CAPITULO II

MARCO TEORICO REFERENCIAL

Antecedentes de la investigación

La presente investigación tubo como antecedentes 3 estudios previos relacionados con seguridad
de la información y auditorias de sistemas.
En primer lugar se tiene la investigación de Rodríguez (2023) en el cual es su trabajo de
grado para la obtención del título de Ingeniero en Sistemas Computacionales e Informáticos de la
Universidad Técnica de Ambato, titulado “Auditoría informática para optimizar el rendimiento
de los sistemas y equipos informáticos aplicando la metodología computer resource management
review (crmr), en la cooperativa de ahorro y crédito maquita ltda. del cantón ambato parroquia
quisapincha”.
Plantea como problema; En la Cooperativa de Ahorro y Crédito Maquita LTDA, al no
existir un conocimiento claro de cómo asociar los sistemas y equipos informáticos con la
auditoria informática hace que la gestión de todos los procesos y recursos tecnológicos se lleve
de manera inadecuada, razón por la cual se da la necesidad de desarrollar una auditoria
informática a través de una metodología adecuada, que en este caso será la metodología de la
evaluación de eficiencia de los recursos informáticos (CRMR).
El diseño de investigación utilizado por este autor fue de encuestas y entrevistas
basándose en la metodología CRMR.
Entre las conclusiones mas importantes a las que llego su investigación tenemos:
 La aplicación de la Auditoria informática a la Cooperativa de Ahorro y Crédito Maquita
LTDA, ha permitido por primera vez la evaluación completa de los sistemas y equipos
tecnológicos, detectando falencias importantes en el control interno tecnológico y
comunicación de la institución.
 La estructura en la cual actualmente trabaja el departamento tecnológico se considera con
poco espacio de trabajo y por ende presenta dificultad para la administración de nuevos
proyectos y para mejorar la transmisión de información.
 Se evidencio que existen riesgos informáticos muy comunes como virus, software
instalado de forma ilegal, los cuales ponen en riesgo la seguridad de la información lo
 que no garantiza la confidencialidad de la información en el departamento tecnológico de
la COAC Maquita LTDA.
La segunda investigación utilizada de Carrasco (2023) en el cual es su trabajo de grado para
la obtención del título de Ingeniero en Sistemas Computacionales e Informáticos de la
Universidad Técnica de Ambato, titulado “Auditoría informática mediante la metodología
osstmm v3, para la gestión de la seguridad en la cooperativa de transportes flota pelileo”
Plantea como problema; El gerente de la Cooperativa de Transportes Flota Pelileo se
encuentra interesado en conocer los posibles ataques hacia la Cooperativa, por motivo de que la
información diariamente es manipulada de suma importancia y en el mayor de los casos
confidencial, la cual no le gustaría perder o en el peor de los casos que se divulgue, así que le
gustaría saber qué medidas debería tomar, por lo cual la Cooperativa necesita una auditoria para
detectar posibles vulnerabilidades que pueda tener la red y de esta manera determinar las
medidas necesarias a tomar para evitar algún tipo de ataque y mejorar la eficiencia de la red.
El diseño de investigación utilizado por este autor fue de encuestas y entrevistas basándose
en la metodología osstmm v3.
Entre las conclusiones mas importantes a las que llego su investigación tenemos:
 En la Cooperativa de Transportes Flota Pelileo no se ha ejecutado auditorías de seguridad
informática para la detección de vulnerabilidades, no cuenta con herramientas que
faciliten el análisis, detección y explotación de vulnerabilidades con esto puedo concluir
que proyecto es favorable mediante la investigación de lo mencionado.
 La metodología OSSTMM v3 fue escogida de manera apropiada, ya que las secciones y
módulos aplicados permitieron conseguir los resultados esperados en la detección de
vulnerabilidades existentes en el servidor de la Cooperativa y así poder dar una propuesta
de solución.
 Para realizar el presente proyecto de investigación se utilizó software libre evitando
gastos extras, las herramientas utilizadas pueden ser recomendadas para dar un
seguimiento al análisis y detección de vulnerabilidades dentro de la Cooperativa.
La tercera investigación utilizada de Gonzalez (2019) en el cual es su trabajo de grado para la
obtención del título de Especialista en Auditoría de la Universidad Central de Venezuela,
titulado, “Sistema de control interno del complejo siderúrgico nacional, s.a.”
Plantea como problema; según las observaciones realizadas por parte de la investigadora como
parte del equipo de trabajo del Complejo Siderúrgico Nacional, no existe un Sistema de Control
Interno que dicte los lineamientos en lo referente a las funciones que cumple esta Unidad de
Auditoría Interna en el Complejo Siderúrgico Nacional (CSN).
El diseño de investigación utilizado por este autor fue de encuestas basándose en la
metodología COSO.
Entre las conclusiones mas importantes a las que llego su investigación tenemos:
 En tal sentido la Unidad de Auditoría Interna presenta debilidades marcadas al no contar
con el manual de organización que sirva de guía y apoyo a los funcionarios para el
manejo y conocimiento del marco jurídico, organizacional y sobre las funciones y
atribuciones de las Unidades que integran la Organización; de igual forma no cuenta con
políticas para la administración de Recursos Humanos que genere incentivos en la
actividades realizadas y el crecimiento profesional del trabajador.
 Al revisar el modelo conceptual bajo el enfoque COSO como herramienta de Control
interno se determino que no se evalúan los riesgos identificados para determinar la
importancia y valorar la probabilidad e impacto de ocurrencia de los mismos, pudiendo
afectar el cumplimiento de la misión y el logro de los objetivos institucionales de la
Organización.
 Inexistencia de normas, políticas y lineamientos para mantener un adecuado manejo de
los procedimientos, actividades y funciones que se realizan en la Unidad de Auditoría
Interna, permitiendo la toma de decisiones erróneas que a largo plazo no contribuye al
logro de los objetivos propuestos.
Bases Teóricas

Inexistencia de normas, políticas y lineamientos para mantener un adecuado manejo de

los procedimientos, actividades y funciones que se realizan en la corporación digicable, C.A.,
permitiendo la toma de decisiones erróneas que a largo plazo no contribuye al logro de los
objetivos propuestos.
Seguridad de la Información.
Para Alexander (2007), el 80% de los valores intelectuales de las organizaciones se
encuentran en medios electrónicos, por lo que se requieren esfuerzos que permitan minimizar los
riesgos de fuga y alteración de información, o simplemente que no esté disponible cuando se
necesite. Todos estos escenarios de amenazas en cualquier momento pueden ponerse de
manifiesto, haciendo colapsar a cualquier organización, por tal motivo se hace imprescindible la
formulación de estrategia de continuidad que permita neutralizar o al menos minimizar tales
amenazas.
Sistemas de información.
Según Laudon (2008), define sistemas de información como un conjunto
interrelacionados de elementos que recaban, procesan, almacenan y distribuyen información, con
la finalidad de apoyar el proceso de toma de decisiones y de proveer de control a las
organizaciones. Pero también los sistemas de información sirven de soporte para que gerentes y
trabajadores analicen problemas, visualicen asuntos complejos y creen nuevos productos,
entendiéndose por información los datos, la secuencia de hechos en bruto que representan
eventos que ocurren en las organizaciones, que se han resumido y moldeado de forma
significativa y útil para los seres humanos.(p.15)
Según la definición anterior, los sistemas de información son todas aquellas aplicaciones
que permiten desde el punto de vista operativo y gerencial, resolver problemas y tomar
decisiones asertivas, sin embargo, la información requiere de un proceso, para lo cual se sirve de
múltiples tecnologías, desde el transporte de datos, hasta sistemas de bases de datos que permiten
centralizar y procesar los datos recabados para obtener como como producto final la
información.
Definición de seguridad de información.
Según la norma ISO 27002 (2005), la seguridad de la información es la protección de la
información contra todo tipo de amenazas, y tiene la finalidad de asegurar la continuidad del
negocio, con el objeto de maximizar el retorno de la inversión y las oportunidades de negocio.
Todas las obras humanas son falibles, por lo que es frecuente conseguir puntos de falla en toda la
tecnología relacionada con la información, sin embargo, aunque es inevitable la ocurrencia de
fallas, ello no implica que se asuman conductas de resignación, de esa actitud surge el concepto
de seguridad de la información, como la vía para hacer frente, para prever y evitar errores o
ataques (p.17).
Aunque la seguridad absoluta no es factible, se hace necesario lograr la mayor posible
con los medios tecnológicos disponibles, pero dicha solución no debe ser parcial, sino al
contrario, soluciones totalmente integrales que sean capaces de afrontar los retos que en materia
de seguridad surgen con el devenir de los tiempos y con el desarrollo de nuevas tecnologías.
La seguridad según Kendall (2005), abarca tres aspectos fundamentales, tales como:
 Seguridad física: La seguridad física consiste en proteger el sitio donde se encuentra el
computador, equipo electrónico y software instalado, este tipo de seguridad incluye
acceso controlado a las salas de cómputo. Pero además del acceso a los equipos
instalados, se debe garantizar las condiciones medioambientales para su correcto
funcionamiento, ello incluye control de temperatura, humedad y flujo eléctrico, de
manera que se proporcione un suministro ininterrumpido de energía eléctrica. Además se
deben extremar las medidas para evitar catástrofes producto de incendios, inundaciones,
terremotos, entre otros. (p.45)
 Seguridad lógica: Se refiere a los controles lógicos de software y de transporte de datos
por las redes de computadoras. Están compuestos de contraseñas, códigos de
autorización, sistemas de reconocimiento biométrico y otros procedimientos que permitan
identificar y autenticar al usuario que intenta acceder a los sistemas. También incluye
software de encriptación para proteger el contenido de los datos almacenados o
transportados por las redes de computadoras. (p.45)
 Seguridad conductual: Los controles físicos y lógicos son importantes, pero no
suficientes para proporcionar la seguridad adecuada, se requieren cambios conductuales.
Es por ello que se debe hacer énfasis en el adiestramiento y la concientización del recurso
humano de la organización sobre el tema de la seguridad. Se hace necesario entonces,
supervisar regularmente el comportamiento de los usuarios, para corregir
preventivamente cualquier desviación que contribuya a los fallos en la seguridad. (p.45)
Necesidad de la seguridad de la información.
Los sistemas de información ofrecen ciertas ventajas en el cometimiento de actos delictivos y
vandálicos, debido al carácter impersonal que puede asumir el atacante, es decir, no requiere de
la presencia o contacto físico con la persona o institución señalada como el objetivo del atacante,
basta con sortear algunos impedimentos de carácter técnico para tener acceso a la información,
por ello es que las redes de datos constituyen la principal vía de estos ataques. Las
organizaciones y sus sistemas de redes de datos enfrentan múltiples amenazas de seguridad,
procedentes de una extensa variedad de fuentes, esta puede incluir: fraudes asistidos por
computador, espionaje, saboteo, vandalismo, incendios, inundaciones. Las causas de daño tales
como códigos maliciosos y ataques de piratería por computador y denegación de servicio son los
más comunes, volviéndose cada vez más sofisticados.
Según la norma ISO 27002 (2005), la seguridad de la información es importante tanto para
los negocios privados como públicos, así como para proteger la infraestructura crítica, en ambos
sectores, la seguridad de la información actúa como un elemento facilitador para lograr, por
ejemplo, el gobierno en línea, los negocios electrónicos, evitando o reduciendo los riesgos
inherentes, es decir, la seguridad de la información está orientada a garantizar la continuidad del
negocio, por lo que debe ser considerada como materia de carácter estratégico dentro de toda
organización.
Vulnerabilidad, amenazas y ataques.
Según Aceituno (2007), el riesgo es una medida cuantitativa de la importancia de un
incidente que es mayor cuanto mayor es su impacto y probabilidad de ocurrencia. Así mismo
integra al concepto los temas de vulnerabilidad, debilidad y oportunidad, entendiéndose por
vulnerabilidad como la probabilidad de sufrir un determinado ataque en un plazo de tiempo
dado, sin embargo, debido a que se basa en hechos probabilísticos y no determinísticos, se hace
difícil predecir con certeza la ocurrencia de tal evento, más aún cuando la tecnología en su
continuo avance abre nuevas brechas en materia de seguridad. (p.38)
Continúa Aceituno (2007, p.39) planteando la definición de amenazas, señalando que son
cualquier circunstancia que potencialmente pueda afectar a los procesos y las expectativas de la
organización, sugiriendo que para proteger estas expectativas, se debe identificar, evaluar y
prever cuáles amenazas pueden afectar negativamente a la organización, para lo cual se deben
medir, desde el punto de vista cualitativo y cuantitativo, en función de establecer la posibilidad y
probabilidad de la ocurrencia de dichas amenazas.
Aceituno (2007, p.40) clasifica en tres grandes grupos a las amenazas:
 Amenazas terciarias: También denominadas directas, son las que afectan directamente el
cumplimiento de las expectativas de la organización, coloca como ejemplo catástrofes
como incendios, inundaciones. Dentro de las amenazas terciarias establece una división
entre accidentes, ataques y errores, donde los accidentes son de tipo natural, como
terremotos, fallos electrónicos ocasionados por el uso, entre otros. Los ataques son
ocasionados por un actor con determinada motivación, medios y la capacidad para
 ejecutarlos. Los errores pueden ser naturales, pero también son susceptibles de ser
manipulados, convirtiéndose en ataques.
 Amenazas secundarias: Son las que aminoran el grado de éxito de las medidas propuestas
para mitigar las amenazas primarias, como por ejemplo fallas en el cortafuego o firewall.
 Amenazas primarias: Son aquellas que evitan que se establezcan o se mantengan las
medidas que mitigan las amenazas terciarias o secundarias, ejemplo de ello sería una
organización de seguridad ineficaz.
Los ataques son incidentes provocados por actores internos o externos, entre los ataques más
comunes tenemos:
 El espionaje: Acceso ilegítimo a la información desde el punto de vista físico o lógico,
utilizando para ello las escuchas de mensajes por canales no protegidos; la lectura o copia
de información mediante el acceso a dispositivos de almacenamiento masivo; la lectura
de mensajes o información cifrada; la suplantación, intermediario y reproducción, cuando
alguien simula ser otra persona o ambas partes de la comunicación, en caso de la
reproducción tiene la finalidad de evitar la autentificación de la fuente en tiempo real; el
análisis de tráfico para determinar la ruta de los mensajes transmitidos.
 El sabotaje: Es un ataque destructivo con la finalidad de producir el máximo daño
posible; interrupción y borrado, la modificación y generación malintencionada de datos o
información; la denegación de servicio o negación de recursos impidiendo a los sistemas
de información cumplir con sus funciones; el terrorismo, el cual persigue la destrucción
no sólo de equipos e instalaciones, sino de vidas humanas.
 Compromiso de medios de autentificación: Cada medio de autentificación (contraseña,
medidas biométricas, llaves o tarjetas de identificación) tiene sus puntos débiles, que
pueden ser aprovechado para vulnerar la seguridad y realizar un ataque.
 Compromiso de claves: Implica además de la suplantación de identidad, la imposibilidad
de demostrar que la persona debidamente autorizada no fue quien realizó en ataque,
comprometiendo la integridad y la confiabilidad de dicha persona.
 Infracción de derechos de autor: Consiste en el uso de una copia, como por ejemplo el
software, sin pagar los derechos correspondientes. En el peor de los casos se trata de
plagio, cuando otra persona se adjudica la autoría de una obra que no le pertenece.
  Repudio: Es lo contrario del ítem anterior, es decir, es la negación de la autoría propia,
ocurre cuando una persona niega la autoría de un hecho o acción.
 Código malicioso: Está compuesto por piezas de código que tienen por finalidad
ocasionar daños a equipos y sistemas de información, existe una gran variedad tales
como: virus, gusanos, exploit, troyanos entre otros.
 Ingeniería social: Explota una característica de la naturaleza humana como lo es confiar y
seguir instrucciones de las demás personas, lo cual es utilizada por los atacantes para
usurpar contraseñas o información valiosa que le sirva para planificar y ejecutar nuevos
ataques.
 Hurtos y robos: Hurto es la sustracción de un activo sin violencia, mientras el robo
implica el uso de la violencia.
 Acceso físico no autorizado: Consiste en el acceso a una zona reservada, por lo general
mediante usurpación de identidad, o debido a barreras de acceso físico.
 Pérdida de sincronía: Está relacionado con la pérdida de sincronía en lo relativo a la fecha
y hora de los sistemas, que pueden afectar el normal funcionamiento de los sistemas.
 Fraudes: Es el aprovechamiento de los recursos de la organización de forma no legítima,
como por ejemplo la adquisición de materiales con sobreprecios.
Los accidentes, continúa Aceituno (2007, p.45), se deben a causas naturales o al desgaste por
el uso de los elementos físicos, se dividen en:
 Catástrofes: Son incidentes no provocados, como terremotos, inundaciones, tornados,
rayos, huracanes, entre otros. La protección contra las catástrofes consiste en la
redundancia de información, detectores de incendios y sistemas de alarmas.
 Fallos de comunicación y almacenamiento: Son ocasionados por ruido, generado
principalmente por conductores eléctricos, se mitiga con protocolos de verificación y
corrección de errores.
 Fallos en el hardware o en el software: Ambos elementos son susceptibles de fallos, sean
aleatorios o por fabricación, se mitigan mediante el control de calidad y el mantenimiento
continuo dispensado a tales equipos.
Finalmente Aceituno (2007, p.46) describe los errores, los cuales pueden suceder sin
intención alguna, en otras ocasiones sólo sirven para enmascarar un ataque, incluye estos
aspectos:
  Permanencia incontrolada de la información o servicios: Es lo contrario a la pérdida de
información, es un error frecuente de diseño en los sistemas de información que evita
deshacerse de la información que ya no es valiosa.
 Hoax, cartas encadenadas y spam: Los hoax son cartas encadenadas con información
falsa y obsoleta que, recurriendo a la superstición, invitan al destinatario en convertirse
en agente multiplicador de dicho mensaje incrementando el tráfico en la red.
 Interfaces pobres: Las interfaces pobres hacen que los usuarios realicen acciones como
borrar información, confirmar acciones u otros fallos, con consecuencias potencialmente
graves. Se puede pensar en adjudicarle el error al usuario, pero el responsable directo es
el diseñador de la aplicación.
 Error humano: Es ocasionado generalmente por falta de diligencia o incompetencia.
 Cesión de medios de autentificación: Consiste de préstamos entre usuarios de contraseñas
o medios de identificación, de esta forma alguien no autorizado obtiene acceso a los
sistemas.
 Derechos excesivos: Es la asignación de derechos excesivos originados por errores
cometidos por los administradores de los sistemas.
 Incumplimiento de normativas: Como su nombre lo indica, es el fallo en el cumplimiento
de leyes, normas y regulaciones establecidas.
 Baja de personal: Consiste en no revocar los permisos concedidos a un trabajador, luego
de que este deja de prestar sus servicios en la organización.
 Falta de suministros o de distribución: Es la falta de materias primas para el normal
desenvolvimiento de las actividades y procesos de la organización.
 Violación de la seguridad: Las organizaciones almacenan información de sus clientes y
proveedores, la cual sería inconveniente si se publicara libremente.
Todos los aspectos anteriormente señalados, sirven de preámbulo a la presente investigación,
muchos de ellos serán abordados en profundidad, sobre todo aquellos que atañen a la evolución
de riesgos de los sistemas.
Clasificación de los ataques de red.
Existen diversas formas de ejecutar ataques a las redes de datos, a continuación se
exponen brevemente algunos de los ataques de red más conocidos.
 Ataques internos, externos, pasivos y activos.
Otra clasificación más profunda de los ataques pero focalizada al área de riesgos de los
sistemas, es la dada por Mishra (2008, p.20), en dos grupos: activos y pasivos. Esto debido a que
el atacante en primer lugar se centra en alterar los mecanismos básicos de los sistemas, en
segundo lugar, el atacante intenta causar daño en los mecanismos de seguridad empleados, tales
como claves, cifrado, entre otros.
Un ataque pasivo implica escuchar los datos que transitan por los sistemas, los ataques
activos son acciones específicas realizadas por el atacante, como por ejemplo la modificación o
la supresión de los sistemas. En los ataques activos, el atacante, intentan cambiar el
comportamiento de los mecanismos operativos, mientras en los pasivos, intenta pasar
desapercibido. Cabe destacar que la información recabada en los ataques pasivos, puede servir de
base para la realización de ataques activos.
Los ataques, continúa Mishra (2008, p.23), pueden ser externos o internos. Los ataques
externos, son ataques activos que tienen por objetivo causar congestión en los sistemas, propagar
información de enrutamiento incorrecta, impedir que los servicios funcionen correctamente o en
casos extremos, paralizar por completo los servicios de los sistemas. Los ataques internos
usualmente son más graves, ya que los nodos desde donde se realiza el ataque pertenecen a la red
interna de la organización.
Denegación de servicio.
La denegación de servicio o ataque DoS (de las siglas en inglés Denial of Service), es
producido según Mishra (2008, p.28), por una falla no intencional en el sistema o por una acción
maliciosa. Una de las formas clásicas de crear un ataque DoS es sobrecargar en los sistemas de
datos de modo que ya no funcionen correctamente y se bloqueen.
Suplantación de identidad.
La suplantación de identidad, según Mishra (2008 p.32), se origina cuando un nodo no
autorizado es capaz de unirse a la red, enviando información falsa de enrutamiento y pasando de
un nodo de confianza a otro.
Ataques Sybil.
Este tipo de ataques recibe el nombre de Sybil, originado de la película del mismo
nombre, donde Sally Field interpreta a una joven con trastornos disociativos de identidad o
personalidades múltiples. Según Mishra (2008, p.35), los ataques de suplantación representan un
grave riesgo de seguridad, donde un nodo malicioso actúa como si se tratara de un gran número
de nodos, en lugar de uno, o simplemente se hace pasar por otros nodos. Las identidades
adicionales que adquiere el atacante, se denominan nodos Sybil.
Los ataques descritos anteriormente son una muestra de la diversas formas que existen de
crear el caos en un sistema, pero dicha clasificación de ataques no es estática, continuamente se
producen nuevas formas, nuevas herramientas y técnicas que facilitan dichos ataques.
Principios de Seguridad.
Algunos de los autores consultados como Palacios (2008), Chirilo (2005) y otros, centran
los principios de la seguridad en tres aspectos como lo son la confidencialidad, la disponibilidad
y la integridad, conformando el llamado triángulo de la seguridad de la información (ver Figura
1). Sin embargo existen otros elementos que vienen a enriquecer esta perspectiva, a continuación
se expondrán dichos elementos como principios de seguridad, también llamado en ocasiones
elementos de la seguridad.

Figura 1. Triángulo de la Seguridad de la Información

Figura 1. Principios de la Seguridad Informática, conformado por la disponibilidad, la confidencialidad

e integridad, elaborado por el autor.

Confidencialidad.
Según Chirilo (2005, p.56), en el contexto de seguridad de la información, la
confidencialidad significa que la información confidencial sólo debe estar disponible para las
personas debidamente autorizadas para acceder a ella. Para Daswani (2007, p.49), el objetivo de
confidencialidad es mantener el contenido de una comunicación transitoria o de datos en los
medios de almacenamiento en secreto, inclusive en caso que el atacante tenga acceso a dicha
información, éste no debe ser capaz de entenderla. Al respecto Vyncke (2008, p.33) dice que la
confidencialidad es el principio más evidente y consiste en la capacidad de garantizar el secreto,
sólo los destinatarios deben ser capaces de ver la información. Finalmente Harris (2003, p.14)
asocia confidencialidad a garantizar el secreto.
Integridad.
La integridad es la fiabilidad, la legitimidad y exactitud de la información según lo
expresa Chirilo (2005, p.57), continúa señalando, de lo que se trata es de prevenir que la
información haya sido modificada sin autorización durante su tránsito, o peor aún, durante su
previo almacenamiento. Vyncke (2008, p.55), también establece que la integridad se trata de
evitar la alteración de los datos sin que sea detectado, es decir, no se puede modificar la
información excepto con las credenciales apropiadas, en este caso se refiere a la legitimidad de
modificar la información, por lo que debe haber un registro o log que permita auditar tales
cambios. Este último concepto nos introduce la idea de auditabilidad, el cual será descrito a su
debido momento.
Disponibilidad.
Con respecto a la disponibilidad, Vyncke (2008, p.62) dice que uno de los aspectos más
importantes de la seguridad, es la disponibilidad de datos y servicios, tener datos secretos y
legítimos es totalmente inútil si no están disponibles para el uso de las personas a quienes está
destinado. De allí la importancia de contar con sistemas redundantes, de alta disponibilidad.
Señala que los ataques contra la disponibilidad se denominan interrupciones, pero en el caso
específico de las redes de datos, el ataque de disponibilidad a las redes se denomina denegación
de servicio, aspecto anteriormente descrito en esta investigación. Para Daswani (2007), el
concepto de disponibilidad incluye otros factores como el tiempo razonable de respuesta a un
usuario que ha realizado una petición, es decir, además de un objetivo de seguridad, lo considera
un objetivo de rendimiento.
Identificación.
Además de los tres aspectos anteriormente señalados, denominados como triangulo de la
seguridad, Chirilo (2005, p.41), añade la identificación, como el primer paso del proceso de
identidad – autentificación, el cual se da cada día en innumerables ocasiones entre seres humanos
y sistemas de información. La singularidad de la identificación se refiere a que todo usuario debe
poseer un identificador o login inequívoco, es decir, que no permita confundirlo con ningún otro.
 Autentificación.
La autentificación, señala Chirilo (2005, p.46), es el proceso mediante el cual se verifica
la autenticidad de la identidad declarada en la fase de identificación. Ocurre justo después de la
identificación y antes de la autorización, es decir, es la fase donde el usuario demuestra ser la
persona que es o el sistema dice ser. Los tres métodos de autentificación son: Saber
(contraseñas), lo que tienes (llave, tarjeta de identificación) o lo que eres (identificación
biométrica).
Autorización.
Una vez declarada la identidad, continúa Chirilo (2005, p.48), a los usuarios se les asigna
un conjunto de derechos, privilegios o permisos que determinan que pueden y no pueden hacer
en el sistema. Estos permisos por lo general son asignados por el administrador del sistema y
están basados en políticas previamente establecidas. Como se puede observar la autentificación y
autorización dependen de la identificación, siendo el objetivo final de todo proceso hacer cumplir
con el control de acceso establecido para poder rendir cuentas, el cual es el proceso que se
describe a continuación.
Auditabilidad.
La rendición de cuentas para Chirilo (2005, p.50), es otro principio importante de la
seguridad de la información, se refiere a la posibilidad de rastrear las acciones y eventos que en
determinada fecha y hora realizaron los usuarios, sistemas o procesos, con la finalidad de
establecer la responsabilidad por las acciones u omisiones. Estos registros se denominan logs, a
los cuales evidentemente se hace necesario garantizarles su integridad, para evitar sean
modificados para ocultar las trazas de las posibles violaciones realizadas a los sistemas, además
de estar correctamente sincronizados con el tiempo real para determinar la fecha y hora de la
ocurrencia de tales eventos.
Privacidad.
Para este autor, Chirilo (2005, p.57), la privacidad está orientada a respetar los derechos
individuales de las personas, en especial lo relativo a la información personal, tal como nombre,
dirección, sueldo, cuentas bancarias, entre otras. Por esta razón las organizaciones deben tomar
las precauciones y las medidas necesarias para proteger la confidencialidad de la información
personal recopilada en sus bases de datos, así como el tratamiento que se le va a dar a la misma.
Redes.
 Las redes de datos son una de las tecnologías de comunicaciones vitales para la ejecución
de una gran parte de los procesos de cualquier organización, permiten a sus miembros colaborar
entre sí, además de hacer uso compartido de los recursos informáticos disponibles, bien sea por
el uso de aplicaciones, compartir archivos en línea, servicio de impresión, entre otros.
Definición.
La red se puede definir, según Jimeno (2008, p.38), como un conjunto de computadores
interconectados entre sí, que permiten a sus usuarios compartir información, recursos, tales como
archivos, impresoras, servicios, entre otros. Las tecnologías de red son muy diversas, entre las
más utilizadas se encuentran la Ethernet, Token Ring, SNA, DECNET, entre otras.
Las redes de computadoras son también conocidas como redes de comunicación de datos
o de transmisión de datos, según Olifer (2009, p.64), representan el resultado lógico de la
evolución de dos ramas de la ciencia y de la tecnología más importante de la civilización
moderna, como lo son las computadoras y las telecomunicaciones. En las redes de datos, un
grupo de computadores trabajan de manera coordinada, distribuyéndose entre sí la carga de
trabajo realizando una serie de tareas interrelacionadas, mediante el intercambio de datos de
forma automática. Las redes de computadoras también pueden considerarse como un medio de
transmitir información a larga distancia.
Tipo de redes.
Según Forouzan (2002, p.22), existen tres tipos importantes de redes: las redes de área
local, las redes de área metropolitana y las redes de área amplia. A qué clase pertenece una red
viene determinado por su magnitud, su propietario, la distancia que cubre y su arquitectura.
Redes LAN.
En su libro, Forouzan (2002, p.22) nos señala que las redes de área local o LAN (Local
Area Network), generalmente son de propiedad privada, conectan enlaces de una oficina, edificio
o una casa. Son tan pequeñas como dos computadoras y una impresora conectadas, la cual se
puede extender por toda una empresa. No se limitan sólo a la transmisión de datos, también
pueden incluir sonido, voz y video. Actualmente las LAN están limitadas a unos pocos
kilómetros.
 Redes MAN.
Para Forouzan (2002, p.23), las redes de área metropolitana o MAN (Metropolitan Area
Network), han sido diseñadas para extenderse a lo largo de una ciudad entera. Pueden ser redes
únicas o como medio de conectar varias redes LAN a una red mayor, para de esta manera
compartir recursos de redes LAN a LAN, ejemplo de ello tenemos a una organización que desee
compartir sus recursos a través de todas sus oficinas o sucursales distribuidas en una amplia área
geográfica.
Redes WAN.
Paradójicamente, según Olifer (2009, p.34), las redes de área amplia o WAN (Wide Area
Network), pese a su complejidad, fueron las primeras en ser desarrolladas, conectaban
computadoras distribuidas en una amplia área geográfica, ubicadas en diferentes ciudades y
países. Forouzan (2002, p.65), nos señala que las redes WAN no sólo transmiten datos, también
pueden transportar voz, imágenes, videos, entre otros. En contraste con las redes LAN, que
depende de su propio hardware para transmisión, las redes WAN pueden utilizar diversos
dispositivos de comunicación públicos, alquilados o privados, habitualmente en combinaciones.
También puede existir una variedad de WAN, la cual puede ser propiedad de una organización o
empresa específica, a ésta se le denomina como red de empresa.
Metro Ethernet.
Según Johnson (2009, p.43), la tecnología Metro Ethernet, es una conexión de
telecomunicaciones hacia Internet, típicamente utilizada para interconectar Web corporativa. Es
una red que proporciona servicios de convergencia de voz, datos, servicios de video a
velocidades Ethernet.
Cioara (2008, p.55) señala que las tecnología Metro Ethernet es de reciente aparición, surgió
a principios del nuevo milenio como una alternativa viable a las conexiones WAN, como
consecuencia del desplome económico de las compañías punto com, las cuales durante su breve
existencia, dejaron tras de sí, numerosas redes de fibra óptica de alta velocidad no administrado
bajo las calles de las ciudades, estas redes fueron adquiridas rápidamente por el servicio local de
proveedores y fueron ofrecidas a los clientes locales.
 Redes inalámbrica.
Para Tanenbaum (1997, p.84), las redes inalámbricas surgen ante la necesidad de conectar
dispositivos como laptop, asistentes personales o PDA (Personal Digital Assistants) a redes LAN
o WAN, puesto que la conexión por cables se dificulta para este tipo de dispositivos.
Frame relay.
Este tipo de red, según Tanenbaum (2003, p.34), está orientada a conexión, es decir, los
paquetes se entregan en orden, esto significa que no se requiere control de errores ni de flujo, por
lo que Frame Relay es lo más parecido a una LAN de área amplia. Por lo general, la conexión
tipo Frame Relay se da mediante la conexión de una línea telefónica dedicada, donde existe uno
o varios circuitos que interconectan diversos equipos informáticos y de comunicaciones, situados
a gran distancia uno de otros, por lo general a cientos de kilómetros.
Dispositivos activos de red.
Según Forouzan (2002, p.34), los dispositivos que interconectan las redes son: repetidores,
puentes, encaminadores o ruteadores y pasarelas.
Repetidor o concentrador.
Un repetidor o regenerador es un dispositivo, debido a que las señales que viajan por la red
recorren grandes distancias a través del medio de transporte, y sabiendo que las señales viajan en
forma de energía eléctrica o lumínica, la señal tiende a atenuarse o disminuir de intensidad, por
tal motivo el repetidor se hace necesario para evitar dichas pérdidas. Los repetidores son
colocados a cierta distancia uno del otro, permitiendo así extender la longitud física de la red más
allá de sus limitaciones por atenuación de señal. El repetidor regenera la señal, mas no la
amplifica
Puentes.
Tienen por misión dividir una red grande en segmentos más pequeños. También pueden
retransmitir tramas entre dos LAN originalmente separadas, al contrario de los repetidores, los
puentes poseen la lógica necesaria para separar el tráfico de cada segmento, de esta forma filtran
el tráfico, siendo útiles para controlar la congestión y aislar enlaces con problemas, así mismo
proporcionan seguridad mediante la división del tráfico.
Encaminadores o routers.
Los repetidores y puentes son sencillos dispositivos de hardware, Forouzan (2002, p.36)
señala, que los encaminadores son más sofisticados que los dispositivos anteriormente descritos,
tienen acceso a las direcciones del nivel de red y contienen software que facilitan determinar cuál
de los diversos caminos existentes es el mejor para una transmisión determinada.
Pasarelas.
Una pasarela es un convertidor de protocolos, un encaminador transfiere, acepta o
retransmite paquetes sólo entre redes que utilizan protocolos similares, en contraposición, una
pasarela puede aceptar un paquete formateado para un protocolo y convertirlo a un formato
distinto antes de encaminarlo.
Una pasarela está constituido generalmente por software instalado dentro de un encaminador,
la pasarela está compuesta por los protocolos utilizados por cada red enlazada al encaminador,
por tal motivo es capaz de traducir los mismo.
Software malicioso.
Al respecto Jimeno (2008, p.66), señala que son programas que se ejecutan en un
computador con la finalidad de alterar su correcto funcionamiento. Un virus tiene por objeto
expandirse por la red o redes a la cual el computador infectado esté conectado, protegiéndose y
ocultándose para no ser destruido. El modo de actuar del virus depende de su naturaleza, por lo
que no todos tienen la misma misión. La concepción o el diseño de un virus toma en cuenta tres
fases fundamentales, que determinan su forma de actuar, estas son:
 Fase de reproducción: Esta fase es fundamental, pues garantiza la supervivencia del virus,
ya sea en el equipo infectado o propagándose por la red.
 Fase de ataque: También conocido como PayLoad, y dependerá de las intenciones del
virus, si el virus busca causar daño directo y no congestión (de las redes o del espacio de
los medios de almacenamiento masivos), esta fase será vital para su correcto
funcionamiento y su misión destructiva.
 Fase de defensa: Esta fase permite la detección de programas antivirus, alargando la vida
del virus en el sistema infectado, burlando los mecanismos de prevención y detección.
Según Aycock (2006, p.32), existen cuatro amenazas claves a considerar: el spam, los bugs o
errores en el software, la denegación de servicio y los programas maliciosos. Como se puede
observar tres de estas cuatro amenazas son patentes en las redes de datos. El termino spam es
utilizado para describir la abundancia de basura no solicitada en los correos electrónicos, según
este autor, más del 70% del tráfico de correo electrónico está clasificado en esta categoría.
 No existe una clasificación o taxonomía científicamente elaborada para clasificar los virus,
tampoco una definición universalmente aceptada de términos como “virus” o “gusano”, sino más
bien se describen las características comunes de estas amenazas. El malware puede ser dividido
en tipos, de acuerdo al método en que operan, esta clasificación según Aycock (2006, p.76), es la
siguiente:
 Auto replicación: El virus intenta propagarse mediante la creación de nuevas copias o
instancias; aunque el malware puede propagarse en forma pasiva, como por ejemplo al
ser copiado accidentalmente por un usuario, esto no se trata de auto replicación.
 Crecimiento de la población: Es el índice de crecimiento por auto replicación del
malware, si no se auto replica entonces tiene crecimiento nulo.
 Malware parasitario: Requiere de un código ejecutable para poder existir, ya sea el sector
de arranque del disco duro, un código binario, una aplicación, entre otras.
Cortafuegos o firewall.
Para Stallings (2004, p.36), los cortafuegos son un medio de protección eficaz para los
sistemas basados en redes de datos, mientras simultáneamente proporcionan acceso al exterior de
dichas redes. Los cortafuegos, firewall o pasarelas, son definidos por Sackett (2002, p.51), como
herramientas que proporcionan seguridad a las redes contra los atacantes.
Las principales características de un firewall según Bellovin (1994 c.p. Stallings, 2004), son:
 Todo trafico entrante y saliente debe pasar a través del cortafuegos, esto se consigue
bloqueando todos los accesos restantes a la red local, excepto al cortafuegos.
 Sólo se permitirá el tráfico autorizado, previamente definido por la política de seguridad.
 El propio cortafuego debe ser inmune a la penetración.
Gestión de red.
Para Stallings (2004, p.43), un sistema de gestión de red es un conjunto de herramientas
utilizadas para la supervisión y control de la red y está integrado por:
 Una sola interfaz de operador con un grupo de comandos para realizar la mayor parte, o
todas las tareas de gestión de red.
 El hardware y software necesario para su funcionamiento debe estar dispuesto en una
estación de trabajo, que permita su administración.
 Proxy.
Según Stallings (2004, p.44), el servicio proxy permite la administración de la red, es parte
de un conjunto de herramientas para su supervisión y control. Los sistemas de gestión de red se
componen de hardware y software que mediante comandos sencillos permiten la administración
de la red, como por ejemplo bloquear páginas de Internet con contenido violento o de adultos
(pornografía).
Normas internacionales de seguridad.
Los estándares y mejores prácticas internacionales que sirven de base a la presente
investigación son ISO/IEC 27002.
Normas ISO, Serie 27000.
Desde 1901 la BSI (British Standards Institution) como primer ente normalizador a nivel
mundial, es la responsable de publicar normas, según ISO2700.es (2011, p.17). La norma BS
7799 aparece por primera vez en 1995 con la finalidad de proporcionar un conjunto de buenas
prácticas para la gestión de la seguridad de la información de las empresas. La primera parte de
la norma (BS 7799- 1) fue desarrollada como una guía de buenas prácticas, para la cual no había
certificación, pero es en la segunda parte (BS 7799-2) publicada en 1998 la que establece los
requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una
entidad independiente.
Posteriormente ambas partes de la norma BS 7799 se revisaron en 1999, la primera parte se
adoptó como ISO (International Organization for Standardization), bajo en número ISO 17799
en el año 2000.
En el año 2002 se revisó el BS 7799-2 con la finalidad de adecuarla a la filosofía de normas
ISO de sistemas de gestión. En 2005 con más de 1700 empresas certificadas en BS 7799-2, se
publicó el estándar ISO 27001 al mismo tiempo que se revisó y actualizó el estándar ISO 17799,
está última tomó el nombre de ISO 27002:2005. Sin embargo, ISO continúa desarrollando dicha
norma, para así dar soporte a las organizaciones en la interpretación y aplicación de la ISO/IEC
27001, la cual es la norma principal y única certificable dentro de la serie.
Fundamentalmente, continúa ISO2700.es (2011, p.19), ISO/IEC 27000 es un conjunto de
estándares desarrollados por ISO e IEC (International Electrotechnical Commission) que
establecen un marco de trabajo para la seguridad de la información y que puede ser adaptada por
cualquier organización sin importar su naturaleza o su magnitud.
 Bases Legales
Entre las bases éticas y legales que sirvieron de marco a la presente investigación tenemos:
La Constitución Nacional de la República Bolivariana de Venezuela, República Bolivariana
de Venezuela (1999), de los Derechos Humanos y Garantías y de los Deberes, Capítulo VI, de
los derechos culturales y educativos. Artículo 110:
Establece que el Estado reconocerá el interés público de la ciencia, de la tecnología, el
conocimiento, la innovación y sus aplicaciones y de los servicios de información, así como
también garantizará el cumplimiento de los principios éticos y legales que se deberán regir las
actividades en cuanto a la investigación científica, humanística y tecnológica, por ser estos,
instrumentos fundamentales para el desarrollo económico, social y político de la nación, así
como también para la seguridad y soberanía nacional. En tal sentido, el Estado destinará los
recursos suficientes y creará el sistema nacional de ciencia y tecnología. Para el sector privado le
corresponderá aportar los recursos para las mismas.
Decreto N°. 3.390. República Bolivariana de Venezuela (2004):
Mediante este decreto se dispone que la administración pública nacional emplee
prioritariamente software libre desarrollado con estándares abiertos, en sus sistemas, proyectos y
servicios informáticos. Este está compuesto por 14 artículos, en los cuales se detalla cuáles son
los lineamientos del estado venezolano en cuanto a la búsqueda de la soberanía tecnológica y
sobre todo al apoyo que proporcionará a los distintos organismos responsables para la
prosecución de estos lineamientos. De igual forma deja claro la responsabilidad del ejecutivo
nacional, de promover y desarrollar mecanismos orientados a capacitar e instruir a los usuarios
en el uso del software libre. Finalmente deja claro que todos los organismos del Estado, deben
llevar a cabo el diseño de sus planes de implantación progresiva del software libre, en un plazo
no mayor de 24 meses, dependiendo de las características de los sistemas informáticos.
Ley Especial Contra Los Delitos Informáticos. República Bolivariana de Venezuela (2001).
Esta Ley tiene por objeto, la protección integral de los sistemas que utilicen tecnologías de
información, así como la prevención y sanción de los delitos cometidos contra tales sistemas o
cualesquiera de sus componentes, o de los cometidos mediante el uso de dichas tecnologías.
Dispone de 33 artículos que van desde varios conceptos básicos tecnológicos y de informática,
así como sanciones, responsabilidad de las personas jurídicas, contra los sistemas que utilizan
tecnologías de información, acceso indebido, sabotaje o daños a sistemas, espionaje informático,
hurto, fraude, entre otros.
Términos básicos
Tecnología Gpon: La Red Óptica Pasiva con Capacidad de Gigabit (GPON o Gigabit-capable
Passive Optical Network en inglés) es una tecnología de acceso de telecomunicaciones que
utiliza fibra óptica para llegar hasta el suscriptor. Sus estándares técnicos fueron aprobados en
2003-2004 por ITU-T en las recomendaciones G.984.1, G.984.2, G.984.3, G.984.4 y G.984.5.
Fibra óptica: La fibra óptica es una fibra flexible, transparente, hecha
al embutir o extrudir vidrio (sílice) en un diámetro ligeramente más grueso que el de un cabello
humano promedio. Son utilizadas comúnmente como un medio para transmitir luz entre dos
puntas de una fibra y tienen un amplio uso en las comunicaciones por fibra óptica, donde
permiten la transmisión en distancias y en un ancho de banda (velocidad de datos) más grandes
que los cables eléctricos.
OLT: Este equipo agrega el tráfico proveniente de los clientes y lo encamina hacia la red de
agregación. Realiza funciones de router para poder ofrecer todos los servicios demandados por
los usuarios.
Mikrotik: El sistema conocido como Mikrotik Router OS, permite a los usuarios convertir una
máquina basada en PC seleccionada en un enrutador de software, permitiendo características
como reglas de firewall, servidor y cliente VPN, ancho de banda, punto de acceso inalámbrico y
otras características utilizadas para el enrutamiento y conexión de redes.
Wisphub: sistema de administración para Wisp e Isp basado en la nube, que no requiere
comprar hardware adicional. Nos integramos a su red de forma transparente por medio de la API
de Mikrotik. Puede administrar altas y bajas de clientes.
IP: protocolo de Internet, que es el conjunto de reglas que rigen el formato de los datos enviados
a través de Internet o la red local. En esencia, las direcciones IP son el identificador que permite
el envío de información entre dispositivos en una red.
 Sistema de Variables
Variable independiente
 Auditoria

Variable dependiente
 Seguridad informática para la evaluación de riesgos
Operacionalización de las Variables
Luego de la revisión bibliográfica, documental y referencial llevada a cabo en materia de
metodología de la investigación, de acuerdo a Fidias G. Arias (2012) define la
operacionalización de la variable como:
…el proceso mediante el cual se transforma la variable de conceptos abstractos a términos
concretos, observables y medibles, es decir, dimensiones e indicadores. Por ejemplo, la variable
actitud no es directamente observable, de allí que sea necesario operacionalizarla o traducirla en
elementos tangibles y cuantificables. (p.62)
Lo expuesto anteriormente indica, que un investigador necesita traducir los conceptos
(variables) a hechos observables para lograr su medición.
A partir de los objetivos del presente estudio y del marco teórico considerado, se procedió
a operacionalizar las variables con sus respectivas dimensiones e indicadores, con lo cual se
diseñó el instrumento de investigación. A continuación se presenta el cuadro respectivo
representando la Operacionalización a que se hace referencia.
 CUADRO OPERACIONALIZACIÓN DE LAS VARIABLES

Objetivos Variable Dimensiones indicadores

específicos

Analizar los
riesgos presentes
 Identificación de los riesgos
en los sistemas de
internos y externos.
información del Analizar los Evaluación de
 Consecuencias de los riesgos.
departamento de riesgos riesgos
operaciones en la  Evaluación de riesgos según el
CORPORACIÓN nivel de gravedad.
DIGICABLE, C.A.

Determinar  Estructura organizativa.

factores que deben Ambiente de  Planificación.
considerarse para control  Políticas de talento humano.
establecer  Perfil de cargos.
controles internos Controles
dentro del internos  Manuales de normas y
departamento de procedimientos.
operaciones en la Actividades de  Manuales de descripción de
CORPORACIÓN control cargos.
DIGICABLE, C.A.  Políticas internas.

Formular
estrategias de  Sistema de información.
seguridad a Información y  Seguimiento a las actividades
considerar con comunicación planificadas.
base en los Estrategias  Comunicaciones.
resultados de
obtenidos a partir seguridad
 Monitoreo de los riesgos internos
de la valoración Actividades de
y externos.
realizada en la supervisión y
CORPORACIÓN  Evaluación de los sistemas de
monitoreo
DIGICABLE, C.A. control internos.