Sistema de seguridad perimetral en la empresa JFC ELECTRICAL ENGINEERING S A S

Texto completo

(1)SISTEMA DE SEGURIDAD PERIMETRAL EN LA EMPRESA JFC ELECTRICAL ENGINEERING S.A.S.. DANIEL EDUARDO CALDERON DIAZ JHON FREDDY TOVAR SEMANATE LEONARDO GARCIA CUELLAR. UNIVERSIDAD COOPERATIVA DE COLOMBIA FACULTAD DE INGENIERIAS PROGRAMA INGENIERIA DE SISTEMAS NEIVA 2019 1.

(2) SISTEMA DE SEGURIDAD PERIMETRAL EN LA EMPRESA JFC ELECTRICAL ENGINEERING S.A.S.. DANIEL EDUARDO CALDERON DIAZ JHON FREDDY TOVAR SEMANATE LEONARDO GARCIA CUELLAR Informe Final de práctica social, empresarial y solidaria presentado como requisito para optar al título de INGENIERO DE SISTEMAS Asesora MSC. IRLESA INDIRA SÁNCHEZ MEDINA. UNIVERSIDAD COOPERATIVA DE COLOMBIA FACULTAD DE INGENIERIAS PROGRAMA INGENIERIA DE SISTEMAS NEIVA 2019 2.

(3) NOTA DE ACEPTACIÓN. Presidente del Jurado. Jurado. Jurado. Neiva, Noviembre de 2019 3.

(4) DEDICATORIA. Principalmente a Dios, por darme la sabiduría necesaria para llegar hasta esta instancia; a mis padres Oswaldo y Magnolia por inculcarme los valores que me han permitido llegar hasta acá, por apoyarme siempre y además de ser mis padres son mis mejores amigos, a mi hermano Víctor; a mis abuelos Humberto y Doris que son mis segundos padres, a mi tía Sandra y demás familiares que han sido un apoyo incondicional en este proceso académico y profesional.. Daniel Eduardo Calderón Díaz Agradezco a Dios por darme la oportunidad de estar en este mundo y dedicó este logro con todo mi amor y cariño a mi amada esposa Jenny Paola Gutiérrez por su sacrificio y esfuerzo, por creer en mi aunque hemos pasado momentos difíciles siempre ha estado brindándome su comprensión cariño y amor. A mi amado hijo Juan Felipe Tovar por ser mi fuente de motivación e inspiración para poder superarme cada día más y así seguir luchando para que la vida nos depare un futuro mejor. A mi querida suegra Carme Atehortua que con sus palabras de aliento nunca me dejaron decaer para que siguiera adelante y para todas aquellas personas que estuvieron a mi lado apoyándome en este proceso y lograron que este sueño se haga realidad.. Jhon Freddy Tovar Semanate. 4.

(5) AGRADECIMIENTOS. En primer lugar a Dios por permitirnos cumplir esta meta tan importante para nuestras vidas, por guiarnos en el camino y fortalecernos espiritualmente. A nuestras familias, en especial a nuestros padres, quienes con sus consejos fueron el motor y la motivación para culminar este proceso, muchas gracias por su paciencia y comprensión, y sobre todo por su amor. Queremos mostrar nuestra gratitud a todas aquellas personas que estuvieron presentes de una u otra manera en nuestro proceso de realización de esta meta, de este sueño tan importante que hoy se hace realidad, agradecer todas sus ayudas, sus palabras motivadoras, sus conocimientos, sus consejos y su dedicación. ¡Gracias a todos!. 5.

(6) CONTENIDO. Pág.. 1. PROBLEMÁTICA. 16. 1.1 DESCRIPCIÓN DEL PROBLEMA. 16. 1.2 PLANTEAMIENTO DEL PROBLEMA. 19. 2. OBJETIVOS. 20. 2.1 OBJETIVO GENERAL. 20. 2.2 OBJETIVOS ESPECÍFICOS. 20. 3. JUSTIFICACIÓN. 21. 4. ESTADO DEL ARTE. 23. 5. MARCO TEÓRICO. 26. 5.1 SISTEMA DE SEGURIDAD PERIMETRAL. 26. 5.1.1 Cortafuegos (Firewall). 26. 5.1.2 Sistema de Detección y Prevención de Intrusos. 28. 5.1.3 Antivirus. 29. 5.1.4 Honeypots. 30. 5.1.5 UTM - Unified Threat Management. 32. 5.2 CIBERAMENAZAS. 32. 5.2.1 Cross-Site Scripting (XSS). 33. 5.2.2 Ransomware. 34 6.

(7) 5.2.3 Phishing y Spamming. 36. 5.3 DISPOSITIVOS QUE GARANTIZAN LA SEGURIDAD PERIMETRAL. 38. 5.3.1 Fortigate. 38. 5.3.2 SOPHOS XG86. 40. 5.3.3 IPFIRE. 41. 5.4 NORMATIVIDAD APLICABLE. 41. 5.4.1 NTC 27001. 41. 5.4.2 NTC 27002. 42. 6. METODOLOGÍA. 43. 6.1 DIAGNÓSTICO. 43. 6.1.1 Infraestructura Física. 43. 6.1.2 Infraestructura de Red. 43. 6.1.3 USO DE LA RED. 45. 6.1.4 Posibles Incidentes Presentados. 46. 6.1.5 Encuesta a Usuarios Finales. 47. 6.2 METODOLOGÍA DISEÑO Y SELECCIÓN SEGURIDAD PERIMETRAL. 53. 6.2.1 Alternativas Mercado de Soluciones de Seguridad Perimetral. 53. 6.2.2 Selección de Seguridad Perimetral. 55. 6.3 DISEÑO Y CONFIGURACIÓN DE SEGURIDAD PERIMETRAL. 63. 6.3.1 Servicios. 71. 6.3.1 Monitoreo. 71. 6.3.2 Proxy. 74. 6.3.3 Filtro de Contenido. 74 7.

(8) 6.3.4 Firewall. 76. 6.3.5 IPS. 80. 6.3.6 Bloqueo de GEO-IP. 82. 6.4 RESULTADOS. 82. 7. PROPUESTA DE SEGURIDAD PERIMETRAL. 85. 7.1 POLÍTICAS DE SEGURIDAD. 85. 7.1.1 Políticas Generales. 86. 7.1.2 Políticas de Seguridad Física. 87. 7.1.3 Políticas de Acceso a la Red. 88. 7.1.4 Políticas de Seguridad Lógica. 89. 8. CONCLUSIONES. 93. 9. RECOMENDACIONES. 94. BIBLIOGRAFÍA. 95. 8.

(9) LISTA DE TABLAS. Pág.. Tabla 1. Bugs encontrados en navegadores. 18. Tabla 2. Mejores antivirus del 2019. 30. Tabla 3. Escala de valoración de acuerdo al modelo AHP. 56. Tabla 4. Importancia de criterios de selección. 57. Tabla 5. Matriz normalizada . Matriz normalizada. 57. Tabla 6. Porcentajes ponderados. 58. Tabla 7. Valores máximos permisibles del CR. 58. Tabla 8. Tamaño de la matriz. 58. Tabla 9. Importancia de alternativas frente a costo. 59. Tabla 10. Matriz formalizada. 59. Tabla 11. Importancia de alternativas frente a desempeño. 60. Tabla 12. Matriz normalizada alternativas – desempeño. 60. Tabla 13. Importancia alternativas administración. 61. Tabla 14. Matriz normalizada alternativas – administración. 61. Tabla 15. Importancia de alternativas frente a soporte. 62. Tabla 16. Matriz normalizada alternativa soporte. 62. Tabla 17. Puntajes obtenidos en la selección de Seguridad Perimetral. 63. Tabla 18. Comparativa de precios acorde al Sistema de Seguridad Perimetral. 85. 9.

(10) LISTA DE ILUSTRACIONES. Pág.. Ilustración 1. Percepción de los riesgos mundiales 2017 – 2018. 16. Ilustración 2. Firewall implementado en una red LAN. 27. Ilustración 3. Zona desmilitarizada implementada. 27. Ilustración 4. Esquema de un IDS (Intrusion Detection System). 28. Ilustración 5. Esquema de un IPS (Intrusion Prevention System ). 29. Ilustración 6. Configuración general de Honeypot en un sistema red. 31. Ilustración 7. Porcentaje de crecimiento de ataques XSS. 33. Ilustración 8. Ejemplo de venta de ransomware en DeepWeb. 34. Ilustración 9. Captura pantalla infección con WannaCry o WanaCrypt0r 2.0. 35. Ilustración 10. Correo phishing. 37. Ilustración 11. URL Sospechosa. Ataque de Phishing. 37. Ilustración 12. Diagrama de red de la empresa JFC. 46. Ilustración 13. Encuesta de percepción de seguridad en la empresa JFC. 47. Ilustración 14. Clasificación de las marcas UTM según Gartner. 53. Ilustración 15. Diagrama jerárquico modelo toma de decisiones multicriterio. 56. Ilustración 16. Paso 1 - Instalación Sistema Seguridad Perimetral IPFire 2.23. 63. Ilustración 17. Paso 2 - Selección de lenguaje IPFire 2.23. 64. Ilustración 18. Paso 3 - Selección de Sistema de Archivos. 64. Ilustración 19. Paso 4 - Instalación del sistema. 65. Ilustración 20. Paso 5 - Reinicio del servidor, luego de instalación realizada. 65. 10.

(11) Ilustración 21. Paso 6 - Selección de zona horaria. 66. Ilustración 22. Paso 7 - Selección nombre de host. 66. Ilustración 23. Paso 8 - Establecimiento contraseña usuario root. 67. Ilustración 24. Paso 9 - Configuración de red. 67. Ilustración 25. Paso 10 - Tipo de configuración de red. 68. Ilustración 26. Paso 11 - Selección de tarjetas de red a usar. 68. Ilustración 27. Paso 12 - Configuración IP. 69. Ilustración 28. Paso 13 - Configuración Interfaz - Red. 69. Ilustración 29. Paso 14 - Configuración DNS y Puerta de Enlace. 70. Ilustración 30. Configuración de Servidor DHCP. 70. Ilustración 31. Instalación servicios Sistema Seguridad Perimetral – IPFIRE. 71. Ilustración 32. Conexiones establecidas Sistema de Seguridad Perimetral.. 72. Ilustración 33. Configuración Proxy. 75. Ilustración 34. Configuración de contenido filtrado. 75. Ilustración 35. Configuración avanzada de contenido filtrado. 76. Ilustración 36. Log de Filtrado de contenido. 76. Ilustración 37. Reglas Firewall aplicadas Sistema de Seguridad Perimetral. 77. Ilustración 38. Administración web de Sistema de Seguridad Perimetral. 77. Ilustración 39. Opciones de configuración del Firewall. 77. Ilustración 40. Configuración de redes Peer To Peer - P2P. 78. Ilustración 41. Iptables. 78. Ilustración 42. Iptables Mangles. 79. Ilustración 43. Iptables NAT. 79 11.

(12) Ilustración 44. Firewall log (IPs). 79. Ilustración 45. Log del Firewall. 80. Ilustración 46. Sistema de detección de intrusiones - IPS. 80. Ilustración 47. Reglas del Sistema de detección de intrusiones. 81. Ilustración 48. Log Sistema de Detección de Intrusiones. 81. Ilustración 49. Configuración GeoIP. 82. Ilustración 50. Bloqueo de contenido con el IPFIRE implementado. 82. Ilustración 51. Bloqueo de redes sociales con IPFIRE implementado. 83. Ilustración 52. Bloqueo de contenido - Twitter, con el IPFIRE. 83. Ilustración 53. Bloqueo de contenido, página de descargas masivas, IPFRE. 84. 12.

(13) LISTA DE IMÁGENES. Pág.. Imagen 1. Infraestructura física JFC ELECTRICAL ENGINEERING S.A.S.. 43. Imagen 2. Servidor de la empresa JFC ELECTRICAL ENGINEERING S.A.S. 44. Imagen 3. CPU área contable JFC ELECTRICAL ENGINEERING S.A.S.. 45. Imagen 4. Switch usado en la empresa JFC. 45. 13.

(14) LISTA DE GRÁFICOS. Pág.. Gráfico 1. Pregunta 1 – Encuesta de percepción. 48. Gráfico 2. Pregunta 2 – Encuesta de percepción. 48. Gráfico 3. Pregunta 3 – Encuesta de percepción. 49. Gráfico 4. Pregunta 4 – Encuesta de percepción. 49. Gráfico 5. Pregunta 5 – Encuesta de percepción. 50. Gráfico 6. Pregunta 6 – Encuesta de percepción. 50. Gráfico 7. Pregunta 7 – Encuesta de percepción. 51. Gráfico 8. Pregunta 8 – Encuesta de percepción. 51. Gráfico 9. Pregunta 9 – Encuesta de percepción. 52. Gráfico 10. Pregunta 10 – Encuesta de percepción. 52. Gráfico 11. Monitoreo gráfico del Sistema de Seguridad Perimetral. 72. Gráfico 12. Monitoreo de tráfico externo Sistema de Seguridad Perimetral. 73. Gráfico 13. Monitoreo de tráfico interno Sistema de Seguridad Perimetral. 73. Gráfico 14. Promedio de calidad de servicio Gateway. 74. 14.

(15) RESUMEN. El presente proyecto pretende identificar las problemáticas en cuanto a ciberseguridad que presenta la empresa JFC ELECTRICAL ENGINEERING S.A.S. y de esta manera poder diseñar e implementar un sistema de seguridad perimetral basado en las necesidades de la empresa. En el diseño e implementación del sistema de seguridad perimetral se tiene en cuenta la metodología de análisis de decisión multicriterio AHP sugerida por Thomas L. Saaty, la cual permite seleccionar la mejor opción acorde a varios criterios designados por el gerente de la compañía, para luego proceder a implementar el sistema, teniendo en cuenta el análisis de requisitos previos, entre los que se encuentra, la encuesta realizada a los empleados, que dejan en evidencia la pertinencia del proyecto. Finalmente se realizan las respectivas conclusiones y recomendaciones para el sistema de seguridad perimetral seleccionado, teniendo en cuenta parámetros desde su instalación hasta su parametrización acorde a necesidades puntuales.. 15.

(16) 1. PROBLEMÁTICA. 1.1 DESCRIPCIÓN DEL PROBLEMA Según el Foro Económico Mundial1, los ataques cibernéticos se encuentran en el top diez (10) de los riesgos mundiales actuales más latentes, y el primero en el campo tecnológico como se presenta en la ilustración 1. Ilustración 1. Percepción de los riesgos mundiales 2017 – 2018. Fuente: Informe de riesgos mundiales 2018 – Foro económico mundial. Que los ataques cibernéticos se encuentren en la cima como un riesgo mundial no es por suerte, pues gracias a la globalización, las empresas se encuentran generando millones de datos al día (información financiera, operativa, administrativa, comercial, etc), a tal punto, que estos se han convertido en uno de los recursos de mayor valor, y es allí, donde los ciberdelincuentes se fijan. A esto se suma la poca atención de los empresarios en tomar medidas para mitigar el impacto que pueda surgir cuando sean atacados, por ejemplo, en el 2017 con solo los ataques WannaCry y NotPetya, se afectaron 300.000 computadores en 150 países, con pérdidas trimestrales de USD 300.000.000 a las compañías afectadas2. Entre los ataques más frecuentes fueron los correos electrónicos 1. Foro económico mundial, «Informe de riesgos mundiales 2018,» Ginebra, 2018. 2. Ibid. 16.

(17) maliciosos y el secuestro cibernético. Otros de los ciberataques más sonados fueron el que sufrió la firma japonesa Sony en 2014, lo que llevó a cancelar la película The Inteview3. Por otra parte, los cibercrímenes tienen características como4: . Exponencial: son personas dedicadas a los ciberataques con estructuras organizadas, en donde solo una persona de estas, puede robar a más de cien (100) millones de usuarios.. . Automatizado: todo lo realiza un software, el cual puede desde robar cuentas de redes sociales, hasta información financiera.. . Tridimensional: no solo desde un computador se pueden realizar y controlar ataques, ahora la Revolución 4.0 ha conectado muchos dispositivos de nuestra vida diaria y laboral a la web, claro ejemplo lo vivió Arabia Saudí5 que debió interrumpir la producción de crudo, tras ser atacado por vehículos no tripulados – drones; ataque llevado a cabo de manera remota.. Ninguna persona que tenga acceso a la web se encuentra exenta de ataques, incluso, el mismo programa usado para navegar tiene sus deficiencias de seguridad. Según un proyecto liderado por Google, denominado Project Zero 6 demuestra que todos los navegadores sin excepción tienen vulnerabilidades como lo demuestra la tabla 1. En Colombia, las empresas no son ajenas a los ciberataques, pues solo en abril y junio del 2019, se realizaron 42 billones de intentos de estos ataques 7, entre los cuales se encuentran exploits, pishing, malware y DDoS, tal cual como lo demostró Juan Carlos Puentes, country mánager de Fortinet; si a esto se agrega. 3. BBC, «El FBI acusa al gobierno de Corea del Norte del hackeo a Sony Pictures,» 19 Diciembre 2014. [En línea]. Available: https://www.bbc.com/mundo/ultimas_noticias/2014/12/141219_ultnot_corea_norte. 4. DELOITTE, «Ecosistema de ciberseguridad: Preparándonos para la defensa,» Agosto, Bogotá, 2018. 5. El Pais, «Arabia Saudí interrumpe la mitad de su producción de crudo tras un ataque con drones,» 15 Septiembre 2019. [En línea]. Available: https://elpais.com/internacional/2019/09/14/actualidad/1568456455_053067.html 6. Google, «Project Zero,» 21 Septiembre 2017. [En línea]. Available: https://googleprojectzero.blogspot.com/2017/09/the-great-dom-fuzz-off-of-2017.html. 7. Blue Radio, «Phishing y malware, las mayores amenazas cibernéticas para los colombianos,» 2019 Septiembre 2019. [En línea]. Available: https://www.bluradio.com/lanube/phishing-y-malwarelas-mayores-amenazas-ciberneticas-para-los-colombianos-225840-ie6860225. 17.

(18) que en el 40% de las empresas no existe un rol definido para poder tomar decisiones efectivas para detectar y enfrentar las amenazas8. Tabla 1. Bugs encontrados en navegadores. Fuente: Project Zero – Google. En lo que requiere al presupuesto asignado a ciberseguridad, es preocupante, pues el 50% de las empresas colombianas asignan solo del 1% al 5% de sus ingresos [6], si se tiene en cuenta el impacto que podría ocasionar dicho ataque, la inversión se vería irrisoria; pues para detectar y estar preparados para una amenaza, se debe contar con un presupuesto alineado al riesgo de la posibilidad de perder la información. Actualmente la inversión en seguridad informática en el departamento del Huila es muy pobre, a tal punto que, los empresarios lo asumen como un costo más no como una inversión, es por ello que, al verificar las infraestructuras de TI manejadas en las empresas se refleja la desestimación de proteger la red interna de la organización y con ellos los datos de amenazas y ataques cibernéticos. JFC ELECTRICAL ENGINEERING S.A.S. no ha sido ajeno a esta problemática, pues a medida que la empresa ha crecido, el volumen de información y su grado de confidencialidad se ha convertido en un punto crítico, ya que en los últimos años se ha vivido una serie de acontecimientos que han expuesto los datos comerciales y bancarios, los cuales no se han podido dimensionar, a tal punto que, hoy en día no se conoce si se ha extraído información confidencial. La empresa posee un canal de internet de banda ancha (10 Mbps), con tres (3) routers, los cuales son usados por seis (6) usuarios. Entre sus principales usos se encuentra el pago de facturas a proveedores mediante transacciones electrónicas, 8. DELOITTE, «Ciber Riesgos y seguridad de la información en América Latina & Caribe - Reporte Colombia,» Bogotá, 2019. 18.

(19) envíos y recepción de correos (cotizaciones, proveedores, clientes) y compartir archivos en red. Estos usos se han ido incrementando día a día con la expansión de la empresa, en donde correos tipo pishing enviados a áreas como Contabilidad y Compras, aumentan gradualmente, los cuales ocasionalmente no se han abierto, solicitando ayuda a una empresa conocedora del tema. Así como las cantidades de transferencias electrónicas que se manejan diario son cada día mayores, convirtiendo la red en blanco fácil para ciberataques. Igualmente, el uso sin restricciones en la red interna permite el acceso a las amenazas sin ningún obstáculo, pues todo el personal de la empresa tiene permiso para navegar en la intranet. Lo mencionado anteriormente ha conllevado a una serie de planteamientos el cual apuntan a la capacidad de reacción que tiene la empresa para mitigar y enfrentar amenazas que impliquen pérdidas de información por diferentes ataques que pueda haber en la red y web. 1.2 PLANTEAMIENTO DEL PROBLEMA ¿Cuál es el mejor sistema de seguridad perimetral que permita mitigar las pérdidas de información por ataques informáticos en la empresa JFC ELECTRICAL ENGINEERING S.A.S. acorde a sus características?. 19.

(20) 2. OBJETIVOS. 2.1 OBJETIVO GENERAL Implementar un sistema de seguridad perimetral apoyada de la ISO 27001 e ISO 27002 que garantice la protección de la información en la empresa JFC.. 2.2 OBJETIVOS ESPECÍFICOS . Análisis del sistema de información en la empresa JFC utilizando una encuesta y aplicación de la metodología APTH.. . Identificar aspectos representativos de la ISO 27001 e ISO 27002, en cuanto a la seguridad perimetral para su respectiva aplicación en la empresa JFC.. . Describir la propuesta de diseño del sistema de seguridad perimetral utilizando la ISO 27001 e ISO 27002 para la protección de la información en la empresa JFC.. 20.

(21) 3. JUSTIFICACIÓN. Hoy en día la mayoría de las empresas a nivel mundial hacen diversas actividades en la web, desde búsqueda de clientes, hasta la recepción y envío de pagos vía transferencia electrónica, el caso específico de Colombia, tan solo en el año 2018 ocupó el cuarto lugar en ventas a través de internet9, lo que se traduce a grandes sumas de dinero que se transfieren a diario de un lugar a otro en la web. JFC ELECTRICAL ENGINEERING S.A.S al año 2019 lleva un porcentaje importante en transacciones financieras realizadas por la web, el cual ha aumentado a través del tiempo. Por otra parte, el manejo de información en los correos se ha convertido en un cuello de botella, pues es allí donde llega mucha información que de una u otra manera es posible bloquear con un sistema de seguridad perimetral, pues, si bien es cierto, la implementación de un antivirus a los usuarios finales, permite proteger el servidor y/o computadores de programas maliciosos, no es suficiente para mitigar los ataques y amenazas provenientes del exterior, es por ello que, la implementación de un sistema de seguridad perimetral (SSP) en la infraestructura de red con políticas de seguridad es el paso que se debe dar para estar preparados ante cualquier eventualidad. En muchos casos los ataques no solicitan al usuario permiso alguno, simplemente se ejecutan como los llamados bots, gusanos o troyanos, estos se propagan en la web buscando usuarios que por coincidencia bajen un programa, o al dar click en algún enlace, y sin permiso alguno se ejecuten en el computador, infectándolo. La implementación de un SSP permite supervisar el tráfico entrante y saliente de la red, así como bloquear el que no es deseado y dejar pasar los que son identificados, filtrar cierto contenido que es permitido a los usuarios, de esta manera se preparará a la empresa ante cualquier eventualidad de seguridad que pueda surgir blindando la empresa mediante hardware o software específico para contrarrestar amenazas. El Sistema de seguridad perimetral, además, ayudará a optimizar la conectividad de los usuarios, pues muchos sitios que consumen considerable cantidad de ancho de banda serán limitados, dejando acceder a aquellos que son netamente necesarios para las actividades laborales, como lo son cuentas de correo, páginas financieras, de proveedores, y buscadores. Hay que mencionar, además, la confiabilidad y disponibilidad que brinda al momento de realizar conexiones hacia la red interna, desde el exterior, mediante VPN (Virtual Private Network), esto, teniendo en cuenta que, en muchos casos, los empleados de la empresa deben conectarse estando fuera de la red interna.. 9. Blacksip, «Reporte del Ecommerce en Colombia,» Bogotá, 2019. 21.

(22) La empresa JFC ELECTRICAL ENGINEERING S.A.S consciente de las amenazas informáticas a las cuales toda empresa se encuentra sometida en la red, y que han sido víctimas muchas multinacionales, ha decidido evaluar y diseñar la mejor alternativa de sistema de seguridad perimetral hardware o software para ser implementada en la empresa teniendo en cuenta costo/beneficio, viendo la oportunidad no solo fortalecer la infraestructura y el área de TIC mediante herramientas que permitan mitigar riesgos de ciberseguridad, sino, ser pionera en el departamento del Huila con implementación de buenas prácticas en seguridad informática.. 22.

(23) 4. ESTADO DEL ARTE. La seguridad informática en el mundo actual ha cogido tal relevancia que ya todas las empresas sin importar su tamaño están viendo la importancia de tener un sistema de seguridad perimetral que permita mitigar amenazas y aunque en Colombia, todavía falta mucho camino por recorrer, se han dado pasos importantes, así lo evidencia el Ministerio de las Tecnologías y Comunicaciones – MINTIC en donde realiza un informe que no es frecuente en la región sobre Ciberseguridad en las empresas con el fin de luego, poder sugerir medidas e implementar políticas en cuanto a la prevención de riesgos en la red10. Este informe arrojó resultados que, si bien no son alentadores, son la base para poder llegar a la meta mencionada anteriormente. El 37% de las empresas encuestadas afirman que se encuentran preparadas para cualquier incidente de seguridad informática que pueda suceder, luego si se revisan los resultados a manera municipal, tan solo el 28% de las empresas se sienten preparadas para ello. Asimismo, estas afirman y hacen responsables al departamento de TI de cualquier evento que pueda suceder en seguridad, que a su vez cuentan con una infraestructura de apoyo como lo es el sistema de seguridad perimetral. De esta manera, existen diversas implementaciones tanto se sistema de seguridad perimetral como de sus componentes, claro ejemplo de ello tenemos el trabajo para la Implementación de un Firewall TMG Forefront para la Seguridad Perimetral de la Red de Datos de la Clínica Aliada11 en donde además de realizar la implementación, se hace todo el estudio de las amenazas cibernética acorde a las aplicaciones, intranet y demás servicios TI de la Clínica Aliada, obteniendo como principales conclusiones la mitigación de riesgos de ataques malware y spam en toda la red de datos de la clínica, así como la optimización de la red al implementar y la facilidad de trabajar desde otras ubicaciones (para funcionarios que no se encuentren en la red interna) a través del servicio VPN (Virtual Private Network). Igualmente se han realiza diseños para la implementación de Sistemas de seguridad perimetral en empresas y Consorcios colombianos como el trabajo de grado Diseño de un sistema de seguridad perimetral en las instalaciones del Consorcio Expansion PTAR Salitre, Sede Bogotá D.C.12 en donde se parte desde 10. Ministerio de las Tecnologías y Comunicaciones - MINTIC, «Impacto de los incidentes de seguridad digital en Colombia,» Bogotá, 2017. 11. CASTILLO PALOMINO, R. G., DOMINGUEZ CHAVEZ, M. A. y SULCA GALARZA, C. I., Implementación de un Firewall TMG Forefront para la Seguridad Perimetral de la Red de Datos de la Clínica Aliada, Lima: Universidad Peruana de las Américas, 2017. 12. BOHORQUEZ, M. A. y PAEZ CUADROS, L. A., Diseño de un sistema de seguridad perimetral en las instalaciones del consorcio Expansion PTAR Salitre, Sede Bogotá D.C., Bogotá: Universidad Católica, 2017 23.

(24) el diseño de todo el SSP con las mejores prácticas de seguridad, incluyendo desde la configuración y distribución de las redes mediante VLANS de comunicación, acceso físico por biometría, CCTV, firewall y demás; cuyos resultados son las sugerencias para que dicha implementación sea lo más exitosa posible. En muchos casos existen implementaciones específicas como el trabajo de grado Implementación de un firewall construido a partir de software y una placa de circuitos compacta o sbc (single board computer) en la empresa Taio Systems de la ciudad de Popayán13 en el cual se construye y configura una placa de circuitos bajo plataforma Open Source, de acuerdo a las características de red de la organización; las conclusiones permitieron corroborar que componentes de un Sistema de seguridad perimetral como lo es el firewall, permiten denegar, bloquear y filtrar todo aquel usuario no deseado, protegiendo a su vez la información de la empresa. Igualmente, siguiendo la línea de software libre, el trabajo de grado Implementación de un firewall sobre plataforma Linux en la empresa de contabilidad Armas & Asociados14 en donde hace comparativas de soluciones firewalls tanto en hardware como software, y selecciona para dicha empresa en particular solución de software libre debido a su relación coste/beneficio, así como la posibilidad de actualizarlo constantemente encontrando posibles errores o fallas de seguridad, pues debido que es software de libre acceso, muchas personas lo utilizan y revisan. Por otra parte, en la medida que ha transcurrido el tiempo y con la globalización, empresas dedicadas al sector de ciberseguridad han dado pautas para poder no solo diseñar e implementar Sistemas de seguridad perimetral basado en las necesidades de la empresa, si no las políticas, de manera que los usuarios finales interioricen que es responsabilidad de cada uno mantener al margen las amenazas, pues en muchas ocasiones sucede por la desinformación de los usuarios, quienes terminan abriendo una URL, o dando información ingenuamente. En el caso del Instituto Nacional de Tecnologías de la Comunicación en su monografía titulada Seguridad Perimetral 15, en donde presentan toda una gama de productos para poder construir el SSP, así como sus principales características, relación costo/beneficio, recomendaciones y demás. Esta monografía además, sugiere buenas prácticas en la implementación del sistema, dejando a su vez, listado de fabricantes con referencias de hardware y 13. CHICAIZA PAREJA, J. S. «Implementación de un firewall construido a partir de software y una placa de circuitos compacta o sbc (single board computer) en la empresa Taio Systems de la ciudad de Popayán,» Universidad Nacional Abierta y a Distancia - UNAD, Popayán, 2017 14. ESPARZA MOROCHO,J. P. «Implementación de un firewall sobre plataforma Linux en la empresa de contabilidad Armas & Asociados,» Escuela Politécnica Nacional, Quito, 2013. 15. Instituto Nacional de Tecnologías de la Comunicación - INTECO, «Seguridad Perimetral,» Catálogo de empresas y soluciones de seguridad TIC, pp. 7-116, 2010. 24.

(25) software recomendados, los cuales ha clasificado y comparado según reputación de las referencias de los equipos y softwares que manejan. Para poder diseñar e implementar un sistema de seguridad perimetral es necesario conocer las principales tecnologías del mercado, así como experiencias de casos reales de ello, el trabajo de grado Estudio de las tecnologías de seguridad perimetral informáticas y propuesta de un plan de implementación para la agencia nacional de tránsito16 hace un análisis con características y conceptos en cuanto a redes, amenazas, vulnerabilidades y técnicas de ataque a tener en cuenta para determinar los requerimientos de la red de la empresa en particular con el fin de cumplir el objetivo de diseñar e implementar el SSP. Los resultados son claros, en donde establecen políticas de seguridad, controles de sitios web a través de firewalls, filtrados de contenidos, establecimiento de protocolos de túneles como PPTP o L2TP para establecer comunicaciones privadas protegiendo la información, sugiriendo solución UTM en combinación con diversas funcionalidades, todo ello acorde a las necesidades de la empresa. Asimismo, hay artículos que describen los pasos acordes a los requerimientos de la empresa para diseñar un SSP para una red de datos, como es el artículo Seguridad perimetral para la red de datos17, el cual tiene en cuenta como plus la escalabilidad que debe tener el diseño en toda red, permitiendo evolucionar con el tiempo, brindando confiabilidad y disponibilidad.. 16. CHICAIZA GARCIA, Diego Francisco. Estudio de las tecnologías de seguridad perimetral informáticas y propuesta de un plan de implementación para la agencia nacional de tránsito, Quito: Pontificia Universidad Católica del Ecuador, 2014. 17. TORRES BOLAÑOS, R. J. «Seguridad perimetral para la red de datos,» Universidad Técnica del Norte, Quito. 25.

(26) 5. MARCO TEÓRICO. 5.1 SISTEMA DE SEGURIDAD PERIMETRAL Para el diseño e implementación de un sistema de seguridad perimetral en la red, se debe conocer conceptos específicos de los componentes que lo integran, esto con el fin de poder ajustar las necesidades de la empresa al sistema a seleccionar. El Sistema de seguridad perimetral (SSP) son todos aquellos componentes de seguridad sea hardware o software, que integran la infraestructura red y cuyo único fin tiene proteger los elementos y activos internos de la organización con su respectiva información del medio externo, en este caso, la web o internet.. 5.1.1 Cortafuegos (Firewall) Elemento de red que permite definir políticas de accesos, permitiendo o denegando el tráfico entre redes (mínimo dos) según se definan sus reglas. Hay dos políticas o maneras de implementarlo, denegando todo a excepción de ciertas IPs (lista blanca), o aceptando todo a excepción de ciertas IPs (lista negra)18. Es pertinente mencionar que la primera es muy rigurosa, se recomienda cuando se conoce claramente cómo funciona el sistema teniendo en cuenta qué se debe abrir. La segunda política permite una gestión mucho más fácil, pues solo se debe tener en cuenta aquellos puertos o direcciones que nos interesa para protegerlos, la contraparte es el no poder controlar todo lo que está abierto, dejando la oportunidad que un software abra un puerto determinado. Ahora bien, se debe establecer el orden de las reglas del cortafuego, pues cuando un paquete llega, se debe decidir que se hace con él. Acorde al orden de las reglas del cortafuego se compara hasta que encuentre una que le afecte, haciendo lo que esta regla mencione (aceptar o denegar), después de ello no se revisarán más reglas para ese paquete. En caso de tener reglas muy permisivas entre las primeras, puede que las siguientes no se apliquen, dejando inservible el cortafuegos19. Existen diferentes tipos de cortafuegos o firewalls: . Circuitos a nivel de pasarela: uso exclusivo para aplicaciones específicas.. . Cortafuegos de capa de red: su funcionamiento se basa en el filtrado a nivel de capa de red IP source / IP destination.. 18. Intypedia - Information Security Encyclopedia, «Seguridad perimetral,» Madrid, 2011.. 19. ALTADILL IZURA, P. X., «IPTABLES Manual práctico,» Bilbao, 2013 26.

(27) . Cortafuegos de capa de aplicación: permite filtrar protocolos específicos, por ejemplo, TCP, SQL, etc.. . Cortafuegos personal: como su nombre lo indica son para computadores y smartphones personales.. A continuación, se ilustra la configuración de una red con un cortafuegos típico: Ilustración 2. Firewall implementado en una red LAN. Fuente: elaboración propia. Es pertinente ubicar el cortafuegos entre el router de servicio del proveedor de internet y el switch o equipo que interconecte la red LAN (Local Area Network), que no es más que la red local de la empresa. En muchas ocasiones, es necesario que componentes de la red interna interactúen con la red externa (internet), como es el caso específico de los servidores web, para ello, se debe hacer una excepción, situando dicho componente fuera de la red interna, y es donde entra en juego el concepto de DMZ (Demilitarized Zone), por lo cual, el cortafuegos ya tendría tres entradas, y su función toma mayor relevancia. Ilustración 3. Zona desmilitarizada implementada. Fuente: elaboración propia 27.

(28) 5.1.2 Sistema de Detección y Prevención de Intrusos Herramienta utilizada para proteger la infraestructura de manejo de información, cuya función principal es monitorear y detectar comportamientos y eventos sospechosos tanto en host como en red, en tiempo real20, así como responder ante cualquier eventualidad. En cuanto a los Sistemas de Prevención, fueron la evolución del primer grupo (Sistema de Detección), los cuales por su enfoque y rápida respuesta ante eventos sospechosos son más complejos, pues además de monitorea, interviene activamente al ver paquetes sospechosos, de esta manera realiza exámenes robustos de sesiones sospechosas, tomando acciones de manera inmediata ante un posible ataque. Su implementación de estos sistemas suele ser por separados o combinados (IDS/IPS), tanto en una red como en un host particular. Al implementarse en una red, se puede monitorear el tráfico de ésta, actuando entre los atacantes de manera oculta, en cuanto a la implementación en un host pueden monitorear todo el tráfico dirigido a un equipo específico, así como los comportamientos inusuales que ocurran en el sistema21. La base del funcionamiento de estos sistemas es en la detección de eventos que coincidan con los registrados en las reglas definidas o a través de patrones de comportamiento inusuales. Ilustración 4. Esquema de un IDS (Intrusion Detection System). Fuente: Imagen obtenida de commons.wikimedia.org | CC BY-SA 4.0 20. Backtrack Academy, «Qué es un sistema de detección y prevención de intrusos,» 10 Abril 2018. [En línea]. Available: backtrackacademy.com/articulo/que-es-un-sistemas-de-deteccion-yprevencion-de-intrusos-ids 21. Ibid 28.

(29) Ilustración 5. Esquema de un IPS (Intrusion Prevention System ). IPS Fuente: Imagen obtenida de commons.wikimedia.org | CC BY-SA 4.0. Sus principales diferencias con los firewalls son22: . Están atento a los ataques internos en la red.. . Detectan ataques dirigidos de los propios cortafuegos.. . Investigan el contenido y los archivos de registros de cortafuegos, routers, etc.. . Son un complemento, las cuales se crearon para trabajar en conjunto con otras herramientas para crear una solución de seguridad robusta, como lo es el Sistema de Seguridad Perimetral.. 5.1.3 Antivirus Programa usado para detectar y eliminar malware como virus, keyloggers, troyanos, entre otros. Pueden instalarse tanto en computadores (usuario final) como servidores, su método de funcionamiento es sencillo, pero ahora vienen con características completas pues permiten escanean los programas antes de abrirlos, así como las unidades externas conectadas, el disco duro normal, los mensajes de correo electrónico, las conexiones de red entrante, las páginas web, entre muchas otras. Por ello, se debe configurarlo acorde a las necesidades, ya que puede llegar la posibilidad de ralentizar el computador, surgiendo un efecto negativo en el usuario final. Los antivirus poseen una gran cantidad de base de datos que se están actualizando constantemente (allí la importancia de tenerlo licenciado) de virus actuales, que son las firmas de estos (virus), al escanear el programa o unidad externa realmente están buscando mediante comparación esas firmas para poder bloquearlas y eliminarlas, antes de que se siga propagando. 22. WARE, C. «Sistemas de Detección y Prevención de Instrusos - Estado del Arte,» Montevideo, 2011 29.

(30) En el mercado se encuentran diversas marcas las cuales ofrecen diversas características y eficiencia. A continuación, se mostrará una comparativa realizada por PCWORLD, revista especializada de informática23. Tabla 2. Mejores antivirus del 2019 Posición Antivirus 1 Bitdefender Total Security (2019) 2 Norton Security Deluxe 3 ESET Internet Security 11 4 Kaspersky Security Cloud 5 BullGuard Premium Protection 6 McAfee Total Protection 7 AVG Ultimate (2019) 8 Sophos Home Premium 9 Avast Premier (2019) 10 Avira Antivirus Pro (2019) Fuente: PC WORLD, «Los mejores antivirus para Windows de 2019,» 13 Agosto 2019. [En línea]. Available: https://www.pcworld.es/mejores-productos/seguridad/antivirus-windows-3675796/.. La clasificación anterior se realizó con la ayuda de AV-TEST, organización independiente dedicada al análisis de antivirus y la empresa británica SE Labs, las cuales evaluaron la capacidad de reacción que tiene un antivirus para la detección de malware usando métodos tradicionales, capacidad de detener los ataques, así como de eliminar contenido malicioso.. 5.1.4 Honeypots Sistemas trampas para observar el comportamiento de un ataque informático, con el único fin de analizar la intrusión y método usado; por lo cual, su objetivo principal es simular un equipo vulnerable para atraer al atacante, por lo cual permite: . Analizar vulnerabilidades del sistema.. . Conocer nuevos ataques.. . Desviar al atacante, salvando el sistema principal: también para persuadirlo con el fin de ganar tiempo y poder actuar con las medidas necesarias.. . Conocer nuevo malware o Zero-Days. . Localizar atacantes a través de IP’s, para incorporarlas en la lista negra del cortafuegos (firewall).. 23. PC WORLD, «Los mejores antivirus para Windows de 2019,» 13 Agosto 2019. [En línea]. Available: https://www.pcworld.es/mejores-productos/seguridad/antivirus-windows-3675796/. 30.

(31) A continuación, se mostrará una configuración general de un Honeypot, en donde se atrae al atacante de manera que el sistema verdadero se encuentre a salvo: Ilustración 6. Configuración general de Honeypot en un sistema red. Fuente: elaboración propia. De acuerdo con el objetivo para el que se emplea, el Honeypot se clasifica de la siguiente manera: . Honeypot de producción: empleado para proteger una red o reducir daños de un ataque.. . Honeypot de investigación: empleado para recolectar información del atacante, conocer métodos de intrusión, herramientas, etc.. De igual modo, existen diferentes tipos de Honeypot según la interacción con el atacante: . Baja interacción: simulan la parte de un sistema específico, son instalados como una aplicación en un host. Sirven exclusivamente para recolectar cierta información de ataques concretos, entre los que se encuentran la monitorización de puertos.. . Media interacción: añade más información y con ello mayor riesgo, ejemplo de ello son los Honeypot jaulas, los cuales simulan un Sistema Operativo real.. . Alta interacción: sistemas completos y realistas, recoge mucha más información que los dos anteriores, aun así, son más peligrosos, pues los atacantes pueden usar este sistema como plataforma para atacar la red verdadera. 31.

(32) . Honeynet es un Honeypot de alta interacción que permite capturar toda la información del atacante, la gran dificultad de estos es la configuración de dichas medidas de control precisamente para poder recolectar todos los datos que se requieren.. 5.1.5 UTM - Unified Threat Management UTM o Gestión Unificado de Amenazas, es un centro de gestión centralizado de la mayoría de las amenazas que puedan afectar una empresa. Sus principales funciones son: . Antivirus.. . Cortafuegos o Firewall.. . Sistemas de detección y prevención de intrusiones “IDS/IPS”.. . Antiphishing.. . Antispam.. . Redes privadas virtuales o VPN.. . Sistemas de protección de redes inalámbricas wifi.. . Filtrado de contenido. Las UTM son caracterizadas por su sencillez en la manera de poder reunir muchas funcionalidades en cuanto a seguridades de red en una sola solución, con asistencia de un único equipo y ejecutarlos desde una sola consola. Estos equipos han sobresalido gracias a la aparición de amenazas mixtas, las cuales resultan de la combinación de varios tipos de malware y ataques dirigidos a partes diferentes de la red de forma simultánea24, es por ello que muchas empresas deciden combinar el uso de un dispositivo UTM con el uso de Seguridad Perimetral basado en software, para lograr contrarrestar el malware que se infiltre.. 5.2 CIBERAMENAZAS La llegada del internet y con ello la globalización ha desatado otro tipo de guerras, pues ahora los campos de batalla se trasladaron a la web en donde aparecen conceptos como ciberataques, hackers, seguridad informática, entre otros. 24. KASPERSKY, «¿Qué es la gestión unificada de amenazas (UTM)?,» 2017. [En línea]. Available: https://latam.kaspersky.com/resource-center/definitions/utm. 32.

(33) 5.2.1 Cross-Site Scripting (XSS) Se basa en ataques al lado del cliente, entre los que se encuentran el robo de la sesión (apropiación de la cuenta), inclusión de troyanos de autenticación, ataques contra el navegador, descarga de software malicioso, y otros. Existen tres tipos de Cross-Site Scripting para atacar a los navegadores de los usuarios25: . XSS reflejado: se da gracias a que la aplicación no valida los datos utilizados, los cuales son ingresados por el usuario y codificados como HTPL o Javascript. Permitirá ejecutar cualquier comando deseado por el atacante en el navegador de la víctima; es muy frecuente usar publicidad maliciosa para que el usuario interactúe con el enlace o página controlada.. . XSS Almacenado: la aplicación no valida los datos almacenados que son ingresados por los usuarios, como consecuencia, estos son visualizados o manipulados por otro usuarios. Este tipo de Crosss-Site Scripting es clasificado como riesgo de nivel crítico.. . XSS Basados en DOM: frameworks en JavaScript, aplicaciones de página única o APIs incluyen datos dinámicamente, controlables por un atacante. Idealmente, se debe evitar procesar datos controlables por el atacante en APIs no seguras26.. Estos tipos de ataques crecieron han estado en crecimiento en el 201727 según informó la Base de Datos Nacional de Vulnerabilidades de los Estados Unidos. Ilustración 7. Porcentaje de crecimiento de ataques XSS. Fuente: Informe de la NVD (National Vulnerability Database) – 2017 25. Owasp Foundation, «Los diez riesgos más críticos en Aplicaciones Web,» OWASP Top 10 2017, 2017 26. Ibid.. 27. Centro Criptológico Nacional, «Ciber Amenazas y Tendencias,» Madrid, 2018 33.

(34) 5.2.2 Ransomware Tipo de ciberataque cuya función principal es secuestrar la información de la víctima para exigir pago de rescate. Actúan códigos conocidos como filecoder o Cryptolocker, entre muchos más28. Su método de infección es a través correos electrónicos, con la apertura de archivos adjuntos, al hacer clic en ellos, también se han detectado en programas de activación (comúnmente llamado piratear) de software reconocidos como Adobe Photoshop y Microsoft Office. Este tipo de amenaza es muy usado debido a la facilidad en conseguirse por la web29, en donde vendían específicamente Karmen como ransomware as a service por 175 dólares. Asimismo, otro claro ejemplo de la fácil distribución de este tipo de ataque en la DeepWeb, fue el estudio realizado por Sophos, en donde se atribuye al grupo Rainmaker Labs, el cual lo vende en 389 dólares30. Ilustración 8. Ejemplo de venta de ransomware en DeepWeb. Fuente: Ransomware As A Service: Deconstructing Philadelphia 31. Entre los Ransomware más conocidos se encuentran: 28. Enjoy Safet Technology - ESET, «TODO SOBRE EL RANSOMWARE: Guía básica y preguntas frecuentes,» 2016. 29. Recorded Future, «Recorded Future,» 18 Abril https://www.recordedfuture.com/karmen-ransomware-variant/. 30. 2017.. [En. línea].. Available:. Sophos, «Ransomware as a service (RaaS): Descontructing Philadelphia,» Massachusetts, 2017. 31. Ibid 34.

(35) . Petya: el cual además de cifrar los datos almacenados, sobreescribe el registro de inicio maestro (MBR) del disco duro, lo que causa que los usuarios finales (computadores) infectados, no pudieran iniciarse.. . NotPeya: versión mejorada de la anterior, el cual usa múltiples técnicas de difusión entre las que se encuentra la usada por WannaCry, así como técnicas de propagación en redes locales mediante herramientas integradas de Microsoft32.. . WannaCry: ataca redes usando un protocolo que ayuda a los equipos a comuicarse con las impresoras y otros dispositivos conectados a la red (SMBv1). Su fin principal es impedir el acceso de los usuarios a sus archivos mediante el cifrado, haciendo de esta manera un secuestro de información. Este tipo de ransomware usa métodos de la Agencia de Seguridad Nacional de Estados Unidos (EternalBlue y DoublePulsar), pues fue filtrado por el grupo The Shadow Brokers33. A continuación, se muestra una captura de pantalla de un computador infectado con WannaCry o WanaCrypt0r 2.0.. Ilustración 9. Captura pantalla infección con WannaCry o WanaCrypt0r 2.0. Fuente: WannaCry34. Los expertos recomiendan mantener actualizados los computadores, especialmente aquellos que usan Sistema Operativo Windows, así como tener antivirus instalado y Cortafuegos en la red que permita detectarlos.. 32. Centro Criptológico Nacional, «Ciber Amenazas y Tendencias,» Madrid, 2018. 33. Avast, «WannaCry,» 2017. [En línea]. Available: https://www.avast.com/es-es/c-wannacry.. 34. Ibid 35.

(36) 5.2.3 Phishing y Spamming A diferencia del anterior, el phishing es un método que usa ingeniería social (práctica para robar información confidencial a personas, con el simple hecho de realizar diversas preguntas ya sea en una conversación telefónica, personal o en un correo electrónico, para ello ganarse la confianza de la víctima es esencial, o simplemente persuadirlo35. Normalmente el atacante se hace pasar por una persona o empresa de confianza utilizando correo electrónico o mensajería instantánea. Existe varios tipos de phishing teniendo en cuenta el objetivo36: . Phishing Tradicional: se liga a la falsificación de un sitio web conocido por la víctima, en donde el usuario ingresa las credenciales en este sitio falso, las cuales son capturadas y enviadas al atacante. Es el más usado, y se envía al mayor número de personas posibles.. . Spear Phishing: no es masivo, ya se tienen identificados un grupo de usuario concreto; es por ello que, la Ingeniería Social en este tipo es mucho más importante.. . Whale Phishing / Whaling: ya se tienen identificados usuarios concretos, puede ser personal directores financieros, gerentes, y aquellos que tengan la mayor cercanía con el manejo del dinero de las empresas; la Ingeniería Social en este tipo es la más sofisticada, pues se requiere un estudio previo de las víctimas, para poder elaborar el mensaje adecuado.. Es importante tener en cuenta que la mayoría de los ataques phishing contienen graves errores de ortografía, así como de redacción, en muchos casos se debe al uso de herramientas automáticas de traducción, o aparecen caracteres raros en el link, un ejemplo de ello nos muestra Alejandro Pinto en su blog 37, en donde se muestra un correo aparentemente enviado por Bancolombia, al parecer todo en normalidad, en donde se afirma que la cuenta se encuentra bloqueada, por lo cual debe dar clic en el link suministrado y digitar la clave de la cuenta para desbloquearla:. 35. DOLAN, A. «Social Engineering,» SANS Institute Information Security Reading Room, 2004.. 36. Andalucía CERT - Centro de Seguridad TIC, «Informe de divulgación Phishing,» Sociedad Andaluza para el Desarrollo de las Telecomunicaciones, Andalucía, 2017. 37. PINTO. A. «Blog de Alejandro Pinto en la Universidad Tecnológica de Pereira,» 4 Diciembre 2013. [En línea]. Available: http://blog.utp.edu.co/alejandropinto/phishing-dos-casos-personales-y-como-puede-cuidar-suinformacion-y-la-de-su-empresa/. 36.

(37) Ilustración 10. Correo phishing. Fuente: Phishing: Dos Casos Personales y Cómo Puede Cuidar Su Información y la de Su Empresa38. Al ingresar el portal es similar al original, a diferencia de la URL: Ilustración 11. URL Sospechosa. Ataque de Phishing. Fuente: Phishing: Dos Casos Personales y Cómo Puede Cuidar Su Información y la de Su Empresa39. Al revisar la URL, definitivamente se concluye que es un ataque de phishing, en donde el ciberdelincuente está esperando que el usuario ingrese las credenciales de la cuenta para poder capturarlas y robarla. Por otra parte, el spam o correo basura, generalmente se distribuye con fines publicitarios, aun así, es un medio para usar el phishing, distribuyendo links y URLs falsas, así como código dañino. La porción de correo spam que llega es a tal 38. PINTO. A. «Blog de Alejandro Pinto en la Universidad Tecnológica de Pereira,» 4 Diciembre 2013. [En línea]. Available: http://blog.utp.edu.co/alejandropinto/phishing-dos-casos-personales-y-como-puede-cuidar-suinformacion-y-la-de-su-empresa/. 39. Ibid 37.

(38) cantidad que en el 2018 el 52,48% de los correos que llegaron, era de este tipo, en donde China fue la mayor fuente de estos correos. El 74,15% de este tipo de correos tenían menos de 2 KB de tamaño, y el 18,32% de ellos, contenían phishing40.. 5.3 DISPOSITIVOS QUE GARANTIZAN LA SEGURIDAD PERIMETRAL Actualmente hay gran diversidad de equipos y software que garantizan la seguridad perimetral en una red, teniendo en cuenta características como rendimiento, costo, y administración, se puede seleccionar la mejor alternativa, a continuación se describirán algunos de estos:. 5.3.1 Fortigate Equipo hardware dedicado cuyo fabricante, Fortinet, tiene su sede principal en Estados Unidos. Dentro de sus características a resaltar se encuentran41: . Protocolo de gestión remota: http. . Rendimiento de 950 Mbps, 180000 paquetes por segundo. . SSL inspección rendimiento, 200 MBps. . Firewall latencia (64-byte UDP), 130 µs. . IPS rendimiento, 240 Mbps. . Rendimiento IPS (HTTP), 600 MBps. . Rendimiento VPN (512-bit IPSec), 75. . Capacidad de Sesiones concurrentes TCP, 900000. . Políticas Firewall permitidas, 5000. . Túneles VPN IPSec puerta a puerta de enlace permitidos, 20. . Túneles VPN IPSec cliente para Gateway permitidos, 250. 40. Securelist, «Spam and phishing in 2018,» 12 Marzo 2019. [En línea]. Available: https://securelist.com/spam-and-phishing-in-2018/89701/. 41. Fortinet, «Datasheet FortiGate/FortiWiFi,» 1 11 2019. [En línea]. Available: https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiGate_FortiWiFi_30E.pdf. 38.

(39) . Usuarios concurrentes VPN SSL, 80. . Número de dispositivos de fortitoken, 20. . Seguridad completa y avanzada en un formato compacto de escritorio.. . La mejor seguridad validada por NSS Labs, Virus Bulletin y AV Comparatives.. . La mayor protección contra amenazas de la industria, IPsec VPN y rendimiento de inspección SSL.. . Capacidades de SD-WAN incorporadas para permitir la adopción de la nube con un costo de WAN reducido.. . Administración centralizada en la nube e implementación sin intervención.. . Protección contra malware, exploits y sitios web maliciosos en tráfico cifrado y no cifrado.. . Prevención y detección contra ataques conocidos y desconocidos utilizando inteligencia de amenazas continua de los servicios de seguridad de FortiGuard Labs impulsados por Inteligencia Artificial.. . Servicios de seguridad.. . Ofrece grandes capacidades de enrutamiento, conmutación, control inalámbrico y VPN IPsec de alto rendimiento para consolidar la funcionalidad de red y seguridad.. . La vista del Single Pane of Glass con el Centro de operaciones de red (NOC) proporciona una visibilidad de 360 ° para identificar problemas de forma rápida e intuitiva.. . La lista de verificación de cumplimiento predefinida analiza la implementación y remarca las prácticas recomendadas para mejorar la postura general de seguridad.. . El FortiGate soporta módems 3G / 4G externos que permiten conectividad WAN adicional o redundante para máxima confiabilidad. El FortiGate también puede funcionar como un controlador de punto de acceso inalámbrico para ampliar aún más las capacidades inalámbricas.. 39.

(40) 5.3.2 SOPHOS XG86 Según el fabricante, la versión XG86 posee las siguientes características 42 . Firewall básico Firewall, IPsec y VPN SSL, protección inalámbrica (los AP se venden por separado).. . Protección de redes IPS, RED, VPN HTML5, ATP, Security Heartbeat.. . Protección web Antimalware, protección, visibilidad y control web y de aplicaciones.. . Protección de Sandstorm Tecnología de última generación de espacio seguro en la nube.. . Dispositivo de hardware de la serie XG Procesador multinúcleo de Intel, almacenamiento de estado sólido, conectividad flexible.. . AV-proxy, 360 Mbps.. . Rendimiento del firewall, 3 Gbps. . IMIX del firewall, 800 Mbps. . Rendimiento la VPN, 225 Mbps. . Rendimiento del IPS, 580 Mbps. . NGFW (IPS + Control aplic.) máx, 310 Mbps. . Rendimiento del antivirus (proxy), 360 Mbps. . Conexiones simultáneas, 3.200.000. . Conexiones nuevas/seg, 15.000. . Número máximo de usuarios con licencia sin restricciones. 42. Sophos, «Sophos XG Firewall,» 1 11 2019. [En línea]. Available:. https://www.sophos.com/es-es/medialibrary/pdfs/factsheets/sophos-xg-series-appliances-brna.pdf. 40.

(41) 5.3.3 IPFIRE Sistema de Seguridad Perimetral Open Source, lo que permite implementarlo sin restricción alguna de licencias, dentro de sus principales características se encuentran43: . Solución software, el cual puede ser instalado en un servidor.. . Sistema Firewall cuya configuración es bastante intuitiva.. . Políticas de seguridad, la cual pueden implementare mediante LAN y DMZ para administrar los riesgos de la red.. . Posee una gran comunidad que permite alimentar la base de datos de nuevas vulnerabilidades y ataques.. . Permite filtrar los paquetes de manera instantánea, logrando rendimientos en decenas de Gigabit por segundo.. . Sistema de detección de intruso, el cual analiza todo el tráfico de manera que detecta exploits, fuga de datos, entre otras actividades sospechosas, para luego activar alertas y bloquear el ciberataque.. . VPN (Virtual Private Network), el cual permite conectar la ubicación de la red a través de una conexión cifrada.. . Web proxy, filtrando y permitiendo acceso restringido al uso de internet, acorde a los permisos configurados.. 5.4 NORMATIVIDAD APLICABLE Para la implementación del Sistema de Seguridad Perimetral es de vital importancia conocer la normatividad que rige, es por ello que se revisará la ISO 20071 y la ISO 20072:. 5.4.1 NTC 27001 Norma Técnica Colombiana 27001, la cual da las pautas para la implementación de un sistema de seguridad de información. Es de mencionar que son directrices, las cuales deben ser adoptadas por la compañía, acorde a las necesidades de la 43. IPFire, «IPFire Features,» 1 11 2019. [En línea]. Available:. https://www.ipfire.org/features. 41.

(42) empresa, según su estructura, requisitos de seguridad y procesos44. Este sistema debe estar diseñado de manera tal que aseguren los controles para proteger la información de la compañía.. 5.4.2 NTC 27002 Norma Técnica Colombiana 27002, la cual describe los procedimientos para la gestión de la seguridad de la información, así como evaluación de riesgos. En ella se describen los conceptos básicos de seguridad informática a tener en cuenta, y con el cual se parte para desarrollar las políticas de seguridad. Esta norma pretende ser una guía para establecer y desarrollar normas de seguridad informática en las compañías, de manera que se pueda ser eficiente al momento de detectar riesgos, así como la evaluación de riesgos45.. 44. Icontec Internacional, «NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 27001,» Icontec Internacional, Bogotá, D.C., 2006. 45. Icontec Internacional, «GUÍA TÉCNICA COLOMBIANA GTC-ISO/IEC 27002,» Icontec Internacional, Bogotá, D.C., 2015. 42.

(43) 6. METODOLOGÍA. 6.1 DIAGNÓSTICO Inicialmente se realizó un diagnóstico de la empresa JFC ELECTRICAL ENGINEERING S.A.S. en cuanto a percepción de los usuarios, componentes de red, uso de la misma, entre otros.. 6.1.1 Infraestructura Física JFC ELECTRICAL ENGINEERING S.A.S. posee una débil infraestructura física que no permite albergar componentes de red dedicados, se encontró que no tiene un espacio dedicado para estos equipos, lo que causa desorganización y desubicación al momento de analizar la red o en caso de cualquier eventualidad de ciberseguridad que se pueda presentar, pues no hay una centralización definida para los equipos de red. Adición a ello, se puede verificar que la empresa no tiene cableado estructurado, por lo que todas las conexiones de los usuarios finales se hace vía inalámbrica. Imagen 1. Infraestructura física JFC ELECTRICAL ENGINEERING S.A.S.. Fuente: JFC ELECTRICAL ENGINEERING S.A.S.. 6.1.2 Infraestructura de Red La empresa JFC ELECTRICAL ENGINEERING S.A.S. posee los siguientes elementos de red: . Un (1) Servidor con intranet Hewlett Packard: en el cual se aloja toda la información de la empresa, y cuyo acceso es libre, por lo que cualquier usuario 43.

(44) conectado a la red interna, puede obtener desde la información de contratación, hasta financiera, pagos a proveedores, nóminas, etc. . Un (1) módem principal genérico: en el cual llega el servicio de internet de 10 Mb, a través de cable coaxial.. . Dos (2) Módem inalámbricos genéricos: los cuales soportan toda la operación de la empresa. Su protección se limita a la contraseña del SSID (Service Set Identifie) que posee el mismo, algo crítico, pues cualquier computador conectado por medio inalámbrico puede acceder a dicha contraseña con unos simples pasos.. . Switch básico; en el cual se conectan los equipos de escritorio mediante cables de red UTP categoría 5, marca genérica.. . Seis (6) Equipos escritorio marcas genéricas: los cuales son usados por el personal que se encuentra en la empresa.. . Una (1) impresora a láser Hewlett Packard: la cual se encuentra conectada a la red mediante cable UTP categoría 5, marca genérica.. . Una (1) impresora de tinta continua Hewlett Packard: conectada a la red vía inalámbrica.. . Sistema de Circuito Cerrado de Televisión (CCTV): compuesto por seis (6) cámaras y que, a su vez se encuentra conectado a la red.. Imagen 2. Servidor de la empresa JFC ELECTRICAL ENGINEERING S.A.S. Fuente: JFC ELECTRICAL ENGINEERING S.A.S 44.

(45) Imagen 3. CPU área contable JFC ELECTRICAL ENGINEERING S.A.S.. Fuente: JFC ELECTRICAL ENGINEERING S.A.S. Imagen 4. Switch usado en la empresa JFC. Fuente: JFC ELECTRICAL ENGINEERING S.A.S.. 6.1.3 USO DE LA RED Ya con lo mencionado líneas atrás, se realiza el diagnóstico del uso dado a la red, así como la diagramación de los componentes que la comprenden: 45.

(46) Ilustración 12. Diagrama de red de la empresa JFC. Fuente: elaboración propia. La empresa JFC ELECTRICAL ENGINEERING S.A.S. cuenta con un canal de banda ancha de 10 Mbs, los cuales son usados para: . Realizar pagos a proveedores vía transferencia electrónica.. . Envío, recepción y consulta de correos electrónicos. Es de mencionar que no se tiene dominio propio, por lo cual, los correos corporativos manejados son aquellos que se pueden crear para uso personal.. . Carga y descarga de información por medio de Google Drive.. . Consulta vía web del Circuito Cerrado de Televisión (CCTV).. En cuanto a la red interna, se usa para lo siguiente; . Compartir archivos internos.. . Enviar impresiones vía inalámbrica.. 6.1.4 Posibles Incidentes Presentados La empresa JFC ELECTRICAL ENGINEERING S.A.S. en sus 5 años de funcionamiento no ha tenido directamente incidentes según lo que dice su gerente, pero esta afirmación puede ser correcta, como no, ya que, la falencia de equipos de seguridad perimetral, que permitan verificar ataques a la empresa hace que esta afirmación se convierta en una hipótesis. Por estas razones, se diagnosticará los posibles incidentes que se hayan presentado por no contar con un sistema de seguridad perimetral: 46.

(47) . Phishing: correos que llegan a la bandeja de entrada y que traen consigo información falsa, haciéndose pasar por entidades financieras, o en muchos casos como comparendos de foto multas, cuyo único fin es robar información confidencial como credenciales bancarias.. . Robo de información: difícilmente con la infraestructura actual que se tiene es posible evaluar si se ha infiltrado información, esto debido a que cualquier usuario con acceso a la red interna, tiene acceso a toda la información de la empresa.. . Al usar correo personal y no organizacional (con dominio) la empresa se encuentra expuesta a los riesgos de la web sin ningún tipo de protección, pues las cuentas de empresa ofrecen como plus, el respaldo de todo un equipo profesional para mitigar ataques a los servidores de correo.. Afortunadamente la empresa no ha sido víctima del popular malware Ramsonware, el cual se propagó mundialmente en el 2017, en caso de que hubiera pasado, la posibilidad de recuperar la información hubiera sido bastante lejana.. 6.1.5 Encuesta a Usuarios Finales Se realizaron encuestas a todo el personal que trabaja en la empresa JFC ELECTRICAL ENGINEERING S.A.S. (seis personas), con el fin de conocer la percepción los usuarios e importancia que le da la empresa en cuanto a la seguridad informática. En el siguiente link se puede ingresar (https://forms.gle/KkHhknpfDrj9onSi7). Ilustración 13. Encuesta de percepción de seguridad en la empresa JFC. Fuente: elaboración propia – Google Forms. 47.

(48) Los resultados fueron los siguientes: . ¿Quién es responsable de instalar y mantener el software de seguridad en la empresa?. Gráfico 1. Pregunta 1 – Encuesta de percepción. Fuente: elaboración propia – Google Forms.. Es claro que no hay personal encargado para la seguridad informática de la empresa, y si lo hay, no lo conocen. Es importante que la gerencia defina y comparta a sus colaboradores la persona que estará a cargo de ella. Se sugiere un colaborador con conocimientos de informática, el cual pueda dar soporte básico en caso de alguna incidencia, y quien debe ser apoyado por una empresa/persona experta en seguridad informática. . ¿Quién usa la red Wi-Fi de la empresa?. Gráfico 2. Pregunta 2 – Encuesta de percepción. Fuente: elaboración propia – Google Forms.. No todas las personas deben tener acceso a la red, para ello se debe tener restricciones de acceso. Se sugiere crear VLANs para poder segmentar áreas críticas como contabilidad, y dejar una red para visitantes, en la cual exclusivamente tengan acceso a la web y no a componentes de la red interna de la empresa. 48.

(49) . ¿Usa la red Wi-Fi para conectarse desde el celular?. Gráfico 3. Pregunta 3 – Encuesta de percepción. Fuente: elaboración propia – Google Forms.. La red de la empresa debe ser exclusivo para cuestiones laborales, por ello, se debe diseñar políticas de uso, así como, la interiorización de todos los colaboradores para que dichas políticas sean efectivas. . ¿Se encuentra confirme con la velocidad del internet?. Gráfico 4. Pregunta 4 – Encuesta de percepción. Fuente: elaboración propia – Google Forms.. Es evidente que la infraestructura tanto física como en equipos de red no permite una buena fluidez en la navegación, resultado de ello son los resultados de la presente pregunta, asimismo, también se debe por el mal uso de ella, ya que generalmente en muchas empresas que no cuentan con un Sistema de Seguridad Perimetral que le permita filtrar contenido y páginas web, los usuarios ingresan a contenido que consumen bastante banda ancha, claro ejemplo es YouTube. 49.

(50) . ¿Con qué frecuencia se cambian las contraseñas de la empresa?. Gráfico 5. Pregunta 5 – Encuesta de percepción. Fuente: elaboración propia – Google Forms.. Nuevamente se revela la importancia del acompañamiento de las Políticas de Seguridad con el Sistema de Seguridad Perimetral. Hoy en día, no es posible que una organización se encuentre usando las mismas contraseñas que hace un (1) año, estas deben ser volátiles, cambiarse periódicamente. . ¿Puede reconocer un correo que contenga código con virus?. Gráfico 6. Pregunta 6 – Encuesta de percepción. Fuente: elaboración propia – Google Forms.. El 66,7% de las personas que trabajan no pueden reconocer un correo malicioso, punto débil que se debe reforzar, para mitigar el típico ataque pishing que sufren las organizaciones.. 50.

(51) . ¿Ante cualquier eventualidad de hackeo (computador infectado con virus), sé a quién acudir?. Gráfico 7. Pregunta 7 – Encuesta de percepción. Fuente: elaboración propia – Google Forms.. Como se evidenció en la pregunta N°1, gran mayoría de los colaboradores de la empresa JFC no conoce a quién acudir ante cualquier contaminación que pueda sufrir el computador, gran debilidad que se evidencia, pues los primeros minutos son críticos para poder reaccionar, si la persona no conoce quién le puede ayudar, no se podrá actuar rápidamente. . ¿Ha sido víctima de un ataque informático?. Gráfico 8. Pregunta 8 – Encuesta de percepción. Fuente: elaboración propia – Google Forms.. Una persona de la empresa ha sufrido ataques, lo que lleva a la reflexión, ¿hubo robo de información?, no es posible conocer, pues no hay un Sistema de Seguridad Perimetral que lo permita; afortunadamente, según conversaciones con el gerente no ha sido dinero, ¿pero la información?, ¿puede ser la competencia?, ¿se robaron información de proveedores? ¿O de clientes?. 51.

(52) ¿Con qué frecuencia descarga archivos de internet? Sea PDF, Excel, Word, etc. Gráfico 9. Pregunta 9 – Encuesta de percepción. Fuente: elaboración propia – Google Forms.. Diariamente se descarga información, pero no es posible filtrar qué tipo de archivos se está descargando, pues uno de estos puede contener virus con los cuales se puede filtrar información, o en el peor de los casos, secuestrarla. . ¿Los programas usados en la empresa tienen licencia?. Gráfico 10. Pregunta 10 – Encuesta de percepción. Fuente: elaboración propia – Google Forms.. Uno de los pasos importantes a dar es usar software 100% licenciado, con eso se evita que un código malicioso se filtre a través de los programas comúnmente llamados “piratas”, los cuales son descargados con un software “activador”, pues lo que realmente hace es abrir una puerta trasera. 52.

(53) 6.2 METODOLOGÍA DISEÑO Y SELECCIÓN SEGURIDAD PERIMETRAL Considerando que el Sistema Unificado de Amenazas es el componente más importante de una solución de seguridad perimetral, es de gran importancia encontrar alternativas que ofrecen el mercado que se adecuen a las necesidades y capacidad de la empresa, que permitan obtener la mejor relación costo-beneficio en la solución a diseñar.. 6.2.1 Alternativas Mercado de Soluciones de Seguridad Perimetral En primera instancia, de acuerdo al diagnóstico realizado en puntos anteriores, la empresa JFC cuenta con un canal de internet de 10Mbps y máximo 7 usuarios concurrentes. En promedio, un usuario realiza hasta máximo 200 conexiones concurrentes en lo que incluyen actualizaciones de sistemas operativos, validaciones de software en la red, navegación web y aplicativos web como Facebook, drive, etc; por tanto, las conexiones concurrentes máximas estimadas no superan las 1500 y al ancho de banda máximo será de 10 Mbps. Con lo anterior, se determina que el sistema UTM a implementar, no requiere gran procesamiento y capacidad de análisis, concluyendo que basta con soluciones de gama baja que pueden abarcar el tráfico estimado de red. Se realiza una revisión de los mejores Firewall que existen en el mercado, según el informe de la empresa de consultoría y de investigación GARTNET, la cual clasifica las marcas en el cuadrante mágico de Firewalls de redes empresariales en LÍDERES, COMPETIDORES, JUGADORES DE NICHO Y VISIONARIOS. Ilustración 14. Clasificación de las marcas UTM según Gartner. Fuente: Gartner, «Magic Quadrant for Enterprise Network Firewalls,» 4 Octubre 2018. 53.