Características avanzadas de seguridad

en entornos móviles y virtuales

[3.1] ¿Cómo estudiar este tema?

[3.2] Actualización de las políticas de seguridad

[3.3] Guía de buenas prácticas

[3.4] Gestión centralizada de dispositivos

[3.5] Prevención de fugas de información

3
TEMA
 Esquema

TEMA 3 – Esquema
Características avanzadas de seguridad en entornos móviles y virtuales

Actualización de políticas de Guía de buenas Gestión centralizada de Prevención de fugas de

seguridad prácticas dispositivos información

Dispositiv os Comunicación Inalámbrica Gestión de las fugas

Virtualización
móv iles

2
Copias de seguridad

Mecanismos de control
remoto

Cifrado y malware

Los entornos virtualizados

Seguridad en Entornos Móviles y Virtualización

© Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

Ideas clave

3.1. ¿Cómo estudiar este tema?

Para estudiar este tema lee las Ideas clave que encontrarás a continuación.

Además, deberás consultar la siguiente guía:

» Esquema Nacional de Seguridad, ENS. (2011). Esquema nacional de seguridad
política de seguridad de la información. Madrid: Centro Criptológico Nacional.
Disponible en: https://www.ccn-cert.cni.es/publico/seriesCCN-STIC/series/800-
Esquema_Nacional_de_Seguridad/805-Politica_de_seguridad_del_ENS/805-
ENS_politica-sep11.pdf

También consulta el siguiente documento:

» CISRT-CV. (2012). Guía buenas prácticas en el uso coorporativo de dispostivos
móviles. Valencia: Comunitat Valenciana. Disponible en:
https://www.csirtcv.gva.es/sites/all/files/downloads/%5BCSIRTcv%5DBuenas_pra
cticas_dispositivos_moviles_0.pdf

Por último, lee el siguiente documento:

» Cómo gestionar una fuga de información: una guía de aproximación para el
usuario». Disponible en:
https://www.incibe.es/extfrontinteco/img/File/empresas/guias/Guia_fuga_inform
acion/gestion_fuga_informacion.pdf

En este tercer tema veremos en qué afecta la inclusión de dispositivos móviles y entornos
virtualizados dentro de la seguridad de una organización.

El tema comienza indicando las actualizaciones necesarias en la política de seguridad de

la organización, para adecuarlas a los nuevos escenarios para, posteriormente, exponer
las buenas prácticas que nos permiten mantener un alto nivel de seguridad dentro de
estos nuevos escenarios. Seguidamente, en los últimos apartados del tema se realizará
una visión general sobre cómo gestionar de manera centralizada los dispositivos móviles
y cómo prevenir y gestionar las posibles fugas de información dentro de nuestra
organización.

TEMA 3 – Ideas clave 3 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

3.2. Actualización de las políticas de seguridad

Con el paso de los años, las tecnologías han experimentado una intensa evolución que
nos ha llevado de utilizar equipos aislados en centros de trabajo al uso de teléfonos
inteligentes y tabletas desde los que es posible acceder a equipos virtualizados ubicados
en la nube. Toda esta evolución ha hecho que podamos estar permanentemente
conectados con nuestro trabajo, amigos y familia, pero también ha obligado
a la actualización y mejora de todas las políticas de seguridad utilizadas con
anterioridad.

La Política de Seguridad de la Información es un documento de alto nivel donde se define

qué significa para la organización la seguridad de la información, además de indicar
cómo se va a abordar toda la seguridad de la información dentro de dicha organización.

Normalmente las secciones típicas de una Política de Seguridad de la Información son:

» Misión u objetivo de la organización.

» Marco normativo.
» Organización de seguridad:
o Definición de comités y roles.
o Funciones.
o Responsabilidades.
o Mecanismos de coordinación.
o Procedimientos de designación de personas.

» Política global de seguridad de la información.

» Políticas de la organización de la seguridad de la información.
» Concienciación y formación.
» Postura para la gestión de riesgos:
o Plan de análisis.
o Criterios de evaluación de riesgos.
o Directrices de tratamiento.
o Proceso de aceptación del riesgo residual.

» Política de gestión de activos de información.

» Política de control de acceso.
» Proceso de revisión de la Política de Seguridad.

TEMA 3 – Ideas clave 4 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

Como vemos, en el documento no existe ninguna sección específica donde se detallen los
retos inherentes a los dispositivos móviles o equipos que han sido virtualizados.

Para solucionar esto, muchas organizaciones optan por añadir dentro de las
políticas de seguridad dos nuevas secciones:

Política para el uso de dispositivos móviles,

junto con sus normas de uso.

Política de gestión de equipos virtualizados.

Figura 1. Nuevas secciones.

Si bien, esta última suele hacer referencia a la política global o específica utilizada para
los equipos estándares, ya que un equipo virtualizado suele ser tratado como un equipo
físico con algunas particularidades.

Política para el uso de dispositivos móviles

En este apartado indicaremos las peculiaridades de los dispositivos móviles dentro de la

Política de Seguridad de la Información. También se hará referencia a la Guía de buenas
prácticas, que será donde se detallen las configuraciones y opciones que deben aplicarse
en los dispositivos.

Bajo esta sección se incluirán las normas de uso de los dispositivos móviles. Estas
normas, que serán de aplicación para todos los miembros de la organización, o para una
parte de estos, definirán cómo deben ser usados este tipo de dispositivos.

TEMA 3 – Ideas clave 5 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

Así, como ejemplo de una serie de normas reales tenemos:

» Normas dirigidas a la Dirección de Tecnología:

o La Dirección de Tecnología debe investigar y probar las opciones de protección
de los dispositivos móviles institucionales y personales que hagan uso de los
servicios ofrecidos.
o La Dirección de Tecnología debe establecer las configuraciones aceptables
para los dispositivos móviles institucionales o personales que hagan uso de los
servicios ofrecidos.

» Normas dirigidas a todos los usuarios:

o Los usuarios deben evitar usar los dispositivos móviles institucionales en
lugares que no les ofrezcan las garantías de seguridad física necesarias
para evitar pérdida o robo de estos.
o Los usuarios deben evitar la instalación de programas desde fuentes
desconocidas; se deben instalar aplicaciones únicamente desde los repositorios
oficiales de los dispositivos.

Como vemos, en estas normas de uso se define exactamente cómo deben tratarse los
dispositivos móviles con el objetivo de mantener la seguridad de los mismos.

Política de gestión de equipos virtualizados

Al igual que la introducción de dispositivos móviles, el incluir dentro de nuestra

organización equipos virtualizados tiene un importante impacto sobre la política de
seguridad existentes. Si bien, en muchos aspectos esta política hace referencia a la
política utilizada en equipos físicos con algunas particularidades.

En la política de gestión de equipos virtualizados debemos tener en cuenta los

nuevos sistemas de control de acceso, por ejemplo, indicando la manera en que se
gestionarán los roles a través de vCenter Server, de VMware, para evitar dar demasiados
privilegios a usuarios que no los necesitan.

También deberemos adaptar los apartados referentes a las actualizaciones y

parches de la Política de Seguridad, pudiendo incluir sistemas como Update
Manager para una gestión centralizada de las actualizaciones.

TEMA 3 – Ideas clave 6 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

Además de estas adaptaciones, en función de los elementos que tengamos en cuenta en

nuestras políticas de seguridad, también puede ser de interés el incluir referencias a los
registros de actividad en la red, los filtrados por VLAN o los registros de logs, entre otras
cosas de interés.

3.3. Guía de buenas prácticas

La proliferación de dispositivos móviles, unido al desarrollo de sus capacidades,

prestaciones y posibilidades hacen necesario plantearse cuál es la seguridad ofrecida por
este tipo de dispositivos respecto a la información que gestionan, tanto dentro de los
entornos corporativo, como dentro del ámbito particular.

Dentro del uso que se le da a este tipo de dispositivos, es importante tener en cuenta
una serie de buenas prácticas para hacer más seguro el manejo de los
mismos.

Entre estas buenas prácticas destacan:

» La gestión de las capacidades de comunicación inalámbricas

» Los mecanismos de copias de seguridad
» Los mecanismos de reinicio y borrado remoto del dispositivo
» El control de acceso
» El cifrado
» Y la protección contra software malicioso, aunque no son los únicos elementos a tener
en cuenta.

Junto con los elementos anteriormente mencionados, la correcta configuración del

dispositivo, evitando, por ejemplo, la instalación de aplicaciones desde fuentes no
confiables y las comunicaciones o el debug a través de USB también son elementos a
tener en cuenta.

En este punto, es de interés el conocer que mediante la depuración (debug) a través de

USB es posible realizar adquisiciones físicas del contenido de determinados terminales
móviles. Por este motivo, el permitir que un terminal de nuestra organización tenga esta
opción activada, es una grave vulnerabilidad de cara al mantenimiento de la seguridad
de nuestra información.

TEMA 3 – Ideas clave 7 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

Siguiendo con las posibilidades de la depuración a través de USB, cada vez es más común
ver en centros comerciales o sitios concurridos, puestos de carga públicos para teléfonos
móviles y tabletas.

Figura 2. Puesto público de carga de terminales móviles. Fuente:

http://www.indracompany.com/es/blogneo/observatorio-tecnologico-17-23-junio

El problema es que, a través del puerto de carga de un terminal móvil, no solamente

podemos alimentar el mismo, sino que también es utilizado para la sincronización y
transferencia de información. Es por ello que los puestos de carga públicos suelen
ser utilizados por los atacantes para comprometer los dispositivos móviles
que se conecten a ellos. El ataque, normalmente conocido como juice jacking,
consiste en imitar uno de estos puestos de carga e infectar los terminales que se conecten
a ellos.

Por suerte, este tipo de ataques son cada vez más difíciles gracias a que las últimas
versiones de los sistemas operativos obligan al usuario a establecer una relación de
confianza con el equipo al que se conectan. Aun así, no es recomendable el uso de
terminales públicos de carga en dispositivos de la organización. De la misma
forma, el mantener el sistema actualizado aportará un extra de seguridad al solucionar
posibles fallos de seguridad de versiones anteriores.

Relacionado con el uso de las aplicaciones, debemos tener en cuenta los permisos de
estas, un elemento al que no se le suele prestar atención y que determina en gran medida
la seguridad de nuestros dispositivos.

TEMA 3 – Ideas clave 8 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

Así, por ejemplo, evitaremos hacer uso de aplicaciones que pidan permisos
para utilizar elementos del terminal que no tengan que ver con la función
principal de la aplicación.

La empresa de seguridad Panda Security realizó un estudio sobre las aplicaciones para
Android que hacen uso del flash de la cámara para utilizar el teléfono como linterna. En
base a dicho estudio publicaron una tabla con los permisos de estas aplicaciones:

Figura 3. Permisos. Fuente: http://www.pandasecurity.com/spain/mediacenter/seguridad/si-tienes-una-

app-linterna-en-el-movil-presta-atencion/

Como podemos observar, una aplicación que únicamente necesita acceso a la cámara
para controlar el flash de la misma pide multitud de permisos extra como ver las
conexiones de red, obtener la posición GPS exacta o recibir información de Internet.

Capacidades de comunicación inalámbricas

Muchas de las funcionalidades de los dispositivos móviles implican el uso de

comunicaciones de datos con elementos remotos haciendo uso de distintas tecnologías.
Entender el funcionamiento de cada una de estas tecnologías y sus posibilidades, nos
permitirá afrontar con mayor seguridad el uso de las mismas.

TEMA 3 – Ideas clave 9 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

Las tecnologías más típicas en este ámbito son: NFC, Near Field Communications,
Bluetooth y Bluetooth Low Energy, BLE, conexiones Wifi y conexiones de voz y datos, así
como también los servicios de geolocalización (GPS).

Como norma general, se mantendrán desconectadas aquellas interfaces de comunicación

que no sean necesarias o no se estén utilizando. De igual forma, cuando hagamos uso de
alguna de ellas tendremos siempre en cuenta el entorno al que nos vamos a
conectar. Por ejemplo, en el caso de redes Wifi, debemos tener en cuenta que las redes
públicas son fácilmente atacables.

Igualmente, aunque no sea un ataque tan utilizado dado su complejidad técnica, se debe
evitar la conexión a redes de voz 2G, ya que existen dispositivos capaces de simular una
red de este tipo que podrían permitir al atacante acceder a todas las comunicaciones que
realicemos mientras nuestro terminal se encuentre conectado a la estación falsa.

Figura 4. Estación Base 2G casera. Fuente: http://hackaday.com/2016/04/08/build-your-own-gsm-base-

station-for-fun-and-profit/

Mecanismos de copias de seguridad

La información que manejamos en nuestro trabajo y vida privada se ha convertido en

uno de nuestros activos más valiosos. En nuestro trabajo, todo gira en torno a esa
información: cartera de clientes, planes estratégicos, ofertas, etc. Por ello, cada vez
debemos centrar más nuestros esfuerzos en mantenerla lo más protegida posible. Ahora
bien, siempre pueden ocurrir accidentes inesperados que hagan que las medidas de
seguridad tomadas fallen. Es en estos casos cuando las copias de seguridad cobran una
vital importancia.

Existen tantas amenazas y tantos posibles escenarios en los que nuestra información
puede estar en peligro, que incluso existe un día para incentivar y recordar la importancia
de realizar copias de seguridad, el World Backup Day, el 31 de marzo.

TEMA 3 – Ideas clave 10 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

El disponer de un sistema de copias de seguridad puede ser la diferencia entre tener que
cerrar un negocio o poder continuar con el mismo como si «nada» hubiera pasado. Pero,
es importante que realicemos estas copias de una manera correcta, estableciendo un
sistema acorde a nuestras necesidades.

Antes de plantear un sistema de copias de seguridad debemos hacernos cuatro preguntas

básicas: ¿Qué vamos a salvaguardar?, ¿Cómo vamos a realizar la copia de seguridad?,
¿Cuándo queremos realizar las copias de seguridad? y ¿Dónde vamos a almacenar estas
copias de seguridad? De las respuestas que demos a estas cuatro preguntas, dependerá
en gran medida el protocolo de copias de seguridad que implementemos.

¿Qué? ¿Cómo? ¿Cuándo? ¿Dónde?

Figura 5. Preguntas.

» ¿Qué vamos a salvaguardar? La primera pregunta es básica: ¿qué información

queremos salvaguardar? Si bien, la respuesta puede parecer trivial, no lo es, ya que
debemos tener en cuenta muchos factores como el espacio donde las almacenaremos
o el tiempo que puede tomarle al sistema realizar esta copia. Por ello, lo ideal es
realizar un análisis de toda la información de nuestra organización. Esto nos ayudará
a diferenciar la información que puede ser considerada como crítica, de aquella otra
información que no sería vital para la continuidad del mismo.

» ¿Cómo vamos a realizar la copia de seguridad? Una vez hemos identificado la

información considerada crítica, es muy importante establecer la forma en la que
vamos a realizar la copia de seguridad. ¿Vamos a realizar una copia de seguridad
completa, incremental o diferencial?, ¿qué herramientas vamos a utilizar para realizar
la copia de seguridad?, etc.

Antes de continuar, vamos a ver los tipos de copias de seguridad que existen.
Básicamente son tres: Completa, diferencial e incremental.

Una copia de seguridad completa es aquella en la que se hace una copia de la totalidad
de los archivos definidos. Independientemente de si ha habido o no modificaciones
desde que se realizó la última copia de seguridad. Este tipo de copia de seguridad es
el más sencillo, ya que puede reducirse a una copia, tal cual, de los archivos.

TEMA 3 – Ideas clave 11 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

La principal ventaja de una copia de seguridad completa es que tenemos todos

los datos en una única copia, lo que nos permite restaurarlos de manera sencilla y en
relativamente poco tiempo. Por el contrario, sus principales inconvenientes son el
tamaño que ocupa y el tiempo necesario para realizarla, ya que se copian
absolutamente todos los archivos.

Una copia de seguridad diferencial es un tipo de copia de seguridad donde solo

se almacenan los archivos que han sido modificados desde la última copia de
seguridad completa. Su principal ventaja es que es mucho más rápida que una copia
de seguridad completa, además de consumir menos recursos de almacenamiento. Por
su parte, para la restauración completa de un sistema, se hace necesario restaurar
primero la copia de seguridad completa y, posteriormente, la copia de seguridad
diferencial.

Por su parte, las copias de seguridad incrementales funcionan de manera

similar a las diferenciales, con la única diferencia que solo almacena los archivos
modificados desde la última copia de seguridad, independiente de si esta ha sido
completa, diferencial o incremental.

Al igual que en las copias de seguridad diferenciales, su principal ventaja es el tamaño,

ya que las copias de seguridad incrementales son las que menos espacio ocupan y más
rápidas de realizar son, por lo que pueden realizarse más a menudo. Por su parte, el
proceso de restauración es más costosos, ya que es necesario restaurar la última copia
de seguridad completa y todas las demás copias de seguridad incrementales realizadas
desde entonces.

TEMA 3 – Ideas clave 12 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

Como resumen tenemos:

Nº de backup Completa Diferencial Incremental

Todos los
Backup 1 - -
datos

Todos los Archivos modificados Archivos modificados

Backup 2
datos desde la Backup 1 desde la Backup 1

Todos los Archivos modificados Archivos modificados

Backup 3
datos desde la Backup 1 desde la Backup 2

Todos los Archivos modificados Archivos modificados

Backup 4
datos desde la Backup 1 desde la Backup 3
Tabla 1. Resumen bakup.

Una vez hemos definido el tipo de copias de seguridad que vamos a realizar,
tendremos que elegir la herramienta adecuada para realizarlas.

Hay mucho software para la realización de copias de seguridad independientemente

del tipo de dispositivo sobre el que vayamos a trabajar (Android, iOS, máquinas
virtuales, etc.) aunque algunas de las herramientas más utilizadas son:

Para dispositivos Android: Google Backup, como aplicación propia del fabricante y
Easy Backup o Helium como aplicaciones desarrolladas por terceros.

Figura 6. Interface de la aplicación Helium.

TEMA 3 – Ideas clave 13 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

Para dispositivos iOS: Haciendo uso de iCloud para copias en la nube o iTunes para
copias en local.

Figura 7. Procedimiento para activar las Backups automáticas en iCloud.

Para dispositivos Windows Phone: Haciendo uso del propio software de Microsoft
incluido en su sistema operativo móvil, a partir de Windows Phone 8.1.

Figura 8. Procedimiento para activar las Backups en Windows Phone 8.1

Para sistemas virtualizados, en función del sistema operativo de la máquina virtual

utilizaremos una herramienta u otra, aunque siempre es posible la utilización de los
snapshots del sistema de virtualización.

TEMA 3 – Ideas clave 14 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

Figura 9. Representación de distintas snapshots creadas con VMware.

Si no hacemos uso de las snapshots, en función del sistema operativo podemos

utilizar:
o En sistemas Windows virtualizados: Windows Server Backup, DFIncBackup o
Paragon Backup.
o En sistemas Linux virtualizados: Fwbackups, Bacula o RSync.
o En sistema MacOS virtualizados: Time Machine, iBackup o Carbon Copy Cloner.

» ¿Cuándo queremos realizar las copias de seguridad? Ya hemos respondido a

las preguntas qué y cómo, ahora debemos responder al cuándo. Cada cuánto tiempo
vamos a realizar las copias de seguridad, a qué hora, cuántas copias de seguridad
vamos a almacenar, cuánto tiempo vamos a conservar estas copias de seguridad, no
hay una única respuesta válida para estas preguntas, quedando en manos del
administrador de copias de seguridad el tomar una decisión u otra.

Aun así, una estrategia muy utilizada en entornos que tienen que poder ser
restaurados con relativa rapidez suele basarse en:
o Copias de seguridad completas cada semana.
o Copias de seguridad diferenciales cada día.
o Copias de seguridad incrementales dos o tres veces al día.

TEMA 3 – Ideas clave 15 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

Esta estrategia, si bien permite la restauración completa de un sistema en

relativamente poco tiempo y sin una pérdida importante de información, requiere
de unos recursos de almacenamiento y gestión elevados.

L M X J V S D

12:00h 12:00h 12:00h 12:00h 12:00h 12:00h 12:00h

Backup Backup Backup Backup Backup Backup Backup
Increm. Increm. Increm. Increm. Increm. Increm. Increm.

17:00h 17:00h 17:00h 17:00h 17:00h 17:00h 17:00h

Backup Backup Backup Backup Backup Backup Backup
Increm. Increm. Increm. Increm. Increm. Increm. Increm.

02:00h 02:00h 02:00h 02:00h 02:00h 02:00h 02:00h

Backup Backup Backup Backup Backup Backup Backup
diferen. diferen. diferen. diferen. diferen. diferen. completa

Tabla 2. Estrategia backup.

» ¿Dónde vamos a almacenar estas copias de seguridad? La última de las

preguntas que nos debemos realizar es el dónde, ¿dónde vamos a almacenar las copias
de seguridad?, se refiere a el medio en el que vamos a salvaguardar la información.
Existen muchos tipos de soportes que podemos utilizar con este fin: cintas, cabinas de
discos, DVDs, almacenamiento en la nube, discos portátiles, etc. A la hora de elegir
un soporte, debemos tener presente su fiabilidad y durabilidad.

Además de determinar el soporte, también debemos tener en cuenta el

lugar físico donde guardaremos dichas copias. Una buena práctica es
almacenar dichas copias en una ubicación distinta. De manera que, en caso de
incendio o catástrofe natural, las copias de seguridad no se ven afectadas garantizando
así la continuidad de negocio.

Para finalizar, debemos tener en cuenta una cosa y es que por mucho esfuerzo que
pongamos en realizar las copias de seguridad, estas no nos garantizarán que podamos
recuperar la información si antes no hemos comprobado que somos capaces de
restaurarlas completamente. Aunque los sistemas de copias de seguridad están
desarrollados para realizar correctamente su trabajo, una mala configuración de
los mismos o un fallo no encontrado durante su planteamiento, puede dar
al traste con todo.

TEMA 3 – Ideas clave 16 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

Por ello, es de suma importancia realizar pruebas periódicas de restauración

de las copias de seguridad. De esta forma minimizaremos la probabilidad de error en
caso de tener que necesitar restaurarlas.

Además, debemos destacar la importancia de que todo el proceso de realización y

restauración de copias de seguridad esté debidamente documentado. Esto nos
permitirá ante una contingencia real o ausencia del personal habitual, disponer de
una guía que nos indique qué pasos debemos seguir para ejecutar la acción de
generación o restauración de copia con éxito.

Mecanismos de reinicio y borrado remoto

Como ya hemos mencionado, el manejo de información sensible en dispositivos móviles

tiene múltiples beneficios, pero también añade nuevos retos que se deben tener en cuenta
para evitar situaciones indeseadas. Uno de estos nuevos retos es el hecho de que nuestro
dispositivo puede ser sustraído, perdido u olvidado, de tal forma que un tercero sin
autorización, se haga con él y acceda a nuestra información.

Para evitar los inconvenientes de que una tercera persona acceda a información
confidencial a través de un dispositivo sustraído, surgieron las utilidades de reinicio
y borrado remoto de la información.

Estas herramientas, normalmente accesibles a través de una página web, permiten al

usuario legítimo del dispositivo programar el borrado de la información del mismo en
caso de pérdida o sustracción. Evitando así que puedan acceder a nuestros datos. Aunque
también permiten otras opciones en función del dispositivo, como pueden ser el realizar
copias de seguridad remotas, el bloqueo del dispositivo o la localización del mismo
mediante posicionamiento GPS.

Cada una de las plataformas móviles existentes, cuenta con diversas herramientas para
realizar esta labor. Ya sean funcionalidades propias o herramientas creadas por terceros.

Así, dentro del ecosistema de dispositivos Android nos encontramos con la propia
herramienta de Google Device Manager. Esta herramienta nos permite, a través de
una página web, comprobar dónde se encuentra nuestro dispositivo, hacer sonar el
mismo, modificar la pantalla de bloqueo, añadiendo una nueva contraseña, por ejemplo,
o borrar la información del dispositivo.

TEMA 3 – Ideas clave 17 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

Figura 10. Google Administrador de dispositivos. Fuente: https://support.apple.com

Además de la aplicación propia de Google, existen otras muchas opciones para el reinicio
y borrado remoto de dispositivos Android. Entre ellas, las más utilizadas son: Cerberus
y Kaspersky Antivirus & Security.

Por su parte, para el borrado remoto de dispositivos basados en iOS, toda la gama
iPhone, aunque también es posible para cualquier otro dispositivo Apple, se puede hacer
uso directamente de iCloud, desde donde podremos hacer sonar el dispositivo,
localizarlo en un mapa y borrar todo su contenido.

Figura 11. iCloud de Apple. Fuente: https://support.apple.com

Dadas las limitaciones en cuanto a las aplicaciones que se pueden instalar y las acciones
que estas pueden realizar con el dispositivo, la variedad de aplicaciones que realizan estas
tareas no es tan amplia como en el ecosistema Android. Aun así, dentro de las

TEMA 3 – Ideas clave 18 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

aplicaciones de terceros que podemos utilizar para realizar el borrado remoto de un

dispositivo móvil iOS tenemos: iGotYa e iCaughtU Pro. Para poder hacer uso de estas
aplicaciones será necesario realizarle el procedimiento conocido como jailbreak al
dispositivo sobre el cual se van a instalar.

La tercera de las plataformas más utilizadas en el ámbito de los dispositivos móviles es

Windows Phone, un sistema operativo desarrollado por Microsoft como sucesor de
Windows Mobile.

Aunque Windows Phone no tiene una cuota de mercado tan amplia como la de Android
o iOS, sigue siendo uno de los Sistemas Operativos más utilizados en dispositivos
móviles.

Al igual que para dispositivos Android e iOS, Windows Phone ofrece un sistema
integrado para el borrado remoto del dispositivo en caso de robo o pérdida del mismo.

Este sistema, al cual se accede a través de la aplicación web Find My Phone, permite
hacer sonar el dispositivo, bloquear el mismo y eliminar toda la información que
contiene.

Figura 12. Microsoft Find My Phone. Fuente: http://www.pcadvisor.co.uk/how-to/mobile-phone/how-

find-my-phone-locate-lost-android-iphone-or-windows-phone-track-update-3610199/

TEMA 3 – Ideas clave 19 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

Control de acceso al dispositivo

Al igual que en los ordenadores de una organización, los dispositivos móviles de la misma
también deben estar protegidos mediante algún tipo de control de acceso. Es común
encontrar dispositivos sin patrón de acceso, o con un patrón o contraseña fácilmente
adivinable. Es por ello que, en las políticas de seguridad, se deberá especificar el tipo de
control de acceso a implementar en los dispositivos y las características de dicho control.
Por ejemplo, longitud y dificultad de la contraseña utilizada.

En la mayoría de los dispositivos móviles actuales es posible configurar tres tipos de

sistemas de control de acceso:

» Acceso mediante patrón de desbloqueo.

» Acceso mediante contraseña.
» Acceso mediante huella dactilar.

Cada uno de estos tipos de control de acceso tiene una serie de ventajas e inconvenientes
que deben ser tenidos en cuenta a la hora de configurar los dispositivos a utilizar por
nuestra organización.

Así, por ejemplo, el control de acceso mediante patrón de desbloqueo puede ser
fácilmente descubierto (en algunos tipos de dispositivos) si el atacante tiene acceso físico
a la memoria del dispositivo, por lo que no sería una buena opción contar con el patrón
de desbloqueo como único sistema de control de acceso.

Si el patrón de desbloqueo no se considera una buena opción, quedarían únicamente el

acceso mediante contraseña y mediante huella dactilar como sistemas de control de
acceso lo suficientemente seguros como para ser implementados en nuestra
organización.

El acceso mediante huella dactilar es cómodo y sencillo de utilizar, además de

seguro, pero normalmente es necesario configurar también una contraseña como
método alternativo de acceso ante posibles problemas en la lectura de la huella. Es por
ello que el punto donde más se debe incidir a la hora de configurar el acceso a un
dispositivo es precisamente la contraseña elegida.

TEMA 3 – Ideas clave 20 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

Una contraseña segura debe cumplir una serie de características:

» Secreta: la contraseña no debe ser compartida con terceras personas.

» Robusta: la contraseña no debe ser fácil de adivinar ni de «romper». Es por ello que
se recomienda que la contraseña tenga una longitud mínima de ocho caracteres, entre
los cuales es recomendable incluir mayúsculas, minúsculas, números y símbolos. De
esta forma el número de posibles combinaciones aumenta drásticamente,
dificultando el que alguien pueda adivinarla por fuerza bruta.
» No repetida: la contraseña no debe ser utilizada en distintos servicios, ya que, si uno
de ellos es comprometido, todos los demás pueden serlo, aunque su seguridad sea
mucho mayor.
» Cambiadas periódicamente: es recomendable que las contraseñas que utilicemos
varíen con el tiempo, de tal forma que se impida que un atacante pueda disponer de
suficiente tiempo como para romper por fuerza bruta nuestra contraseña segura.

Todas estas recomendaciones sobre cómo debe ser una contraseña para que la misma
sea una contraseña segura, no tienen sentido si las conocidas preguntas de seguridad, no
son también robustas.

Algunos servicios ofrecen la opción de utilizar preguntas de seguridad para que, en caso
de olvido, podamos recuperar la contraseña. Sin embargo, muchas de estas preguntas
son simples y cualquier persona que nos conozca o que disponga de acceso a nuestras
redes sociales podría averiguar la respuesta. Así, por ejemplo, la pregunta ¿cómo se llama
tu mascota? puede ser fácilmente respondida con una búsqueda por nuestro perfil en
Internet. Es por ello, que no debemos utilizar preguntas de seguridad con
respuestas obvias, debiendo hacer uso de respuestas complejas o
directamente falsas y solo conocidas por nosotros.

TEMA 3 – Ideas clave 21 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

Como ilustración de la importancia de que nuestra contraseña sea robusta, tenemos la

siguiente tabla (los datos son orientativos y variarán en función de múltiples elementos
como la potencia de procesamiento del equipo y el algoritmo de cifrado de la contraseña)
donde podemos ver el tiempo estimado que tardaría un atacante en descubrir por fuerza
bruta nuestra contraseña:

Longitud Todos los caracteres Solo minúsculas

4 caracteres 1,36 min. 0,46 seg.
6 caracteres 8,51 días 5,15 min.
8 caracteres 2,10 siglos 2,42 días
10 caracteres 1 899 milenios 4,48 años
12 caracteres 17 184 705 milenios 3,03 milenios
Tabla 3. Contraseña.

Como hemos visto y comentado, es necesario hacer uso de contraseñas seguras de acceso
para evitar el acceso no autorizado a nuestros dispositivos. Ahora bien, si necesitamos
una contraseña para cada servicio y, además, esta contraseña debe ser robusta, se hace
muy difícil el recordar absolutamente todas las contraseñas que utilizamos. Es
aquí donde entran en juego los conocidos gestores de contraseñas.

Un gestor de contraseñas es una herramienta para almacenar de forma

segura nuestras credenciales de acceso a distintos servicios. Estos gestores de
contraseñas se encuentran protegidos a la vez con una contraseña llamada contraseña
maestra, la cual debe cumplir las características anteriormente indicadas. De esta forma,
únicamente necesitamos memorizar la contraseña maestra para acceder al resto de
nuestras contraseñas.

Sistemas de gestión de contraseñas hay muchos y con muy diversas características, como
la integración con nuestro navegador web o teléfono móvil, la sincronización, etc. Entre
los gestores de contraseñas más utilizados tenemos: LastPass, 1Password o KeePassX
(Open Source y multiplataforma).

TEMA 3 – Ideas clave 22 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

Figura 13. Interface del gestor de contraseñas LastPass. Fuente:

https://chrome.google.com/webstore/detail/lastpass-free-password-
ma/hdokiejnpimakedhajhdlcegeplioahd?hl=es

Durante este apartado hemos estado comentando el acceso de manera local al dispositivo
móvil. Ahora bien, gracias a las herramientas de conexión remota, es posible acceder a
nuestros dispositivos móviles no solo de forma local, sino también de manera remota a
través de Internet. Esta posibilidad abre también una posible vía de acceso no autorizado
a nuestros dispositivos que debemos tener presente.

Herramientas como Team Viewer o LogMeIn, permiten gestionar de manera sencilla

todos los dispositivos móviles de nuestra organización. Ahora bien, debemos tener en
cuenta que un acceso no autorizado a la cuenta de administración de estas plataformas
pondría en manos de un atacante todos los dispositivos de la organización.

Figura 14. Interface de TeamViewer para la gestión de dispositivos asociados. Fuente:

http://www.androidpolice.com/2013/10/02/the-latest-teamviewer-for-android-update-adds-clipboard-
synchronization-sound-options-and-more/

En este punto, es responsabilidad de los administradores el utilizar, o no, estas

plataformas, teniendo en cuenta tanto sus ventajas como sus inconvenientes.

TEMA 3 – Ideas clave 23 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

Cifrado de datos sensibles

Como ya hemos mencionado, la información constituye uno de los activos más

importantes de cualquier organización, independientemente de su tamaño o actividad.
Toda la ventaja competitiva de una organización se perdería si sus datos fueran
publicados y pudieran ser utilizados por sus rivales en el mercado. Es por ello que,
además de proteger la información frente a pérdidas o deterioros, es necesario protegerla
también de la curiosidad de terceras personas.

El cifrado de la información consiste en hacer ilegible la misma aplicando un algoritmo

que convierta la información original en un conjunto de datos sin sentido.

Así, por ejemplo, si tenemos la frase «Frase secreta» y la ciframos haciendo uso del
algoritmo de cifrado AES y la contraseña «1234», el resultado será:

PCHB3hp6kaCvQrsTNzz5g9X1lUDJfE8w5kh2wVXEddlukcQHW5Z7Tge6yG4jN+O/

Podemos comprobar, como si modificamos la contraseña, la información cifrada

también nos varía. Así, por ejemplo, si volvemos a cifrar «Frase secreta» con el algoritmo
de cifrado AES y la contraseña «4321», el resultado será:

k7oOhJ1h/rhs95mT4pAOsfVIRfWtfb7TCpCyUOsfyUDvkBun6Pf+Gk88aw6baXg+

De igual manera, cualquier mínima modificación en la información a cifrar, alterará

enormemente el resultado. Así, si variamos la frase original de «Frase secreta» a «frase
secreta» (únicamente hemos cambiado la primera letra mayúscula por una minúscula),
aunque mantengamos la contraseña original «1234», el resultado será:

2pKYL/P6h671R1aSElScNvtOwlHSklZ205eMlpqImD3yFi4jAspFiy9N8Mfgr+qK

Como vemos, el haber realizado una sencilla modificación en la información a

cifrar, hace que el resultado varía completamente. Evitando así el dar
información sobre qué puede haberse cifrado.

TEMA 3 – Ideas clave 24 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

Algoritmos de cifrado hay muchos, pero todos ellos se pueden agrupar en dos grandes
conjuntos:

1 Cifrado simétrico.

2 Cifrado asimétrico.

Figura 15. Tipos de cifrados.

El cifrado simétrico es aquel que utiliza la misma clave para cifrar y

descifrar. Dentro de este grupo, los algoritmos más típicos son AES, y triple DES,
aunque hay muchos más.

Por su parte, el cifrado asimétrico es aquel que utiliza claves diferentes para
el cifrado y para el descifrado. Este tipo de cifrado es el que se conoce comúnmente
como cifrado de clave pública-privada. Una clave pública que sirve para cifrar la
información y una clave privada que se utilizara para descifrarla. Los algoritmos más
típicos de cifrado asimétrico son el RSA y ElGamal.

Como norma general, la información que almacenamos en nuestros dispositivos y copias

de seguridad es cifrada mediante algún tipo de algoritmo simétrico. Mientras que la
información que se envía, se cifra haciendo uso de algoritmos asimétricos.

Así, cuando un emisor (A) quiere enviar un mensaje cifrado a un receptor (B), el emisor
(A) cifrará la información con la clave pública del receptor (B) y únicamente el receptor
(B) será quien, haciendo uso de su clave privada, pueda descifrar dicho mensaje.

Figura 16. Cifrado de mensaje.

TEMA 3 – Ideas clave 25 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

Actualmente la práctica totalidad de los sistemas operativos, tanto de dispositivos

móviles como de equipos de sobremesa permiten cifrar la información mediante algún
tipo de algoritmo de cifrado simétrico. Este proceso, que una vez realizado actúa de
manera completamente transparente al usuario, nos garantiza que en caso de pérdida o
sustracción del dispositivo que contiene la información, esta no pueda ser leída.

Protección contra software malicioso

El software malicioso, ya sean los clásicos virus, los malware o las más modernas APT,
siempre han sido una amenaza tanto para los usuarios domésticos como para las
empresas. Si bien, en los últimos años el número de amenazas y ataques ha crecido
drásticamente habiéndose desarrollado una verdadera industria del cibercrimen.

Para la protección de nuestra organización frente a estas amenazas, se hace necesario

desarrollar una estrategia global y planificada que abarque todos los
equipos y dispositivos de nuestro inventario.

Dependiendo de las necesidades de protección y los equipos a proteger, es posible

englobar las distintas soluciones de protección contra software malicio en tres grandes
grupos:

» Protección de los puestos de trabajo: las más clásicas, conocidas y extendidas

son las herramientas que se instalan en los equipos de trabajo para protegerlos.
Dentro de este grupo nos encontramos con soluciones antivirus o antimalware como
Malwarebytes o las soluciones de Kaspersky.

» Protección de los dispositivos móviles: de un funcionamiento similar a las

anteriores, con la salvedad de que son específicas para el uso que se da a los
dispositivos móviles.

TEMA 3 – Ideas clave 26 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

Figura 17. Interface de Avast Mobile Security. Fuente: http://www.manualpc.com/las-5-mejores-

aplicaciones-para-proteger-tu-android/

» Soluciones corporativas: son aquellas soluciones cuyo ámbito de protección es un

gran número de los sistemas de la organización. Normalmente se encuentran en
forma de computer appliance que se conecta a la red de la organización y que gestiona
de manera unificada las amenazas y ataques. En este campo tenemos, por ejemplo,
los firewalls de nueva generación, capaces de protegernos frente a fugas de
información, malwares o páginas web maliciosas, entre otras muchas posibilidades.

Figura 18. Características de la familia de Firewalls Cisco ASA. Fuente:

http://www.cisco.com/c/en/us/products/collateral/security/asa-5500-series-next-generation-
firewalls/datasheet-c78-733916.html

A la hora de seleccionar una solución de protección frente a software malicioso,

deberemos verificar una serie de requisitos deseables:

» La solución es capaz de detectar todo tipo de amenazas, como virus, ransomware,

troyanos, spyware, etc.

» Permite realizar un análisis en tiempo real de la información y planificar análisis

programados.

TEMA 3 – Ideas clave 27 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

» Es actualizable de manera automática y transparente al usuario. Esto es, no es

necesaria ninguna acción por parte del usuario para que la solución de seguridad se
actualice.

» Permite la creación de listas blancas/negras de aplicaciones consideradas de

confianza o peligrosas.

» Es capaz de analizar no solo la información del equipo, sino también la que se

transmite hacia él (por ejemplo, al visitar una página web) o la que el dispositivo envía
hacia el exterior. Para evitar así el que un equipo contaminado propague la infección
hacia otros terminales de la red.

» Dispone de mecanismos de bloqueo para evitar alteraciones en la aplicación. De esta

forma se evita cualquier modificación malintencionada de la configuración de la
herramienta.

Pero como todo dentro del ámbito de la seguridad, no se puede dejar todo el trabajo a la
tecnología, sino que es necesaria la implementación de un decálogo de buenas prácticas
que nos ayuden a impedir, o evitar la propagación de, la infección.

Retos de seguridad en entornos virtualizados

Un entorno virtualizado es, en esencia, un entorno expuesto a los mismos problemas de

seguridad que un entorno físico. Pero, además, debe hacer frente a una serie de retos
adicionales y exclusivos de los sistemas virtuales.

Uno de estos retos es la gestión del tráfico entre máquinas virtuales. Cada máquina
virtual envía su tráfico hacia el gestor (o hipervisor) el cual encamina dicho tráfico hacia
el exterior o hacia otras máquinas virtuales.

Dado que el hipervisor se encuentra dentro de la infraestructura del entorno virtual, es

posible que los productos de seguridad de nuestra organización no sean capaces de
analizar el tráfico de este tipo.

Por ejemplo, puede ocurrir que los cortafuegos o IDPS no puedan analizar el tráfico y,
por lo tanto, que dicho tráfico circule sin ningún tipo de limitación.

TEMA 3 – Ideas clave 28 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

Figura 19. Esquema de un entorno virtual.

Como se puede ver en el esquema anterior, el tráfico entre las máquinas virtuales y el
Hypervisor, no está siendo controlado por el firewall (tráfico en rojo), mientras que el
tráfico entre el Hypervisor e Internet, sí que es verificado (tráfico en verde).

Si, por ejemplo, una de las máquinas virtuales se infectara, podría infectar al resto de
máquinas virtuales sin que nuestros sistemas detectaran tal infección.

En este tipo de entornos, un atacante podría infectar la máquina más vulnerable e ir

«saltando» entre ellas hasta alcanzar la máquina que realmente pretende infectar. Todo
ello sin que el tráfico pase por los sistemas de detección de intrusiones.

Por este motivo, muchas de las tecnologías de seguridad existentes para entornos clásicos
de computación se han adaptado a los nuevos entornos virtuales. Permitiendo el análisis
de la información que circula entre las distintas máquinas virtuales, además de la
información que estas envían al exterior.

TEMA 3 – Ideas clave 29 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

3.4. Gestión centralizada de dispositivos

A la vista de las cada vez mayores amenazas existentes en el ámbito de los dispositivos
móviles, cada vez más organismos ven necesaria la implantación de soluciones que
gestionen de manera centralizada tal equipamiento, ya sean terminales propios de la
institución o terminales personales utilizados para acceder a datos de la empresa.

Mediante la implantación de soluciones de gestión centralizada, las

organizaciones pueden estar en mejores condiciones de seguridad de cara a este tipo de
dispositivos, haciendo más seguro el acceso a los recursos corporativos.

En la actualidad, para la gestión centralizada de los dispositivos móviles se hace

uso del siguiente esquema:

Servidor Comando Terminal móvil

Respuesta del terminal

Figura 20. Respuesta terminal.

El servidor encargado de la gestión centralizada de los terminales, envía un comando al

total de los terminales gestionados, o a un subgrupo de los mismos y recibe una respuesta
por parte de estos.

Por supuesto, para realizar esta tarea es necesario hacer uso de productos de
terceros que deben instalarse tanto en el servidor, como en los terminales móviles a
controlar.

Algunas de las herramientas más utilizadas para este proceso son las conocidas como
Mobile Device Management, aunque también se utilizan algunas como LogMeIn y
TeamViewer.

LogMeIn y TeamViewer son soluciones orientadas al manejo remoto de dispositivos que

sueles ser utilizadas también para la gestión remota de la seguridad de distintos

TEMA 3 – Ideas clave 30 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

terminales, mientras que las herramientas de Mobile Device Managemente son

específicas para la gestión, monitorización y securización de los dispositivos móviles
desplegados en la organización.

Aunque soluciones como LogMeIn y TeamViewer puedan ser una opción sencilla y
rápida de adaptar, siempre es recomendable el uso de soluciones específicas de
Mobile Device Mangement, ya que estas están orientadas precisamente a la
gestión remota de dispositivos móviles y facilitan enormemente esta
gestión.

Algunas de las herramientas de Mobile Device Management más utilizadas son:

Endpoint Protector, SOTI, MobileIron y Citrix XenMobile, entre otras.

Figura 21. Dashboard de Endpoint Protector. Fuente:

http://www.endpointprotector.es/products/my_endpoint_protector_SaaS/screenshots

La gran ventaja de las herramientas de Mobile Device Management, como Endpoint

Protector es que, con una rápida visualización, podemos obtener un montón
de información sobre los dispositivos controlados como: las aplicaciones
instaladas, la versión del sistema operativo, las redes a las que se encuentra conectado,
etc.

TEMA 3 – Ideas clave 31 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

Seguridad en las comunicaciones

En entornos tan descentralizados como los actuales, es muy común la utilización de

recursos remotos. Ya sea porque el trabajador accede a la información desde su
domicilio, ya sea porque las distintas sedes de una organización acceden a los recursos
compartidos de la central.

Para asegurar este tipo de comunicaciones es para lo que se utilizan las conocidas VPN o
redes privadas virtuales. Esta tecnología permite la extensión de manera segura de una
red local sobre una red pública, generalmente sobre Internet. Las arquitecturas más
comunes de una VPN son: VPNs de acceso remoto y VPNs de punto a punto.

Una VPN de acceso remoto es un tipo de VPN en el que los usuarios se conectan a la red
local de la organización a través de Internet. Esto permite a los usuarios remotos acceder
de forma segura a los recursos de la red local como si se encontraran directamente
conectados.

Figura 22. VPN de acceso remoto. Fuente: http://computer.howstuffworks.com/vpn3.htm

Hay dos componentes necesarios para una arquitectura VPN de acceso

remoto: un servidor de acceso a red (Network Access Server), también llamado
servidor de acceso remoto (Remote Access Server, RAS), el cual recibe las credenciales
de acceso proporcionadas por el cliente y el software instalado en el equipo
cliente, que es el encargado de proporcionar las credenciales al servidor y
configurar la conexión VPN.

TEMA 3 – Ideas clave 32 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

Una VPN de punto a punto, en ocasiones denominada como site-to-site VPN, es un tipo
de arquitectura utilizado para conectar emplazamientos remotos con la sede central de
la organización.

Figura 23. VPN, punto a punto. Fuente: http://computer.howstuffworks.com/vpn4.htm

A diferencia de una VPN de acceso remoto, en una VPN punto a punto no es

necesario el uso de ninguna herramienta específica en los equipos clientes,
ya que se hace uso de enrutadores que se conectan directamente a la VPN.

Las redes VPN pueden implementarse haciendo uso de distintos protocolos como IPsec,
PPTP, SSL/TLS, etc., cada uno de ellos con sus ventajas e inconvenientes.

Aunque IPsec podría considerarse como el estándar, gracias a su amplia

difusión, deben considerarse también otras soluciones como OpenVPN dada su
versatilidad y facilidad de implementación.

OpenVPN hace uso del protocolo SSL/TLS para la autenticación de la sesión y de IPsec
ESP para el mantenimiento del túnel a través de UDP.

Con OpenVPN, tanto el servidor de VPN, como los clientes, hacen uso de certificados
digitales con los que firman y cifran las comunicaciones (cifrados asimétricos),
permitiendo así asegurar la integridad de los datos y el no repudio de la información
transmitida.

TEMA 3 – Ideas clave 33 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

3.5. Prevención de fugas de información

Para la elaboración de este apartado se ha cogido como base el siguiente documento:

Inteco. (2012). Guía gestión de fuga de información. Madrid: Ministerio de Industria,
Energía y Turismo.

Por fuga de información, entendemos aquella salida no controlada de

información privada de la organización que hace que esta llegue a personas
no autorizadas. Detrás de una buena parte de los incidentes de fugas de información
se esconden motivaciones personales, económicas, daño a la imagen de la organización
o simples errores, entre otras.

La protección de la información se articula en torno a la protección de tres principios

básicos:

1 La confidencialidad

2 La integridad

3 La disponibilidad

Figura 24. Principios básicos.

Las fugas de información afectan a la pérdida de confidencialidad, de forma

que información privilegiada es accedida por personas no autorizadas.

El impacto y las consecuencias posteriores a un incidente de fuga de información,

no solo afectan a la imagen pública de la empresa o a la continuidad de la
misma, sino que también puede afectar desde un punto de vista legal, ya que
existen un conjunto de normativas y leyes que ponen especial énfasis en el uso y
tratamiento de datos de carácter personal.

TEMA 3 – Ideas clave 34 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

¿Cómo mitigar las fugas de información?

Para que una organización pueda mitigar las fugas de información, debe
utilizar conjuntamente los medios físicos a su disposición, como soluciones de
seguridad específicas destinadas a controlar el ciclo de vida de la información y los
medios no tangibles como las políticas de seguridad en el acceso a la información.

Además, puesto que el factor humano es uno de los componentes de las fugas de
información, es muy importante llevar a cabo campañas de concienciación en
materia de ciberseguridad dentro de la organización.

» ¿Cuáles son las causas que provocan una fuga de información? Las
causas principales que provocan fugas de información pueden ser clasificadas en
dos grupos:
o Causas pertenecientes al ámbito organizativo.
o Causas pertenecientes al ámbito técnico.

Además, la mayoría de las causas, tanto organizativas o técnicas, generalmente,

implican la ausencia de algún tipo de medida de seguridad, procedimiento,
herramienta, etc. Esta ausencia de medidas supone la falta de control sobre la
información y esta falta de control aumenta de forma significativa la probabilidad
de que se produzca un incidente de fuga de información.

Ámbito organizativo Ámbito técnico

• Código malicioso.
• Falta de clasificación.
• Accesos no autorizados.
• Falta de conocimiento.
• Mal uso de recursos.
• Ausencia de procedimientos.
• No cifrado de la información

Figura 25. Fugas de información.

Dentro de las causas organizativas tenemos:

o La falta de clasificación del nivel de seguridad de la información
(confidencial, difusión limitada, pública, etc.), ya que, si se desconoce el valor de
la información a tratar, no será posible diseñar y seleccionar las medidas de
protección adecuadas.

TEMA 3 – Ideas clave 35 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

o La falta de conocimiento y formación.

o La ausencia de procedimientos y políticas que indiquen claramente los
límites dentro de los cuales los trabajadores deberán desempeñar su actividad y
la no existencia de acuerdos de confidencialidad con los empleados.

Por otro lado, dentro de las causas técnicas nos encontramos con:
o El código malicioso tipo malware o APT (amenazas persistentes avanzadas),
las cuales suelen diseñarse específicamente para sustraer información
confidencial de las organizaciones.
o El acceso no autorizado a sistemas mediante la explotación de
vulnerabilidades de los mismos.
o El mal uso de servicios en la nube, manejando información confidencial a
través de sistemas protegidos con contraseñas débiles o sincronizados en equipos
no controlados.
o Y el uso de tecnologías móviles donde se almacena información confidencial
de manera no cifrada, lo que puede provocar que dicha información sea leída
si el dispositivo es sustraído.

Gestión de la fuga de información

Al ser muchos los aspectos y situaciones dentro de este tipo de incidentes, una mala
gestión podría tener el efecto contrario al deseado, es decir, magnificar el efecto
negativo causado por el propio incidente.

La gestión de la fuga de información la podemos dividir en seis fases:

Inicial Lanzamiento

Auditoría Evaluación

Mitigación Seguimiento

Figura 26. Fases

TEMA 3 – Ideas clave 36 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

Durante cada una de estas fases se deben realizar una serie de acciones encaminadas a
mitigar y contener la fuga de información y a evitar que fugas similares se repitan en
un futuro.

Fase Descripción
Inicial Detección del incidente.
Alerta del incidente a nivel interno.
Inicio del protocolo de gestión.
Lanzamiento Reunión del gabinete de crisis.
Informe inicial de situación.
Coordinación y primeras acciones.
Auditoría Auditoría interna y externa.
Elaboración de informe preliminar.
Evaluación Reunión del gabinete de crisis.
Presentación del informe de auditoría.
Determinación de principales acciones.
Tareas y planificación.
Mitigación Ejecución de todas las acciones del plan.
Seguimiento Valoración de los resultados del plan.
Gestión de otras consecuencias.
Auditoría completa.
Aplicación de medidas y mejoras.
Tabla 4. Descripción de las fases.

» Fase inicial. Los momentos inmediatamente posteriores a la detección de un

incidente de fuga de información son especialmente críticos, donde una adecuada
gestión puede suponer una importante reducción del impacto. Excepto en el caso de
pérdida de dispositivos móviles, el principal problema es que en la mayoría de las
ocasiones no es detectado hasta que su filtración se hace pública bien a través de los
medios de comunicación o Internet, bien a través de algún tipo de notificación por
parte del ciberdelincuente responsable del hecho.

Por este motivo, uno de los mayores retos a los que se enfrentan las
organizaciones es conseguir la detección temprana del incidente, ya sea
mediante medidas internas de control o mediante la monitorización de cualquier
publicación sobre nuestra entidad, con el objetivo de tomar el control de la situación
lo antes posible.

TEMA 3 – Ideas clave 37 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

Una vez se ha tenido conocimiento del incidente, el primer paso es informar

internamente de la situación, junto con el lanzamiento del protocolo de actuación.
Además, se deberá de informar de la puesta en marcha del proceso de gestión de la
incidencia.

Detección Informar Inicio protocolo

temprana internamente de actuación

Figura 27. Fase inicial.

» Fase de lanzamiento. El primer paso es iniciar el protocolo interno de gestión del

incidente convocando a los responsables que forman parte del equipo de gestión que
deben tomar las decisiones. Mantener la calma y actuar con organización es
fundamental para evitar decisiones incorrectas o que pueden provocar
consecuencias negativas adicionales, ya sea a nivel interno o externo.

No todas las organizaciones cuentan con un gabinete de crisis o tienen los recursos
necesarios. Cada organización deberá ajustarse a sus recursos. En cualquier caso,
será necesario contar como mínimo con un responsable con capacidad de decisión,
ya sea personal propio de la organización o externo, que se encargará de la gestión
y coordinación de la situación. Cuanto más cerca esté el responsable del gabinete del
máximo responsable de la empresa, la gestión será más efectiva.

En cualquier caso, todas las decisiones y las actuaciones relativas al incidente

deberán ser tomadas y coordinadas por el gabinete de crisis. Es fundamental evitar
actuaciones por libre o que no hayan sido definidas y acordadas por el gabinete.

Convocatoria Toma de
equipo de decisiones por
gestión el gabinete

Figura 28. Fase de lanzamiento.

TEMA 3 – Ideas clave 38 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

» Fase de auditoría. Una vez se han iniciado los pasos anteriores, daría comienzo
la fase de obtención de información sobre el incidente. Para ello, será necesario
iniciar una auditoría interna, con el objetivo de determinar con exactitud y en el
menor tiempo posible lo siguiente:
o La cantidad de información sustraída o que ha podido ser sustraída.
o El tipo de datos que contiene la información sustraída. Especialmente si se han
filtrado datos personales.
o Determinar si la información filtrada es relativa a la propia organización o hace
referencia a personas u organizaciones externas.
o Establecer y acotar la causa principal de la filtración, si se ha producido debido a
causas humanas o técnicas. Determinando los sistemas o empleados
responsables de esa información.

Además de la auditoría interna, también es necesario realizar una auditoría

externa. El objetivo de esta será conocer el tamaño, gravedad y nivel de difusión de
la filtración en el exterior de la organización. Hay que distinguir entre información
que ha sido sustraída e información que se ha hecho pública, ya que no son
necesariamente lo mismo. Al menos es necesario:
o Determinar el alcance de la publicación de la información sustraída. ¿Dónde ha
sido publicada?, ¿Número potencial de accesos?, etc.
o Establecer qué información se ha hecho pública y determinar la cantidad de
información que ha sido filtrada al exterior.
o Recopilar toda información aparecida en medios públicos sobre el incidente y
conocer las reacciones que dicha información está produciendo.

En esta fase, el tiempo de reacción es crítico. De forma orientativa es recomendable

conocer la mayor parte de los puntos anteriores en un plazo no superior a 12 horas,
desde el momento en que se ha conocido el incidente.

En cualquier caso, un periodo superior a las 48 horas podría considerarse excesivo,

aunque dependerá de la gravedad del incidente y de otros factores.

Auditoría
Obtención de Tiempo de
interna y
información reacción crítico
externa

Figura 29. Fase de auditoría.

TEMA 3 – Ideas clave 39 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

» Fase de evaluación. Con la información obtenida se inicia el proceso de

valoración del incidente, posibles consecuencias e impacto. Se establecen las
tareas principales con una planificación detallada para cada una de
ellas. Se debe considerar que al tratarse de una evaluación inicial las tareas se
diseñan en función de la información disponible, que puede ser incompleta. Por otro
lado, también hay que tener en cuenta la ventana de tiempo de respuesta disponible,
puesto que se debe actuar con agilidad.

Dentro de las principales tareas que será necesario llevar a cabo, se encuentran las
siguientes:
o Cortar la filtración y evitar nuevas fugas de información.
o Revisión de la difusión de la información y mitigación de la misma, en especial si
esta contiene datos de carácter personal o se trata de información confidencial.
o Actuación con los afectados por la fuga de información, ya sean internos o
externos.
o Mitigación de las consecuencias legales y preparación de toda la información
necesaria ante posibles denuncias por los afectados, otras organizaciones, etc.
o Determinación de las consecuencias económicas, que puedan afectar a la
organización y su posible mitigación.
o Tareas a acometer en los activos de la organización afectados, y su alcance, en
relación con los activos de información, infraestructuras, personas, etc.
o Planificación del contacto y coordinación con fuerzas y cuerpos de seguridad,
denuncia y otras actuaciones, en caso de ser necesario.
o Planificación de comunicación e información del incidente, tanto a nivel interno
como externo, a medios de comunicación, y afectados, en caso de ser necesario.

Este conjunto básico de acciones compondrá el plan de emergencia

diseñado para el incidente de fuga de información. Su ejecución deberá de
estar completamente coordinada y supervisada en todo momento por el gabinete de
crisis.

Valoración del Asignación de

incidente tareas

Figura 30. Fase de evaluación.

TEMA 3 – Ideas clave 40 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

En función del escenario y los recursos de la organización, las acciones indicadas

anteriormente podrán realizarse de forma simultánea o secuencial. En cualquier
caso, establecer la prioridad de las tareas será responsabilidad del gabinete de crisis.

» Fase de mitigación. El primer paso es reducir la brecha de seguridad y

evitar que se produzcan nuevas fugas de información. Por este motivo, en
algunos casos es posible que sea necesario desconectar un determinado servicio o
sistema de redes externas. Ante esta situación debe primar el objeto del plan que no
es otro que mitigar la fuga de información en el menor tiempo posible. Más adelante
se aplicarán medidas más adecuadas o menos drásticas que la desconexión, pero
siempre garantizando la seguridad.

El siguiente paso es minimizar la difusión de la información sustraída, en

especial si se encuentra publicada en Internet. Por este motivo, se contactará con los
sitios que han publicado información y se solicitará su retirada, en especial si se trata
de información sensible o protegida por la Ley Orgánica de Protección de Datos.

Junto con el paso anterior, si se considera necesario, se llevará a cabo la

comunicación pertinente a los medios de comunicación con el objetivo de
tranquilizar a posibles afectos externos a la organización.

En caso de existir personas afectadas por la fuga de información, por ejemplo, si se

han filtrado datos de terceros, como clientes o usuarios de un servicio,
es fundamental que estos sean informados. Se informará no solo del
incidente, sino también de los datos que han sido sustraídos a fin de que puedan
tomar las acciones oportunas para su seguridad, como puede ser el cambio de
contraseñas, revocación de números de tarjetas, ser especialmente cautelosos con
correos de desconocidos, etc. Además, se debe proporcionar algún canal para que
los afectados puedan mantenerse informados sobre la evolución del incidente y las
distintas recomendaciones que pueda realizar la organización a los afectados, con el
objetivo de minimizar las consecuencias.

Posteriormente se pondrá en conocimiento del incidente a las fuerzas y

cuerpos de seguridad del estado, a través de la presentación de una denuncia y
otras acciones que puedan derivarse de la coordinación o la solicitud de información
por parte de las fuerzas y cuerpos de seguridad.

TEMA 3 – Ideas clave 41 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

Hay que tener en cuenta, además, la necesidad de informar a otros organismos que
puedan tener competencias derivadas de la información filtrada, como es el caso de
la Agencia Española de Protección de Datos, en el caso de datos de carácter personal.

Reducir Comunicación
Minimizar
brecha de entidades
difusión
seguridad pertinentes

Figura 31. Fase de mitigación.

» Fase de seguimiento. Una vez completadas las principales acciones del plan, se
procederá a evaluar el resultado y la efectividad de las acciones realizadas, en
relación con las consecuencias y su impacto. Además, en caso de ser necesario, se
deberá de hacer frente a otras consecuencias que hayan podido generarse durante
la fase de mitigación del incidente, como puedan ser consecuencias legales,
económicas, etc.

Durante esta fase también se iniciará el proceso de estabilización de la

situación generada por el incidente. Se comenzará con un proceso de
valoración global del mismo, que supondrá una auditoría más completa a partir de
la cual se diseñaran e implantaran las medidas definitivas para evitar nuevas fugas
y restablecer el normal funcionamiento de los servicios e infraestructuras que
pudieran haberse visto afectadas.

Evaluación Otras
Estabilización
del resultado consecuencias

Figura 32. Fase de seguimiento.

TEMA 3 – Ideas clave 42 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

Material complementario

Lecciones magistrales

Herramientas de seguridad WiFi

En la siguiente lección magistral analizaremos una suite de herramientas para asegurar

entornos WiFi. Realizaremos unos ejemplos prácticos de cómo operan los hackers a la
hora de intentar romper la seguridad en nuestras redes.

Accede a la lección magistral a través del aula virtual.

No dejes de leer…

Smartphones y tabletas

Artículo de la Oficina de Seguridad del Internauta con consejos y recomendaciones para

proteger nuestros dispositivos.

Accede al artículo a través del aula virtual o desde la siguiente dirección web:
https://www.osi.es/es/smartphone-y-tablet

TEMA 3 – Material complementario 43 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

Security considerations for virtual environments

Artículo publicado en Cnet con algunas consideraciones a tener en cuenta sobre

ciberseguridad en entornos virtualizados.

Accede al artículo a través del aula virtual o desde la siguiente dirección web:
https://www.cnet.com/news/security-considerations-for-virtual-environments/

No dejes de ver…

Incremental frente a Differential Backups

Explicación gráfica de las diferencias entre estos dos tipos de copia de seguridad.

Accede al vídeo a través del aula virtual o desde la siguiente dirección web:
https://youtu.be/pmzeebcx-vk

TEMA 3 – Material complementario 44 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

Protección en movilidad y conexiones inalámbricas

Ejemplo de un caso de éxito con un comercial de telefonía.

Accede al vídeo a través del aula virtual o desde la siguiente dirección web:
https://youtu.be/IDU-TZOtyHU

A fondo

Manual de Políticas de Seguridad de la Información

Manual con las Políticas de Seguridad de la Información de ICETEX.

Accede al documento a través del aula virtual o desde la siguiente dirección web:
https://www.icetex.gov.co/dnnpro5/Portals/0/Documentos/La%20Institucion/manua
les/Manualseguridadinformacion.pdf

ENS. Gestión y uso de dispositivos móviles

Guía orientada a establecer pautas de carácter general para la gestión y uso de

dispositivos móviles.

Accede al documento a través del aula virtual o desde la siguiente dirección web:
https://www.ccn-cert.cni.es/series-ccn-stic/800-guia-esquema-nacional-de-
seguridad/544-ccn-stic-827-gestion-y-uso-de-dispositivos-moviles/file.html

TEMA 3 – Material complementario 45 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

Enlaces relacionados

CCN-CERT

El CCN-CERT es el CERT del Centro Criptológico Nacional, un organismo español

anexionado al Centro Nacional de Inteligencia.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
https://www.ccn-cert.cni.es/

INCIBE

INCIBE (Instituto Nacional de Ciberseguridad) es una sociedad dependiente de

Secretaría de Estado para la Sociedad de la Información y la Agenda Digital y consolidada
como entidad de referencia para el desarrollo de la ciberseguridad.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
https://www.incibe.es/

TEMA 3 – Material complementario 46 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

Actividades

Trabajo: La política de seguridad

Objetivo

El objetivo de esta actividad es el de aprender a desarrollar correctamente los apartados

específicos de la Política de Seguridad de una organización que haga uso de dispositivos
móviles y entornos virtualizados.

Metodología

En la siguiente actividad debemos plantear el índice completo de la Política de Seguridad

de una organización y desarrollar aquellos apartados que tienen relación con el uso de
dispositivos móviles y entornos virtualizados dentro de la misma.

Entrega

Deberemos entregar el índice completo de una Política de Seguridad y el desarrollo de

los apartados que tengan relación con el uso de dispositivos móviles y entornos
virtualizados. La actividad debe plantearse como si se tratara de una Política de
Seguridad real que va a ser implementada en una organización.

TEMA 3 – Actividades 47 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

Test

1. Entre las buenas prácticas a tener en cuenta destacan:

A. La gestión de las capacidades de comunicación inalámbricas.
B. Los mecanismos de copias de seguridad.
C. El control de acceso.
D. Todas las anteriores son correctas.

2. Una buena práctica para mantener la seguridad de nuestros dispositivos móviles es el

evitar las aplicaciones que piden permisos no necesarios para su función principal.
A. Verdadero.
B. Falso.

3. En cuanto a las capacidades de comunicación inalámbricas:

A. Como norma general, se mantendrán conectadas todas las interfaces de
comunicación disponibles.
B. Entender el funcionamiento de estas tecnologías no es útil para afrontar con
seguridad su uso.
C. Como norma general, se mantendrán desconectadas las interfaces no necesarias
o que no estemos utilizando.
D. Ninguna de las anteriores es correcta.

4. Antes de plantear un sistema de copias de seguridad debemos preguntarnos:

A. ¿Qué vamos a salvaguardar?, ¿cómo vamos a realizar la copia de seguridad?,
¿cuándo queremos realizar las copias de seguridad? y ¿dónde vamos a almacenar
estas copias?
B. ¿Qué vamos a salvaguardar?, ¿cuándo queremos realizar las copias de
seguridad? y ¿dónde vamos a almacenar estas copias?
C. ¿Qué vamos a salvaguardar?, ¿cómo vamos a realizar la copia de seguridad? y
¿cuándo queremos realizar las copias de seguridad?
D. Ninguna de las anteriores es correcta.

TEMA 3 – Test 48 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

5. Una copia de seguridad incremental:

A. Es un tipo de copia de seguridad donde solo se almacenan los archivos que han
sido modificados desde la última copia de seguridad completa.
B. Es aquella en la que se hace una copia de la totalidad de los archivos definidos.
C. Funciona de manera similar a las diferenciales, con la única diferencia que solo
almacena los archivos modificados desde la última copia de seguridad,
independiente de si esta ha sido completa, diferencial o incremental.
D. Su principal ventaja es que tenemos todos los datos en una única copia, lo que
nos permite restaurarlos de manera sencilla y en relativamente poco tiempo.

6. Los sistemas de gestión remota de los principales Sistemas Operativos móviles

permiten:
A. Ubicar físicamente el dispositivo.
B. Hacer sonar el dispositivo.
C. Eliminar toda la información del dispositivo.
D. Todas las anteriores son correctas.

7. Para considerar que una contraseña es segura debe cumplir una serie de
características:
A. Secreta, robusta y cambiada periódicamente.
B. Secreta, no repetida, robusta y cambiada periódicamente.
C. Secreta, no repetida y robusta.
D. Robusta, no repetida y cambiada periódicamente.

8. Los algoritmos de cifrado AES y Triple DES son algoritmos de cifrado:

A. Asimétricos.
B. Simétricos.
C. No son algoritmos de cifrado.
D. Pueden actuar como algoritmos simétricos o asimétricos.

9. Las causas principales de las fugas de información pueden ser clasificadas en:
A. Causas pertenecientes al ámbito organizativo.
B. Causas pertenecientes al ámbito técnico.
C. Causas pertenecientes al ámbito personal.
D. Las respuestas A y B son correctas.

TEMA 3 – Test 49 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Entornos Móviles y Virtualización

10. Algunas de las principales tareas que será necesario llevar a cabo en la fase de
evaluación de una fuga de información son:
A. Cortar la filtración y evitar nuevas fugas de información.
B. Revisar la difusión y mitigar la misma.
C. Determinar las consecuencias económicas que puedan afectar a la organización.
D. Todas las anteriores son correctas.

TEMA 3 – Test 50 © Universidad Internacional de La Rioja (UNIR)