, solo son vulnerables si los usuarios activan dicha opción de forma manual. VMware es ampliamente utilizado para múltiples propósitos, por ejemplo el análisis de malware, respuesta a incidentes, análisis forense, pruebas de seguridad, o capacitación.
42
En este caso podemos observar que las vulnerabilidades se dieron por tener una
carpeta compartida afectando a las máquinas virtuales VMware de las versiones
Workstation, Player, ACE, pero no así en los productos Server, Esx Server, Mac,
Linux, pese a que al instalarse la máquina virtual esta carpeta no se habilite
automáticamente hoy en día, la vulnerabilidad está latente.
¿QUÉ ES X-FORCE?
Según, http://www.ibm.com/ec/services/sps/iss/vms/xforce.phtml
El equipo de investigación y desarrollo X-Force de IBM Internet Security Systems es un grupo líder de expertos en seguridad dedicado a la contrainteligencia proactiva y a la enseñanza pública contra las amenazas en línea. X-Force investiga problemas de seguridad, realiza seguimiento de la evolución de las amenazas a través del Global Threat Operations Center (Centro global de operaciones frente a amenazas) de ISS, y garantiza que ISS sea el primero en aportar al mercado nuevas soluciones de gestión de las amenazas.
Las amenazas a la seguridad no dejan de multiplicarse y
evolucionan a un ritmo vertiginoso, por lo que, ahora más que nunca, es importante analizar las diferentes amenazas que puedan existir para ayudar a nuestros clientes a anticiparse a ellas", afirma Steve Robinson, director de las Soluciones de Seguridad de IBM. "Este año, el informe revela que, a pesar de las amenazas van en aumento, la industria en su conjunto se está volviendo mucho más activa a la hora de identificar vulnerabilidades, lo cual es muy positivo ya que esta colaboración permite identificar y hacer frente a las vulnerabilidades.
X-Forse que es un grupo líder de expertos en seguridades, que trabaja desde 1997 en
la investigación y catalogación de vulnerabilidades, cuyo objetivo es detectar las
43
amenazas y ponerla al descubierto, aportan en mucho a la sociedad con sus
investigaciones descubriendo las nuevas vulnerabilidades en las tecnologías de la
información y también aportando con la solución de las mismas.
Según el último Informe sobre seguridad dado por IBM X-Force 2010, en el primer
semestre de 2010 (07 Septiembre 2010), indica que el 35% de las vulnerabilidades
que impactan a los sistemas virtualizados afectan al software (hypervisor) que
controla todas las máquinas virtuales, esto significa que un atacante o persona mal
intencionada que tenga el control de un sistema virtual puede ser capaz de manipular
a los otros sistemas virtuales en la misma máquina, lo que pone de manifiesto la
importancia de tener en cuenta la seguridad a la hora de abordar los proyectos de
virtualización.
SOFTWARE DE PROTECCIÓ� PARA MÁQUI�AS VIRTUALES VMWARE
IBM VIRTUAL SERVER SECURITY PARA VMWARE
Los sistemas de protección contra intrusos se han venido adaptando progresivamente
a la virtualización y como muestra de esta tendencia, IBM ISS lanzó a mediado de
noviembre 2009 el IBM Virtual Server Security para VMware, permitiendo proteger
los diferentes aspectos de una infraestructura virtual, incluyendo el hypervisor, el
44
IBM VIRTUAL SERVER SECURITY PARA VMWARE
sistema operativo, las aplicaciones de redes, escritorios virtuales basados en
servidores, máquinas virtuales y tráfico de datos entre ellos.
Gráfico 8
Fuente: http://www.ftp.software.ibm.com Elaboración: http://www.ftp.software.ibm.com
Esta herramienta controla de acceso a la red virtual, detección de rootkits de
detección y prevención, monitoreo y reporteo de la infraestructura virtual,
autodescubrimiento y protección de segmentos de la red virtual. La virtualización está
ya en un gran porcentaje de los centros de cómputo en nuestro medio, donde se
45
emplea para rebajar los costos de la actualización del hardware pues integra más
servidores en un solo computador físico.
Este software tiene como misión proteger la seguridad de cargas de trabajo que corren
sobre servidores virtuales, cuya protección dinámica es para todas las capas:
– Hypervisor – SO – Red – Aplicaciones – Máquinas virtuales (VM) – Trafico interno
SEGURIDAD DE LA GESTIÓ� DE LA VIRTUALIZACIÓ�
La virtualización con el pasar de los años se ha convertido en una de las mayores
transformaciones en la tecnología de la información. Sin embargo, muchas empresas
en nuestro medio aún no pueden apreciar por completo el impacto que el uso de estas
ejerce sobre la seguridad. La virtualización nos da muchos beneficios, así como
también nuevos riesgos, muchos de los cuales no tienen precedentes en la TI
tradicional ni en el entorno físico.
Si comparamos los sistemas físicos, con las múltiples máquinas virtuales (huésped),
estas comparten un mismo host, abstraen de su topología física una red, se pueden
configurar offline y se pueden implementar según demanda, con lo que se da un
entorno más dinámico y flexible cumpliendo las exigencias propias del negocio.
46
Las seguridades en la funcionalidad virtualizada dependen mucho del control
administrativo, con esto viene la necesidad de seguridad en los procesos, en la gestión
y en las tecnologías que tengan en cuenta la virtualización y garanticen su
administración.
Según EMA (Enterprise Management Associates) describe un enfoque sistemático
para asegurar la gestión de sistemas virtualizados en los centros de cómputo de
acuerdo a la filosofía “planificar, hacer, verificar y actuar” de la serie de normas ISO
27000.
Los sistemas virtualizados tipo huésped pueden tener algunos niveles vulnerables
como: en sus operaciones, en su exposición de red o en la información que manejan.
Si una máquina virtual tipo huésped está expuesta a una red pública puede correr el
riesgo de exponer información valiosa en otro huésped en el mismo host.
Cuándo se tenían servidores por host, las interacciones que podría resultar peligrosas
se las controlaban fácilmente mediante el aislamiento físico o lógico. A diferencia de
la virtualización que hace que este aislamiento sea mucho más fácil de vulnerar, ya
que los recursos están compartidos en un solo host.
Los cambios que se puedan dar en la configuración de los servidores o en la red
pueden generar vulnerabilidades tales como: una falla de software sin parches o un
acceso a la red, lo cual podría incurrir en una apropiación del sistema. En cambio, la
47
virtualización amplifica en gran medida estas vulnerabilidades, cuando una
configuración de la máquina virtual vulnerable se replica varias veces en producción.
Si las organizaciones no controlan la implementación de la virtualización de sus
servidores, esto puede aumentar la superficie de ataques sustancialmente y además
que su administración no sea la adecuada.
Este crecimiento desordenado de la virtualización conlleva a consecuencias
importantes tales como:
• Aumentan las exposiciones al riesgo si no se aplican medidas de seguridad
adecuadas y consistentes en todo el entorno virtual.
• Expone a la organización a vulneraciones de licencia de software.
• Introduce, de manera potencial, infracciones del cumplimiento de
regulaciones relacionadas con la gestión de datos privados; con la separación
de sistemas y redes; y con los registros, los recursos y el control de cambios
adecuados.
Las imágenes de las máquinas virtuales son archivo o un conjunto de archivos
almacenados como datos. Estos datos pueden ser copiados y luego ejecutados en un
ambiente no controlado evadiendo protecciones autorizadas. Por esta razón se deben
48
tomar medidas de control sobre el acceso a los sistemas de almacenamiento que
gestionan dichos datos.
Se debe reforzar la protección de privilegios y acciones administrativas, ya que los
privilegios administrativos hacen posible la definición de imágenes de las máquinas
virtuales, su capacidad de recuperación almacenada como datos, el control sobre su
implementación y la gestión en producción.
Se necesita un conocimiento profundo sobre la infraestructura virtual para detectar
factores como la consolidación, la transferencia y la suspensión de máquinas
virtuales, y el control de imágenes de las máquinas virtuales como datos. Sin esta
visibilidad, las acciones administrativas que representan riesgos pueden pasar
inadvertidas. Sin controles específicos de la virtualización, estas acciones también
pueden carecer de gestión.
Las Normas ISO 27000 se enfocan en las normas administrativas de la seguridad en
TI, las mismas que se resumen en: “Planificar, hacer, verificar y actuar”, las
organizaciones tales como Computer Security Institute (CSI) y VMware ofrecen sus
propias pautas para asegurar la gestión de entornos virtualizados.
49
Para, ENTERPRISE MANAGEMENT ASSOCIATES (EMA™) (2010), preparado para RSA, la División de Seguridad de EMC
PLA�IFICAR:
DEFI�ICIÓ� DE U�A CO�FIGURACIÓ� ADECUADA
La seguridad del control administrativo está implícita en los
principios de seguridad fundamentales que se aplican en los entornos virtuales y físicos. La seguridad de la gestión de la virtualización comienza, por lo tanto, asegurando el entorno físico y extendiendo esos principios a la virtualización.
• Limite la exposición que pueda originar accesos de privilegios altos no autorizados.
• Instale herramientas de seguridad personalizadas, como
antimalware, firewall y sistemas de prevención de intrusiones en host.
• Desactive las funciones innecesarias o superfluas. • Reserve los recursos de sistema para los procesos de gestión de
servicios: gestión de parches, cambios, recursos y configuración. • Las configuraciones seguras se deben construir en plantillas
consolidadas para garantizar que cuando se implementen sistemas nuevos, estos se configuren adecuadamente. Esto incluye la configuración del host físico, el hipervisor y cada VM huésped.
La segmentación de red adquiere una dimensión agregada
en los entornos virtualizados, ya que cada una de las VM huésped tiene sus propias conexiones (a las topologías de red lógicas y físicas fuera del host virtualizado, y también dentro del host en sí).
• En la mayoría de los casos, las comunicaciones de red entre las VM huésped se deben aislar. Las tecnologías como VMware vShield Zones pueden limitar el tráfico entre máquinas virtuales y las consiguientes exposiciones al riesgo, lo que extiende los principios de segmentación de red consolidados al mundo virtual.
50
• La conexión a interfaces físicas específicas puede garantizar aún más este aislamiento protector y moderar los riesgos de configuración de software.
La configuración de sistemas de gestión de la virtualización es especialmente importante, ya que estos controlan de manera directa la funcionalidad. VMware vCenter, por ejemplo, brinda gestión centralizada de entornos de VMware y, en consecuencia, debe emplearse cuidadosamente.
• Limite el acceso administrativo al host donde se ejecuta vCenter. vCenter debería ejecutarse en una cuenta administrativa independiente específicamente provista para ese fin.
• Las redes de gestión y producción deberían aislarse mutuamente
para limitar el riesgo de acceso no autorizado a las funcionalidades administrativas.
Cuando el acceso administrativo está autorizado, se debe
aplicar el principio de privilegio mínimo.
• El acceso administrativo debería relacionarse con la responsabilidad individual tanto como sea posible. El acceso a cuentas administrativas compartidas, como root, debería limitarse, mientras que las herramientas como “su” deberían restringirse.
• El control de acceso basado en funciones (RBAC) ofrece una
forma de separar funciones administrativas en funciones individuales que los usuarios autorizados pueden activar cuando es necesario. En el caso de VMware vCenter, la funcionalidad de funciones personalizadas ofrece una manera incorporada de definir y separar los privilegios administrativos según las funciones.
La monitorización del entorno es esencial, principalmente
para monitorizar el acceso y las acciones administrativas, tanto autorizadas como no autorizadas. Las organizaciones deberían planificar la implementación de herramientas de gestión de eventos y tener un conocimiento profundo sobre los riesgos de la virtualización. Esto incluye acceso monitorizado a recursos de almacenamiento de imágenes de VM.
51
• Aquí también, la separación de funciones basada en RBAC debería ayudar a garantizar que aquellos que cuentan con privilegios de acceso administrativo no tengan además la capacidad de alterar la evidencia de las acciones administrativas.
HACER:
SEGURIDAD ADMI�ISTRATIVA E� LAS OPERACIO�ES
Una vez implementada la virtualización, los principios de exposición limitada y privilegio mínimo se deben continuar en la gestión de las operaciones. La exposición a los riesgos de acceso administrativo se puede moderar mediante el uso de las herramientas de gestión más seguras o detalladas, siempre que estén disponibles. • En el entorno VMware, la consola de servicio ESX puede
activar una funcionalidad extremadamente amplia con control limitado. Se puede lograr un mejor control mediante el uso de herramientas mucho más detalladas que aprovechen la funcionalidad vCenter, como PowerCLI y toolkits que usen la API de vSphere.
• Ya que estas herramientas aprovechan vCenter, tambiénhacen
cumplir el control y la monitorización de privilegios centralizados. Además, brindan acceso administrativo basado en funciones mediante las funciones personalizadas de vCenter.
• Una autenticación sólida puede asegurar aún más el acceso al privilegio administrativo. Algunas directivas de cumplimiento de normas, como el estándar de seguridad de datos de PCI, pueden requerir, específicamente, una autenticación de dos factores para el acceso administrativo remoto. Uno de los ejemplos más conocidos de la autenticación de dos factores es la tecnología de contraseñas de un solo uso de RSA SecurID, usada, desde hace tiempo, para asegurar el acceso administrativo en muchas organizaciones de todo el mundo.
52
VERIFICAR:
MO�ITORIZACIÓ� DE ACCIO�ES ADMI�ISTRATIVAS
La creación de funcionalidades de monitorización en la fase
de planificación es esencial, pero debe usarse de manera efectiva en las operaciones. Según el informe de investigaciones sobre vulneraciones de datos de Verizon Business realizado en 20092, el 66% de las víctimas tuvo suficiente evidencia disponible en los datos de registro como para descubrir una vulneración prestando la debida atención al análisis del log. El volumen total de información de monitorización que TI genera resume el problema para muchos. Esta masa de datos es difícil, si no imposible, de manejar sin las herramientas para dar prioridad a las alertas que identifican los riesgos significativos.
Los sistemas de gestión de eventos e información de seguridad (SIEM) son una herramienta primordial para enfrentar estos retos. Sin embargo, para ser más efectivos en la monitorización de la gestión de la virtualización, deben contar con una visibilidad integral:
• Eventos en cualquier entorno. La monitorización debe cubrir eventos que son específicos de la virtualización, pero que afectan la seguridad de la gestión de la virtualización. Por ejemplo:
- Los eventos deben correlacionarse con los cambios de TI. La monitorización del cambio de TI es un principio fundamental de la gestión de TI que fortalece el control de cambios y mejora la fiabilidad de TI. En seguridad, la detección de cambios podría revelar actividad de amenaza.
- Los eventos deben correlacionarse con los accesos
administrativos. Esto puede ayudar a identificar un acceso administrativo no autorizado o un ataque de seguridad que explote el privilegio administrativo. También proporciona una gestión de TI más fiable, dado que ayuda a identificar la causa raíz de problemas de rendimiento o disponibilidad provocados por acciones administrativas.
- El acceso a recursos de almacenamiento que alojan las
imágenes de VM debe monitorizarse para brindar protección contra la implementación o el análisis no autorizados de sistemas virtuales.
53
• Eventos específicos de la virtualización. Las herramientas de monitorización también deben contar con visibilidad en la actividad administrativa exclusiva de la virtualización. Esto es particularmente importante cuando los eventos tienen pocos precedentes, o no los tienen, en el entorno físico.
- Deben monitorizarse las acciones administrativas que producen cambios en el estado de la VM. La detención y el inicio de un servicio en un servidor físico se pueden detectar mediante herramientas convencionales; pero en el caso de los problemas específicos de la virtualización, como suspensión de VM, es posible que no sea así. Las VM también se pueden transferir de un host físico a otro, lo que podría provocar la infracción de una política. En estos casos, la monitorización debe contar con visibilidad dentro de la infraestructura de la virtualización.
- En la mayoría de los casos, la realización de cambios en la
configuración de una VM requiere poner la VM offline y volver a montarla, lo cual no es tan intuitivo como el reinicio de un servidor físico. Cuando los cambios se definen en las imágenes de VM maestras, la monitorización debe garantizar que estos cambios se comiencen a implementar oportunamente. Esto puede ser importante al parchear las vulnerabilidades de seguridad explotadas de manera activa.
- Deben detectarse los intentos no autorizados de copia o
“clonación” de VM para garantizar que la información o los sistemas confidenciales no se expongan fuera del entorno autorizado y controlado.
- El crecimiento desordenado de la virtualización debe
monitorizarse y contenerse para garantizar que la virtualización se gestione de manera adecuada, que los entornos regulados se encuentren bajo control adecuado y que se reduzca la posibilidad de que la exposición al riesgo amplíe la superficie de ataque.
Las herramientas de monitorización también deben contar con visibilidad en la actividad administrativa exclusiva de la virtualización. Esto es particularmente importante cuando los eventos tienen pocos precedentes, o no los tienen, en el entorno físico.
54
Las plataformas SIEM, como RSA enVision®, proporcionan visibilidad dentro de la actividad integral en entornos físicos y virtualizados. Las herramientas de gestión de cambios y configuración de EMC y VMware, como VMware vCenter Server Configuration Manager, ofrecen un conocimiento profundo de la configuración y los cambios conscientes de la virtualización que se puede correlacionar con la monitorización de eventos. Estos son ejemplos de tecnologías que cuentan con visibilidad dentro de la infraestructura de la virtualización, necesaria para garantizar que los problemas específicos de la virtualización no se pasen por alto.
ACTUAR:
LA IMPORTA�CIA DE LA RESPUESTA
Una cosa es monitorizar y otra diferente es actuar, como lo
sugieren las investigaciones sobre vulneraciones de datos. Incluso cuando los sistemas de gestión de eventos se correlacionan e identifican los problemas de alta prioridad, se deben tomar medidas para permitir una respuesta, para evitar que el problema se vuelva a repetir y para asegurar de una mejor manera la gestión de la virtualización en el futuro. Aquí también existen principios generales que se pueden aplicar en cualquier entorno, además de los que son específicos de la virtualización:
• Evalúe la integridad de la respuesta. Cuando se conocen las vulnerabilidades, se debe encontrar y confirmar la exposición en otros entornos. Los sistemas de gestión de configuración no solo pueden verificar su presencia cuando aparece, sino que también pueden corregir directamente las exposiciones mediante un cambio de configuración.
• Adopte un método proactivo. Más allá de la monitorización, la
“revisión” también debe incluir la evaluación regular de la efectividad del programa. Esto ayuda a garantizar que la virtualización se gestione de manera responsable a medida que las tecnologías, los casos de uso y los requerimientos del negocio cambien. Los eventos de cambios que requieren consistentemente excepciones para procesos de gestión aceptados, por ejemplo, pueden requerir una revaluación de esos procesos.
55
• Expanda la “conciencia sobre la virtualización”. Reconozca que la virtualización puede tener un impacto contundente en las disciplinas de gestión existentes, como la gestión de configuración. El entorno virtual es mucho más dinámico que el mundo existente. Las VM se pueden transferir con mucha libertad entre hosts físicos. Los cambios se pueden realizar offline, lo que reduce el impacto de cambio en los entornos de producción; sin embargo, los equipos de operaciones deben garantizar que estos cambios se pongan en producción según lo esperado. Las organizaciones querrán garantizar que las herramientas administrativas cuenten con visibilidad adecuada dentro de la infraestructura de la virtualización a fin de evitar ser tomadas por sorpresa por estos problemas específicos de la virtualización.
• Enlace la infraestructura virtual con la gestión de servicios de TI.
Los sistemas de monitorización pueden crear un ticket de servicio como respuesta a eventos específicos. Esto ayuda a que el seguimiento de incidentes llegue a una conclusión satisfactoria, que puede incluir análisis forense u otro tipo de seguimiento, si es necesario. Por el contrario, un ticket de servicio se puede usar para autorizar un evento de cambio específico, cuyo resultado (satisfactorio o no) se refleje en los sistemas de monitorización (P.4-7).
LOS SISTEMAS I�FORMÁTICOS
Los Sistemas informáticos son un conjunto de elementos conectados o relacionados
por los dispositivos físicos (Hardware) y los lógicos (Software) para almacenar
procesar y tener acceso a la información. En todo sistema informático se introduce la
información a través de los periféricos de entrada, para luego ser procesados y
mostrados por los periféricos de salida.
56
LA I�FORMACIÓ�
Para la Profesora Ana María Muñoz, La información es un
conjunto organizado de datos procesados, que constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje. Desde el punto de vista de la teoría general de sistemas cualquier señal o input capaz de cambiar el estado de un sistema constituye un pedazo de información (P.1).
Según la página, http://www.mfbarcell.es/redes_de_datos/tema_14/redes_t14_seguridad1_conceptos.pdf
La información ISO/IEC 17799
La información es un activo que tiene valor para la organización y requiere una protección adecuada.
La seguridad de la información la protege de un amplio elenco de amenazas para:
• Asegurar la continuidad del negocio, • Minimizar los daños a la organización • Maximizar el retorno de inversiones • Y las oportunidades de negocios.
ISO/IEC 17799 formas de la información
La información adopta diversas formas.
• Puede estar impresa o escrita en papel, • Almacenada electrónicamente, • Transmitida por correo o por medios electrónicos, • Mostrada en filmes o hablada en conversación.
Debería protegerse adecuadamente cualquiera que sea la
forma que tome o los medios por los que se comparta o almacene (P.4-5).
57
La información constituye uno de los activos más importantes de toda organización,
por lo cual debe ser resguardada, respaldada y debidamente asegurada,
implementando todos los controles posibles físicos y lógicos.
SEGURIDAD I�FORMÁTICA
Según, http://definicion.de/seguridad-informatica/
“La seguridad informática es una disciplina que se encarga de proteger la integridad y privacidad de la información almacenada en un sistema informático.”
Gráfico 9
Elaboración: Markus Erb Fuente: http://protejete.wordpress.com/gdr_principal/seguridad_informacion _proteccion/
La certeza de que un sistema sea cien por ciento seguro y que se puedan evitar daños
y problemas ocasionados por intrusos, técnicamente es imposible, por ello se habla de
niveles de seguridad, en donde la seguridad informática es un conjunto de técnicas
encaminadas en obtener altos niveles de seguridad en los sistemas informáticos.
58
IMPORTA�CIA DE PROTEGER LA I�FORMACIÓ�
Como los sistemas informáticos están expuestos a cualquier tipo de ataque, sea este
en el hardware, software o datos, siendo los datos y la información lo más importante
de una organización, deben ser protegidos por las técnicas de seguridad informática,
dedicada a proteger principalmente la confidencialidad, la integridad, la
disponibilidad y la irrefutabilidad de la información.
Gráfico 10
Elaboración: Markus Erb Fuente: http://protejete.wordpress.com/gdr_principal/seguridad_informacion _proteccion/
Confidencialidad: Se refiere a que la información debe ser conocida sólo por
individuos autorizados.
Integridad: Se refiere a que la información no ha sido alterada, borrada, copiada,
reordenada, etc, durante el proceso de transmisión o en su propio equipo de origen.
59
Disponibilidad: La información debe estar disponible en el momento que se
necesite.
Irrefutabilidad: Que no se pueda negar la autoría.
TÉRMI�OS DE LA SEGURIDAD I�FORMÁTICA
Según, http://www.teleinformatica.gob.ve/?p=127
Activo: Recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos. Amenaza: Es un evento que puede desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos. Impacto: Medir la consecuencia al materializarse una amenaza. Riesgo: Es la probabilidad de que suceda la amenaza o evento no deseado. Vulnerabilidad: Son aspectos que influyen negativamente en un activo y que posibilita la materialización de una amenaza. Ataque: Evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema. Desastre o Contingencia: Puede ser un huracán, una tormenta etc. procesamiento de la misma a través de computadoras necesarias para la operación normal de un negocio.
60
Seguridad Física
SEGURIDAD DEPE�DIE�DO DE LA AME�AZA
Dependiendo a las fuentes de amenaza, la seguridad puede ser:
• Seguridad lógica.
• Seguridad física.
LA SEGURIDAD FÍSICA
En la página, http://www.segu-info.com.ar/logica/seguridadlogica.htm
“Así, la Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial”.
Gráfico 11
Elaboración: Alejandro Barros Fuente: http://www.alejandrobarros.com/content/view/502061/Discos-USB-Desafio-para-la-seguridad.html
De nada serviría que las organizaciones sean las más seguras ante ataques externos,
hackers, virus, etc, si la seguridad física es nula y no se ha previsto como combatir un
incendio, en caso de un ataque interno a la empresa que quiera acceder físicamente a
61
la sala de operaciones, etc. Esto puede derivar en que para un atacante sea más fácil
lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica a la misma.
TIPOS DE DESASTRES
Las principales amenazas que se prevén en la seguridad física son: • Desastres naturales.
• Incendios accidentales.
• Tormentas e inundaciones.
• Amenazas ocasionadas por el hombre.
• Disturbios.
• Sabotajes internos y externos deliberados.
Se debe recalcar que las organizaciones no están exentas a cualquier tipo de desastre
ya sea este natural, por alguna amenaza o sabotaje, por lo que se deberían tomar
medidas de seguridad como son los respaldos de información valiosa para la empresa.
LA SEGURIDAD LÓGICA En la página, http://www.segu-info.com.ar/logica/seguridadlogica.htm “La Seguridad Lógica consiste en la aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo".
62
Seguridad Lógica
Gráfico 12
Elaboración: http://www.audienciaelectronica.net/2010/09/24/50-software-utilizado-tienen-problemas-de-seguridad/ Fuente: http://www.audienciaelectronica.net/2010/09/24/50-software-utilizado-tienen-problemas-de-seguridad/ La información debe ser resguardada en todo momento por ser uno de los activos más
valiosos de toda empresa, para ello se debe tomar en cuenta todas las medidas de
seguridad que sean necesarias y así evitar pérdida de datos, robo de información o
cualquier otro delito informático.
OBJETIVOS
En la página, http://www.segu-info.com.ar/logica/seguridadlogica.htm
� Restringir el acceso a los programas y archivos. � Asegurar que los operadores puedan trabajar sin una
supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan.
� Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el procedimiento correcto.
63
� Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro.
� Que la información recibida sea la misma que ha sido transmitida.
� Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.
� Que se disponga de pasos alternativos de emergencia para la transmisión de información.
Estos objetivos son algunos de los que deberían tener en cuenta todas las empresas al
momento de implementar sus políticas de seguridad y así evitarse cualquier
inconveniente con sus sistemas de información.
Implementar buenas políticas de seguridad en todos los niveles permitirá tener un
mejor control de la información que se maneja dentro de una organización.
CO�TROLES DE ACCESO
Según, http://www.nist.gov
�ational Institute for Standars and Technology (�IST) ha resumido los siguientes estándares de seguridad que se refieren a los requisitos mínimos de seguridad en cualquier sistema: • Identificación y Autentificación
Se denomina Identificación al momento en que el usuario se da a conocer en el sistema; y Autenticación a la verificación que realiza el sistema sobre esta identificación.
• Roles
El acceso a la información también puede controlarse a través de la función o rol del usuario que requiere dicho acceso.
• Transacciones
64
También pueden implementarse controles a través de las transacciones, por ejemplo solicitando una clave al requerir el procesamiento de una transacción determinada.
• Limitaciones a los Servicios
Estos controles se refieren a las restricciones que dependen de parámetros propios de la utilización de la aplicación o preestablecidos por el administrador del sistema.
• Modalidad de Acceso
Se refiere al modo de acceso que se permite al usuario sobre los recursos y a la información. Esta modalidad puede ser:
� Lectura: el usuario puede únicamente leer o visualizar la
información pero no puede alterarla. Debe considerarse que la información puede ser copiada o impresa.
� Escritura: este tipo de acceso permite agregar datos,
modificar o borrar información.
� Ejecución: este acceso otorga al usuario el privilegio de ejecutar programas.
� Borrado: permite al usuario eliminar recursos del sistema
(como programas, campos de datos o archivos). El borrado es considerado una forma de modificación.
� Todas las anteriores.
Además existen otras modalidades de acceso especiales, que generalmente se incluyen en los sistemas de aplicación: • Creación: permite al usuario crear nuevos archivos, registros o
campos. • Búsqueda: permite listar los archivos de un directorio
determinado. • Ubicación y Horario
El acceso a determinados recursos del sistema puede estar basado en la ubicación física o lógica de los datos o personas. En cuanto a los horarios, este tipo de controles permite limitar el acceso de los usuarios a determinadas horas de día o a determinados días de la semana.
65
• Control de Acceso Interno
� Palabras Claves (Passwords)
Se podrá, por años, seguir creando sistemas altamente seguros, pero en última instancia cada uno de ellos se romperá por este eslabón: la elección de passwords débiles.
� Encriptación
La información encriptada solamente puede ser desencriptada por quienes posean la clave apropiada.
� Listas de Control de Accesos
Se refiere a un registro donde se encuentran los nombres de los usuarios que obtuvieron el permiso de acceso a un determinado recurso del sistema, así como la modalidad de acceso permitido. Este tipo de listas varían considerablemente en su capacidad y flexibilidad.
� Límites sobre la Interface de Usuario
Esto límites, generalmente, son utilizados en conjunto con las listas de control de accesos y restringen a los usuarios a funciones específicas. Básicamente pueden ser de tres tipos: menús, vistas sobre la base de datos y límites físicos sobre la interface de usuario.
� Etiquetas de Seguridad
Consiste en designaciones otorgadas a los recursos que pueden utilizarse para varios propósitos como control de accesos, especificación de medidas de protección, etc. Estas etiquetas no son modificables.
• Control de Acceso Externo
� Dispositivos de Control de Puertos
Estos dispositivos autorizan el acceso a un puerto determinado y pueden estar físicamente separados o incluidos en otro dispositivo de comunicaciones, como por ejemplo un módem.
66
� Firewalls o Puertas de Seguridad
Permiten bloquear o filtrar el acceso entre dos redes, usualmente una privada y otra externa (por ejemplo Internet). Los firewalls permiten que los usuarios internos se conecten a la red exterior al mismo tiempo que previenen la intromisión de atacantes o virus a los sistemas de la organización.
� Acceso de Personal Contratado o Consultores
Debido a que este tipo de personal en general presta servicios temporarios, debe ponerse especial consideración en la política y administración de sus perfiles de acceso.
� Accesos Públicos
Para los sistemas de información consultados por el público en general, o los utilizados para distribuir o recibir información computarizada (mediante, por ejemplo, la distribución y recepción de formularios en soporte magnético, o la consulta y recepción de información a través del correo electrónico) deben tenerse en cuenta medidas especiales de seguridad, ya que se incrementa el riesgo y se dificulta su administración.
� Administración
Una vez establecidos los controles de acceso sobre los sistemas y la aplicación, es necesario realizar una eficiente administración de estas medidas de seguridad lógica, lo que involucra la implementación, seguimientos, pruebas y modificaciones sobre los accesos de los usuarios de los sistemas.
Todos los controles de acceso tanto internos como externos deben ser
cuidadosamente configurados según el estándar establecido, para que la información
de la empresa no sea vulnerable con la manipulación de los sistemas por parte de los
usuarios sean estos internos, externos o también consultores.
67
�IVELES DE SEGURIDAD I�FORMÁTICA
En la página http://www.segu-info.com.ar/logica/seguridadlogica.htm
El estándar de niveles de seguridad más utilizado internacionalmente es el TCSEC Orange Book, desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del Departamento de Defensa de los Estados Unidos.
Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el mínimo grado de seguridad al máximo.
Estos niveles han sido la base de desarrollo de estándares europeos (ITSEC/ITSEM) y luego internacionales (ISO/IEC).
Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: así el subnivel B2 abarca los subniveles B1, C2, C1 y el D.
� �ivel D
Este nivel contiene sólo una división y está reservada para sistemas que han sido evaluados y no cumplen con ninguna especificación de seguridad.
Sin sistemas no confiables, no hay protección para el hardware, el sistema operativo es inestable y no hay autentificación con respecto a los usuarios y sus derechos en el acceso a la información. Los sistemas operativos que responden a este nivel son MS-DOS y System 7.0 de Macintosh.
• �ivel C1: Protección Discrecional
Se requiere identificación de usuarios que permite el acceso a distinta información. Cada usuario puede manejar su información privada y se hace la distinción entre los usuarios y el administrador del sistema, quien tiene control total de acceso.
Muchas de las tareas cotidianas de administración del sistema sólo pueden ser realizadas por este "súper usuario" quien tiene gran responsabilidad en la seguridad del mismo. Con la actual
68
descentralización de los sistemas de cómputos, no es raro que en una organización encontremos dos o tres personas cumpliendo este rol. Esto es un problema, pues no hay forma de distinguir entre los cambios que hizo cada usuario.
A continuación se enumeran los requerimientos mínimos que debe cumplir la clase C1:
� Acceso de control discrecional: distinción entre usuarios y recursos. Se podrán definir grupos de usuarios (con los mismos privilegios) y grupos de objetos (archivos, directorios, disco) sobre los cuales podrán actuar usuarios o grupos de ellos.
� Identificación y Autentificación: se requiere que un usuario se identifique antes de comenzar a ejecutar acciones sobre el sistema. El dato de un usuario no podrá ser accedido por un usuario sin autorización o identificación.
• �ivel C2: Protección de Acceso Controlado
Este subnivel fue diseñado para solucionar las debilidades del C1. Cuenta con características adicionales que crean un ambiente de acceso controlado. Se debe llevar una auditoria de accesos e intentos fallidos de acceso a objetos.
Tiene la capacidad de restringir aún más el que los usuarios ejecuten ciertos comandos o tengan acceso a ciertos archivos, permitir o denegar datos a usuarios en concreto, con base no sólo en los permisos, sino también en los niveles de autorización.
Requiere que se audite el sistema. Esta auditoría es utilizada para llevar registros de todas las acciones relacionadas con la seguridad, como las actividades efectuadas por el administrador del sistema y sus usuarios.
La auditoría requiere de autenticación adicional para estar seguros de que la persona que ejecuta el comando es quien dice ser. Su mayor desventaja reside en los recursos adicionales requeridos por el procesador y el subsistema de discos.
69
Los usuarios de un sistema C2 tienen la autorización para realizar algunas tareas de administración del sistema sin necesidad de ser administradores.
Permite llevar mejor cuenta de las tareas relacionadas con la administración del sistema, ya que es cada usuario quien ejecuta el trabajo y no el administrador del sistema.
• �ivel B1: Seguridad Etiquetada
Este subnivel, es el primero de los tres con que cuenta el nivel B. Soporta seguridad multinivel, como la secreta y ultra secreta. Se establece que el dueño del archivo no puede modificar los permisos de un objeto que está bajo control de acceso obligatorio.
A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un nivel de seguridad jerárquico (alto secreto, secreto, reservado, etc.) y con unas categorías (contabilidad, nóminas, ventas, etc.).
Cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo y viceversa. Es decir que cada usuario tiene sus objetos asociados.
También se establecen controles para limitar la propagación de derecho de accesos a los distintos objetos.
• �ivel B2: Protección Estructurada
Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto inferior.
La Protección Estructurada es la primera que empieza a referirse al problema de un objeto a un nivel más elevado de seguridad en comunicación con otro objeto a un nivel inferior.
Así, un disco rígido será etiquetado por almacenar archivos que son accedidos por distintos usuarios.
El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y seguridad son modificadas; y el administrador es el encargado de fijar los canales de almacenamiento y ancho de banda a utilizar por los demás usuarios.
70
• �ivel B3: Dominios de Seguridad
Refuerza a los dominios con la instalación de hardware: por ejemplo el hardware de administración de memoria se usa para proteger el dominio de seguridad de acceso no autorizado a la modificación de objetos de diferentes dominios de seguridad.
Existe un monitor de referencia que recibe las peticiones de acceso de cada usuario y las permite o las deniega según las políticas de acceso que se hayan definido.
Todas las estructuras de seguridad deben ser lo suficientemente pequeñas como para permitir análisis y testeos ante posibles violaciones.
Este nivel requiere que la terminal del usuario se conecte al sistema por medio de una conexión segura.
Además, cada usuario tiene asignado los lugares y objetos a los que puede acceder.
• �ivel A: Protección Verificada
Es el nivel más elevado, incluye un proceso de diseño, control y verificación, mediante métodos formales (matemáticos) para asegurar todos los procesos que realiza un usuario sobre el sistema.
Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores deben incluirse. El diseño requiere ser verificado de forma matemática y también se deben realizar análisis de canales encubiertos y de distribución confiable. El software y el hardware son protegidos para evitar infiltraciones ante traslados o movimientos del equipamiento.
Cada nivel de seguridad tiene sus beneficios y desventajas pero si llegamos al
nivel A que incluye a todos los otros niveles, la seguridad sería mejor
controlada y los accesos a los sistemas serían los más apropiados según los
estándares de la ISO.
71
Delitos informáticos
LOS DELITOS I�FORMÁTICOS
Gráfico 13
Elaboración: Brenda Soledad De León Fuente: http://www.seguridadinformatica.es/profiles/blogs/delitos-informaticos-1
Según, Julio Téllez Valdés, Derecho Informático, 2da Edición, Mc Graw Hill – México 1996
Julio Téllez Valdés conceptualiza al delito informático en
forma típica y atípica, entendiendo que en la forma típica son “las conductas típicas, antijurídicas y culpables en que se tienen a las computadoras como instrumento o fin” y la forma atípica “actitudes ilícitas en que se tienen a las computadoras como instrumento o fin”.
Según, María de la Luz Lima, Delitos Electrónicos Pág. 100, Ediciones Porrua - México 1984
María de la Luz Lima indica que el delito electrónico en un
sentido amplio es “cualquier conducta criminógena o criminal que en su realización hace uso de la tecnología electrónica ya sea como método, medio o fin”, y que en un sentido estricto, el delito informático, es “cualquier acto ilícito penal en el que las
72
computadoras, sus técnicas y funciones desempeñan un papel ya sea como método, medio o fin”.
El Convenio de Cyber-delincuencia del Consejo de Europa,
define a los delitos informáticos como “los actos dirigidos contra la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, redes y datos informáticos, así como el abuso de dichos sistemas redes y datos”
Los Delitos informáticos, con los avances tecnológicos, el desarrollo de la
programación y de Internet; se vuelven cada vez más frecuentes, buscando infringir y
causar daño a todo lo que encuentren en el ámbito informático.
En sí todo aquello que se realice a través de una computadora y se tenga a éste como
método, medio o fin con la intención de causar daño a terceros es considerado un
delito informático y el mismo debe ser penalizado y sancionado por la Ley.
CARACTERÍSTICAS DE LOS DELITOS
Según el mexicano Julio Tellez Valdez, perito en los delitos informáticos presenta las siguientes características principales:
- Son conductas criminales de cuello blanco (white collar crime), en tanto que sólo un determinado número de personas con ciertos conocimientos (en este caso técnicos) puede llegar a cometerlas.
- Son acciones ocupacionales, en cuanto a que muchas veces se realizan cuando el sujeto se halla trabajando.
- Son acciones de oportunidad, ya que se aprovecha una ocasión creada o altamente intensificada en el mundo de funciones y organizaciones del sistema tecnológico y económico.
73
- Provocan serias pérdidas económicas, ya que casi siempre producen "beneficios" de más de cinco cifras a aquellos que las realizan.
- Ofrecen posibilidades de tiempo y espacio, ya que en milésimas de segundo y sin una necesaria presencia física pueden llegar a consumarse.
- Son muchos los casos y pocas las denuncias, y todo ello debido a la misma falta de regulación por parte del Derecho.
- Son muy sofisticados y relativamente frecuentes en el ámbito militar.
- Presentan grandes dificultades para su comprobación, esto por su mismo carácter técnico.
- Tienden a proliferar cada vez más, por lo que requieren una urgente regulación. Por el momento siguen siendo ilícitos impunes de manera manifiesta ante la ley.
Estas conductas criminales deben ser tipificadas por la Ley para que no se sigan
dando este tipo de delitos y se puedan realizar las respectivas denuncias y así se
pueda clarificar y sancionar a aquellos que les gusta infringir las leyes ya sea por
juego, orgullo o ánimo de causar daño alguno.
TIPOS DE DELITOS I�FORMÁTICOS RECO�OCIDOS POR �ACIO�ES U�IDAS
• Fraudes cometidos mediante manipulación de ordenadores. • Manipulación de programas. • Manipulación de datos de salida. • Fraude efectuado por manipulación informática o por medio
de dispositivos informáticos. • Falsificaciones informáticas. • Sabotaje informático.
74
• Virus, gusanos y bombas lógicas. • Acceso no autorizado a Sistemas o Servicios de Información. • Reproducción no autorizada de programas informáticos de
protección legal. • Producción / Distribución de pornografía infantil usando
medios telemáticos. • Amenazas mediante correo electrónico. • Juego fraudulento on-line.
FRAUDES COMETIDOS MEDIA�TE MA�IPULACIÓ� DE COMPUTADORAS MA�IPULACIÓ� DE LOS DATOS DE E�TRADA
Este tipo de fraude informático, conocido también como sustracción de datos, representa el delito informático más común ya que es fácil de cometer y difícil de descubrir. Este delito no requiere de conocimientos técnicos de informática y puede realizarlo cualquier persona que tenga acceso a las funciones normales de procesamiento de datos en la fase de adquisición de los mismos. MA�IPULACIÓ� DE PROGRAMAS
Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente debe tener conocimientos técnicos concretos de informática. Este delito consiste en modificar los programas existentes en el sistema de computadoras o en insertar nuevos programas o nuevas rutinas. Un método común utilizado por las personas que tienen conocimientos especializados en programación informática es el denominado Caballo de Troya, que consiste en insertar instrucciones de computadora de forma encubierta en un programa informático para que pueda realizar una función no autorizada al mismo tiempo que su función normal. MA�IPULACIÓ� DE LOS DATOS DE SALIDA
Se efectúa fijando un objetivo al funcionamiento del sistema informático. El ejemplo más común es el fraude de que se hace objeto a los cajeros automáticos mediante la falsificación de instrucciones para la computadora en la fase de adquisición de
75
datos. Tradicionalmente esos fraudes se hacían a base de tarjetas bancarias robadas; sin embargo, en la actualidad se usan ampliamente equipo y programas de computadora especializados para codificar información electrónica falsificada en las bandas magnéticas de las tarjetas bancarias y de las tarjetas de crédito. MA�IPULACIÓ� I�FORMÁTICA APROVECHA�DO REPETICIO�ES AUTOMÁTICAS DE LOS PROCESOS DE CÓMPUTO
Es una técnica especializada que se denomina “técnica del salchichón” en la que “rodajas muy finas” apenas perceptibles, de transacciones financieras, se van sacando repetidamente de una cuenta y se transfieren a otra. FALSIFICACIO�ES I�FORMÁTICAS COMO OBJETO: Cuando se alteran datos de los documentos almacenados en forma computarizada. COMO I�STRUME�TOS: Las computadoras pueden utilizarse también para efectuar falsificaciones de documentos de uso comercial. Cuando empezó a disponerse de fotocopiadoras computarizadas en color a base de rayos láser surgió una nueva generación de falsificaciones o alteraciones fraudulentas. Estas fotocopiadoras pueden hacer copias de alta resolución, pueden modificar documentos e incluso pueden crear documentos falsos sin tener que recurrir a un original, y los documentos que producen son de tal calidad que sólo un experto puede diferenciarlos de los documentos auténticos.
DAÑOS O MODIFICACIO�ES DE PROGRAMAS O DATOS COMPUTARIZADOS SABOTAJE I�FORMÁTICO
Es el acto de borrar, suprimir o modificar sin autorización funciones o datos de computadora con intención de obstaculizar el funcionamiento normal del sistema. Las técnicas que permiten cometer sabotajes informáticos son:
76
Virus informático y Malware
VIRUS
Es una serie de claves programáticas que pueden adherirse a los programas legítimos y propagarse a otros programas informáticos. Un virus puede ingresar en un sistema por conducto de una pieza legítima de soporte lógico que ha quedado infectada, así como utilizando el método del Caballo de Troya.
Gráfico 14
Elaboración: Dr. Santiago Acurio Del Pino Fuente: http://www.oas.org/juridico/spanish/cyb_ecu_delitos_inform.pdf GUSA�OS
Se fabrica de forma análoga al virus con miras a infiltrarlo en programas legítimos de procesamiento de datos o para modificar o destruir los datos, pero es diferente del virus porque no puede regenerarse. En términos médicos podría decirse que un gusano es un tumor benigno, mientras que el virus es un tumor maligno. Ahora bien, las consecuencias del ataque de un gusano pueden ser tan graves como las del ataque de un virus: por ejemplo, un programa gusano que subsiguientemente se destruirá puede dar instrucciones a un sistema informático de un banco para que transfiera continuamente dinero a una cuenta ilícita.
77
Gusano Informático
BOMBA LÓGICA O CRO�OLÓGICA
Exige conocimientos especializados ya que requiere la programación de la destrucción o modificación de datos en un momento dado del futuro. Ahora bien, al revés de los virus o los gusanos, las bombas lógicas son difíciles de detectar antes de que exploten; por eso, de todos los dispositivos informáticos criminales, las bombas lógicas son las que poseen el máximo potencial de daño. Su detonación puede programarse para que cause el máximo de daño y para que tenga lugar mucho tiempo después de que se haya marchado el delincuente. La bomba lógica puede utilizarse también como instrumento de extorsión y se puede pedir un rescate a cambio de dar a conocer el lugar en donde se halla la bomba.
Gráfico 15
Elaboración: Dr. Santiago Acurio Del Pino Fuente: http://www.oas.org/juridico/spanish/cyb_ecu_delitos_inform.pdf ACCESO �O AUTORIZADO A SERVICIOS Y SISTEMAS I�FORMÁTICOS
Por motivos diversos: desde la simple curiosidad, como en el caso de muchos piratas informáticos (hackers) hasta el sabotaje o espionaje informático.
78
Phishing
PIRATAS I�FORMÁTICOS O HACKERS
El acceso se efectúa a menudo desde un lugar exterior, situado en la red de telecomunicaciones, recurriendo a uno de los diversos medios que se mencionan a continuación. El delincuente puede aprovechar la falta de rigor de las medidas de seguridad para obtener acceso o puede descubrir deficiencias en las medidas vigentes de seguridad o en los procedimientos del sistema. A menudo, los piratas informáticos se hacen pasar por usuarios legítimos del sistema; esto suele suceder con frecuencia en los sistemas en los que los usuarios pueden emplear contraseñas comunes o contraseñas de mantenimiento que están en el propio sistema.
Gráfico 16
Elaboración: Dr. Santiago Acurio Del Pino Fuente: http://www.oas.org/juridico/spanish/cyb_ecu_delitos_inform.pdf REPRODUCCIÓ� �O AUTORIZADA DE PROGRAMAS I�FORMÁTICOS DE PROTECCIÓ� LEGAL
Esta puede entrañar una pérdida económica sustancial para los propietarios legítimos. Algunas jurisdicciones han tipificado como delito esta clase de actividad y la han sometido a
79
sanciones penales. El problema ha alcanzado dimensiones transnacionales con el tráfico de esas reproducciones no autorizadas a través de las redes de telecomunicaciones modernas. Al respecto, consideramos, que la reproducción no autorizada de programas informáticos no es un delito informático debido a que el bien jurídico a tutelar es la propiedad intelectual.
La necesidad de regular esta conducta criminógena ha hecho que algunos países,
contemplen en sus Leyes sanciones, para penalizar los delitos informáticos y de esta
manera enfrentarlos, para que de algún modo baje el índice delictivo en este tipo de
ilícitos.
Buscando que los delitos informáticos no queden impunes y sin ser sancionados o
penalizados tanto en nuestro medio como a nivel internacional, es indispensable que
se tipifiquen en la Ley.
Según el estudio realizado por Silvia Delgado y Laura Guachizaca podemos observar
en los siguientes cuadros estadísticos los delitos que más se cometieron hasta el año
2007 en 10 países de América (Chile, Venezuela, Ecuador, EEUU, Costa Rica,
Argentina, Bolivia, México, Perú, Brasil) y 8 países de Europa (España, Italia,
Austria, Francia, Gran Bretaña, Holanda, Inglaterra):
80
1. En el gráfico 17 podemos observar que en 8 países americanos el delito más
sancionado es el de la Ley de Propiedad Intelectual, esto se debe a que se copian
programas sin la autorización de sus respectivos propietarios. El sabotaje
informático y el fraude le siguen en los delitos más cometidos.
Gráfico 17
PAÍSES AMERICA�OS
Elaboración: Silvia Delgado - Laura Guachizaca Fuente: http://www.utpl.edu.ec/eccblog/wp-content/uploads/2007/04/articulo-tecnico-analisis-de-la-influencia-de-los-delitos-informaticos-e-implementacion-de-politicas_silviadelgado.pdf
81
2. En el gráfico 18 podemos observar que en Europa 7 de esos países consideran un
delito informático a aquellos que mediante la manipulación de las computadoras
cometieren algún fraude, mientras que el resto de delitos se da en menor cantidad.
Gráfico 18
PAÍSES EUROPEOS
Elaboración: Silvia Delgado - Laura Guachizaca Fuente: http://www.utpl.edu.ec/eccblog/wp-content/uploads/2007/04/articulo-tecnico-analisis-de-la-influencia-de-los-delitos-informaticos-e-implementacion-de-politicas_silviadelgado.pdf
82
3. En el gráfico 19 podemos observar que el Ecuador es el tercer país en el que más
se cometen delitos informáticos, después de Venezuela y Costa Rica.
Gráfico 19
DELITOS MÁS SA�CIO�ADOS E� AMÉRICA
Elaboración: Silvia Delgado - Laura Guachizaca
Fuente: http://www.utpl.edu.ec/eccblog/wp-content/uploads/2007/04/articulo-tecnico-analisis-de-la-influencia-de-los-delitos-informaticos-e-implementacion-de-politicas_silviadelgado.pdf
83
4. En el gráfico 20 podemos observar que en Europa, tanto en España como en Italia
se cometen la mayor cantidad de delitos informáticos.
Gráfico 20
DELITOS MÁS SA�CIO�ADOS E� EUROPA
Elaboración: Silvia Delgado - Laura Guachizaca Fuente: http://www.utpl.edu.ec/eccblog/wp-content/uploads/2007/04/articulo-tecnico-analisis-de-la-influencia-de-los-delitos-informaticos-e-implementacion-de-politicas_silviadelgado.pdf
84
DE�U�CIAS DE DELITOS I�FORMÁTICOS
Santiago Acurio, Director Nacional de Tecnologías de la Información de la Fiscalía,
aseguró que existen muchos casos que se han dado con frecuencia en nuestro medio,
pero que las denuncias son muy poco comunes.
Según las estadísticas de la Fiscalía, estas revelan que, en el 2008, hubo 1461
denuncias por causa de delitos informáticos. De estas, el 95% se registró en la
provincia del Guayas, es decir 1264, de las cuales, hubo 364 desestimaciones, 72
instrucciones fiscales y, de este número, se registraron cuatro sentencias: dos
condenatorias y dos absolutorias.
Hasta junio de 2009, las acusaciones casi se mantuvieron en el mismo margen, pues
se presentaron 89 casos de delitos informáticos, de los cuales 54 corresponden a la
provincia del Guayas; 18, a Santa Elena y 4, a Pichincha.
Acurio explicó que el 90% de personas que cometen este tipo de faltas son empleados
de los bancos. En otros casos, son ingenieros en sistemas que han investigado sobre el
tema y han perfeccionado sus estafas. En muchos casos, este grupo de personas no se
encarga de extraer el dinero, sino que negocia los datos con los cuales se pueden
acceder a las cuentas de los clientes.
85
En la fiscalía de delitos misceláneos hasta Agosto del 2010 se han registrado 221
indagaciones de las que se han abierto 10 instrucciones fiscales, de ese total el 80%
corresponde a la apropiación ilícita, delitos que provienen del robo, clonación y robo
de dinero a través de las tarjetas de crédito violentando las claves. Sin embargo, estos
casos se tratan como apropiación indebida penalizada en el Código Penal.
DELÍTOS I�FORMÁTICOS E� MÁQUI�AS VIRTUALES
De los delitos informáticos mencionados y entre los más importantes que podrían
darse en las máquinas virtuales, los mismos que fueron corroborados por
especialistas en virtualización y peritos en los delitos informáticos, analizados con
respecto a las vulnerabilidades que estas presentan, tenemos:
� Violentar claves o sistemas de seguridad.
Este delito informático puede ser sancionado, basándose en el artículo 202 con Título
II: de los delitos contra las garantías Constitucionales y la igualdad racial. Cap.V. de
los delitos contra la inviolabilidad del secreto en el Código de procesamiento Penal
como: ACCESOS NO AUTORIZADOS y si fuera con la reforma a la Ley en el
Artículo 59.- A continuación del Artículo 202, sería sancionado como DELITOS
CONTRA LA INFORMACIÓN PROTEGIDA, VIOLACIÓN DE CLAVES O
SISTEMAS DE SEGURIDAD.
86
� Robo de información contenida en máquinas virtuales.
Este delito informático se lo podría sancionar, basándose en el Artículo 553 con
Título V. de los delitos contra la seguridad pública. Cap. II:- del ROBO en el Código
de procesamiento Penal, sancionado en las leyes ecuatorianas como:
APROPIACIÓN ILÍCITA y si fuera con la reforma a la Ley Artículo 63.- A
continuación del artículo 553 del Código Penal, debería ser sancionado como:
FRAUDE INFORMÁTICO.
� Que maliciosamente y fraudulentamente se borre o dañe una máquina
virtual.
Este delito informático se puede sancionar, basándose en Artículo 415 del Tíitulo V.
de los delitos contra la seguridad pública. Cap. VII:- del incendio y otras
destrucciones, de los deterioros y daños en el código de Procesamiento Penal,
sancionado en las leyes ecuatorianas como: DAÑOS INFORMÁTICOS Y
SABOTAJE INFORMÁTICO y si fuera con la reforma a la Ley Artículo 62.- A
continuación del Art. 415 del Código Penal debería ser sancionado como: DAÑOS
INFORMÁTICOS.
� Robo de una máquina virtual.
Este delito informático puede ser sancionado, basándose en el Artículo 553 con
Título V. de los delitos contra la seguridad pública. Cap. II:- del ROBO en el Código
87
de procesamiento Penal, sancionado en las leyes ecuatorianas como:
APROPIACIÓN ILÍCITA, y si fuera con la reforma a la Ley Artículo 63.- A
continuación del artículo 553 del Código Penal, debería ser sancionado como:
FRAUDE INFORMÁTICO.
� Acceder remotamente a una máquina virtual vulnerando sus seguridades.
Este tipo de delito informático realizado por hackers, se puede sancionar, basándose
en el artículo 202 con Título II: de los delitos contra las garantías Constitucionales y
la igualdad racial. Cap.V. de los delitos contra la inviolabilidad del secreto en el
Código de procesamiento Penal como: ACCESOS NO AUTORIZADOS y si fuera
con la reforma a la Ley en el Artículo 59.- A continuación del Artículo 202, sería
sancionado como DELITOS CONTRA LA INFORMACIÓN PROTEGIDA,
VIOLACIÓN DE CLAVES O SISTEMAS DE SEGURIDAD.
PREGU�TAS A CO�TESTARSE
¿Cómo afecta el desconocimiento de las vulnerabilidades que puedan tener las máquinas virtuales VMware frente a los riesgos de seguridad en el Área de Sistemas de una Organización? ¿De qué manera afecta el desconocimiento de las vulnerabilidades que podrían tener las Máquinas Virtuales en una organización y provocar perjuicios en sus infraestructuras y/o costos por ataques maliciosos?
88
¿Cómo contribuye a las empresas y comunidad tecnológica, el estudio de los delitos informáticos en máquinas virtuales de microcomputadoras, ya que su uso se está extendiendo por la optimización de recursos? ¿Cómo se podrían contrarrestar los delitos informáticos, en las máquinas virtuales VMware, siendo un aporte a la Seguridad Informática? ¿Cómo se podría robustecer las seguridades de una máquina virtual VMware, conociendo sus vulnerabilidades, para que las personas maliciosas no puedan cometer delito alguno?
VARIABLES DE LA I�VESTIGACIÓ�
VARIABLE I�DEPE�DIE�TE
Estudio de las vulnerabilidades en las tecnologías de virtualización con VMware en
microcomputadoras.
VARIABLE DEPE�DIE�TE
Determinar los posibles delitos informáticos que puedan afectar a los sistemas
virtualizados VMware en microcomputadoras.
89
DEFI�ICIO�ES CO�CEPTUALES
Vulnerabilidad.
En seguridad informática, la palabra vulnerabilidad hace referencia a una debilidad en
un sistema permitiendo a un atacante violar la confidencialidad, integridad,
disponibilidad, control de acceso y consistencia del sistema o de sus datos y
aplicaciones.
Microcomputadora.
Una microcomputadora es un tipo de computadora que utiliza un microprocesador
como unidad central de procesamiento (CPU). Generalmente son computadoras que
ocupan espacios físicos pequeños, comparadas a sus predecesoras históricas, las
mainframes y las minicomputadoras.
Mainframe.
Ordenador central o microordenador. Son ordenadores de gran capacidad que se
utilizan para grandes operaciones como las realizadas en banca.
Virtualización.
En computación, la virtualización es un medio para crear una versión virtual de un
dispositivo o recurso, como un servidor, un dispositivo de almacenamiento, una red o
incluso un sistema operativo, donde se divide el recurso en uno o más entornos de
90
ejecución.
Tubo de vacío.
La válvula electrónica, también llamada válvula termoiónica, válvula de vacío, tubo
de vacío o bulbo, es un componente electrónico utilizado para amplificar, conmutar, o
modificar una señal eléctrica mediante el control del movimiento de los electrones en
un espacio "vacío" a muy baja presión, o en presencia de gases especialmente
seleccionados. La válvula electrónica fue el componente crítico que posibilitó el
desarrollo de la electrónica durante la primera mitad del siglo XX, incluyendo la
expansión y comercialización de la radiodifusión, televisión, radar, audio, redes
telefónicas, computadoras analógicas y digitales, control industrial, etc. Algunas de
estas aplicaciones son anteriores a la válvula, pero vivieron un crecimiento explosivo
gracias a ella.
Transistor.
Dispositivo compuesto de un material semiconductor que amplifica una señal o abre
o cierra un circuito. Inventado en 1947 en Bell Labs, los transistores se han vuelto el
principal componente de todos los circuitos digitales, incluidos las computadoras. En
la actualidad los microprocesadores contienen millones de transistores microscópicos.
Previo a la invención de los transistores, los circuitos digitales estaban compuestos de
tubos vacíos, lo cual tenía muchas desventajas. Eran más grandes, requerían más
91
memoria y energía, generaban más calor y eran más propensos a fallas. Los
transistores cumplen las fuciones de amplificador, oscilador, conmutador o
rectificador.
Circuito integrado.
Un circuito integrado (CI), es una pastilla pequeña de material semiconductor, de
algunos milímetros cuadrados de área, sobre la que se fabrican circuitos electrónicos
generalmente mediante fotolitografía y que está protegida dentro de un encapsulado
de plástico o cerámica. El encapsulado posee conductores metálicos apropiados para
hacer conexión entre la pastilla y un circuito impreso.
Microprocesador.
Microchip más importante en una computadora, es considerado el cerebro de una
computadora. Está constituido por millones de transistores integrados.
Este dispositivo se ubica en un zócalo especial en la placa madre y dispone de
un sistema de enfriamiento (generalmente un ventilador).
Lógicamente funciona como la unidad central de procesos (CPU), que está
constituida por registros, la unidad de control y la unidad aritmético-lógica.
En el microprocesador se procesan todas las acciones de la computadora.
92
Su "velocidad" es medida por la cantidad de operaciones por segundo que puede
realizar: la frecuencia de reloj. La frecuencia de reloj se mide en MHz (megahertz) o
gigahertz(GHz).También dispone de una memoria caché (medida en kilobytes),
y un ancho de bus (medido en bits).
El primer microprocesador comercial fue el Intel 4004, presentado el 15 de
noviembre de 1971. Actualmente las velocidades de procesamiento son miles de
veces más grandes que los primeros microprocesadores. También comienzan a
integrarse múltiples procesadores para ampliar la capacidad de procesamiento. Se
estima que para 2010 vendrán integrados hasta 80 núcleos en un microprocesador,
son llamados procesadores multi-core.
Dispositivo. Aparato, artificio, mecanismo, artefacto, órgano, elemento de un sistema.
Son estructuras sólidas, electrónicas y mecanicas las cuales son diseñadas para un uso
específico, estos se conectan entre sí para crear una conexión en común y obtener los
resultados esperados siempre y cuando cumplan con las reglas de configuración.
En las computadoras los distintos dispositivos conectados a ellas deben ser
reconocidos por el sistema operativo y para ello se utilizan controladores (drivers).
CD ROM.
Disco compacto con gran capacidad de almacenamiento de información que se lee
mediante un sistema láser.
93
Monousuario.
(mono: uno, usuario). Sistema operativo o aplicación que solamente puede ser usado
por un único usuario en un determinado momento.
Multiusuario.
Cualquier hardware o software que tiene la capacidad de soportar múltiples usuarios.
Programa.
Un programa es un conjunto de instrucciones escritas en algún lenguaje de
programación. El programa debe ser compilado o interpretado para poder ser
ejecutado y así cumplir su objetivo.
Tooking-Ring.
Token Ring es una arquitectura de red desarrollada por IBM en los años 1970 con
topología lógica en anillo y técnica de acceso de paso de testigo. Token Ring se
recoge en el estándar IEEE 802.5. En desuso por la popularización de Ethernet;
actualmente no es empleada en diseños de redes. (red en anillo). Tipo de LAN con los
nodos cableados en anillo.
Ethernet.
Tecnología para redes de área local (LAN) basada en tramas de datos, desarrollada al
principio por Xerox, y tiempo después se le unieron DEC e Intel. Fue aceptada como
94
estándar por la IEEE.
Hardware.
En computación, término inglés que hace referencia a cualquier componente físico
tecnológico, que trabaja o interactúa de algún modo con la computadora. No sólo
incluye elementos internos como el disco duro, CD-ROM, disquetera, sino que
también hace referencia al cableado, circuitos, gabinete, etc. E incluso hace referencia
a elementos externos como la impresora, el mouse, el teclado, el monitor y demás
periféricos.
El hardware contrasta con el software, que es intangible y le da lógica al hardware
(además de ejecutarse dentro de éste).
Software.
En computación, el software -en sentido estricto- es todo programa o aplicación
programado para realizar tareas específicas. El término "software" fue usado por
primera vez por John W. Tukey en 1957.
Algunos autores prefieren ampliar la definición de software e incluir también en la
definición todo lo que es producido en el desarrollo del mismo.
La palabra "software" es un contraste de "hardware"; el software se ejecuta dentro del
95
hardware.
Usuario.
En informática, un usuario es un individuo que utiliza una computadora, sistema
operativo, servicio o cualquier sistema informático. Por lo general es una única
persona.
Un usuario generalmente se identifica frente al sistema o servicio utilizando un
nombre de usuario (nick) y a veces una contraseña, este tipo es llamado usuario
registrado.
Aplicación.
Programa informático que permite a un usuario utilizar una computadora con un fin
específico. Las aplicaciones son parte del software de una computadora, y suelen
ejecutarse sobre el sistema operativo.
Una aplicación de software suele tener un único objetivo: navegar en la web, revisar
correo, explorar el disco duro, editar textos, jugar (un juego es un tipo de aplicación),
etc. Una aplicación que posee múltiples programas se considera un paquete.
Son ejemplos de aplicaciones Internet Explorer, Outlook, Word, Excel, WinAmp, etc.
96
Seguridad informática.
La seguridad informática es una disciplina que se relaciona a diversas técnicas,
aplicaciones y dispositivos encargados de asegurar la integridad y privacidad de la
información de un sistema informático y sus usuarios.
Técnicamente es imposible lograr un sistema informático ciento por ciento seguro,
pero buenas medidas de seguridad evitan daños y problemas que pueden ocasionar
intrusos.
Ataque malicioso.
Intento organizado y deliberado de una o más personas para causar daño o problemas
a un sistema informático o red. Los ataques en grupo suelen ser hechos por bandas de
piratas informáticos por diversión, para causar daño, buenas (relativamente buenas)
intenciones, espionaje, obtención de ganancias, etc. Los blancos preferidos suelen ser
los sistemas de grandes corporaciones o estados, pero ningún usuario de internet u
otras redes está exento.
Probablemente el primer ataque informático masivo de la historia se produjo un
viernes 13 de 1989, cuando una revista informática regaló disquetes de promoción,
pero estaban infectados con un virus. El virus afectó a cientos de empresas y
particulares.
97
Actualmente los ataques suelen afectar principalmente a internet, pero también
afectan otras redes como las de telefonía, redes Wi-Fi, redes de área local de
empresas, etc.
Hackers.
Experto en informática capaz de entrar en sistemas cuyo acceso es restringido, sin
tener necesariamente con malas intenciones. No obstante, el término se identifica con
el de delincuente informático, e incluye a los cibernautas que realizan operaciones
delictivas a través de las redes de computadores existentes. Entre la comunidad de
“hackers” se identifica a estos últimos con el término de “crackers”.
Virus.
Fragmentos de código que se introducen en los ordenadores sin que el usuario note su
presencia. Provocan efectos dañinos de diversa índole, desde afectar al rendimiento
hasta borrar toda la información del disco, se ocultan y pueden tener la capacidad de
propagarse a otros ordenadores.
Control de acceso.
(access control). Es la habilidad de permitir o denegar el uso de un recurso particular
a una entidad en particular.
Los mecanismos para el control de acceso pueden ser usados para cuidar recursos
físicos (ej: acceso a una habitación donde hay servidores), recursos lógicos (ej: una
cuenta de banco, de donde solo determinadas personas pueden extraer dinero) o
98
recursos digitales (ej: un archivo informático que sólo puede ser leído, pero no
modificado).
Password.
Contraseña. Conjunto de caracteres que permite acceder a un determinado contenido
en la red o que sirve para discriminar el acceso de los usuarios.
Encriptación.
(Cifrado, codificación). La encriptación es el proceso para volver ilegible información
considera importante. La información una vez encriptada sólo puede leerse
aplicándole una clave.
Se trata de una medida de seguridad que es usada para almacenar o transferir
información delicada que no debería ser accesible a terceros. Pueden ser contraseñas,
nros. de tarjetas de crédito, conversaciones privadas, etc.
Para encriptar información se utilizan complejas fórmulas matemáticas y para
desencriptar, se debe usar una clave como parámetro para esas fórmulas.
El texto plano que está encriptado o cifrado se llama criptograma.
Descencriptación.
Recuperación del contenido original de una información cifrada con anterioridad.
Interface.
99
Circuito electrónico que gobierna la conexión entre dos dispositivos de hardware y
los ayuda a intercambiar información de manera confiable. Es sinónimo de Puerto.
Puertos.
Adaptador de un ordenador al cual se fijan las unidades periféricas, como la
impresora o el módem.
TCSEC.
Los TCSEC (Trusted Computer Security Evaluation Criteria) definidas por el
Departamento de Defensa de EEUU (comúnmente conocido como el Libro Naranja).
Suministra especificaciones de seguridad relativas a sistemas operativos y sistemas
gestores de bases de datos.
Sistema operativo.
(Operating System). Sistema tipo software que controla la computadora y administra
los servicios y sus funciones como así también la ejecución de otros programas
compatibles con éste.
Ejemplos de familias de sistemas operativos: Windows, Unix, Linux, DOS, Mac OS,
etc.
Un sistema operativo permite interactuar con el hardware de computadoras, teléfonos
celulares, PDAs, etc. y ejecutar programas compatibles en éstos.
Permite controlar las asignaciones de memoria, ordenar las solicitudes al sistema,
controlar los dispositivos de entrada y salida, facilitar la conexión a redes y el manejo
de archivos.
100
ITSEC.
El ITSEC (Information Technology Security Evaluation Criteria) que es el
equivalente europeo del Libro Naranja, pero más moderno y con mayor alcance que
aquél. Se conoce comúnmente como Libro Blanco.
Criterios de Evaluación de Seguridad en Tecnologías de la Información.
Los Criterios de Evaluación de Seguridad en Tecnologías de la Información (CESTI),
también conocidos por sus siglas en inglés ITSEC (Information Technology Security
Evaluation Criteria), son un conjunto de criterios para evaluar la seguridad
informática de productos y sistemas.Los CESTI fueron publicados
en mayo de 1990 por la RFA, Francia, los Países Bajos y el Reino Unido, basándose
en trabajos anteriores existentes en las naciones mencionadas. A partir de la profunda
revisión internacional a que fueron sometidos, la Comisión Europea publicó la
versión 1.2 en junio de 1991, para su uso operativo en los esquemas de evaluación y
certificación.
Criterios de Evaluación de la Seguridad en las Tecnologías de la Información, título
de un documento publicado por la Comisión Europea, en el que se describe un
conjunto determinado de criterios de evaluación de la seguridad de las TI que ha sido
oficialmente recomendado por el Consejo de la Unión Europea para su utilización en
la realización de evaluaciones en toda la Unión Europea y que también es usado en
otros países.
101
ITSEM.
Manual de Evaluación de la Seguridad en las Tecnologías de la Información, título de
un documento técnico suscrito por el SOG-IS y publicado por la Comisión Europea,
que establece un conjunto determinado de métodos de evaluación de la seguridad de
las TI.
ISO.
(International Organization for Standardization - Organización Internacional para la
Estandarización). Su nombre ISO significa "igual" en griego. Fue fundada en el año
1946 y unifica a más de cien países. Se encarga de crear estándares o normas
internacionales.
Tipo de formato de imagen de CDs, DVDs, etc.
Imagen ISO es un archivo donde se almacena una copia o imagen exacta de un
sistema de ficheros, normalmente un disco óptico. Se rige por el estándar ISO 9660
que le da nombre. Algunos de los usos más comunes incluyen la distribución de
sistemas operativos, tales como sistemas Linux, BSD o Live CDs.
IEC.
Conector IEC es el nombre común para un conjunto de trece conectores de
alimentación eléctrica (denominados el conector en las especificaciones) y trece
paneles de enchufe (denominados la entrada) definidos por la especificación IEC
102
60320 (anteriormente IEC 320) de la International Electrotechnical Commission
(IEC). Cuando se usa sin otros calificadores, "conector IEC" por lo general se refiere
específicamente a los conectores C13 y C14.
La Comisión Electrotécnica Internacional (CEI o IEC, por sus siglas del idioma
inglés International Electrotechnical Commission) es una organización de
normalización en los campos eléctrico, electrónico y tecnologías relacionadas.
Numerosas normas se desarrollan conjuntamente con la ISO (normas ISO/IEC).
La CEI, fundada en 1904 durante el Congreso Eléctrico Internacional de San Luis
(EEUU), y cuyo primer presidente fue Lord Kelvin, tenía su sede en Londres hasta
que en 1948 se trasladó a Ginebra. Integrada por los organismos nacionales de
normalización, en las áreas indicadas, de los países miembros, en 2003 pertenecían a
la CEI más de 60 países.
A la CEI se le debe el desarrollo y difusión de los estándares para algunas unidades
de medida, particularmente el gauss, hercio y weber; así como la primera propuesta
de un sistema de unidades estándar, el sistema Giorgi, que con el tiempo se
convertiría en el sistema internacional de unidades.
En 1938, el organismo publicó el primer diccionario internacional (International
Electrotechnical Vocabulary) con el propósito de unificar la terminología eléctrica,
esfuerzo que se ha mantenido durante el transcurso del tiempo, siendo el Vocabulario
Electrotécnico Internacional un importante referente para las empresas del sector.
103
Dominio de seguridad.
(domain) Website (lugar del ciberespacio) que organiza un servidor de acuerdo al
rango que ocupa, (números IP que son de su propiedad y solo este servidor ocupa,
cede y maneja).
Testeo.
(Software testing, prueba del software). Es el proceso empleado para identificar la
correctitud, completitud, seguridad y calidad en el desarrollo de un software para
computadoras.
El proceso de testeo es una investigación técnica que intenta revelar información de
calidad acerca del producto de software con respecto al contexto en donde operará.
El testo de un producto de software es uno de los pasos más complejos e importantes
en el desarrollo de software. Esto incluye el proceso de encontrar errores en el
software; pero el testeo no sólo se limita a eso. El testeo o prueba de un software se
relaciona a atributos como la fiabilidad, eficiencia, portabilidad, escalabilidad,
mantenibilidad, compatibilidad, usabilidad y capacidad del mismo.
Delito.
El delito informático implica cualquier actividad ilegal que encuadra en figuras
tradicionales ya conocidas como robo, hurto, fraude, falsificación, perjucio, estafa y
104
sabotaje, pero siempre que involucre la informática de por medio para cometer la
ilegalidad.
Antijurídico.
Que es contra derecho.
Criminógena.
Tendencias conducentes a la delincuencia
Tecnología.
La tecnología es un concepto amplio que abarca un conjunto de técnicas,
conocimientos y procesos, que sirven para el diseño y construcción de objetos para
satisfacer necesidades humanas.
En la sociedad, la tecnología es consecuencia de la ciencia y la ingeniería, aunque
muchos avances tencológicos sean posteriores a estos dos conceptos.
La palabra tecnología proviene del griego tekne (técnica, oficio) y logos (ciencia,
conocimiento).
Ilícito.
No permitido legalmente.
105
Cyber delincuencia.
Se entienden las «actividades delictivas realizadas con ayuda de redes de
comunicaciones y sistemas de información electrónicos o contra tales redes y
sistemas.
Máquina virtual.
En informática una máquina virtual es un software que emula a una computadora y
puede ejecutar programas como si fuese una computadora real. Este software en un
principio fue definido como "un duplicado eficiente y aislado de una máquina física".
La acepción del término actualmente incluye a máquinas virtuales que no tienen
ninguna equivalencia directa con ningún hardware real.
CPD.
Se denomina centro de procesamiento de datos (CPD) a aquella ubicación donde se
concentran todos los recursos necesarios para el procesamiento de la información de
una organización. También se conoce como centro de cómputo en Iberoamérica, o
centro de cálculo en España o centro de datos por su equivalente en inglés data center.
Dichos recursos consisten esencialmente en unas dependencias debidamente
acondicionadas, computadoras y redes de comunicaciones.
106
Pool.
Conjunto de usuarios de uno o diferentes modelos de palets comunes. Se trata de
palets de multiples rotaciones que pueden ser intercambiados por los miembros del
pool. Por ejemplo, los utilizadores del palet EUR.
En computación, se denomina connection pool (agrupamiento de conexiones) al
manejo de una colección de conexiones abiertas a una base de datos de manera que
puedan ser reutilizadas al realizar múltiples consultas o actualizaciones.
Aislamiento.
Acción y efecto de aislar - Sistema o dispositivo que impide la transmisión de la
electricidad, el calor, el sonido, etc.
Servidor.
En redes, computadora central en un sistema de red que provee servicios a otras
computadoras.
En internet, los servidores son los proveedores de todos sus servicios, incluyendo la
WWW (las páginas web), el FTP, el correo electrónico, los grupos de noticias, etc.
Plataforma.
(platform). En informática, determinado software y/o hardware con el cual una
aplicación es compatible y permite ejecutarla.
107
Una plataforma es, por ejemplo, un sistema operativo, un gran software que sirve
como base para ejecutar determinadas aplicaciones compatibles con este. También
son plataformas la arquitectura de hardware, los lenguajes de programación y sus
librerías en tiempo de ejecución, las consolas de videojuegos, etc.
Uniformidad.
Igualdad, semejanza.
Si se tienen diversos archivos con la información relacionada dentro de la
organización, es probable que cada uno tenga un formato diferente, lo cual dificulta
su comparación. El uso de bases de datos permite información en un formato común.
Estandarización.
Se conoce como estandarización al proceso mediante el cual se realiza una actividad
de manera standard o previamente establecida. El término estandarización proviene
del término standard, aquel que refiere a un modo o método establecido, aceptado y
normalmente seguido para realizar determinado tipo de actividades o funciones. Un
estándar es un parámetro más o menos esperable para ciertas circunstancias o
espacios y es aquello que debe ser seguido en caso de recurrir a algunos tipos de
acción.
108
Encapsular.
El encapsulamiento es el proceso por el cual los datos que se deben enviar a través de
una red se deben colocar en paquetes que se puedan administrar y rastrear. El
encapsulado consiste pues en ocultar los detalles de implementación de un objeto,
pero a la vez se provee una interfaz pública por medio de sus operaciones permitidas.
Considerando lo anterior también se define el encapsulado como la propiedad de los
objetos de permitir el acceso a su estado únicamente a través de su interfaz o de
relaciones preestablecidas con otros objetos.
VMware.
Subsidiaria de EMC Corporation, es una empresa que provee software de
virtualización para computadoras compatibles x86, donde se destacan sus productos
VMware Workstation, y los gratuitos VMware Server y VMware Player.
El software de VMware se ejecuta en Microsoft Windows, Linux y Mac OS X.
Guest.
Suele ser el nombre de la cuenta pública de un sistema, y puede utilizarla cualquiera
que no tiene una propia. Cuenta pública de un sistema para acceder a recursos de red.
(Huésped) Palabra clave utilizada comúnmente para obtener archivos públicos de una
computadora llamada host (anfitrión), que es el servidor donde se encuentran los
archivos.
109
Hypervisor.
Un Hypervisor es una capa que se sitúa por encima del Hardware y por debajo del
Sistema Operativo del Host. Entonces, cuando el Hypervisor es desplegado, tanto el
Sistema Operativo Padre (parent) como el Sistema Operativo Hijo (child) ambos
instalados en particiones separadas, éstos tienen igual acceso al hardware.
�IC.
Network Information Center. Organismo que se encarga en cada país de asignar las
direcciones IP y los nombres de dominio a los computadores conectados a Internet.
Linux.
Sistema Operativo desarrollado por Linus Torvald, de la Universidad de Helsinki en
Finlandia, con el fin de facilitar a los usuarios de computadores personales un sistema
operativo, de libre distribución, compatible con Unix. Para desarrollar el sistema se
usó un sistema de cooperación y prueba a nivel mundial, a través de la Internet.
Utilizado para denominar a un servidor conectado a Internet.
FU�DAME�TACIÓ� FILOSÓFICA
PRAGMATISMO Según, http://www.eumed.net/libros/2007b/288/53.htm
110
Pragmatismo, doctrina filosófica desarrollada por los filósofos estadounidenses del siglo XIX Charles Sanders Peirce, William James y otros, según la cual la prueba de la verdad de una proposición es su utilidad práctica; el propósito del pensamiento es guiar la acción, y el efecto de una idea es más importante que su origen. El pragmatismo fue la primera filosofía de Estados Unidos desarrollada de forma independiente. Se opone a la especulación sobre cuestiones que no tienen una aplicación práctica. Afirma que la verdad está relacionada con el tiempo, lugar y objeto de la investigación y que el valor es inherente tanto por sus medios como por sus fines.
Hoy en día las organizaciones están sometidas a cambiar su infraestructura y
plataformas, por los diversos beneficios que los avances tecnológicos brindan, pero
sin embargo no todas están al nivel de hacerlo, en la mayoría de los casos desconocen
los beneficios que la virtualización les pueden aportar.
La virtualización se debe basar en un proceso que denote el tiempo en que una
organización estaría acorde para su aplicación, mediante el cual el personal de
sistemas se apropia de los conocimientos, ventajas, desventajas y funcionalidad
comprometiendo la implementación integra en la virtualización de sus equipos.
El proceso de la virtualización tiene como objetivo principal establecer los diferentes
beneficios que otorgan a las organizaciones, bajar los costos, seguridad, factibilidad,
disponibilidad, redundancia, etc, bajo estos parámetros, la virtualización debe ser
considerada como segura.
111
FILOSOFÍA DE LA TEC�OLOGÍA
Según, http://es.wikipedia.org/wiki/Filosof%C3%ADa_de_la_tecnolog%C3%ADa “La filosofía de la tecnología es una rama de la filosofía dedicada a estudiar la naturaleza de la tecnología y sus efectos sociales”.
Hoy en día nos damos cuenta que la ciencia y la tecnología no nos dan las respuestas,
sino que nos generan nuevas interrogantes, que aún están sin respuesta.
Pero también podemos decir que algunas de las tecnologías nuevas, que se están
dando en estos últimos tiempos, aparte de generar nuevas interrogantes, nos dan
tiempo para pensar en las respuestas a las interrogantes anteriores. Es así como la
tecnología incide de manera primordial sobre nuestra vida futura.
Según, http://www.oei.es/publicaciones/temas01.htm
La filosofía de la tecnología, o filosofía de la técnica, es hoy
un importante campo de trabajo en el panorama académico internacional. Como subdisciplina filosófica, se ha convertido en una materia autónoma con sus propias tradiciones, sus revistas especializadas y sus nombres destacados. Asimismo, la filosofía de la tecnología constituye un ámbito de reflexión relativamente reciente si lo comparamos con otros temas de interés filosófico como la ciencia, el arte o la política. Aunque posee tradiciones consolidadas, ha sido en las últimas décadas cuando ha adquirido relevancia académica y atención pública. Este hecho no es independiente de la reafirmación de tendencias antiesencialistas en parte de la filosofía contemporánea, ni de la transformación de las sensibilidades sociales respecto al cambio tecnológico.
112
Al desarrollar o perfeccionar la virtualización, son principios filosóficos, si
entendemos que la filosofía en la tecnología la trata como una técnica importante,
serán entonces causas de que las organizaciones opten por virtualizar sus servicios,
diremos que debe tener una línea correcta filosófica.
FU�DAME�TACIÓ� LEGAL
LEY DE COMERCIO ELECTRÓ�ICO, ME�SAJES DE DATOS Y FIRMAS
ELECTRÓ�ICAS PUBLICADA E� LA LEY �O. 67. DEL REGISTRO OFICIAL. SUPLEME�TO 557 DE 17 DE ABRIL DEL 2002.
Gráfico 21
SA�CIO�ES PARA LOS DELITOS I�FORMÁTICOS E� EL ECUADOR
Elaboración: Silvia Delgado - Laura Guachizaca Fuente: http://www.utpl.edu.ec/eccblog/wp-content/uploads/2007/04/articulo-tecnico-analisis-de-la-influencia-de-los-delitos-informaticos-e-implementacion-de-politicas_silviadelgado.pdf
113
CÓDIGO DE PROCEDIMIE�TO PE�AL Y CÓDIGO DE PROCEDIMIE�TO CIVIL
En la siguiente tabla se muestra la reforma al Código de Procedimiento Penal de
acuerdo a las especificaciones contempladas en el Título Quinto, de las Infracciones
Informáticas en la Ley de Comercio Electrónico, Firmas Digitales y Mensajes de
Datos:
CUADRO 1
DELITOS I�FORMÁTICOS
DELITOS I�FORMATICOS REPRESIO� MULTAS
Art. 58 Delitos contra la información protegida (Art. 202). - Violentare claves o sistemas de seguridad, para accede u obtiene información protegida. - Seguridad nacional, o a secretos comerciales o industriales. - Divulgación o utilización fraudulenta de la información protegida. - Divulgación o utilización fraudulenta por custodios de la información. - Obtención y utilización no autorizada de la información.
6 meses a 1 año
1 a 3 años
3 a 6 años
6 a 9 años
2 meses a 2 años
$500 - $1000
$1.000 - $1500
$2.000 - $10.000
$2.000 - $10.000
$1.000 - $2.000
Art. 59 Destrucción maliciosa de documentos (Art. 262)
3 a 6 años ---
Art. 60 Falsificación electrónica (Art. 353)
3 a 6 años ---
114
Art. 61 Daños informáticos (Art. 415) - Daño dolosamente, servicio público o vinculado con la defensa nacional. - Si no se tratare de un delito mayor.
6 meses a 3 años 3 a 5 años
8 meses a 4 años
$60 – $150 $200 - $600 $200 - $600
Art. 62 Apropiación ilícita (Art. 553) - Utilizare fraudulentamente Sistemas de información o redes electrónicas. - Uso de medios (claves, tarjetas magnéticas, otros instrumentos
6 meses a 5 años 1 a 5 años
$500 - $1000 $1.000 - $2.000
Art. 63 Estafa (Art. 563) 5 años $500 - 1.000 Art. 64 Contravenciones de tercera clase (Art. 606)
2 a 4 días $7 - $14
Elaboración: Johnny Villavicencio Fuente: Ley de Comercio Electrónico, Firmas electrónicas y mensajes de datos (P 17 -19), Código de Procedimiento Penal.
LOS ARTÍCULOS
ART. 58 DELITOS CO�TRA LA I�FORMACIÓ� PROTEGIDA.
Art. 202 A):- El que empleando cualquier medio electrónico, informático o afín, violentare claves o sistemas de seguridad, para acceder u obtener información protegida, contenida en sistemas de información; para vulnerar el secreto, confidencialidad y reserva, o simplemente vulnerar la seguridad, será reprimido con prisión de seis meses a un año y multa de quinientos a mil dólares de los Estados Unidos de �orteamérica.
Si la información obtenida se refiere a seguridad nacional, o a secretos comerciales o industriales, la pena será de uno a tres años de prisión y multa de mil a mil quinientos dólares de los Estados Unidos de �orteamérica.
La divulgación o la utilización fraudulenta de la información protegida, así como de los secretos comerciales o
115
industriales, serán sancionadas con pena de reclusión menor ordinaria de tres a seis años y multa de dos mil a diez mil dólares de los Estados Unidos de �orteamérica.
Si la divulgación o la utilización fraudulenta se realizan por parte de la persona o personas encargadas de la custodia o utilización legítima de la información, éstas serán sancionadas con pena de reclusión menor de seis a nueve años y multa de dos mil a diez mil dólares de los Estados Unidos de �orteamérica.
Art. 202 B) Obtención y utilización no autorizada de información? La persona o personas que obtuvieren información sobre datos personales para después cederla, publicarla, utilizarla o transferirla a cualquier título, sin la autorización de su titular o titulares, serán sancionadas con pena de prisión de dos meses a dos años y multa de mil a dos mil dólares de los Estados Unidos de �orteamérica."
ART. 59 DESTRUCCIÓ� MALICIOSA DE DOCUME�TOS.
Art...- 262.- Serán reprimidos con tres a seis años de reclusión menor, todo empleado público y toda persona encargada de un servicio público, que hubiere maliciosa y fraudulentamente, destruido o suprimido documentos, títulos, programas, datos, bases de datos, información o cualquier mensaje de datos contenido en un sistema de información o red electrónica, de que fueren depositarios, en su calidad de tales, o que les hubieren sido encomendados sin razón de su cargo".
ART. 60 FALSIFICACIÓ� ELECTRÓ�ICA.
Art. 353. A) Falsificación electrónica.- Son reos de falsificación electrónica la persona o personas que con ánimo de lucro o bien para causar un perjuicio a un tercero, utilizando cualquier medio; alteren o modifiquen mensajes de datos, o la información incluida en éstos, que se encuentre contenida en cualquier soporte material, sistema de información o telemático, ya sea: 1.- Alterando un mensaje de datos en alguno de sus elementos o requisitos de carácter formal o esencial;
116
2.- Simulando un mensaje de datos en todo o en parte, de manera que induzca a error sobre su autenticidad; y, 3.- Suponiendo en un acto la intervención de personas que no la han tenido o atribuyendo a las que han intervenido en el acto, declaraciones o manifestaciones diferentes de las que hubieren hecho. El delito de falsificación electrónica será sancionado de acuerdo a lo dispuesto en este Capítulo ART. 61 DAÑOS I�FORMÁTICOS
Art. 415 A) Daños informáticos? El que dolosamente, de cualquier modo o utilizando cualquier método, destruya, altere, inutilice, suprima o dañe, de forma temporal o definitiva, los programas, datos, bases de datos, información o cualquier mensaje de datos contenido en un sistema de información o red electrónica, será reprimido con prisión de seis meses a tres años y multa de sesenta a ciento cincuenta dólares de los Estados Unidos de �orteamérica.
La pena de prisión será de tres a cinco años y multa de doscientos a seiscientos dólares de los Estados Unidos de �orteamérica, cuando se trate de programas, datos, bases de datos, información o cualquier mensaje de datos contenido en un sistema de información o red electrónica, destinada a prestar un servicio público o vinculada con la defensa nacional.
Art. 415 B) Si no se tratare de un delito mayor, la destrucción, alteración o inutilización de la infraestructura o instalaciones físicas necesarias para la transmisión, recepción o procesamiento de mensajes de datos, será reprimida con prisión de ocho meses a cuatro años y multa de doscientos a seiscientos dólares de los Estados Unidos de �orteamérica.". ART. 62 APROPIACIÓ� ILÍCITA.
Art. 553 A) Apropiación ilícita.- Serán reprimidos con prisión de seis meses a cinco años y multa de quinientos a mil dólares de los Estados Unidos de �orteamérica, los que utilizaren fraudulentamente sistemas de información o redes electrónicas, para facilitar la apropiación de un bien ajeno, o los que procuren la transferencia no consentida de bienes, valores o derechos de una persona, en perjuicio de ésta o de un tercero, en beneficio suyo o de otra persona alterando, manipulando o modificando el
117
funcionamiento de redes electrónicas, programas informáticos, sistemas informáticos, telemáticos o mensajes de datos.
Art. 553 B) La pena de prisión de uno a cinco años y multa de mil a dos mil dólares de los Estados Unidos de �orteamérica, si el delito se hubiere cometido empleando los siguientes medios: 1. Inutilización de sistemas de alarma o guarda; 2. Descubrimiento o descifrado de claves secretas o encriptadas; 3. Utilización de tarjetas magnéticas o perforadas; 4. Utilización de controles o instrumentos de apertura a distancia; y, 5. Violación de seguridades electrónicas, informáticas u otras semejantes.".
ART. 63 ESTAFAS.
Segundo Inciso del Art. 563.- Será sancionado con el máximo de la pena prevista en el inciso anterior y multa de quinientos a mil dólares de los Estados Unidos de �orteamérica, el que cometiere el delito utilizando medios electrónicos o telemáticos.".
ART. 64 CO�TRAVE�CIO�ES DE TERECERA CLASE.
A continuación del numeral 19 del artículo 606 añádase el siguiente:
Los que violaren el derecho a la intimidad, en los términos
establecidos en la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos.".
TIPOS DE DELITOS I�FORMÁTICOS EXISTE�TES E� LA LEGISLACIÓ� ECUATORIA�A
Según, Dr. Santiago Acurio Del Pino - Fiscalía General Del Estado (2010)
Los delitos que aquí se describen se encuentran como
reforma al Código Penal por parte de la Ley de Comercio Electrónicos, Mensajes de Datos y Firmas Electrónicas publicada
118
en Ley �o. 67. Registro Oficial. Suplemento 557 de 17 de Abril del 2002.
CUADRO 2 DELITOS CO�TRA LA I�FORMACIÓ� PROTEGIDA:
VIOLACIÓ� DE CLAVES O SISTEMAS DE SEGURIDAD
TITULO DEL CÓDIGO PE�AL DESCRIPCIÓ�
Título II: DE LOS DELITOS CONTRA LAS GARANTIAS CONSTITUCIONALES Y LA IGUALDAD RACIAL.
Cap. V. De los Delitos Contra la inviolabilidad
del secreto.
Empleo de cualquier medio electrónico, informático o afín. · Violentare claves o sistemas de seguridad · Acceder u obtener información protegida contenida en sistemas de información · Vulnerar el secreto, confidencialidad y reserva · Simplemente vulnerar la seguridad ·PRISION 6 MESES A UN AÑO MULTA 500 A 1000 USD · Agravantes dependiendo de la información y del sujeto activo
TIPOS PE�ALES
Artículo 59.- A continuación del Art. 202, inclúyanse los siguientes artículos innumerados:
Artículo....- El que empleando cualquier medio electrónico, informático o afín, violentare claves o sistemas de seguridad, para acceder u obtener información protegida, contenida en sistemas de información; para vulnerar el secreto, confidencialidad y reserva, o simplemente vulnerar la seguridad, será reprimido con prisión de seis meses a un año y multa de quinientos a mil dólares de los Estados Unidos de Norteamérica.
Si la información obtenida se refiere a
seguridad nacional, o a secretos
comerciales o industriales, la pena será de
Artículo...- Obtención y utilización
no autorizada de Información.- La
persona o personas que obtuvieren
información sobre datos personales
para después cederla, publicarla,
utilizarla o transferirla a cualquier
título, sin la autorización de su titular o
titulares, serán sancionadas con pena
de prisión de dos meses a dos años y
multa de mil a dos mil dólares de los
Estados Unidos de Norteamérica.
119
uno a tres años de prisión y multa de mil a mil
quinientos dólares de los Estados Unidos de
Norteamérica.
La divulgación o la utilización fraudulenta de
la información protegida, así como de los
secretos comerciales o industriales, serán
sancionadas con pena de reclusión menor
ordinaria de tres a seis años y multa de dos mil
a diez mil dólares de los Estados Unidos de
Norteamérica.
Si la divulgación o la utilización fraudulenta se
realizan por parte de la persona o
personas encargadas de la custodia o
utilización legítima de la información, éstas
serán sancionadas con pena de reclusión menor
de seis a nueve años y multa de dos mil a diez
mil dólares de los Estados Unidos de
Norteamérica.
Elaboración: Dr. Santiago Acurio Fuente:http://www.alfa-redi.com/apc-aa-alfaredi/img_upload/9507fc6773bf8321fcad954b7a344761/acurio1.pdf
CUADRO 3 DELITOS CO�TRA LA I�FORMACIÓ� PROTEGIDA:
DESTRUCCIÓ� O SUPRESIÓ� DE DOCUME�TOS, PROGRAMAS.
TITULO DEL CÓDIGO PE�AL DESCRIPCIÓ�
TITULO III. DE LOS DELITOS CONTRA LA ADMINISTRACION PÚBLICA. Cap. V. De la Violación de los deberes de Funcionarios Públicos, de la Usurpación de Atribuciones y de los Abusos de Autoridad
Empleado Público
· Persona encargada de un servicio Público · Que maliciosamente y fraudulentamente · DESTRUYA O SUPRIMA:
120
· Documentos, títulos, programas, datos, bases de datos, información, mensajes de datos contenidos en un sistema o red electrónica. · RECLUSION MENOR 3 A 6 AÑOS
TIPOS PE�ALES
Artículo 60.- Sustitúyase el Art. 262 por el siguiente: “Serán reprimidos con 3 a seis años de reclusión menor, todo empleado público y toda persona encargada de un servicio público, que hubiere maliciosa y fraudulentamente, destruido o suprimido documentos, títulos, programas, datos, bases de datos, información o cualquier mensaje de datos contenido en un sistema de información o red electrónica, de que fueren depositarios, en su calidad de tales, o que les hubieren sido encomendados en razón de su cargo.
Elaboración: Dr. Santiago Acurio Fuente:http://www.alfa-redi.com/apc-aa-alfaredi/img_upload/9507fc6773bf8321fcad954b7a344761/acurio1.pdf
CUADRO 4 DAÑOS I�FORMÁTICOS
TITULO DEL CÓDIGO PE�AL
DESCRIPCIÓ�
Titulo V. DE LOS DELITOS CONTRA LA SEGURIDAD PÚBLICA. Cap. VII: Del incendio y otras destrucciones, de los deterioros y daños
-Dolosamente, de cualquier modo o utilizando cualquier método destruya, altere, inutilice, suprima o dañe de forma temporal o definitiva:
-Programas, datos, bases de datos, información o cualquier mensaje de datos contenido en un sistema de información o red electrónica.
-Inutilización de la infraestructura para
121
la transmisión de datos.
PRISIÓN 6 MESES A 3 AÑOS, MULTA DE 60 A 150 USD
TIPOS PE�ALES
Artículo 62.- A continuación del Art. 415 del Código Penal, inclúyanse los siguientes artículos innumerados:
Art - Daños informáticos.- El que dolosamente, de cualquier modo o utilizando cualquier método, destruya, altere, inutilice, suprima o dañe, de forma temporal o definitiva, los programas, datos, bases de datos, información o cualquier mensaje de datos contenido en un sistema de información o red electrónica, será reprimido con prisión de seis meses a tres años y multa de sesenta a ciento cincuenta dólares de los Estados Unidos de Norteamérica.
La pena de prisión será de tres a cinco años y multa de doscientos a seis cientos dólares de los Estados Unidos de Norteamérica, cuando se trate de programas, datos, bases de datos, información o cualquier mensaje de datos contenido en un sistema de información o red electrónica, destinada a prestar un servicio público o vinculado con la defensa nacional.
Artículo Innumerado - Si no se tratare de un delito mayor, la destrucción, alteración o inutilización de la infraestructura o instalaciones físicas necesarias para la transmisión, recepción o procesamiento de mensajes de datos, será reprimida con prisión de ocho meses a cuatro años y multa de doscientos a seis cientos dólares de los Estados Unidos de Norteamérica.
Elaboración: Dr. Santiago Acurio Fuente:http://www.alfa-redi.com/apc-aa-alfaredi/img_upload/9507fc6773bf8321fcad954b7a344761/acurio1.pdf
122
CUADRO 5
FRAUDE I�FORMÁTICO TITULO DEL CÓDIGO PE�AL
DESCRIPCIÓ�
Titulo X. De los Delitos contra la Propiedad. Cap. II. Del Robo.
Cap. V De las Estafas y otras defraudaciones.
- Utilización fraudulenta de sistemas de información o redes electrónicas. - PRISION 6 MESES A 5 AÑOS - MULTA 500 A 1000 USD Y SI EMPLEA LOS SIGUIENTES MEDIOS:
- Inutilización de sistemas de alarma o guarda. - Descubrimiento o descifrado de claves secretas o encriptadas. - Utilización de tarjetas magnéticas o perforadas. - Utilización de controles o instrumentos de apertura a distancia, y, - Violación de seguridades electrónicas - PRISION 1 A 5 AÑOS MULTA 1000 A 2000 USD
TIPOS PE�ALES
Artículo 63.- A continuación del artículo 553 del Código Penal, añádanse los siguientes artículos innumerados: Art. Inn.-Apropiación Ilícita.- Serán reprimidos con prisión de seis meses a cinco años y multa de quinientos a mil dólares de los Estados Unidos de Norteamérica, los que utilizaren fraudulentamente sistemas de información o redes electrónicas, para facilitar la apropiación de un bien ajeno, o los que procuren la transferencia no consentida de bienes, valores o derechos de una persona, en perjuicio de ésta o de un tercero, en beneficio suyo o de otra persona alterando, manipulando o modificando el funcionamiento de redes electrónicas, programas informáticos, sistemas informáticos, telemáticos o mensajes de datos.
Art. Inn.- La pena será de prisión de uno a cinco años y multa de mil a dos mil dólares de los Estados Unidos de Norteamérica, si el delito se hubiere cometido empleando los siguientes medios:
1.- Inutilización de sistemas de alarma o guarda; 2.- Descubrimiento o descifrado de claves secretas o encriptadas; 3.- Utilización de tarjetas magnéticas o perforadas; 4.- Utilización de controles o instrumentos de apertura a distancia; 5.- Violación de seguridades electrónicas, informáticas u otras semejantes.
123
Artículo 64.- Añádase como segundo inciso del artículo 563 del Código Penal el siguiente: Será sancionado con el máximo de la pena prevista en el inciso anterior y multa de quinientos a mil dólares de los Estados Unidos de Norteamérica, el que cometiere el delito utilizando medios electrónicos o telemáticos.
Elaboración: Dr. Santiago Acurio Fuente:http://www.alfa-redi.com/apc-aa-alfaredi/img_upload/9507fc6773bf8321fcad954b7a344761/acurio1.pdf
Hasta la presente fecha en que se ha realizado el proyecto de tesis sólo se ha dado la
reforma a lo expuesto por el Presidente Constitucional de la República del Ecuador
Rafael Correa Delgado, quien decretó las reformas a la Ley de Comercio
Electrónico, Firmas Electrónicas y Mensajes de Datos No. 67 del Registro Oficial.
Suplemento 557 del 17 de Abril del 2002, según el REGISTRO OFICIAL Año II –
Quito, Lunes 6 de Octubre del 2008 – Nro. 440.
Esta reforma a la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de
Datos, sólo contempla regulaciones para las telecomunicaciones que les permitan
promover políticas que susciten y fortalezcan el desarrollo y aplicación efectiva del
comercio electrónico.
124
TÍTULO II DERECHOS
CAPÍTULO PRIMERO PRI�CIPIOS DE APLICACIÓ� DE LOS DERECHOS
SECCIÓ� II COMU�ICACIÓ� E I�FORMACIÓ�
Art. 16.- Todas las personas, en forma individual o colectiva, tienen derecho a:
1. Una comunicación libre, intercultural, incluyente, diversa y participativa, en todos los ámbitos de la interacción social, por cualquier medio y forma, en su propia lengua y con sus propios símbolos.
2. El acceso universal a las tecnologías de información y comunicación.
3. La creación de medios de comunicación social, y al acceso en igualdad de condiciones al uso de las frecuencias del espectro radioeléctrico para la gestión de estaciones de radio y televisión públicas, privadas y comunitarias, y a bandas libres para la explotación de redes inalámbricas.
4. El acceso y uso de todas las formas de comunicación visual, auditiva, sensorial y a otras que permitan la inclusión de personas con discapacidad.
5. Integrar los espacios de participación previstos en la Constitución en el campo de la comunicación.
Art. 18.- Todas las personas, en forma individual o colectiva, tienen derecho a: 1. Buscar, recibir, intercambiar, producir y difundir información
veraz, verificada, oportuna, contextualizada, plural, sin censura previa acerca de los hechos, acontecimientos y procesos de interés general, y con responsabilidad ulterior.
2. Acceder libremente a la información generada en entidades públicas, o en las privadas que manejen fondos del Estado o realicen funciones públicas. �o existirá reserva de información
125
excepto en los casos expresamente establecidos en la ley. En caso de violación a los derechos humanos, ninguna entidad pública negará la información.
TÍTULO VII
RÉGIME� DEL BUE� VIVIR SECCIÓ� PRIMERA
EDUCACIÓ�
Que el artículo 350 de la Constitución de la República del Ecuador señala que el sistema de educación superior tiene como finalidad la formación académica y profesional con visión científica y humanista; la investigación científica y tecnológica; la innovación, promoción, desarrollo y difusión de los saberes y las culturas; la construcción de soluciones para los problemas del país, en relación con los objetivos del régimen de desarrollo.
SECCIÓ� OCTAVA
CIE�CIA, TEC�OLOGÍA, I��OVACIÓ� Y SABERES A�CESTRALES
Art.385. El sistema nacional de ciencia, tecnología, innovación y saberes ancestrales, en el marco del respeto al ambiente, la naturaleza, la vida, las culturas y la soberanía, tendrá como finalidad:
• Generar, adaptar y difundir conocimientos científicos y tecnológicos.
• Recuperar, fortalecer y potenciar los saberes ancestrales. • Desarrollar tecnologías e innovaciones que impulsen la
producción nacional, eleven la eficiencia y productividad, mejoren la calidad de vida y contribuyan a la realización del buen vivir. Art. 386.- El sistema comprenderá programas, políticas,
recursos, acciones, e incorporará a instituciones del Estado,
126
universidades y escuelas politécnicas, institutos de investigación públicos y particulares, empresas públicas y privadas, organismos no gubernamentales y personas naturales o jurídicas, en tanto realizan actividades de investigación, desarrollo tecnológico, innovación y aquellas ligadas a los saberes ancestrales.
El Estado, a través del organismo competente, coordinará el sistema, establecerá los objetivos y políticas, de conformidad con el Plan �acional de Desarrollo, con la participación de los actores que lo conforman.
Art. 387.- Será responsabilidad del Estado: 1. Facilitar e impulsar la incorporación a la sociedad del conocimiento para alcanzar los objetivos del régimen de desarrollo. 2. Promover la generación y producción de conocimiento, fomentar la investigación científica y tecnológica, y potenciar los saberes ancestrales, para así contribuir a la realización del buen vivir, al sumak kawsay. 3. Asegurar la difusión y el acceso a los conocimientos científicos y tecnológicos, el usufructo de sus descubrimientos y hallazgos en el marco de lo establecido en la Constitución y la Ley. 4. Garantizar la libertad de creación e investigación en el marco del respeto a la ética, la naturaleza, el ambiente, y el rescate de los conocimientos ancestrales. 5. Reconocer la condición de investigador de acuerdo con la Ley.
127
CAPÍTULO III
METODOLOGÍA
MODALIDAD DE LA I�VESTIGACIÓ� Este proyecto de investigación tiene la modalidad de un proyecto bibliográfico,
que permite realizar los estudios teóricos, y recolectar información importante,
para concientizar dentro de la temática de una propuesta, según las variables
planteadas.
La función básica del método consiste en ser un instrumento que permita dar
pautas a aquello que se desea hacer: para ello, el método científico se va
perfeccionando en la práctica de la investigación científica.
MÉTODO CIE�TÍFICO.
“Según MSc. Pacheco, Oswaldo, (1999), expresa: “El método científico es un conjunto de procedimientos lógicamente sistematizados que el investigador utiliza para descubrir y enriquecer la ciencia” (Pág. 36)
Este método es un proceso destinado a explicar el procedimiento que se llevará a
cabo en esta investigación, cuyos resultados serán aceptados como válidos por la
comunidad organizacional, el profesional de sistemas no debe olvidar las
seguridades que deben ser consideradas al momento de implementar cualquier
tipo de infraestructura.
128
La actitud del profesional de sistemas no puede ser objeto de improvisación, debe ser
planificada y estudiada con un criterio ingenioso, mediante una metodología que le
permita obtener los resultados esperados.
MÉTODO I�DUCTIVO
Es un proceso de razonamiento lógico que nos lleva de lo particular a lo general o de
una parte a un todo, empezando con la observación de casos particulares para luego
comparar con propiedades, características y relaciones eficaces de las diferentes
etapas en los objetos del conocimiento; se abstrae, se generaliza y se llega al
establecimiento de las reglas y leyes científicas.
MÉTODO DEDUCTIVO
Este proceso va de lo general a lo particular o de lo complejo a lo simple presentando
conceptos, principios, reglas, definiciones, operaciones y fórmulas a partir de las
cuales se analiza, sintetiza, compara, generaliza y demuestra.
Es con la investigación realizada que se va acumulando información de a cuerdo a la
metodología adoptada, y esto lleva a resolver el problema real de las vulnerabilidades
en tecnologías de virtualización en una organización, elevando los niveles de
seguridad ante delitos informáticos que puedan darse en las máquinas virtuales,
descubriendo la existencia de procesos y resultados de la investigación.
El proyecto objeto de estudio, de acuerdo a las características y objetivos propuestos
por el problema, están enmarcados en la modalidad cualitativa, y como bibliográfico.
129
TIPOS DE I�VESTIGACIÓ�
La investigación , de acuerdo con Sabino (2000), se define
como “un esfuerzo que se emprende para resolver un problema , claro está, un problema de conocimiento” (p. 47), por su lado Cervo y Bervian (1989) la definen como “una actividad encaminada a la solución de problemas . Su Objetivo consiste en hallar respuesta a preguntas mediante el empleo de procesos científicos ” (p. 41).
Los tipos de investigación que se utilizaron para el desarrollo de esta
investigación son los siguientes:
I�VESTIGACIÓ� DE CAMPO
Según, http://es.wikipedia.org/wiki/Investigaci%C3%B3n
Se trata de la investigación aplicada para comprender y resolver alguna situación, necesidad o problema en un contexto determinado. El investigador trabaja en el ambiente natural en que conviven las personas y las fuentes consultadas, de las que obtendrán los datos más relevantes a ser analizados, son individuos, grupos y representaciones de las organizaciones científicas no experimentales dirigidas a descubrir relaciones e interacciones entre variables sociológicas, psicológicas y educativas en estructuras sociales reales y cotidianas.
Porque sirve para analizar que tanto conocimiento hay en nuestro medio
relevante al problema de las vulnerabilidades en las máquinas virtuales Vmware
si estas existieran y que Delitos Informáticos se pueden aplicar a estas, utilizando
las encuestas y entrevistas. Trabajando en la fuente misma de la investigación.
130
I�VESTIGACIÓ� DESCRIPTIVA
Según, http://tgrajales.net/investipos.pdf
Trabaja sobre realidades de hecho y su característica fundamental es la de presentar una interpretación correcta. Esta puede incluir los siguientes tipos de estudios: Encuestas, Casos, Exploratorios, Causales, De Desarrollo, Predictivos, De Conjuntos, De Correlación.
Porque sirve para analizar con mayor detenimiento las vulnerabilidades que puedan
tener las máquinas virtuales VMware, para llegar a conocer las debilidades que éstas
poseen en sus seguridades permitiendo ataques informáticos.
I�VESTIGACIÓ� DIAG�ÓSTICA
Según, http://mmalicea.tripod.com/proyecto/investprelim.htm
La investigación diagnóstica es la investigación preliminar que se realiza para determinar cuál es el problema o necesidad de un usuario, nos permite mejorar la información acerca del tema que se está investigando; ya que nos ayuda a entender la naturaleza del problema, definir el alcance, las restricciones y/o limitaciones de un sistema.
Porque permite diagnosticar el problema o necesidad que se está tratando como en
este caso la verificación de las vulnerabilidades que puedan tener las máquinas
virtuales VMware ante ataques de cualquier índole informática.
131
I�VESTIGACIÓ� BIBLIOGRÁFICA
Según, http://www.monografias.com/trabajos74/investigacion-bibliografica/investigacion-bibliografica.shtml
La investigación bibliográfica constituye una excelente
introducción a todos los otros tipos de investigación, además de que constituye una necesaria primera etapa de todas ellas, puesto que ésta proporciona el conocimiento de las investigaciones ya existentes teorías, hipótesis, experimentos, resultados, instrumentos y técnicas usadas acerca del tema o problema que el investigador se propone investigar o resolver. Para algunos autores, la investigación bibliográfica es una amplia búsqueda de información sobre una cuestión determinada, que debe realizarse de un modo sistemático, pero no analiza los problemas que esto implica. Otros autores la conciben como el proceso de búsqueda de información en documentos para determinar cuál es el conocimiento existente en un área particular.
Es decir que la investigación bibliográfica es el proceso que se encarga de la
búsqueda de información en fuentes como libros, citas, textos, internet, etc. sobre un
tema que el investigador está averiguando para determinar el nivel de conocimiento
que existe sobre un tema en particular.
132
POBLACIÓ� Y MUESTRA
Según, D-ONOFRE (citado por Andino, Yépez, 1999)
Es el conjunto agregado del número de elementos, con caracteres comunes, en un espacio y tiempo determinados sobre los cuales se pueden realizar observaciones (p. 117, 118) En otras palabras la población es el conjunto de todos los sujetos en los que se desea estudiar un hecho o fenómeno. Módulo de tutoría.
La muestra está constituida por un conjunto de personas de los departamentos de
sistemas que componen el sector empresarial de la ciudad de Guayaquil, en el ámbito
bancario, comercial y de servicios en general, tales como: bancos, empresas de
soporte tecnológico, empresas de tecnología, centros comerciales, empresas de
telecomunicaciones, municipio, medios de comunicación escritos y de servicios
hospitalarios, que han sido investigadas a través de una muestra no probabilística e
intencional, en razón de que el investigador conoce a los elementos de las mismas.
Aunque en la ciudad de Guayaquil existen un aproximado de 1339 empresas, según la página ecuador.acambiode.com, en el ámbito, bancario, comercial y de servicios
en general; la muestra, está representada por 54 sujetos que fueron escogidos de
manera intencional en 17 empresas importantes de la ciudad de Guayaquil tales
como: Omnihospital, Ocitel, Tecnobis, Inmobiliaria del Sol, Pronobis, Deprati, Super
Éxito, Banco de Guayaquil, Banco del Pacífico, IBM – Solinser, Digeim, Inocar,
Corporación Latino América de Software, El Universo, Municipio de Guayaquil,
Consorcio Ecuatoriano de Telecomunicaciones, SAAP, cuyos profesionales de
sistemas me brindaron su colaboración para realizar las encuestas.
133
OPERACIO�ALIZACIÓ� DE VARIABLES
CUADRO 6 MATRIZ DE OPERACIO�ALIZACIÓ� DE VARIABLES
Variables Dimensiones Indicadores Técnicas y/o Instrumentos
I�DEPE�DIE�TES Estudio de las vulnerabilidades en las tecnologías de virtualización con VMware en microcomputadoras. Esta variable se refiere a un estudio que permitirá conocer las vulnerabilidades más importantes que tienen las máquinas virtuales VMware
Metodología
-Estrategias -Técnicas -Recursos
-Libros Seleccionados -Videos -Entrevistas -Encuestas -Bibliografía
Virtualización con VMware en microcomputadoras
-Servidores virtualizados -Estaciones virtualizadas
-Estadísticas sobre áreas de sistemas usando máquinas virtuales
DEPE�DIE�TES Determinar los posibles delitos informáticos que puedan afectar a los sistemas virtualizados VMware en microcomputadoras. Esta variable se refiere a los delitos informáticos que pueden ser cometidos en las máquinas virtuales VMware, en nuestro medio
Metodología
-Estrategias -Técnicas -Recursos
-Bibliografía especializada -Consulta a expertos
Delitos informáticos
-Fraudes -Robos - Violación de claves
-Lectura y análisis código civil -Lectura y análisis código penal
Elaboración: Johnny Villavicencio Fuente: Johnny Villavicencio
134
I�STRUME�TOS DE RECOLECCIÓ� DE DATOS
LA TÉC�ICA
Una técnica (del griego, τέχνη (téchne), arte) es un procedimiento o conjunto de reglas, normas o protocolos, que tienen como objetivo obtener un resultado determinado, ya sea en el campo de la ciencia, de la tecnología, del arte, del deporte, de la educación o en cualquier otra actividad.
La técnica al ser un conjunto de reglas, mecanismos, medios de dirigir, recolectar,
conservar, reelaborar, transmitir datos, etc. Nos permite obtener resultados de acuerdo
a la investigación.
Un instrumento de recolección de datos es una herramienta que sirve al investigador
para extraer información que le sirva para el estudio y análisis del objetivo planteado.
Entre las técnicas de la investigación que se han seleccionado para la realización de
este proyecto, se va hacer uso de la encuesta y las entrevistas, el cuestionario que son
los documentos que constan en las preguntas de investigación, y se utilizó la escala de
Likert modificada.
Las técnicas utilizadas para la obtención necesaria de los datos, provino de fuentes
primarias y secundarias.
135
Primarias:
• Observación;
• Encuestas;
• Entrevistas.
Secundarias:
• Análisis de contenido;
• Lectura científica.
A continuación, explico algunos de los instrumentos de los cuales me he valido para realizar este trabajo:
OBSERVACIÓ�
La observación es una técnica que consiste en la observación de personas, fenómenos,
hechos, casos, objetos, acciones, situaciones, etc., con el fin de recopilar una
información determinada que sirva para una investigación.
Las ventajas de usar esta técnica es que permite obtener información relevante, es de
bajo costo y fácil de aplicar.
E�CUESTA
Consiste en que una persona proporciona directamente la información al
investigador o entrevistador en una relación personal en donde se obtienen datos
136
importantes y relevantes a un tema específico, para saber el porcentaje según la
opinión sobre las vulnerabilidades y seguridades en las máquinas virtuales.
Las encuestas por lo general pueden ser descriptivas y mixtas. Pueden ser por
muestreo cuando se lo hace a un cierto número de personas encuestadas.
Generalmente se utiliza preguntas de opinión y de índice, según el contenido.
También pueden ser preguntas abiertas, cerradas y mixtas, según la forma de la
encuesta.
Esta Técnica es la más utilizada y permite obtener información de casi cualquier tipo
de población, pero una de las desventajas de esta técnica es que no permite analizar
con profundidad temas complejos
E�TREVISTA
La entrevista consiste en una interrogación de tipo verbal que se le realiza a una o
varias personas de las cuales se desea obtener la información necesaria para la
investigación respectiva.
Existen varios tipos de entrevistas que nos pueden servir según el tipo de indagación
que se quiera realizar; entre ellas tenemos:
137
• Entrevista de Investigación;
• Entrevista dirigida;
• Entrevista semidirigida;
• Entrevista no dirigida;
• Entrevista de grupo.
En una entrevista el entrevistador puede hacer preguntas abiertas o cerradas y dirige
la entrevista de acuerdo a las respuestas que vaya dando el entrevistado.
Las ventajas de esta técnica es que brinda la oportunidad de profundizar en un tema.
Las desventajas pueden ser que las personas no estén dispuestas a conceder la
información; las respuestas del entrevistado, la información obtenida y la
interpretación de ésta dependen de la habilidad del entrevistador.
I�STRUME�TOS DE LA I�VESTIGACIÓ�
LOS I�STRUME�TOS
Los instrumentos son herramientas que se utilizan para obtener información o datos
relevantes, con el fin de obtener un resultado a un tema específico.
• Cuestionarios;
• Guión de entrevistas;
• Internet;
138
• Informes instruccionales.
PROCEDIMIE�TOS DE LA I�VESTIGACIÓ�
• Identificación y formulación del problema
• Elección del tema
• Determinación de las variables
• Selección bibliográfica
• Investigación bibliográfica vía internet, encuestas y entrevistas
• Selección de los instrumentos para la investigación
• Aplicación y recolección de la información
• Procesamiento y análisis de los resultados
• Tablas y gráficos estadísticos
• Análisis e interpretación de los resultados
• Reuniones de asesoría con el tutor
• Elaboración del primer borrador
• Corrección del borrador
• Aprobación del proyecto
• Sustentación del proyecto
139
A�ÁLISIS E I�TERPRETACIÓ� DE LOS RESULTADOS
Las estadísticas que a continuación se presentan, en los análisis de los resultados,
corresponden a entrevistas y encuestas realizadas en la ciudad de Guayaquil.
En esta investigación se aplicó como instrumentos: encuesta a 54 profesionales de TI
de los departamentos de sistemas de diferentes empresas, 3 entrevistas a expertos en
virtualización y 1 entrevista a experto en delitos informáticos, con el propósito de
obtener información que constan en los instrumentos para establecer “ESTUDIO DE
LAS VULNERABILIDADES EN TECNOLOGÍAS DE VIRTUALIZACIÓN CON
VMWARE EN MICROCOMPUTADORAS, DETERMINANDO LOS DELITOS
INFORMÁTICOS QUE PODRÍAN AFECTAR A ESTOS SISTEMAS, EN EL
SECTOR EMPRESARIAL DE LA CIUDAD DE GUAYAQUIL, EN EL AMBITO
BANCARIO, COMERCIAL, Y DE SERVICIOS EN GENERAL”
Dejo constancia de los respectivos agradecimientos por haber colaborado con sus
respuestas para la formulación de la propuesta.
A continuación se presenta un análisis cuali-cuantitativo del tema propuesto en base a
frecuencia y porcentajes para determinar conclusiones y recomendaciones que sirvan
de soporte para la investigación.
140
RESULTADOS DE LAS E�CUESTAS AL PERSO�AL DE SISTEMAS DE 17 EMPRESAS DE LA CIUDAD DE GUAYAQUIL
CUADRO 7
Cree Ud. que hoy en día es necesario tener conocimientos acerca del uso de la máquinas virtuales Ítem �° Categoría Frecuencia Porcentaje
1 4 En desacuerdo 0 0 3 Indiferente 1 2 2 De acuerdo 8 15 1 Muy de acuerdo 45 83
Total 54 100% Fuente: Johnny Villavicencio
Gráfico 22
Fuente: Johnny Villavicencio
De los profesionales de sistemas de las empresas de Guayaquil encuestados se
manifestaron el 83% el estar muy de acuerdo y el 15 % De acuerdo en que hoy en día
es necesario tener conocimientos acerca del uso de las máquinas virtuales, y sólo el
2% dicen no saber si es necesario tener conocimientos acerca del uso de las máquinas
virtuales.
De acuerdo a los resultados obtenidos nos damos cuenta que sí es necesario hoy en
día tener conocimientos acerca del uso de las máquinas virtuales debido al auge que
está cobrando en las empresas de nuestro medio.
141
CUADRO 8
Considera que el uso de las máquinas virtuales en las empresas se da por sus grandes ventajas y beneficios Ítem �° Categoría Frecuencia Porcentaje
2 4 En desacuerdo 0 0 3 Indiferente 1 2 2 De acuerdo 17 31 1 Muy de acuerdo 36 67
Total 54 100% Fuente: Johnny Villavicencio
Gráfico 23
Fuente: Johnny Villavicencio
De los profesionales de sistemas de las empresas de Guayaquil encuestados se
manifestaron el 67% estar muy de acuerdo y el 31% de acuerdo, en que el uso de las
máquinas virtuales se dan en las empresas por sus grandes ventajas y beneficios,
mientras que el 2% dicen no saber por qué las empresas utilizan las máquinas
virtuales.
Se puede observar claramente que la mayoría del personal de sistemas considera que
las máquinas virtuales se las utiliza por sus grandes ventajas y beneficios que les
pueden dar a las empresas.
142
CUADRO 9
Cree Ud. que para administrar una máquina virtual y sus seguridades no es necesario tener mucha experiencia Ítem �° Categoría Frecuencia Porcentaje
3 4 En desacuerdo 32 59 3 Indiferente 6 11 2 De acuerdo 16 30 1 Muy de acuerdo 0 0
Total 54 100% Fuente: Johnny Villavicencio
Gráfico 24
Fuente: Johnny Villavicencio
De los profesionales de sistemas de las empresas de Guayaquil encuestados se
manifestaron el 59% estar en desacuerdo, en que no es necesario tener mucha
experiencia para administrar una máquina virtual, el 30% dice estar de acuerdo y el
otro 11% dicen no saber si se necesita experiencia o no para administrar una máquina
virtual.
Se refleja que más de la mitad del personal de sistemas de las empresas encuestadas
están consientes que es importante tener experiencia en el manejo y administración de
las máquinas virtuales y sus seguridades.
143
CUADRO 10
Cree Ud. que las máquinas virtuales tienen vulnerabilidades Ítem �° Categoría Frecuencia Porcentaje
4 4 En desacuerdo 3 6 3 Indiferente 5 9 2 De acuerdo 29 54 1 Muy de acuerdo 17 31
Total 54 100% Fuente: Johnny Villavicencio
Gráfico 25
Fuente: Johnny Villavicencio
De los profesionales de sistemas de las empresas de Guayaquil encuestados opinaron
el 31% estar muy de acuerdo y el 54% está de acuerdo, en que si existen
vulnerabilidades en las máquinas virtuales, mientras que el 9% dicen desconocer el
tema y apenas el 6% dice estar en desacuerdo.
Es importante que el personal de sistemas de las empresas conozcan si las máquinas
virtuales tienen o no vulnerabilidades para poder establecer las seguridades
respectivas.
144
CUADRO 11
Cree Ud. Que hay bastante información que nos indica cómo proteger una máquina virtual para evitar vulnerabilidades Ítem �° Categoría Frecuencia Porcentaje
5 4 En desacuerdo 13 24 3 Indiferente 12 22 2 De acuerdo 21 39 1 Muy de acuerdo 8 15
Total 54 100% Fuente: Johnny Villavicencio
Gráfico 26
Fuente: Johnny Villavicencio
De los profesionales de sistemas de las empresas de Guayaquil encuestados se
manifestaron el 15% dice estar muy de acuerdo, el 39% está de acuerdo, en que hay
bastante información que nos indica cómo proteger una máquina virtual para evitar
vulnerabilidades, mientras que el 22% dicen desconocer el tema y el 24% dice estar
en desacuerdo.
Se ha encontrado que aproximadamente la mitad del personal de sistemas creen que
hay suficiente información que indica cómo proteger una máquina virtual y así evitar
vulnerabilidades, mientras que el resto no saben si hay suficiente información para
proteger una máquina virtual y así evitar vulnerabilidades.
145
CUADRO 12
Cree Ud. que es necesario realizar un estudio para saber que tan vulnerables o seguras son las máquinas virtuales Ítem �° Categoría Frecuencia Porcentaje
6 4 En desacuerdo 0 0 3 Indiferente 2 4 2 De acuerdo 24 44 1 Muy de acuerdo 28 52
Total 54 100% Fuente: Johnny Villavicencio
Gráfico 27
Fuente: Johnny Villavicencio
De los profesionales de sistemas de las empresas de Guayaquil encuestados se
manifestaron el 52% estar muy de acuerdo y el 44% está de acuerdo, en que si es
necesario realizar un estudio para saber que tan vulnerables o seguras son las
máquinas virtuales, mientras que sólo el 4% dicen desconocer el tema.
Se refleja que los profesionales de sistemas encuestados en su gran mayoría creen que
es necesario realizar un estudio para saber que tan vulnerables o seguras son las
máquinas virtuales.
146
CUADRO 13
Considera Ud. que si una máquina virtual no está debidamente protegida puede estar propensa a ataques informáticos Ítem �° Categoría Frecuencia Porcentaje
7 4 En desacuerdo 0 0 3 Indiferente 3 6 2 De acuerdo 13 24 1 Muy de acuerdo 38 70
Total 54 100% Fuente: Johnny Villavicencio
Gráfico 28
Fuente: Johnny Villavicencio
De los profesionales de sistemas de las empresas de Guayaquil encuestados se
manifestaron el 70% estar muy de acuerdo y el 24% está de acuerdo, en que si una
máquina virtual no está debidamente protegida puede estar propensa a ataques
informáticos, mientras que el 6% no sabe si se debe proteger o no una máquina
virtual para evitar ataques informáticos.
Por lo tanto se puede notar con mucha claridad que la mayoría de los profesionales de
sistemas encuestados opinan que si una máquina virtual no está debidamente
protegida, está puede estar propensa a cualquier ataque informático y por
consiguiente estas son tan vulnerable como cualquier sistema operativo.
147
CUADRO 14
Considera Ud. que es importante realizar un estudio sobre las seguridades de las máquinas virtuales Ítem �° Categoría Frecuencia Porcentaje
8 4 En desacuerdo 0 0 3 Indiferente 1 2 2 De acuerdo 18 33 1 Muy de acuerdo 35 65
Total 54 100% Fuente: Johnny Villavicencio
Gráfico 29
Fuente: Johnny Villavicencio
De los profesionales de sistemas de las empresas de Guayaquil encuestados nos
damos cuenta que el 65% están muy de acuerdo y el 33% está de acuerdo, en que es
importante realizar un estudios sobre las seguridades de las máquinas virtuales,
mientras que apenas el 2% del personal de sistemas encuestados desconocen del
tema.
Se ha encontrado que la mayoría de los profesionales encuestados están preocupados
por las seguridades de las máquinas virtuales. Por lo tanto el investigador se da cuenta
cuan importante es realizar un estudio sobre este tema que compromete la seguridad
de los sistemas informáticos virtualizados.
148
CUADRO 15
Considera Ud. importante conocer los delitos informáticos que puedan darse en las máquinas virtuales en nuestro medio Ítem �° Categoría Frecuencia Porcentaje
9 4 En desacuerdo 0 0 3 Indiferente 0 0 2 De acuerdo 17 31 1 Muy de acuerdo 37 69
Total 54 100% Fuente: Johnny Villavicencio
Gráfico 30
Fuente: Johnny Villavicencio
De los profesionales de sistemas de las empresas de Guayaquil encuestados se
manifestaron el 69% estar muy de acuerdo y el 31% estar de acuerdo, en lo
importante que es conocer los delitos informáticos que pudieran darse en las
máquinas virtuales en nuestro medio.
De acuerdo a lo expresado por los profesionales de sistemas, es necesario que se
conozcan los delitos informáticos en las máquinas virtuales que se podrían dar en
nuestro medio, ya que hoy en día está en auge el delito informático y muchos de ellos
no se encuentran tipificados en la ley ecuatoriana.
149
CUADRO 16
Cree Ud. que existe un desconocimiento en el uso óptimo de la virtualización de servidores en nuestro medio Ítem �° Categoría Frecuencia Porcentaje
10 4 En desacuerdo 0 0 3 Indiferente 4 8 2 De acuerdo 25 46 1 Muy de acuerdo 25 46
Total 54 100% Fuente: Johnny Villavicencio
Gráfico 31
Fuente: Johnny Villavicencio
De los profesionales de sistemas de las empresas de Guayaquil encuestados se
manifestaron el 46% estar muy de acuerdo y el 46% estar de acuerdo, que existe un
desconocimiento en el uso óptimo de la virtualización de servidores en nuestro
medio. Y sólo el 8% cree que hay un uso óptimo de estas tecnologías dentro de las
empresas.
Es importante que los profesionales de sistemas de las empresas le den el uso óptimo
a sus infraestructuras virtualizadas, ya que por el desconocimiento se puede caer en el
uso excesivo y desmedido de la virtualización de servidores en un solo medio físico y
por tanto degradan los tiempos de respuesta.
150
CUADRO 17
De contar con la información necesaria que le permita proteger su máquina virtual ante los ataques informáticos la utilizaría Ítem �° Categoría Frecuencia Porcentaje
11 4 En desacuerdo 1 2 3 Indiferente 0 0 2 De acuerdo 8 15 1 Muy de acuerdo 45 83
Total 54 100% Fuente: Johnny Villavicencio
Gráfico 32
Fuente: Johnny Villavicencio
De los profesionales de sistemas de las empresas de Guayaquil encuestados opinaron
el 83% estar muy de acuerdo y el 15% estar de acuerdo, que de contar con la
información necesaria que les permita proteger sus máquinas virtuales ante ataques
informáticos la utilizarían, mientras que sólo el 2% que están en desacuerdo, no la
utilizarían.
En conclusión podemos observar que de los profesionales de sistemas encuestados
en su gran mayoría, dicen que de contar con la información necesaria que les
permitiera proteger sus máquinas virtuales, la utilizarían.
151
A�ALISIS DE LAS E�TREVISTAS REALIZADAS A EXPERTOS E� VIRTUALIZACIÓ�
E�TREVISTA #1
Para el Ing. Carlos Valero Especialista de IT y experto en virtualización, expresa que:
Las máquinas virtuales VMware son una de las mejores en el mercado a diferencia
de otras que a pesar de tener buenas características les falta madurar más, por esta
razón su empresa escogió VMware ESX 3.5, utilizando virtualización tipo nativa.
Como políticas de seguridad sólo utilizan usuarios que son creados por el personal del
área de seguridad informática con sus respectivas contraseñas, que les permitirán
crear, eliminar, modificar, apagar y encender los equipos virtuales.
Considera que toda máquina virtual es tan vulnerable como un Sistema Operativo,
más que nada a nivel de hardware, por esta razón y con el fin de evitar
vulnerabilidades aconseja robustecer el ambiente físico (Hardware) donde va a
residir la máquina virtual de la siguiente manera:
- Configurar por cada VLAN un Firewall.
- Habilitar el propio Firewall interno de las máquinas virtuales.
- El administrador a parte de los puertos de SSH, Telnet y otros debe tener claro que
puertos abre o cierra según la necesidad de la empresa.
152
En caso de desastres manejan un storage en Guayaquil con todas las máquinas
virtuales ejecutándose sin problemas y una réplica en otra parte de la ciudad
replicándose cada 5 minutos.
Entre las vulnerabilidades más comunes en las máquinas virtuales tenemos:
- A nivel del Hypervisor, ya que si algún intruso lograse ingresar y tuviere
conocimientos de Linux, podría borrar los archivos de disco de configuración de las
máquinas virtuales con el fin de causar daño.
- Los mismos empleados de la compañía que quisieran causar algún daño a la
compañía, basta con que conozcan las claves y usuarios correctos, la configuración de
los servidores, VLAN, Firewall, etc .
- Un administrador de las máquinas virtuales, puede copiar el archivo de la
configuración o la carpeta donde se encuentra el open source y levantarla en otro lado
sin problemas.
Para instalar una máquina virtual VMware ESX 3.5, se debe instalar todo por default,
no se utiliza ninguna configuración adicional, a más que el administrador requiera
realizar alguna configuración adicional una vez esté en el clúster.
Indicó que podrían darse delitos informáticos tales como:
153
- Violentar claves o sistemas de seguridad.
- Robo de información protegida contenida en sistemas virtuales.
- Que maliciosamente y fraudulentamente se borre o dañe una máquina virtual.
Piensa que existe un desconocimiento en el uso óptimo de la virtualización en nuestro
medio, ya que las empresas no invierten en la debida capacitación para su personal
de sistemas tanto en las máquinas virtuales como en Linux que no es muy explotado
en el Ecuador, y la mayoría de las cosas se las realiza empíricamente, a través de una
autoeducación o por medio de pequeños manuales.
E�TREVISTA #2
El Ing. Cristhian Murrieta, Subgerente de Operaciones de Tecnobis y experto en
virtualización considera que:
Para evitar vulnerabilidades, se debe tener configurado un buen firewall para que no
hayan puertos abiertos y establecer las seguridades propias de la máquina para que
herede las políticas de dominio del servidor Active Directory, como cualquier PC.
Existe un desconocimiento en el uso óptimo de la virtualización, porque es una
tecnología relativamente nueva, y por este motivo no se llega a optimizar los recursos
de estos sistemas.
154
Piensa que es importante hacer un estudio y análisis de las fortalezas y debilidades de
las máquinas virtuales, porque estas son como un sistema operativo y por ende
pueden ser vulnerables; por lo tanto considera que es importante hacer un estudio
sobre las seguridades en las máquinas virtuales porque, como sistema operativo,
puede ser vulnerable; y debido a la poca información que se tiene a la mano, lo
convierte en un ambiente potencialmente vulnerable.
Cree que los delitos informáticos que se puedan dar es el robo de información si el
administrador no custodia adecuadamente el usuario y la clave. Así mismo si alguien
lograra entrar al hypervisor podría llevarse las máquinas virtuales, pero no la
información, ya que ésta reposa en una SAN.
E�TREVISTA #3
Por solicitud del entrevistado se mantiene el anonimato del mismo y de la empresa
para la cual trabaja, por motivos de exigencias y políticas de su empresa.
El Jefe de Redes y Servidores de una importante empresa multinacional del Ecuador,
especialista en IT y con experiencia en virtualización de servidores:
Tiene experiencia sobre VMware, las seguridades que se aplicarían, es tener las
máquinas virtuales aisladas, de tal forma que si un intruso pasara el firewall no tenga
el acceso a las máquinas virtuales. Para realizar el filtrado de equipos externos, utiliza
una IP Filter, para configurar los accesos remotos externos permitidos, filtrarlos y
negarles el acceso en caso de ser necesario.
155
Considera que las máquinas virtuales como todo sistema operativo están propensas a
ataques si no se toman los controles respectivos.
La seguridad de las máquinas virtuales va de la mano con la seguridad a nivel de
redes y del sistema operativo.
Una medida de seguridad es tener configuradas distintas VLAN, de tal forma que no
esté todo en una misma red.
Cree que las seguridades de las máquinas virtuales dependen mucho de los servicios
que podrían estar levantados, especialmente los puertos que no son seguros. Una
buena práctica de seguridad es instalar los parches del hypervisor regularmente.
Si no se tiene bien diseñada y configurada la red, podrían darse los siguientes delitos
informáticos:
- Violentar claves de seguridad
- Robar información contenida en las máquinas virtuales
- Robo de una máquina virtual
Por lo que considera que es recomendable conocer los delitos informáticos que
podrían darse.
156
Piensa que las empresas que no tienen soporte técnico de los proveedores de esta
herramienta poseen un desconocimiento en su uso óptimo, no así las empresas que si
cuentan con este tipo de asesoramiento.
Considera importante el estudio de las vulnerabilidades de estas máquinas virtuales
porque ellos solo las administran y el proveedor es el que conoce las vulnerabilidades
de estos sistemas.
A�ÁLISIS DE LA E�TREVISTA REALIZADA A U�
EXPERTO E� DELITOS I�FORMÁTICOS
E�TREVISTA #1
Para el Ing. Darwin Patiño Coordinados del Departamento de Investigación,
Desarrollo Tecnológico y Educación Continua de la Carrera de Ingeniería en
Sistemas Computacionales de la Universidad de Guayaquil, indicó que:
Hoy en día ya existen abogados especializados en Delitos informáticos, promoción de
abogados cuya maestría la realizaron en España.
La manera en que los peritos informáticos trabajan es realizando un informe técnico
del delito informático encontrado, de esta manera asesoran al Juez, para que este
157
sea el que juzgue según su criterio, ya que el perito en delitos informáticos no es
quien dice que se ha cometido o no un delito, sólo emite su informe.
Para obtener la información necesaria los peritos en delitos informáticos realizan una
especie de Informática Forense utilizando herramientas que estén a su alcance y les
permitan esclarecer el delito, ya que hoy en día en nuestro país no existen los medios,
ni los equipos necesarios para hacerlo.
Los delitos informáticos más comunes que se dan en nuestro medio son: El fraude, el
robo de información, la suplantación de identidad.
La única ley que tenemos para castigar los delitos informáticos es la Ley aprobada en
el 2002 del código civil, aunque los abogados han encontrado en la Ley del código
penal artículos que les han permitido sancionar ciertos delitos informáticos.
En nuestro país no se cumplen las leyes ante los delitos informáticos debido al poco
conocimiento que existe en la población sobre éstos, quedando impunes y sin
sanción alguna.
Los Delitos informáticos se dan hoy en día en cualquier organización sea esta
pequeña, mediana o grande.
158
La Fiscalía de Quito está buscando crear un departamento que aplique la Informática
Forense que permita obtener pruebas y descubrir los delitos informáticos que se
cometan en nuestro medio, para ello también envió a la Asamblea los Delitos
informáticos que aún no están tipificados en la Ley, para que los mismos sean
aprobados en nuestras Leyes para su respectiva aplicación y estén correctamente
sancionados y tipificados en la Ley del código penal para juzgar a alguien en estos
casos.
159
CAPÍTULO IV
MARCO ADMI�ISTRATIVO
En el marco administrativo se detallan las actividades realizadas con los debidos
tiempos establecidos para cada una de ellas.
Entre las actividades que se realizaron tenemos:
1.- En la Introducción al Proyecto de Tesis, Planteamiento del tema, objetivos y
alcances, se lo realizó durante un mes en clases programadas por la Carrera de
Ingeniería en Sistemas Computacionales de la Universidad, en el mes de junio
2010.
2.- Para el desarrollo del capítulo 1 se tomó un mes y tres semanas, desde Julio
hasta Agosto del 2010.
3.- Para el desarrollo, análisis, investigación y obtención de los conceptos para el
proyecto de tesis en el capítulo 2 del Marco teórico, se tomó dos meses y dos
semanas, desde Agosto, septiembre y culminando en octubre del 2011.
4.- Para la elección de la metodología a utilizar en el presente proyecto de tesis del
capítulo 3, se tomó dos meses y dos semanas, desde octubre, noviembre y
diciembre del 2010.
160
5.- Para determinar los tiempos de la tesis, plasmarlos en un cronograma y realizar el
presupuesto, según el capítulo 4, se tomó dos semanas entre diciembre del 2010 y
enero del 2011.
6.- Para detallar las conclusiones y recomendaciones, en el capítulo 5, se tomó 3
semanas del mes de enero del 2011.
CUADRO 18
CRO�OGRAMA
�°
ACTIVIDADES
JU� 2010
JUL 2010 AGOST
2010 SEPT 2010
OCT 2010
�OV 2010 DIC 2010 E�E 2011
30/06/2010 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3
1 Introducción al Proyecto de Tesis - Planteamiento del Tema - Objetivos y Alcances
CAPÍTULO 1.- EL PROBLEMA
2 PLANTEAMIENTO DEL PROBLEMA
3 Ubicación del Problema en un contexto
4 Situación Conflicto
5 Causas del problema, Consecuencias
6 Delimitación del Problema
7 Planteamiento
8 Evaluación del Problema
9 OBJETIVOS DE LA INVESTIGACIÓN
10 JUSTIFICACIÓN E IMPORTANCIA DE LA INVESTIGACIÓN
11 Utilidad práctica de la Investigación
12 Cuáles serán los beneficiarios
CAPÍTULO 2.- MARCO TEÓRICO
13 FUNDAMENTACIÓN TEÓRICA
14 Antecedentes del estudio
15 Exposición fundamentada en la consulta bibliográfica
16 Documental actualizada
17 Orientación Filosófica y Educativa de la Investigación
CAPÍTULO 3.- METODOLOGÍA
161
18 DISEÑO DE LA INVESTIGACIÓN
19 Modalidad de la Investigación
20 Tipo de Investigación
21 Población y Muestra
22 Operacionalización de las Variables
23 Instrumento de Recolección de Datos
24 Procesamiento de la Investigación
25 Recolección de la Información
26 PROCESAMIENTO Y ANÁLISIS
27 Criterio para la elaboración de la propuesta
28 Criterio para la realización de la propuesta
CAPÍTULO 4.- MARCO ADMI�ISTRATIVO
29 PRESUPUESTO
CAPÍTULO 5.- CO�CLUSIO�ES Y RECOME�DACIO�ES
30 CONCLUSIONES
31 RECOMENDACIONES
PRESUPUESTO
Para la realización de este proyecto de tesis se contó con ingresos propios, producto
de mi esfuerzo y trabajo.
Los egresos que aquí se detallan corresponden a lo utilizado para el desarrollo del
proyecto de tesis, tales como: materiales de oficina (hojas, plumas, lapiceros,
carpetas, vinchas, clips, grapas, Cd´s), materiales de computación (tinta para
impresora, switch, cables de red), fotocopias, impresiones de tesis (borradores y
originales), uso de computadora, servicios de internet, investigación y transporte,
refrigerios, empastados y anillados de las tesis.
162
CUADRO 19 DETALLE DEL PROYECTO
I�GRESOS
Recursos de autofinanciamiento $ 850.00
TOTAL DE I�GRESOS $ 850.00
EGRESOS
Suministros de oficina y computación $ 260.00 Fotocopias $ 40.00 Impresión de Tesis de grado (Borradores y originales)
200.00
Computadora y servicios de internet $ 150.00 Costos de investigación y Transporte $ 80.00 Refrigerio $ 40.00 Empastado, anillado de tesis de grado $ 80.00
TOTAL DE EGRESOS $ 850.00
163
CAPÍTULO V
CO�CLUSIO�ES Y RECOME�DACIO�ES
Una vez realizadas y analizadas las investigaciones, y al realizar el estudio de los
diferentes aspectos relacionados con la ejecución del presente proyecto, se
concluye que:
CO�CLUSIO�ES
� Nos podemos dar cuenta que en la ciudad de Guayaquil no existen, como
en otras ciudades del mundo, muchas empresas que capaciten y/o
certifiquen en tecnologías VMware a los profesionales de TI de nuestro
medio, lo que conlleve a que nuestros ingenieros estén en la capacidad de
asegurar sus ambientes virtualizados y que su administración sea adecuada
y óptima.
� Se ha visto que en la ciudad de Guayaquil existe muy poco conocimiento
de la tecnología VMware lo cual es un riesgo ya que en algunas empresas
utilizan esta técnica de virtualización en sus sistemas y podrían dar
oportunidad a que sufran violaciones de seguridad.
164
� En muchas empresas de nuestro medio, las claves de acceso no son
complejas y en muchos casos fácilmente identificables, lo cual constituye un
riesgo en la seguridad de información de una empresa.
� Se ha visto asimismo que en las empresas de nuestro medio, que cuentan con
esta tecnología instalada, dependen de un consultor externo para la
instalación, configuración, soporte y solución de problemas encontrados en
sus sistemas virtualizados.
� Los resultados de las encuestas que se aplicaron, comprueban que las
máquinas virtuales son utilizadas por las grandes ventajas y beneficios que
pueden brindar este tipo de tecnologías a las empresas, pero que así mismo es
necesario tener conocimientos en el buen uso y administración de las mismas,
por tal motivo se busca concientizar al medio empresarial en que se debe
capacitar al personal de sistemas para el uso óptimo de estas técnicas.
� EL personal de sistemas de las empresas están conscientes que es importante
tener información que les indique como asegurar su infraestructura virtual,
para que las mismas no sean fácilmente vulnerables y así poder proteger y
administrar de una mejor manera las máquinas virtuales y establecer sus
seguridades.
165
� Si una máquina virtual no está debidamente protegida, está puede estar
propensa a cualquier ataque informático sea este interno o externo a la
empresa, por este motivo se realizó un estudio de qué tan vulnerables pueden
ser las máquinas virtuales VMware y así establecer las seguridades
necesarias.
� La determinación de los delitos informáticos que se puedan dar en las
máquinas virtuales, nos ayudarían en gran manera para establecer procesos
que podrían impedir que estos se puedan dar dentro de la empresa, ya que
muchos de los delitos informáticos aún no están tipificados por las leyes
ecuatorianas.
� Es fundamental que los profesionales de sistemas le den el uso óptimo a las
infraestructuras virtuales en las empresas, para no caer en el uso desmedido y
excesivo al momento de virtualizar los servidores y así su administración
pueda ser óptima y oportuna.
� Toda máquina virtual es tan vulnerable como un sistema operativo, por lo que
se deben considerar algunos factores de seguridad al momento de virtualizar,
si bien es cierto que una máquina virtual ayuda en gran manera a las
empresas, estos sistemas deben ser tomados con mucha responsabilidad y si
no se tiene el proveedor que de soporte, toda compañía al emprender ese
166
proyecto debe considerar los riesgos, ventajas y desventajas de utilizar ese
tipo de tecnología, para de alguna manera no exponer tan fácilmente su
información.
� Es importante que la seguridad para este tipo de tecnologías no se tome tan a
la ligera ya que los delitos informáticos están en auge, y si no queremos caer
en alguno de ellos debemos también conocer las leyes que están estipuladas
en el Ecuador y cómo podríamos protegernos contra dichos delitos.
� Si bien es cierto que no todos los delitos informáticos están tipificados en las
Leyes ecuatorianas, todo delito puede ser sancionado de alguna u otra manera,
ya sea a través del código civil o por el código penal.
� Todos los administradores de los equipos virtuales deben utilizar todo tipo de
herramientas que les permitan monitorear, administrar y asegurar que su red
no esté fácilmente vulnerable ni expuesta a peligro alguno.
� El tener una clave de acceso a las máquinas virtuales no garantiza la
seguridad de las mismas, ya que las claves pueden ser descifradas por
deducción, por fuerza bruta, por engaño, por diccionario, robo y espionaje de
información, crack del sistema de seguridad, claves débiles, etc.
167
� Con las entrevistas realizadas a expertos en Delitos informáticos, en
virtualización y la investigación basada en la fundamentación bibliográfica,
se ha podido determinar los siguientes delitos informáticos más importantes
que se podrían dar para las máquinas virtuales VMware en nuestro medio:
• Violentar las claves o sistemas de seguridad de las máquinas virtuales.
• Robo de información contenida en máquinas virtuales.
• Que maliciosamente o fraudulentamente se borre o dañe una máquina
virtual.
• Robo de las máquinas virtuales.
• Vulnerar las seguridades de las máquinas virtuales VMware por medio de
acceso remoto, aprovechándose de sus vulnerabilidades.
� Entre las vulnerabilidades más críticas que tienen las máquinas virtuales
VMware se podrían citar algunas de ellas:
• En VMware ESX 3.x tenemos vulnerabilidades en OpenSSL, bind y vim,
permitiéndole a un atacante remoto evadir restricciones de seguridad a
través de firmas SSL/TSL (Protocolo de Capa de Conexión Segura /
Seguridad de la Capa de Transporte) para claves RSA (Sistema
criptográfico de clave pública) y ECDSA (clase base abstracta que
encapsula el algoritmo de firma digital de curva elíptica), evadir
restricciones de seguridad a través de un servidor DNS malicioso con un
168
certificado DSA (Algoritmo de Firma digital) manipulado, ejecutar
código malicioso y comandos de la Shell a través de archivos
manipulados.
• Un Hacker podría controlar un servidor completo y toda la tecnología de
virtualización a través del software DHCP virtualizado, para esto el
atacante debe obtener primero el software que se ejecuta en una máquina
virtual.
• Un error en el servicio USB puede ser aprovechado para escalar
privilegios ubicando en el "host" un archivo ejecutable malicioso.
• Dos errores en VMware Tools para Windows pueden ser aprovechados
para realizar ejecución de código arbitrario y potencialmente escalar
privilegios.
• Si se instala VMware en Windows, y se ha habilitado una carpeta
compartida, es posible que un programa que se ejecute en el equipo
virtual, pueda acceder al sistema operativo del host, este acceso permitiría
la modificación, creación o ejecución de archivos en determinadas
ubicaciones propuestas por el atacante.
169
RECOME�DACIO�ES
Analizadas las conclusiones se recomienda que:
� Las empresas de nuestro medio, deberían implementar un sistema de gestión
de seguridad de la información, aplicando normas ISO, como por ejemplo la
27001:2005; que les ayude a proteger su activo más importante como lo es la
información; aplicando políticas y normas de confidencialidad de la
información y el buen uso de sus credenciales lógicas.
� Se deberían implementar planes de continuidad del negocio que los
profesionales de sistemas de las empresas estén en la capacidad de resolver,
incluyendo las tecnologías de virtualización, para este caso VMware.
� Que existan más cursos de especialización o más empresas de capacitación de
tecnologías VMware en la ciudad de Guayaquil.
� Que los profesionales de sistemas de las empresas le den el uso óptimo a las
máquinas virtuales y le den la importancia requerida a sus seguridades.
� Que las empresas se preocupen por capacitar a los profesionales en sistemas
para el manejo, administración y protección de estos ambientes virtuales.
170
� Recomiendo este estudio, como el principio para enriquecer nuestros
conocimientos acerca de los equipos virtuales, sus seguridades y,
vulnerabilidades.
� Se recomienda establecer todas las seguridades informáticas que sean
necesarias, para impedir en lo posible los ataques de personas maliciosas
puedan comprometer información primordial de la empresa.
� Es necesario que se establezcan políticas de cambio de claves periódicas de
los usuarios administradores y también cuando hay cambio de responsable, en
este caso de las máquinas virtuales, como parte del procedimiento de asegurar
los Sistemas Informáticos.
BIBLIOGRAFÍA
LIBROS Corporación de Estudios y Publicaciones (2011). Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos. Alberto G. Alexander (2007). Diseño de un Sistema de Gestión de Seguridad de Información. Óptica ISO 27001:2005. CLAPAM (2008). Seguridad Informática. Óptica del Estándar Internacional ISO 27001:2005. )ORMA ISO 17799. VERSIO) (2005). Eficiencia Gerencial.
PUBLICACIO)ES
PC WORLD Revista del Grupo IDG Communications (2009). Un agujero descubierto en VMware Fusion. Revista Judicial – Derecho Ecuador (2010). Delitos Informáticos Revista )ext IT - Revista de )etworking y Programación. Tecnologías de Virtualización
DIRECCIO)ES WEB
Prof. ISRAEL J. RAMIREZ. Las Microcomputadoras. Definición, características, origen desde http://isis.faces.ula.ve/COMPUTACION/Israel/Capitulo2a_archivos/frame.htm Máquinas virtuales, servidor virtual, infraestructura virtual - VMware desde http:/www.vmware.com/es/virtualization/virtual-machine.html VMware - VMware Fusion · Virtual Infrastructure VMware ACE VMware Lab Manager VMware Converter .... Obtenido de http://es.wikipedia.org/wiki/VMware Virtualización desde http://www.virtualizacion.com/?page_id=7 Virtualización, Ventajas (27 Ene 2008) – Rápida incorporación de nuevos recursos para los servidores virtualizados. Reducción de los costos, de espacio y consumo necesario desde www.virtualizacion.com/
Carrero David, ()oviembre, 2009). Desventajas de la virtualización desde http://carrero.es/desventajas-de- virtualizacion-de-servidores la- /4459/ Múltiples vulnerabilidades en VMWare ESX 3.x - Hispasec (Abr 2009), desde www.rzw.com.ar/seguridad-informatica-5379.html E)TERPRISE MA)AGEME)T ASSOCIATES (EMA) en las pág. (4–7). http://www.rsa.com/solutions/technology/secure/ar/10905_IbSpanish_EMA_-_Securing_the_Admin_of_Virtualization_FINAL_COPY_20100301a.pdf Dra. Ana María Muñoz Asignatura: Gestión de la Información en Trabajo Social. La información desde http:/www.ugr.es/.../TS_1%20%5BModo%20de%20compatibilidad%5D.pdf Concepto de seguridad. La Información ISO/IEC 17799 extraída desde http://www.mfbarcell.es/redes_de_datos/tema_14/redes_t14_seguridad1_concept...Similares Definición de seguridad informática - Qué es, Significado y Concepto, Definición. Desde http://definicion.de/seguridad-informatica/ El Delito Informático - Latino Seguridad, desde www.latinoseguridad.com/LatinoSeguridad/.../delinfo.shtml - Carpeta de prensa - Lucha contra la delincuencia en la Internet Décimo Congreso de las )aciones Unidas desde www.un.org/spanish/conferences/Xcongreso/prensa/2088hs... Dr. Santiago Acurio, Delitos Informáticos: Generalidades - OAS www.oas.org/juridico/spanish/cyb_ecu_delitos_inform.pdf Silvia Janeth Delgado Reyes. - Laura Amparo Guachizaca Sarango, ANÁLISIS DE LA INFLUENCIA DE LOS DELITOS INFORMÁTICOS desde http://www.utpl.edu.ec/eccblog/wp-content/uploads/2007/04/articulo-tecnico-analisis-de-la-influencia-de-los-delitos-informaticos-e-implementacion-de-politicas_silviadelgado.pdf
REGISTRO OFICIAL Año II -- Quito, Lunes 6 de Octubre del 2008- )ro. 440. FU)CIO) EJECUTIVA DECRETO: 1356 Expídase las reformas al Reglamento General, desde http://sinar.gov.ec/downloads/RO_440_de_06.10.2008.pdf
Pragmatismo, doctrina filosófica desarrollada por los filósofos estadounidenses del siglo XIX Charles Sanders Peirce, William James y otros, desde http://www.eumed.net › Libros Vulnerabilidad en VMware afecta a equipos bajo Windows - VSAntivirus (2008). Desde www.vsantivirus.com/vul-vmware-250208.htm VMWare: Múltiples vulnerabilidades - La Comunidad DragonJAR, desde http://comunidad.dragonjar.org/f150/vmware-multiples... - Colombia IBM - Investigación de X-Force - Ecuador, desde http://www.ibm.com/ec/services/sps/iss/vms/xforce.phtml IBM Seguridad: La seguridad en los entornos virtualizados y cloud computing aparece como los dos aspectos relevantes a plantear en el futuro (2010). Desde www.techweek.es/seguridad/informes/1007118004801/ibm-apunta-segurid... Concepto de seguridad, desde www.mfbarcell.es/redes_de_datos/tema_14/redes_t14_seguridad1_concept...Similare Seguridad Informatica / Seguridad Lógica – Segu - Info (EEUU. 1985). Desde www.segu-info.com.ar/logica/seguridadlogica.htm Definición de seguridad informática - Qué es, Significado y Concepto, desde http://definicion.de/seguridad-informatica/ Hackeando un Mac desde Windows gracias a VMware (2009) - agujero descubierto en Fusion, desde www.idg.es/pcworldtech/mostrarNoticia.asp?id=79445... Actualización para múltiples vulnerabilidades en productos VMWare ESX– VMware es un software que permite ejecutar diferentes sistemas. Se han corregido un total de 48 vulnerabilidades que residen en DHCP, (2009). Desde www.rzw.com.ar/seguridad-informatica-5421.html Vulnerabilidades en varios productos VMWare (2010), desde www.csirtcv.gva.es/html/es/alerts/1516/
VMWare: Múltiples vulnerabilidades (2010), Se han reportado múltiples vulnerabilidades en productos VMWare desde www.cservices.com.ar/web/noticiaDetalle.aspx?ID=314
Filosofía de la tecnología, obtenido desde http://es.wikipedia.org/wiki/Filosof%C3%ADa_de_la_tecnolog%C3%ADa
Filosofía de la Tecnología - OEI - Publicaciones - Libros - Temas de Iberoamérica - Organización de Estados Iberoamericanos para la Educación, la Ciencia y la Cultura, desde www.oei.es/publicaciones/temas01.htm TIPOS DE I)VESTIGACIO), obtenido desde http://tgrajales.net/investipos.pdf Investigación Preliminar, obtenido desde http://mmalicea.tripod.com/proyecto/investprelim.htm Investigación bibliográfica - Metodología de la investigación bibliográfica, desde www.monografias.com
A�EXO �° 1
U�IVERSIDAD DE GUAYAQUIL
FACULTAD DE CIE�CIAS MATEMÁTICAS
CARRERA DE I�GE�IERÍA E� SISTEMAS COMPUTACIO�ALES
Encuesta dirigida al personal de Sistemas de las empresas de la ciudad de Guayaquil.
Objetivo.- Conocer el criterio del personal de Sistemas de las empresas de la ciudad
de Guayaquil acerca de las vulnerabilidades y los delitos informáticos en las
Máquinas Virtuales.
I�FORMACIÓ� GE�ERAL
Instructivo: Marque con una (X) en el casillero correspondiente y llene los datos.
�ota: El nombre no es un campo obligatorio La empresa no es un campo obligatorio
I�FORMACIÓ� ESPECÍFICA
Instructivo: Marque con una (X) el casillero correspondiente a su respuesta que mejor
refleje su criterio, según las opciones propuestas para cada pregunta.
Encuestado
�ombre:
Cargo:
Empresa:
Empresa
Tamaño: Grande Mediana Pequeña Microempresa
Actividad: Industrial Comercial Servicio Banca
Tipo: Privada Pública
PREGU�TAS
1. ¿Cree Ud. que hoy en día es necesario tener conocimientos acerca del uso de la
máquinas virtuales?
Muy de Acuerdo De Acuerdo Indiferente En Desacuerdo
2. ¿Considera que el uso de las máquinas virtuales en las empresas se da por sus
grandes ventajas y beneficios?
Muy de Acuerdo De Acuerdo Indiferente En Desacuerdo
3. ¿Cree Ud. que para administrar una máquina virtual y sus seguridades no es
necesario tener mucha experiencia?
Muy de Acuerdo De Acuerdo Indiferente En Desacuerdo
4. ¿Cree Ud. que las máquinas virtuales tienen vulnerabilidades?
Muy de Acuerdo De Acuerdo Indiferente En Desacuerdo
5. ¿Cree Ud. Que hay bastante información que nos indica cómo proteger una
máquina virtual para evitar vulnerabilidades?
Muy de Acuerdo De Acuerdo Indiferente En Desacuerdo
6. ¿Cree Ud. que es necesario realizar un estudio para saber que tan vulnerables o
seguras son las máquinas virtuales?
Muy de Acuerdo De Acuerdo Indiferente En Desacuerdo
7. ¿Considera Ud. que si una máquina virtual no está debidamente protegida puede
estar propensa a ataques informáticos?
Muy de Acuerdo De Acuerdo Indiferente En Desacuerdo
8. ¿Considera Ud. que es importante realizar un estudio sobre las seguridades de las
máquinas virtuales?
Muy de Acuerdo De Acuerdo Indiferente En Desacuerdo
9.- ¿Considera Ud. importante conocer los delitos informáticos que puedan darse en
las máquinas virtuales en nuestro medio?
Muy de Acuerdo De Acuerdo Indiferente En Desacuerdo
10.-¿ Cree Ud. que existe un desconocimiento en el uso óptimo de la virtualización de
servidores en nuestro medio?
Muy de Acuerdo De Acuerdo Indiferente En Desacuerdo
11. De contar con la información necesaria que le permita proteger su máquina virtual
ante los ataques informáticos la utilizaría?
Muy de Acuerdo De Acuerdo Indiferente En Desacuerdo
¡Gracias por la atención a la presente!
A�EXO �° 2
E�TREVISTA A EXPERTO E� VIRTUALIZACIÓ� �OMBRE: Ing. Carlos Valero CARGO: Especialista de IT
1.- ¿Cuáles son las funciones que realiza en su empresa?
Administración de Servidores Windows sean estos físicos o virtuales.
2.- ¿Qué herramientas de virtualización utilizan en su empresa?
VMWARE ESXI V. 3.5
3.- ¿Por qué decidieron utilizar esa herramienta de virtualización?
La decisión fue tomada por el Banco, ellos manejan la administración de la consola y
porque es la mejor del mercado a comparación de Xen Server de Citrix, Hyper – V de
Microsoft , KVM de Red Hot, entre otros, aunque tienen buenas características les
falta madurar más.
4.- ¿Qué tipo de virtualización tienen implementado?
Tipo Nativa están instaladas en los diferentes host en este caso en las cuchillas de un
blade y en cada una de ellas se instala el aplicativo, ellas están atachadas a un storage
y ahí es donde se les presentan las lun de disco para poder trabajar sin problemas.
5.- ¿Qué tipo de seguridades tienen implementado en esa virtualización, en caso de desastres que tipo de contingencia tienen?
A nivel de seguridades se utilizan solamente usuarios que los crean el personal del
área de seguridad informática del Banco con su respectiva clave, los mismos que le
permitirán crear, eliminar, apagar, encender, modificar equipos virtuales. ( no son
usuarios de dominio)
Tienen un storage en Guayaquil en la Matriz con todas las máquinas virtuales
ejecutándose sin problemas y una réplica en el centro alterno que es en Milagro el
cual se replica cada 5 minutos y en caso de desastres las configuraciones de los
servidores se pasarían automáticamente a Milagro, las mismas que se demorarían 10
minutos.
6. ¿Cree Ud. Que las máquinas virtuales VMWARE sean vulnerables?
Si son vulnerables como toda aplicación o sistema operativo, pero más que nada a
nivel del hardware.
También puede haber vulnerabilidad a nivel del hipervisor, ya que si es alguien que
conoce de comandos en Linux, podía borrar los archivos de disco de configuración de
la máquina virtual, para este tipo de vulnerabilidad se daría siempre y cuando alguien
de adentro de la empresa lo haga, ya cada cosa tiene una subneting diferente y los
permisos se dan a nivel de IP.
La consola que administra todos los host, están en una sola vlan, los host en otra vlan
y las máquinas virtuales están en diferentes vlan con esto sería complicado que
puedan vulnerar desde afuera sin tener los permisos y conocer la configuración
interna de los servidores.
7.- ¿Cuándo se instala una MV VMWARE (Hypervisor) qué medidas de seguridad se deben tomar en cuenta?
Todo se instala por default, es lo recomendado. NO se utiliza ninguna configuración
en especial.
Lo que se podría es configurar la máquina virtual ya instalada al momento de
distribuir los componentes del hardware, aumentar o quitar componentes cuando ya
se la vea en el clúster.
8.- ¿Cómo debe estar configurado el ambiente para proteger a las MV VMWARE y las mismas no sean vulnerables?
Se configura por cada vlan un firewall, aparte el VMware tiene su propio firewall
interno en donde vienen configurados el ssh, telnet, el puerto de comunicación propio
de VMware y otros que no están definidos y que el administrador sabe que puertos
abre o cierra según la necesidad.
9.- ¿Cuáles son las vulnerabilidades que tienen o podrían tener las MV VMWARE?
Un usuario administrador podría coger un archivo de configuración o la carpeta
donde se encuentra el open source y se la podría llevar a otro lado y levantarlo sin
ningún problema.
10.- ¿Qué delitos informáticos cree Ud. que son los más frecuentes o que podrían darse en este tipo de tecnologías en nuestro medio? - Violentar claves o sistemas de seguridad.
- Robo de información protegida contenida en sistemas virtuales.
- Que maliciosamente y fraudulentamente se borre o dañe una máquina virtual.
11.- ¿Cree Ud. que existe un desconocimiento en el uso óptimo de la virtualización de servidores en nuestro medio? ¿Por qué?
Sí, porque en estos últimos años se ha utilizado la virtualización bastante en las
empresas y no se dan las debidas capacitaciones a sus empleados de informática y
todo toca hacerlo empíricamente o toca leer manuales, en sí autoeducación.
También hay que recordar que en las Máquinas virtuales VMware por debajo corre
un Linux y aquí en el Ecuador no es muy explotada esta tecnología, ni hay mucho
conocimiento de la misma.
12.- ¿Considera Ud. que es importante realizar un estudio de las vulnerabilidades que podrían tener las máquinas virtuales VMWARE? ¿Porqué?
Definitivamente sí, para tratar de minimizar las vulnerabilidades que se presenten ya
que todo sistema es vulnerable de una u otra forma
13.- ¿Considera Ud. Que es importante realizar un estudio para determinar los delitos informáticos que pueden darse en las máquinas virtuales VMWARE? ¿Porqué?
Sí, porque dependiendo del delito informático se necesita saber que tan importante o
crítico es para la empresa, especialmente cuando se hablan de las cuentas de los
clientes del banco.
14.- ¿Si encontrara alguna vulnerabilidad en sus máquinas virtuales VMWARE cómo procedería?
• Armaría un laboratorio
• Descubrir la vulnerabilidad
• Buscar la solución
• Analizar en que afectaría en el ambiente de producción, para que al dar la
solución no se cometa el error de cerrar algún servicio que sea importante.
15.- ¿Sabe Ud. si existen herramientas o aplicaciones que protejan las máquinas virtuales VMWARE?
No ha escuchado.
A�EXO �° 3
E�TREVISTA A EXPERTO E� VIRTUALIZACIÓ� �OMBRE: Ing. Cristhian Murrieta
CARGO: Subgerente de Operaciones
1.- ¿Cuáles son las funciones que realiza en su empresa?
Operaciones de Sistemas, se encarga de que los sistemas funcionen correctamente,
recepta y tramita requerimientos, recepta y resuelve problemas de operaciones, se
encarga de los respaldos, contingencias, participa en política y procedimientos de
sistemas, es el encargado fundamentalmente de la virtualización de la empresa.
2.- ¿Qué herramientas de virtualización utilizan en su empresa?
Citrix XenServer
3.- ¿Cuántos años de experiencia tiene en esa herramienta de virtualización?
Un Año cinco meses
4.- ¿Por qué decidieron utilizar esa herramienta de virtualización?
Porque estaba de acuerdo a sus necesidades, tenía licencia gratuita de un año y con
la nueva publicación de Citrix se les extendía un año más de gratuidad a diferencia
de VMware que sólo les daba uno de prueba por 30 días y limitado.
5.- ¿Qué tipo de virtualización tienen implementado?
Tipo Nativo, Bare-metal o unhosted
6.- ¿Qué tipo de seguridades tienen implementado en caso de desastres?
Para el caso de desastres tienen las máquinas virtuales respaldadas en cintas, lo
que harían en estos casos es volver a instalar en un equipo que esté disponible, ya
sea por contrato, por parte del proveedor o comprando uno nuevo.
Para el caso de desastres no tienen un servidor redundante en otro lado que pueda
ser usado en estos casos.
7.- ¿Qué haría Ud. para que las máquinas virtuales no sean vulnerables?
Tendría configurado un buen firewall, se instalaría y configuraría los switch para
que no hayan puertos abiertos que no sean autorizados, se establecerían las
seguridades propias de la máquina para que herede las políticas de dominio, como
cualquier PC.
8.- ¿Indique algunas ventajas y desventajas de las máquinas virtuales?
Ventajas:
• Consolidación.
• Disminución de energía eléctrica
• Mejora en la administrabilidad
• Nivel de contingencia automático
• Alta disponibilidad
• Tolerancia a fallos
• Disminuye costos
Desventajas:
• Daño en el servidor físico afecte el desempeño de las máquinas virtuales.
• Por cada máquina virtual que se tenga es una licencia.
9.- ¿Cree Ud. que existe un desconocimiento en el uso óptimo de la virtualización de servidores en nuestro medio? ¿Por qué?
Sí, Por lo que es relativamente nuevo, no se llega a optimizar los recursos de los
sistemas de virtualización como se debería.
10.- ¿Cuál es la diferencia entre la máquina virtual de Citrix Xenserver y VMware?
La diferencia radica en que las máquinas virtuales VMware tienen más Feature
administrativos y muchas más funcionalidades.
11. ¿Considera Ud. que es importante realizar un estudio de las fortalezas y debilidades de las máquinas virtuales? ¿Por qué?
Sí, es importante hacer un análisis porque las máquinas virtuales son como un
Sistema Operativo que se instala entre el Hardware y las máquinas virtuales y este
hypervisor puede ser vulnerable
12. ¿Considera Ud. Que es importante realizar un estudio sobre las seguridades en las máquinas virtuales? ¿Por qué?
Sí, Porque al ser como un sistema Operativo este puede ser vulnerable.
13. ¿Cree Ud. Que las máquinas virtuales sean vulnerables?
Sí.
14. ¿Si encontrara alguna vulnerabilidad en sus máquinas virtuales cómo procedería?
Procedería de la siguiente manera:
• Determinaría el problema.
• Diagnosticaría el problema.
• Establecería una solución.
15. ¿Qué delito informático cree Ud. que es el más frecuente en darse en este tipo de tecnologías?
• Si el Administrador de la máquina virtual lo permite, dando el usuario y
password, se podría dar el robo de la información.
• Si alguien lograra entrar al hypervisor podrían llevarse las máquinas virtuales
pero no la información, ya que esta está en una SAN (storage area network).
16. ¿Sabe Ud. si existen herramientas o aplicaciones que protejan las máquinas virtuales?
No conoce, pero puede ser que se estén en desarrollo.
A�EXO �° 4
E�TREVISTA A EXPERTO E� VIRTUALIZACIÓ� Jefe de Redes y Servidores de una importante empresa Multinacional del Ecuador
1.- ¿Cuáles son las funciones que realiza en su empresa?
Está a cargo del área de redes, servidores y sus seguridades.
2.- ¿Qué herramientas de virtualización utilizan en su empresa?
VMWARE ESXI V. 2.5 y ahora también las versiones 3.0 y 4.0
3.- ¿Porqué decidieron utilizar esa herramienta de virtualización?
Porque tienen una interface fácil de administración, tiene estabilidad, soporte técnico
y ventajas de las nuevas versiones, aunque son costosas vale la pena el sacrificio.
4.- ¿Qué tipo de virtualización tienen implementado?
Tipo Nativa, está instado VMware ESX sobre el hardware (BLade) y sobre estas se
levantan los sistemas operativos.
5.- ¿Qué tipo de seguridades tienen implementado en esa virtualización, en caso de desastres que tipo de contingencia tienen?
A nivel de seguridades tienen las máquinas virtuales aisladas, para que si algún
intruso pasara el firewall no tengan acceso a las mismas.
No utilizan firewall a nivel de sistema operativo
Utilizan IP filter para filtrar que equipos se conectan remotamente y de esta manera
tener algo más controlado que el firewall (es una especie de firewall, pero
controlado), el mismo que lo configuran ellos, estableciendo reglas.
No tienen contingencia por ahora ya que sólo tienen un cluster.
6. ¿Cree Ud. Que las máquinas virtuales VMWARE sean vulnerables?
Sí, como todo sistema operativo está propenso a cualquier tipo de ataque informático,
si no se toman los controles respectivos.
7.- ¿Cuándo se instala una MV VMWARE (Hypervisor) qué medidas de seguridad se deben tomar en cuenta?
Todo se instala por default, el proveedor que les da soporte les instaló las máquinas
virtuales.
La configuración de seguridades va de la mano a nivel de redes y de sistema
operativo.
8.- ¿Cómo debe estar configurado el ambiente para proteger a las Máquinas Virtuales VMWARE y las mismas no sean vulnerables?
No se debe tener todo configurado dentro de la misma red, es decir una red para
administración, una red para pruebas, etc. Para esto implementan las VLAN.
A nivel de los blade se aíslan las redes en especial las de consola.
9.- ¿Cuáles son las vulnerabilidades que tienen o podrían tener las MV VMWARE?
Al nivel de puertos depende mucho de los servicios que podrían estar levantados,
en especial los puertos que no son seguros, por ejemplo: el puerto de telnet no
debería estar levantado ya que es una mala práctica de seguridad dejarlo levantado.
Como una buena práctica se deben instalar los parches para el hypervisor
regularmente.
10.- ¿Qué delitos informáticos cree Ud. que son los más frecuentes o que podrían darse en este tipo de tecnologías en nuestro medio?
Si no está bien diseñada y configurada la red se podrían dar estos delitos
informáticos:
• Violentar claves de seguridad.
• Robar información contenida en las máquinas virtuales.
• Robo de una máquina virtual.
11.- ¿Cree Ud. que existe un desconocimiento en el uso óptimo de la virtualización de servidores en nuestro medio? ¿Por qué?
Sí, a nivel de empresas pequeñas y medianas que no tienen los recursos necesarios
para tener un buen asesoramiento en el uso de las máquinas virtuales VMware
debido a su alto costo.
No, a nivel de empresas grandes ya que siempre cuentan con el soporte técnico de los
técnicos encargados de esta herramienta, tienden a invertir en estos soportes.
12.- ¿Considera Ud. que es importante realizar un estudio de las vulnerabilidades que podrían tener las máquinas virtuales VMWARE? ¿Porqué?
Sí, porque ellos sólo las administran y más bien es el proveedor el que se encarga y
sabe que vulnerabilidades tienen estos sistemas.
13.- ¿Considera Ud. Que es importante realizar un estudio para determinar los delitos informáticos que pueden darse en las máquinas virtuales VMWARE? ¿Por qué?
Si, lo cree recomendable, aunque en su empresa no han sufrido ningún tipo de ataque
debido a todas las seguridades implementadas, es necesario saber que delitos
informáticos puedan darse.
14.- ¿Si encontrara alguna vulnerabilidad en sus máquinas virtuales VMWARE cómo procedería?
• Realiza una evaluación del riesgo
• Ante el riesgo de seguridad lo tratan con el proveedor.
• El proveedor les da la solución.
15.- ¿Sabe Ud. si existen herramientas o aplicaciones que protejan las máquinas virtuales VMWARE?
No ha escuchado.
A�EXO �° 5
E�TREVISTA A PERITO E� DELITOS I�FORMÁTICOS �OMBRE: Ing. Darwin Patiño
Departamento de Investigación, Desarrollo Tecnológico y Educación Continua de la
Carrera de Ingeniería en Sistemas Computacionales de la Universidad de Guayaquil
En la entrevista realizada a un experto en delitos informáticos, indicó que hoy en día
ya existen abogados especializados en Delitos informáticos, promoción de abogados
cuya maestría la realizaron en España.
La manera en que los peritos informáticos trabajan es realizando un informe técnico
del delito informático encontrado, de esta manera asesoran al Juez, para que este sea
el que juzgue según su criterio, ya que el perito en delitos informáticos no es quien
dice que se ha cometido o no un delito, sólo emite su informe.
Para obtener la información necesaria los peritos en delitos informáticos realizan una
especie de Informática Forense utilizando herramientas que estén a su alcance y les
permitan esclarecer el delito, ya que hoy en día en nuestro país no existen los medios,
ni los equipos necesarios para hacerlo.
Los delitos informáticos más comunes que se dan en nuestro medio son: El fraude, el
robo de información, la suplantación de identidad.
La única ley que tenemos para castigar los delitos informáticos es la Ley aprobada en
el 2002 del código civil, aunque los abogados han encontrado en la Ley del código
penal artículos que les han permitido sancionar ciertos delitos informáticos.
En nuestro país no se cumplen las leyes ante los delitos informáticos ya que aún hay
jueces corruptos que se dejan comprar por los delincuentes quedando estos impunes y
sin sanción alguna.
Los Delitos informáticos se dan hoy en día en cualquier organización sea esta
pequeña, mediana o grande.
La Fiscalía de Quito está buscando crear un departamento que aplique la Informática
Forense que permita obtener pruebas y descubrir los delitos informáticos que se
cometan en nuestro medio, para ello también envió a la Asamblea los Delitos
informáticos que aún no están tipificados en la Ley, para que los mismos sean
aprobados en nuestras Leyes para su respectiva aplicación y estén correctamente
sancionados y tipificados en la Ley del código penal para juzgar a alguien en estos
casos.
A�EXO �°6
I�STALACIÓ� TIPO �ATIVO DEL ESX SERVER 4.0
1.- Escoger como boteo el CD-ROM
2.- Comienza la instalación
3.- Presionar siguiente
4.- Aceptar los términos de la licencia, siguiente.
5.- Instalar los drivers
6.- Poner el número serial, para este caso se puso que se ingresará después el número
serial, clic en Siguiente.
7.- Establecer la configuración de red, siguiente.
8.- Configurar la IP, mascara, Gateway, dns, nost name, siguiente.
9.- Poner standard setup, siguiente.
10.- Establecer la zona horaria, siguiente
11.- Establecer la clave para el root, siguiente.
12.- Siguiente.
13.- Siguiente
14.- Finish
15.- Esperamos que cargue VMware.
16.- Escoger VMware ESX 4.0
17.- Empieza a cargar VMware ESX 4.0