lÍe a de iv estigaciÓ: redes y sistemas...

LÍ�EA DE I�VESTIGACIÓ�: REDES Y SISTEMAS OPERATIVOS

AUTOR: JOHNNY DAVID VILLAVICENCIO MORÁN

ESTUDIO DE LAS VULNERABILIDADES EN TECNOLOGÍAS DE VIRTUALIZACIÓN CON VMWARE EN MICROCOMPUTADORAS,

DETERMINANDO LOS DELITOS INFORMÁTICOS QUE PODRÍAN AFECTAR A ESTOS SISTEMAS, EN EL SECTOR EMPRESARIAL DE LA CIUDAD DE

GUAYAQUIL, EN EL AMBITO BANCARIO, COMERCIAL, Y DE SERVICIOS EN GENERAL

PROYECTO DE TESIS �° 6

TUTOR: ING. OMAR OTERO MSc.

U�IVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS

CARRERA DE INGENIERIA EN SISTEMAS

COMPUTACIONALES




TESIS DE GRADO

Previa a la obtención del Título de:

I�GE�IERO E� SISTEMAS COMPUTACIO�ALES

JOHNNY DAVID VILLAVICENCIO MORÁN


GUAYAQUIL – ECUADOR

2011

UNIVERSIDAD DE GUAYAQUIL


CARRERA DE I�GE�IERIA E� SISTEMAS COMPUTACIO�ALES




Proyecto de trabajo de grado que se presenta como requisito para optar por el título

de INGENIERO en SISTEMAS COMPUTACIONALES

Autor: Johnny Villavicencio Morán

C.I. 1711913473

Tutor: Ing. Omar Otero

Guayaquil, 5 de Septiembre de 2011

i



CARRERA DE INGENIERIA EN SISTEMAS

COMPUTACIONALES




TESIS DE GRADO

Previa a la obtención del Título de:

I�GE�IERO E� SISTEMAS COMPUTACIO�ALES

JOHNNY DAVID VILLAVICENCIO MORÁN


GUAYAQUIL – ECUADOR

2011

ii

CERTIFICADO DE ACEPTACIÓ� DEL TUTOR

En mi calidad de Tutor del Primer Curso de Fin de Carrera, nombrado por el Departamento de Graduación y la Dirección de la Carrera de Ingeniería en Sistemas Computacionales de la Universidad de Guayaquil,

CERTIFICO:

Que he analizado el Proyecto de Grado presentado por el egresado JOHNNY DAVID VILLAVICENCIO MORÁN, como requisito previo para optar por el título de Ingeniero cuyo problema es:

ESTUDIO DE LAS VULNERABILIDADES EN TECNOLOGÍAS DE VIRTUALIZACIÓN CON VMWARE EN MICROCOMPUTADORAS, DETERMINANDO LOS DELITOS INFORMÁTICOS QUE PODRÍAN AFECTAR A ESTOS SISTEMAS, EN EL SECTOR EMPRESARIAL DE LA CIUDAD DE GUAYAQUIL, EN EL AMBITO BANCARIO, COMERCIAL, Y DE SERVICIOS EN GENERAL

considero aprobado el trabajo en su totalidad.

Presentado por:

JOHNNY DAVID VILLAVICENCIO MORAN C.I.: 1711913473

Tutor: Ing. Omar Otero MSc.


iii


APROBACIO� DEL TUTOR

En mi calidad de Tutor del trabajo de investigación, ESTUDIO DE LAS VULNERABILIDADES EN TECNOLOGÍAS DE VIRTUALIZACIÓN CON VMWARE EN MICROCOMPUTADORAS, DETERMINANDO LOS DELITOS INFORMÁTICOS QUE PODRÍAN AFECTAR A ESTOS SISTEMAS, EN EL SECTOR EMPRESARIAL DE LA CIUDAD DE GUAYAQUIL, EN EL AMBITO BANCARIO, COMERCIAL, Y DE SERVICIOS EN GENERAL

Elaborado por el Sr. JOHNNY DAVID VILLAVICENCIO MORÁN, egresado de la Carrera de Ingeniería en Sistemas Computacionales, Facultad de Ciencias Matemáticas y Físicas de la Universidad de Guayaquil, previo a la obtención del Título de Ingeniero en Sistemas, me permito declarar que luego de haber orientado, estudiado y revisado, la Apruebo en todas sus partes.

Atentamente

………………………………….

Ing. Omar Otero MSc.

TUTOR

iv

TRIBU�AL DE GRADO

DECANO DE LA FACULTAD DIRECTOR CIENCIAS MATEMATICAS Y FISICAS

MIEMBRO DEL TRIBUNAL MIEMBRO DEL TRIBUNAL

ING. OMAR OTERO MSc.

TUTOR SECRETARIO

v

DEDICATORIA

Dedico a Dios que me ha dado la fuerza, salud y mucha sabiduría, para luchar y

alcanzar la meta que me he propuesto.

A mi esposa Esthelita que sin su apoyo, amor y paciencia no hubiera sido posible

concluir con éxito esta gran meta.

A mis Padres Dalton y Lourdes por creer en mí y darme su apoyo incondicional que

me motivaron a lo largo de este proyecto.

A ustedes dedico esta Tesis

Johnny Villavicencio Morán

vi

AGRADECIMIE�TO

A Dios, por su ayuda constante sosteniendo mi vida y guiándome a alcanzar esta meta

que sirve a mi edificación y crecimiento profesional.

A mi Esposa y a mis padres por su esfuerzo y aliento en todo instante.

Al Ing. Omar Otero quien fue mi Tutor y guía para la culminación a satisfacción del

presente Proyecto de Investigación.

Johnny Villavicencio Morán.

vii

Í�DICE GE�ERAL

CO�TE�IDO PÁG. PÁGI�AS PRELIMI�ARES UNIVERSIDAD DE GUAYAQUIL ......................................................................................... i

CERTIFICADO DE ACEPTACIÓN DEL TUTOR................................................................. ii

APROBACION DEL TUTOR................................................................................................. iii

TRIBUNAL DE GRADO ........................................................................................................ iv

DEDICATORIA ....................................................................................................................... v

AGRADECIMIENTO ............................................................................................................. vi

ÍNDICE GENERAL ............................................................................................................... vii

ÍNDICE DE CUADROS ......................................................................................................... xii

ÍNDICE DE GRÁFICOS ....................................................................................................... xiv

RESUMEN ........................................................................................................................... xvii

INTRODUCCIÓN .................................................................................................................... 1

CAPÍTULO I.- EL PROBLEMA

PLANTEAMIENTO DEL PROBLEMA ................................................................................. 5

SITUACIÓN CONFLICTO NUDOS CRÍTICOS .................................................................... 6

CAUSAS Y CONSECUENCIAS DEL PROBLEMA ............................................................. 7

DELIMITACIÓN DEL PROBLEMA ...................................................................................... 8

FORMULACIÓN DEL PROBLEMA ...................................................................................... 8

EVALUACIÓN DEL PROBLEMA ......................................................................................... 8

OBJETIVO GENERAL ............................................................................................................ 9

OBJETIVOS ESPECÍFICOS .................................................................................................. 10

ALCANCES ........................................................................................................................... 10

viii

JUSTIFICACIÓN E IMPORTANCIA ................................................................................... 11

CAPÍTULO II.- MARCO TEÓRICO

ANTECEDENTES DEL ESTUDIO ....................................................................................... 13

FUNDAMENTACIÓN TEÓRICA......................................................................................... 13

LAS MICROCOMPUTADORAS .......................................................................................... 14

CARACTERÍSTICAS DE LA MICROCOMPUTADORAS ............................................ 15

COMPONENTES DE LAS MICROCOMPUTADORAS ................................................. 16

LAS MAQUINAS VIRTUALES ........................................................................................... 18

VENTAJAS DE LAS MÁQUINAS VIRTUALES ............................................................ 19

MÁQUINAS VIRTUALES VMWARE ............................................................................... 22

VERSIONES DE MÁQUINAS VIRTUALES VMWARE .............................................. 24

LA VIRTUALIZACIÓN ........................................................................................................ 26

VENTAJAS Y DESVENTAJAS DE LA VIRTUALIZACIÓN ........................................ 28

TIPOS DE VIRTUALIZACIÓN ........................................................................................ 30

TIPO NATIVO, UNHOSTED O SOBRE EL METAL DESNUDO (BARE METAL) .... 30

TIPO HOSTED. ................................................................................................................. 31

VULNERABILIDADES EN MÁQUINAS VIRTUALES VMWARE ................................. 32

VULNERABILIDADES EN OPENSSL, BIN Y VIM ...................................................... 33

AGUJERO EN MÁQUINA VIRTUAL VMWARE FUSION ......................................... 344

VULNERABILIDADES EN EL SOFTWARE DHCP .................................................... 355

VULNERABILIDADES EN VARIOS PRODUCTOS VMWARE ................................ 366

MÚLTIPLES VULNERABILIDADES EN VARIOS PRODUCTOS VMWARE. 24-11-2009 .................................................................................................................................... 37

VMWARE MÚLTIPLES VULNERABILIDADES ........................................................ 399

VULNERABILIDAD EN VMWARE AFECTA A EQUIPOS BAJO WINDOWS ...... 41

¿QUÉ ES X-FORCE? ............................................................................................................. 42

SOFTWARE DE PROTECCIÓN PARA MÁQUINAS VIRTUALES VMWARE .............. 43

ix

SEGURIDAD DE LA GESTIÓN DE LA VIRTUALIZACIÓN ........................................... 45

IBM VIRTUAL SERVER SECURITY PARA VMWARE ................................................... 44

PLANIFICAR: DEFINICIÓN DE UNA CONFIGURACIÓN ADECUADA ................... 49

HACER: SEGURIDAD ADMINISTRATIVA EN LAS OPERACIONES ....................... 51

VERIFICAR: MONITORIZACIÓN DE ACCIONES ADMINISTRATIVAS ................. 52

ACTUAR: LA IMPORTANCIA DE LA RESPUESTA .................................................... 54

LOS SISTEMAS INFORMÁTICOS ...................................................................................... 55

LA INFORMACIÓN .............................................................................................................. 56

LA INFORMACIÓN ISO/IEC 17799 ............................................................................... 56

SEGURIDAD INFORMÁTICA ............................................................................................. 57

IMPORTANCIA DE PROTEGER LA INFORMACIÓN ................................................. 58

TÉRMINOS DE LA SEGURIDAD INFORMÁTICA ....................................................... 59

SEGURIDAD DEPENDIENDO DE LA AMENAZA ........................................................... 60

LA SEGURIDAD FÍSICA ................................................................................................. 60

TIPOS DE DESASTRES ................................................................................................... 61

LA SEGURIDAD LÓGICA ................................................................................................... 61

OBJETIVOS ....................................................................................................................... 62

CONTROLES DE ACCESO .............................................................................................. 63

NIVELES DE SEGURIDAD INFORMÁTICA ..................................................................... 67

LOS DELITOS INFORMÁTICOS ........................................................................................ 71

CARACTERÍSTICAS DE LOS DELITOS ........................................................................ 72

DENUNCIAS DE DELITOS INFORMÁTICOS ................................................................... 84

DELÍTOS INFORMÁTICOS EN MÁQUINAS VIRTUALES ............................................. 85

PREGUNTAS A CONTESTARSE ........................................................................................ 87

VARIABLES DE LA INVESTIGACIÓN ............................................................................. 88

VARIABLE INDEPENDIENTE ........................................................................................ 88

VARIABLE DEPENDIENTE ............................................................................................ 88

DEFINICIONES CONCEPTUALES ..................................................................................... 88

x

FUNDAMENTACIÓN FILOSÓFICA ................................................................................ 109

FUNDAMENTACIÓN LEGAL .......................................................................................... 112

SANCIONES PARA LOS DELITOS INFORMÁTICOS EN EL ECUADOR ................... 112

CÓDIGO DE PROCEDIMIENTO PENAL Y CÓDIGO DE PROCEDIMIENTO CIVIL . 113

DELITOS INFORMÁTICOS ............................................................................................... 113

LOS ARTÍCULOS................................................................................................................ 114

TIPOS DE DELITOS INFORMÁTICOS EXISTENTES EN LA LEGISLACIÓN ECUATORIANA .................................................................................................................. 117

CAPÍTULO III.- METODOLOGÍA

MODALIDAD DE LA INVESTIGACIÓN ......................................................................... 127

MÉTODO CIENTÍFICO. ................................................................................................. 127

MÉTODO INDUCTIVO .................................................................................................. 128

MÉTODO DEDUCTIVO ................................................................................................. 128

TIPOS DE INVESTIGACIÓN ............................................................................................. 129

INVESTIGACIÓN DESCRIPTIVA................................................................................. 130

INVESTIGACIÓN DIAGNÓSTICA ............................................................................... 130

INVESTIGACIÓN BIBLIOGRÁFICA ............................................................................ 131

POBLACIÓN Y MUESTRA ................................................................................................ 132

OPERACIONALIZACIÓN DE VARIABLES .................................................................... 133

INSTRUMENTOS DE RECOLECCIÓN DE DATOS ........................................................ 134

INSTRUMENTOS DE LA INVESTIGACIÓN ................................................................... 137

PROCEDIMIENTOS DE LA INVESTIGACIÓN ............................................................... 138

ANÁLISIS E INTERPRETACIÓN DE LOS RESULTADOS ............................................ 139

RESULTADOS DE LAS ENCUESTAS ............................................................................. 140

xi

CAPÍTULO IV.- MARCO ADMI�ISTRATIVO

CRONOGRAMA .................................................................................................................. 160

PRESUPUESTO ................................................................................................................... 161

CAPÍTULO V.- CO�CLUSIO�ES Y RECOME�DACIO�ES

CONCLUSIONES Y RECOMENDACIONES .................................................................... 163

CONCLUSIONES ............................................................................................................ 163

RECOMENDACIONES ................................................................................................... 169

xii

Í�DICE DE CUADROS CO�TE�IDOS PÁG.

CUADRO 1


CUADRO 2

VIOLACIÓN DE CLAVES O SISTEMAS DE SEGURIDAD ........................................... 118

CUADRO 3

DESTRUCCIÓN O SUPRESIÓN DE DOCUMENTOS, PROGRAMAS .......................... 120

CUADRO 4

DAÑOS INFORMÁTICOS .................................................................................................. 121

CUADRO 5

FRAUDE INFORMÁTICO .................................................................................................. 122

CUADRO 6

MATRIZ DE OPERACIÓN DE VARIABLES ................................................................... 133

CUADRO 7

PREGUNTA 1 DE LA ENCUESTA .................................................................................... 140

CUADRO 8


CUADRO 9

PREGUNTA 3 DE LA ENCUESTA ................................................................................... 142

CUADRO 10


CUADRO 11


xiii

CUADRO 12


CUADRO 13


CUADRO 14


CUADRO 15


CUADRO 16

PREGUNTA 10 DE LA ENCUESTA ................................................................................. 149

CUADRO 17


CUADRO 18

CRONOGRAMA .................................................................................................................. 151

CUADRO 19

PRESUPUESTO ................................................................................................................... 153

xiv

Í�DICE DE GRÁFICOS

CO�TE�IDOS PÁG.

GRÁFICO 1

LAS MICROCOMPUTADORAS .......................................................................................... 14

GRÁFICO 2

COMPONENTES DE LAS MICROCOMPUTADORAS ..................................................... 16

GRÁFICO 3

ARQUITECTURA TÍPICA DE UNA MÁQUINA VIRTUAL ............................................. 18

GRÁFICO 4

FUNCIONAMIENTO DE VMWAREL ................................................................................ 23

GRÁFICO 5

LA VIRTUALIZACIÓN ........................................................................................................ 27

GRÁFICO 6

VIRTUALIZACIÓN TIPO NATIVO .................................................................................... 31

GRÁFICO 7

VIRTUALIZACIÓN TIPO HUESPED .................................................................................. 32

GRÁFICO 8

IBM VIRTUAL SERVER SECURITY PARA VMWARE ................................................... 27

GRÁFICO 9

SEGURIDAD INFORMÁTICA ............................................................................................. 57

GRÁFICO 10

SEGURIDAD DE LA INFORMACIÓN ................................................................................ 27

xv

GRÁFICO 11

SEGURIDAD FÍSICA ............................................................................................................ 60

GRÁFICO 12

SEGURIDAD LÓGICA ....................................................................................................... 627

GRÁFICO 13


GRÁFICO 14

VIRUS INFORMÁTICOS Y MALWARE ............................................................................ 76

GRÁFICO 15

GUSANO INFORMÁTICO ................................................................................................... 77

GRÁFICO 16

PHISHING .............................................................................................................................. 78

GRÁFICO 17

PAISES AMERICANOS ........................................................................................................ 80

GRÁFICO 18

PAÍSES EUROPEOS .............................................................................................................. 81

GRÁFICO 19

DELITOS MÁS SANCIONADOS EN AMÉRICA ............................................................... 82

GRÁFICO 20

DELITOS MÁS SANCIONADOS EN EUROPA ................................................................. 83

GRÁFICO 21

SANCIONES PARA LOS DELITOS INFORMÁTICOS EN EL ECUADOR ................... 112

GRÁFICO 22


xvi

GRÁFICO 23


GRÁFICO 24


GRÁFICO 25


GRÁFICO 26


GRÁFICO 27


GRÁFICO 28


GRÁFICO 29


GRÁFICO 30


GRÁFICO 31


GRÁFICO 32


xvii


FACULTAD DE CIE�CIAS MATEMATICAS Y FISICAS CARRERA DE I�GE�IERIA E� SISTEMAS COMPUTACIO�ALES




RESUME�

El objetivo del presente trabajo de investigación es estudiar las vulnerabilidades que pudieran tener las máquinas virtuales VMware en microcomputadoras ante posibles delitos informáticos, con la finalidad de contribuir a la seguridad de la información del sector empresarial de la ciudad de Guayaquil. La fundamentación técnica del Marco Teórico se desarrolló sobre la virtualización, máquinas virtuales, seguridades y delitos informáticos, los antecedentes de estudio, la fundamentación filosófica se basó en el pragmatismo y la llamada filosofía de la tecnología y la fundamentación legal se basó en los artículos del código Civil y Penal de la Ley ecuatoriana referente a los Delitos Informáticos. La metodología se fundamenta en la investigación bibliográfica, de campo, exploratoria y descriptiva, los instrumentos utilizados fueron la entrevista y la encuesta aplicadas a una población que estuvo conformada por un conjunto de personas de los Departamentos de Sistemas y de expertos en Delitos informáticos y de virtualización que componen el sector empresarial de la ciudad de Guayaquil en el ámbito bancario, comercial y de servicios en general. El procesamiento de los datos y los resultados de la investigación se realizó utilizando métodos estadísticos, aplicando las técnicas de las encuestas y las entrevistas realizadas a expertos en virtualización y delitos informáticos que permiten obtener valiosa información para mejorar la seguridad de las máquinas virtuales en las empresas. Conclusiones y recomendaciones. Vale destacar que los expertos coinciden en que violentar claves o sistemas de seguridad, robo de información, entre otros, son los delitos que se podrían dar si el administrador de servidores lo permitiera. Es importante conocer que las máquinas virtuales tienen vulnerabilidades y que los delitos informáticos pueden darse como en cualquier sistema operativo. Logrando concientizar al personal de sistemas para que busque herramientas que le permitan monitorear, administrar y asegurar que su red no sea fácilmente vulnerable.

Virtualización VMware Delitos Informáticos

Autor: Johnny Villavicencio Tutor: Ing. Omar Otero

1

I�TRODUCCIÓ�

La virtualización se empieza a usar desde la década de los sesenta, cuando surgió la

necesidad de particionar los mainframe de gran tamaño mejorando su utilidad. Hoy

en día los equipos basados en arquitectura x86 (32Bits) resuelven los mismos

problemas complejos que realizaban los mainframes de aquella década. Para esto

VMware inventa la virtualización para estas plataformas en la década de los noventa

abordando los problemas de infrautilización rigidez y de otra índole superando de

esta manera muchos desafíos.

Virtualizar no es más que crear varios entornos virtuales compartiendo el mismo

hardware dentro de un equipo físico, ya sean estos servidores, dispositivos de

almacenamiento, una red y hasta varios sistemas operativos, donde todos pueden ser

ejecutados al mismo tiempo.

En la actualidad VMware se ha convertido en un líder mundial en virtualización para

x86, teniendo más de 190.000 clientes en el mundo.

IBM es quien empieza a implementar la virtualización de sus mainframe,

particionándolas en máquinas virtuales independientes, permitiendo a los mainframe

realizar múltiples tareas, ejecutar muchas aplicaciones y procesos al mismo tiempo.

De esta manera se aprovechó el gran costo que tenían los mainframes y la capacidad

de los mismos.

2

La virtualización en los años 80 y 90 dejan de ser usadas, con la aparición del cliente-

servidor, los servidores x86 y los equipos de escritorio económicos. No obstante en

1999 VMware introduce en los sistemas X86 un medio que solucionaría muchos

problemas que se estaban ocasionando en dichos equipos.

VMware para ser considerado líder en la tecnología de la virtualización tuvo que

superar en los procesadores x86, 17 intrusiones específicas que generaban problemas

al virtualizar. Para esto VMware desarrolla una técnica de virtualización adaptable

que las atrapa convirtiéndolas en seguras.

Hoy en día, las necesidades que tienen las empresas para utilizar la virtualización de

sus tecnologías, ha hecho que también estén pensando en robustecer las seguridades,

las mismas que se han visto vulneradas por personas no autorizadas que hacen uso de

herramientas tecnológicas con fines maliciosos.

Por lo que en el mundo informático globalizado, la tendencia a intrusiones

maliciosas en la virtualización son cada vez más frecuentes, convirtiéndose en un

nuevo blanco para la realización de ataques que no existían hasta ahora. Estas

incursiones están provocando que las máquinas virtuales ya no sean vistas como

seguras a nivel empresarial, cuyo principal objetivo era la de mejorar sus

infraestructuras informáticas en cuanto a la escalabilidad, optimización de recursos,

costos, seguridad y una diversidad de modalidades en la administración de servidores.

3

Existe una gran demanda en la virtualización de sistemas operativos y aplicaciones

que corren como si estuvieran en una plataforma nativa, no obstante la inseguridad

técnica que se produce hoy en día, hacen que estas tecnologías sean vulnerables.

Cabe entonces realizarnos las preguntas: qué debilidades y riesgos tienen las

máquinas virtuales frente a los ataques de malware, cómo contrarrestarlas, y en caso

de darse un ataque cuál sería el proceso a seguir para certificar la garantía de las

políticas de seguridad y la protección tanto de la información como de las tecnologías

que facilitan la gestión de esa información.

Es por esto que se hace necesario realizar una investigación que pueda identificar y

determinar cuáles son los riesgos que existen y que tienen las máquinas virtuales

frente al mundo actual, y de esta manera comprobar y especificar cuáles son las

seguridades a aplicar en estas tecnologías, de tal forma que permita a las empresas

proteger mejor las plataformas de virtualización.

Para este estudio se desarrollarán los siguientes capítulos:

CAPÍTULO 1.- EL PROBLEMA

Se basa en el Planteamiento del problema donde se enfoca la realidad del tema,

Ubicación del Problema en un contexto, Situación Conflicto, Causas del problema y

sus Consecuencias, Delimitación del Problema, Planteamiento, Evaluación del

4

Problema, Objetivos de la investigación y la Justificación e importancia de la

investigación.

CAPÍTULO 2.- MARCO TEÓRICO

Se desarrolla sobre la base de conceptos de las microcomputadoras, las máquinas

virtuales, máquinas virtuales VMware, la virtualización, vulnerabilidades de las

máquinas virtuales, los sistemas informáticos, la seguridad física, la seguridad lógica,

los delitos informáticos y las fundamentaciones como la Fundamentación teórica,

Fundamentación Filosófica, Fundamentación Legal y Definiciones Conceptuales.

CAPÍTULO 3.- METODOLOGÍA

Tiene temas relacionados con la modalidad de la investigación, tipo de investigación,

la población, muestra y los resultados de la investigación que estarán procesados

mediante un sistema estadístico aplicado a través de las encuestas, se formularán

preguntas que permitirán conocer diferentes concepciones sobre las vulnerabilidades

de las máquinas virtuales VMware y los delitos informáticos.

CAPÍTULO 4.- MARCO ADMINISTRATIVO

Se presenta el cronograma, presupuesto.

CAPÍTULO 5.- CONCLUSIONES Y RECOMENDACIONES

Se presentan las conclusiones y recomendaciones del presente trabajo.

5

CAPÍTULO I

PLA�TEAMIE�TO DEL PROBLEMA

La virtualización de los sistemas operativos hoy en día es considerada como

necesaria e invaluable en toda Organización, aún más si esta requiere optimizar

sus recursos tecnológicos.

Cabe indicar que estas máquinas virtuales pueden tener vulnerabilidades, por lo

que se necesita dar seguridad ante los delitos, que personas mal intencionadas

quieran ejercer sobre ellas.

Uno de los problemas más graves es el desconocimiento en el uso de las

herramientas de virtualización en nuestro medio, pensando que estas son

realmente seguras y que no es necesario establecer seguridades como se lo hace

con las estructuras físicas.

Los Delitos informáticos con el pasar del tiempo y la evolución de la tecnología se

han vuelto cada vez más perjudiciales de forma directa o indirecta, causando daño

a los bienes tecnológicos y la información de las empresas, sean estas físicas o

lógicas.

6

Este es un problema grave en todos los sectores empresariales, ya que en el Ecuador

la tendencia al uso de Máquinas virtuales VMware, sigue estando al alza, por las

riquezas tecnológicas que brindan este tipo de tecnologías, pero con el crecimiento de

personas conocedoras de informática y del internet, los delitos informáticos van

creciendo cada día en nuestro medio, por lo que es muy importante tomar medidas de

seguridad, para no tener consecuencias en el futuro en el caso de querer darse un

delito.

Por lo tanto, considero concienciar a los Administradores de Sistemas en que no solo

con virtualizar los sistemas están seguros, sino también tener presente que pueden

haber vulnerabilidades y que estas pueden ser aprovechadas por personas mal

intencionadas para cometer algún delito que puede ser perjudicial para las empresas.

SITUACIÓ� CO�FLICTO �UDOS CRÍTICOS

Debido a la muy poca información sobre seguridad a las máquinas virtuales, la

protección que estas demandan no son suficientes para salvaguardar la integridad de

la información que estos poseen, por lo tanto son vulnerables a todo tipo de ataques

maliciosos, lo cual es sumamente crítico debido a que la tendencia en las

organizaciones es la de ser más eficientes, ágiles y evitar grandes inversiones

virtualizando varios hosts o servidores en una misma máquina física, donde el

7

tráfico entre ellos se hace más difícil de monitorear y proteger, convirtiendo esta

situación en un riesgo potencial de seguridad de la información.

CAUSAS Y CO�SECUE�CIAS DEL PROBLEMA

Las causas que me motivan a realizar esta investigación son las siguientes:

CAUSAS CO�SECUE�CIAS

La necesidad por virtualizar los sistemas operativos.

Máquinas virtuales con pobre implementación de medidas de seguridad que eviten problemas a las Organizaciones.

Los ataques maliciosos están en auge y creciendo a nivel mundial.

Daños a la infraestructura implementada y pérdida de información con consecuencias graves para una empresa.

El desconocimiento de las vulnerabilidades en las máquinas virtuales.

Ambientes de máquinas virtuales desprotegidos, que dejan abiertas las posibilidades de ataques maliciosos.

La falta de conocimiento de los delitos informáticos tipificados en el código de Procedimiento Penal.

Robo de información, fraude, falsificación electrónica, estafas. etc. y en su gran mayoría sin sanción a los culpables.

8

DELIMITACIÓ� DEL PROBLEMA

Campo: Tecnologías de Información.

Área: Seguridades Lógicas en entornos virtuales.

Aspecto: Las Vulnerabilidades en máquinas virtuales VMware.

Tema: Estudio de las vulnerabilidades en tecnologías de virtualización con

VMware en microcomputadoras, determinando los delitos informáticos

que afectan a estos sistemas.

FORMULACIÓ� DEL PROBLEMA

¿Cómo afecta el desconocimiento de las vulnerabilidades que puedan tener las

máquinas virtuales VMware frente a los delitos informáticos en el Área de Sistemas

de una Organización?

EVALUACIÓ� DEL PROBLEMA

El presente Proyecto de Tesis tiene los siguientes aspectos de evaluación:

Original: No existe un estudio en nuestro país con respecto a las debilidades en

seguridad que puedan tener las máquinas virtuales.

9

Importante: Debido al auge en la utilización de la virtualización en las empresas

hoy en día, por los beneficios de estas técnicas son muchas.

Concreto: El problema está formulado de una manera clara y precisa.

Relevante: Es necesario el conocimiento de las debilidades en las máquinas

virtuales VMware, como un aporte importante en el entorno

Organizacional.

Contextual: La virtualización es una técnica cada vez más arraigada a los

departamentos de Sistemas de nuestro país.

OBJETIVO GE�ERAL

Estudiar las vulnerabilidades que puedan tener las Máquinas Virtuales VMware en

microcomputadoras, para contribuir a la seguridad de la información en los ambientes

que utilizan este tipo de tecnología.

Analizar los posibles delitos informáticos, que se encuentran tipificados en la Ley

según el Código de Procedimiento Penal de nuestro medio, identificando los que

podrían afectar a las máquinas virtuales VMware.

10

OBJETIVOS ESPECÍFICOS

Identificar las principales vulnerabilidades que existen en las máquinas virtuales

VMware, apoyando a la comprensión de éstas, para que de esta forma, se pueda

mejorar la protección en estos ambientes virtuales.

Determinar los principales delitos informáticos que se podrían producir en estas

máquinas virtuales VMware, como una contribución al conocimiento en el

mundo de la seguridad informática.

Analizar los principales delitos informáticos encontrados en estas máquinas

virtuales y proponer las posibles soluciones que contrarresten estos delitos.

ALCA�CES

Investigar y detallar el concepto, tipos, técnicas, inconvenientes, ventajas y

desventajas en la implementación de las máquinas virtuales en un entorno

empresarial.

Identificar y describir las debilidades o vulnerabilidades en cuanto a las

seguridades de la información, que existen en las máquinas virtuales, como un

riesgo de seguridad informática – (lógica); tomando como base VMware; ya que

esta es la tecnología más usada en la actualidad.

11

Determinar las principales formas de intrusión no autorizada, que puedan

vulnerar las seguridades de las máquinas virtuales VMware, afectando su

integridad.

Analizar los principales delitos informáticos encontrados, en las tecnologías

VMware, proponiendo soluciones que neutralicen estas amenazas si éstas fueran

posibles.

JUSTIFICACIÓ� E IMPORTA�CIA

El objetivo de este Proyecto de Tesis, es pretender que las empresas busquen

fortalecer las seguridades de sus sistemas virtualizados y así resguardar al activo más

importante de toda compañía, como lo es la información. Asimismo concientizar al

público en general, usuario de estas tecnologías, de la importancia de proteger y

cerrar las puertas que dejen vulnerables a los sistema, bases de datos, etc.; de

ataques maliciosos dirigidos a las máquinas virtuales muy tendientes a ser usadas hoy

en día por sus múltiples ventajas y beneficios. De esta forma contribuimos también al

campo de la Seguridad informática.

Con el avance tecnológico y el uso masificado del internet, el delito informático en

el mundo también ha buscado su avance y por cada nueva tecnología hay alguien

buscando la forma de violentar su seguridad para demostrar su inteligencia y

12

alimentar su ego, así también como personas inescrupulosas tratando de obtener un

beneficio de forma fraudulenta en cada nueva tecnología descubierta.

Estamos viendo que la tendencia en el mundo, sobre todo empresarial, es la de

optimizar costos y recursos tecnológicos, es por esto que la virtualización se está

convirtiendo en una herramienta muy utilizada para mejorar su infraestructura; ya

que ésta presenta ventajas competitivas para una compañía; y también porque ayuda

a la administración de recursos de una forma eficiente y en una sola consola.

Debido a que la virtualización es relativamente nueva y que en nuestro país no es

muy difundido o conocido casos de delitos en estas tecnologías, el aporte de este

estudio de proyecto de tesis contribuirá en gran medida al conocimiento de posibles

soluciones y principalmente a prevenir o a proteger estos sistemas para evitar

intrusiones que signifiquen una pérdida en tiempo, hardware, recursos e incluso en

pérdida de dinero.

Es por esto que el presente Proyecto de Tesis proveerá de valiosa información para la

Seguridad Informática (lógica), en la consecución de sus objetivos, y de esta manera

ayudar a las empresas a prevenir intrusiones asegurando una mejor seguridad.

13

CAPÍTULO II

MARCO TEÓRICO

A�TECEDE�TES DEL ESTUDIO

Revisando los archivos de la Facultad de Ciencias Matemáticas y Físicas, Carrera

de Ingeniería en Sistemas Computacionales, no se ha encontrado ningún otro

proyecto con similares características a las de este título “ESTUDIO DE LAS

VULNERABILIDADES EN TECNOLOGÍAS DE VIRTUALIZACIÓN CON

VMWARE EN MICROCOMPUTADORAS, DETERMINANDO LOS DELITOS

INFORMÁTICOS QUE PODRÍAN AFECTAR A ESTOS SISTEMAS, EN EL

SECTOR EMPRESARIAL DE LA CIUDAD DE GUAYAQUIL, EN EL

AMBITO BANCARIO, COMERCIAL, Y DE SERVICIOS EN GENERAL”, por

lo cual se puede aplicar este proyecto.

FU�DAME�TACIÓ� TEÓRICA

Las microcomputadoras han experimentado con el transcurso del tiempo un

cambio considerable, tanto en su conceptualización, tecnología como en sus

múltiples usos en la sociedad. Es necesario entender la evolución de las

microcomputadoras como un desarrollo al entorno organizacional, considerando

que estas ocupaban espacios físicos muy grandes y que poco a poco con el avance

tecnológico nacen nuevos conceptos debido a su tamaño y características basadas

en los microprocesadores. También los problemas en las seguridades informáticas

han crecido a causa de los delitos informáticos y como los equipos virtualizados

14

Las Microcomputadoras

van incursionando en el mundo organizacional utilizando máquinas virtuales en

microcomputadoras.

La virtualización es una de las herramientas que más se están utilizando hoy en día en

las organizaciones; toda organización busca optimizar sus recursos sin que esto tenga

que influir en el rendimiento y respuesta de sus sistemas.

LAS MICROCOMPUTADORAS

Para el Profesor Israel J. Ramírez de la Universidad de los Andes

Una microcomputadora es la computadora digital más pequeña y de propósito general, que puede ejecutar instrucciones de programas para llevar a cabo una amplia variedad de tareas. Las microcomputadoras fueron diseñadas, en un principio, para ser utilizadas por una sola persona o usuario en un momento determinado, y las mismas no son más que uno de los resultados de la evolución de las computadoras (P.3).

Gráfico 1

Elaboración: http://elticus.com/imgdicc/microcomputadoras.jpg Fuente: http://elticus.com/imgdicc/microcomputadoras.jpg

15

Con los avances en la industria electrónica y la invención de los tubos de vacío, el

transistor, los circuitos integrados y otros inventos más, se dio comienzo a la era de

las microcomputadoras, así mismo con la creación del primer microprocesador la

evolución de los microcomputadoras han pasado de los antiguos mainframes a los

equipos de cómputo actuales pequeños, sencillos y accesibles.

CARACTERÍSTICAS DE LA MICROCOMPUTADORAS

� La microcomputadoras Surgen en la Cuarta Generación de las Computadoras.

� Están construidas a base de microprocesadores.

� Tienen una gran versatilidad para agregar nuevos dispositivos físicos.

� Tiene unidades de almacenamiento secundario tales como: los CD’s, los DVD’s, los pendrive y los discos duros.

� Son de uso personal, más conocidas como monousuario, aunque en la actualidad son utilizadas también como multiusuario.

� Son relativamente de costos bajos.

� No requieren de personas especializadas para su instalación y utilización.

� Se pueden procesar millones de instrucciones por segundo.

� Son más pequeñas y portables.

� Son utilizadas por pequeñas, medianas y grandes empresas, también por personas

naturales.

� Tiene un gran impacto social en los países industrializados.

� El peso de las computadoras de escritorio está entre los 10 kg aproximadamente.

16

Gráfico 2

Componentes de las Microcomputadoras

Elaboración: Hugo Enrique Raya Galván Fuente: http://www.monografias.com/trabajos71/word-power-ponit-excel- algoritmos/image004.jpg

COMPO�E�TES DE LAS MICROCOMPUTADORAS

Las computadoras por ser electrónicas y digitales contiene los siguientes

componentes:

� La Unidad Central de Proceso (CPU), quien se encarga de ejecutar las

instrucciones y es el único que cuenta con las unidades de memoria aritmética y

de control.

� Memorias RAM y ROM, que permiten almacenar temporalmente

17

información.

� Bus de datos, permite transmitir los datos de un lado a otro de la

computadora.

� Disco Duro y Cinta Magnética, permiten guardar mucha información.

� Impresoras, permite obtener la información impresa en un papel.

� Monitor, Permite visualizar la información por pantalla.

� Dispositivos de entrada y salida, nos permite escuchar o ver la información de una computadora.

Algunos dispositivos de entrada y salida tenemos:

� Fax/Módems, nos permite comunicarnos con otras

computadoras a través de líneas telefónica.

� Scanner, nos permite digitalizar la información que se encuentra impresa en un papel.

� Barcode Readers, nos permite leer código de barras.

� Teclado y Mouse, nos permiten ingresar información de entrada.

� Tarjeta de red, nos permite conectarnos con varios equipos para compartir información y recursos.

De acuerdo a lo anterior se puede inferir, que con el paso del tiempo los componentes

de las microcomputadoras han ido aumentando según la necesidad.

18

LAS MAQUI�AS VIRTUALES

Según: http://www.vmware.com/es/virtualization/virtual-machine.html

Una máquina virtual es un contenedor de software perfectamente aislado que puede ejecutar sus propios sistemas operativos y aplicaciones como si fuera un ordenador físico. Una máquina virtual se comporta exactamente igual que lo hace un ordenador físico y contiene sus propios CPU, RAM, disco duro y tarjetas de interfaz de red (�IC) virtuales (es decir, basados en software). El sistema operativo no puede establecer una diferencia entre una máquina virtual y una máquina física, ni tampoco lo pueden hacer las aplicaciones u otros ordenadores de una red. Incluso la propia máquina virtual considera que es un ordenador “real”. Sin embargo, una máquina virtual se compone exclusivamente de software y no contiene ninguna clase de componente de hardware. El resultado es que las máquinas virtuales ofrecen una serie de ventajas con respecto al hardware físico (P.1).

Gráfico 3

Arquitectura típica de una máquina virtual

Elaboración: Johnny Villavicencio Fuente: http://www.pcmag.com/encyclopedia_term/0,2542,t=virtual+machine +monitor&i=55827,00.asp

VM 1 OS

APP

VM 2 OS

APP

VM n-1 OS

APP

VM n OS

APP

VIRTUAL MACHI�E MO�ITOR (VMM)

PARTE FÍSICA (HARDWARE)

19

VE�TAJAS DE LAS MÁQUI�AS VIRTUALES

Las máquinas virtuales cuentan con cuatro características fundamentales: • Las máquinas virtuales tienen compatibilidad con todos los ordenadores

estándar x86.

• Las máquinas virtuales contienen aislamiento, es decir que están separadas

unas de otras, como si no estuvieran en el mismo equipo físicamente.

• Las máquinas virtuales se encuentran encapsuladas en un entorno

informático completo.

• Las máquinas virtuales se ejecutan de manera independiente al hardware

subyacente.

En la página, http://www.vmware.com/es/virtualization/virtual-machine.html

COMPATIBILIDAD

Al igual que un ordenador físico, una máquina virtual aloja sus propios sistema operativo y aplicaciones guest, y dispone de los mismos componentes (placa base, tarjeta VGA, controlador de tarjeta de red, etc.). Como consecuencia, las máquinas virtuales son plenamente compatibles con la totalidad de sistemas operativos x86, aplicaciones y controladores de dispositivos estándar, de modo que se puede utilizar una máquina virtual para ejecutar el mismo software que se puede ejecutar en un ordenador x86 físico.

AISLAMIE�TO

Aunque las máquinas virtuales pueden compartir los recursos físicos de un único ordenador, permanecen completamente aisladas unas de otras, como si se tratara de máquinas independientes. Si, por ejemplo, hay cuatro máquinas virtuales en un solo servidor físico y falla una de ellas, las otras

20

tres siguen estando disponibles. El aislamiento es un factor importante que explica por qué la disponibilidad y protección de las aplicaciones que se ejecutan en un entorno virtual es muy superior a las aplicaciones que se ejecutan en un sistema tradicional no virtualizado.

E�CAPSULAMIE�TO

Una máquina virtual es básicamente un contenedor de software que agrupa o “encapsula” un conjunto completo de recursos de hardware virtuales, así como un sistema operativo y todas sus aplicaciones, dentro de un paquete de software. El encapsulamiento hace que las máquinas virtuales sean extraordinariamente portátiles y fáciles de gestionar. Por ejemplo, puede mover y copiar una máquina virtual de un lugar a otro como lo haría con cualquier otro archivo de software, o guardar una máquina virtual en cualquier medio de almacenamiento de datos estándar, desde una memoria USB de bolsillo hasta las redes de área de almacenamiento (SA�) de una empresa.

I�DEPE�DE�CIA DE HARDWARE

Las máquinas virtuales son completamente independientes de su hardware físico subyacente. Por ejemplo, se puede configurar una máquina virtual con componentes virtuales (CPU, tarjeta de red, controlador SCSI, pongamos por caso) que difieren totalmente de los componentes físicos presentes en el hardware subyacente. Las máquinas virtuales del mismo servidor físico pueden incluso ejecutar distintos tipos de sistema operativo (Windows, Linux, etc.).

Si se combina con las propiedades de encapsulamiento y compatibilidad, la independencia del hardware proporciona la libertad para mover una máquina virtual de un tipo de ordenador x86 a otro sin necesidad de efectuar ningún cambio en los controladores de dispositivo, en el sistema operativo o en las aplicaciones. La independencia del hardware también significa que se puede ejecutar una mezcla heterogénea de sistemas operativos y aplicaciones en un único ordenador físico (P.1).

21

Las máquinas virtuales siendo sólo un software, son como otra máquina física, donde

se puede instalar el sistema operativo y las aplicaciones que se deseen, estas pueden

ser utilizadas para capacitaciones, investigaciones, pruebas y también las empresas

las utilizan como servidores aprovechando las ventajas y beneficios que estas les

pueden brindar, tales como compatibilidad, aislamiento, encapsulamiento e

independencia del hardware.

Entre las máquinas virtuales más utilizadas e importantes tenemos: 1.- Virtual PC.- Es un programa que permite virtualizar, el mismo que fue

desarrollado por Connectix y luego comprado por Microsoft para crear virtualización

de equipos.

Su objetivo principal es emular el uso del hardware utilizando la virtualización de los

sistemas operativos sean estos uno o varios.

2.- VirtualBox.- Es un programa para virtualizar en arquitecturas x86, fue creado

por la empresa innotek GmbH de Alemania. Actualmente lo desarrolla Oracle

Corporation, haciéndolo parte de su familia de productos de virtualización.

Permite instalar varios sistemas operativos en un ambiente virtual (Sistemas

invitados) dentro de otro sistema operativo que se lo conoce como (sistema anfitrión).

3.- VMware.- Es una máquina virtual que permite virtualizar sistemas operativos

en equipos X86. En este programa se incluyen ESX Server, Fusion, Virtual Server,

22

Workstation, Player. Este programa funciona en Windows, Linux, y en la plataforma

Mac OS X.

4.- Xen.- Es una máquina virtual fue desarrollada por la Universidad de Cambridg,

con las siguientes características: brinda aislamiento seguro, control de los recursos,

garantiza la calidad de servicio, permite migrar las máquinas virtuales en caliente y es

de código abierto. Además, se pueden ejecutar instancias de los sistemas operativos

con sus características, en un equipo sencillo.

A parte de estas máquinas virtuales se podrían citar:

KVM, IBM POWER SYSTEMS, OpenVZ, Virtuozzo, FreeVPS, Linux-VServer.

FreeBSD Jails, Solaris Containers, AIX.

MÁQUI�AS VIRTUALES VMWARE

Las máquinas virtuales VMware son sistemas de virtualización por software, es decir

que simula a un ordenador físico con algunas características de hardware. Al ejecutar

este simulador se puede configurar el hardware dependiendo a lo que se requiera,

como varios CPU’s, Bios, tarjeta de video, memoria RAM, sonido, tarjeta de red,

discos duros, conexiones USB, etc.

Este virtualizador permite que se ejecuten al mismo tiempo varios ordenadores con

sus respectivos sistemas operativos dentro de un mismo hardware a la vez, de esta

manera se distribuye y se aprovecha mejor los recursos físicos de un equipo, al ser

23

una capa intermedia entre el hardware emulado y el software, la velocidad de

ejecución se va a ser disminuido un poco, pero esto no afecta a los entornos puestos

en producción.

Las máquinas virtuales VMware aunque son parecidas a Virtual PC, tienen

diferencias que afectan en la manera en que el software interactúa con el hardware y

el rendimiento de la virtualización varía dependiendo de las características físicas en

donde se ejecuten y también de los recursos de hardware virtuales que se le hayan

asignado a los ambientes virtuales.

Gráfico 4

Funcionamiento de VMware, una de las

Máquinas virtuales de sistema más populares

Elaboración: Radoslaw Korzeniewski Fuente: http://es.wikipedia.org/wiki/Archivo:VMware-schema.png (RadekK)

24

VERSIO�ES DE MÁQUI�AS VIRTUALES VMWARE

Según, http://es.wikipedia.org/wiki/VMware

VMWARE SERVER (A�TES GSX)

Esta versión, a diferencia de la anterior, tiene un mejor manejo y administración de recursos; también corre dentro de un sistema operativo (host), está pensada para responder a una demanda mayor que el Workstation. Otra diferencia entre VMware Server y Workstation es que se pueden ejecutar de manera concurrente más máquinas virtuales soportando servidores con hasta 32 procesadores y/o 64 GB de memoria, ofreciendo funcionalidad de administración remota, soporta una API avanzada y funcionalidad de scripting y se puede ejecutar en modo headless. VMWARE ESXI

Es una versión completa del producto ESX, pero con varias limitaciones, entre ellas: no permite instalar controladores (drivers) para hardware adicional (es decir, si el ESXi no posee los controladores el hardware no puede ser utilizado); no permite utilizar las funciones avanzadas de movimiento de maquinas virtuales encendidas (O�) de un equipo físico a otro (VMOTIO�), ni hacerlo con el almacenamiento (STORAGEMOTIO�).

Sin embargo, es muy útil para conocer el funcionamiento del ESX, e incluso algunos fabricantes (como HP o DELL) dan la opción de comprar servidores pre cargados con ese sistema operativo en una memoria USB integrada en el equipo. VMWARE ESX SERVER

Esta versión es un sistema complejo de virtualización, pues corre como sistema operativo dedicado al manejo y administración de máquinas virtuales dado que no necesita un sistema operativo host sobre el cual sea necesario instalarlo. Pensado para la centralización y virtualización de servidores, esta versión no es compatible con una gran lista de hardware doméstico, por ejemplo no reconoce los disco IDE como unidades de almacenamiento y

25

sería inútil instalarlo en este tipo de discos (en la versión 3.5 ya esta soportado sata).Es realmente útil, ya que solamente ocupa 10 Mb de Ram y 55 de Disco Duro, aproximadamente...Para su administración, hay que instalar un software en una máquina remota, que se conecta por entorno web. VMWARE FUSIO�

Es un software de naturalización desarrollado por VMware, Inc. para ordenadores Macintosh con procesador Intel. Fusion permite correr en ordenadores Mac basados en Intel aplicaciones x86 como Windows, Linux, �etWare y Solaris y correr simultáneamente Mac OS como sistema principal que almacena a los demás sistemas operativos invitados. VMWARE WORKSTATIO�

Es sin duda una potente utilidad que permite tener varios sistemas operativos instalados sin necesidad de particiones, consiguiendo además que cambiar de uno a otro sea sencillo, casi tanto como cargar un programa más.

VMWARE PLAYER

Es una fantástica aplicación que te permite ejecutar un PC virtual en tu sistema, lo que significa literalmente poder tener dos ordenadores en uno. Es como el hermano pequeño de VMware Workstation, con menos opciones y funcionalidades, pero con la gran ventaja de ser totalmente gratuito. VMware Player permite usar máquinas virtuales creadas en VMware Workstation, GSX Server o ESX Server. VMWARE ACE (E�TOR�O I�FORMÁTICO SEGURO)

Es una solución de software integrada en VMware Workstation que permite a cualquier persona implementar y administrar máquinas virtuales seguras y de plataforma independiente que los usuarios finales pueden utilizar en su PC de trabajo, computadoras personales, o incluso un dispositivo multimedia portátil USB (en el camino de una aplicación

26

portable ). VMware ACE permite el acceso seguro a los recursos empresariales de los entornos informáticos seguros. Estos entornos de PC aislados se ejecutan sobre PCs existentes. Con la gestión de derechos virtual, los controles integrados de protección de copia, y el cifrado automático, VMware ACE ayuda a prevenir el robo, la manipulación, y la copia no autorizada de aplicaciones, datos, configuración del sistema y archivos. Los administradores pueden proteger los datos y garantizar el cumplimiento de las políticas de TI, incluyendo software de gestión del ciclo de vida y el acceso a datos y aplicaciones. En esencia, VMware ACE permite la creación de máquinas virtuales portátiles (P.1).

Existen diferentes versiones y tipos de máquinas virtuales VMware, las mismas que

se podrán utilizar dependiendo a la necesidad y al equipo en que se trabaje, estas

pueden ser para virtualizar servidores como por ejemplo VMware ESX Server o

VMware ESXI, también podemos utilizar las máquinas virtuales VMware para

laboratorios u otros fines, para esto tenemos al VMware Workstation, VMware

Player, etc.

Las pantallas para la instalación de la máquina virtual VMware ESX se encuentran en el Anexo 6.

LA VIRTUALIZACIÓ�

En la página, http://www.virtualizacion.com/?page_id=7

La virtualización es una tecnología que fue desarrollada por

IBM en los años 60s. La primera computadora diseñada específicamente para virtualización fue el mainframe IBM S/360 Modelo 67. Esta característica de virtualización ha sido un Standard de la línea que siguió (IBM S/370) y sus sucesoras, incluyendo la serie actual. Durante los 60s y los 70s fueron muy populares, pero las máquinas virtuales desaparecieron prácticamente durante los 80s y los 90s. �o era hasta el final del

27

La Virtualización

90s que volvió a resurgir la tecnología de las maquinas virtuales y no solamente en el área tradicional de servidores sino también en muchas otras áreas del mundo de la computación (P.7).

Gráfico 5

Elaboración: http://www.pcactual.com Fuente: http://www.pcactual.com/articulo/laboratorio/especiales/7434 /virtualizacion_apodera_del.html

La virtualización crea una capa de abstracción entre el hardware de la

computadora o host y el sistema operativo de una máquina virtual, siendo el

Hypervisor o Virtual Machine Monitor el que maneja los recursos físicos de la PC

(unidad de red, memoria, cpu y unidad de almacenamiento), de tal manera que se

podría crear múltiples máquinas virtuales y cada una con el interface del hardware

que se requiera sea compatible con el sistema operativo que se vaya a instalar.

28

VE�TAJAS Y DESVE�TAJAS DE LA VIRTUALIZACIÓ�

VE�TAJAS:

Según la página, www.virtualizacion.com/

La solución de virtualización permite gestionar de forma

centralizada los sistemas virtualizados así como sus recursos de almacenamiento y de red proporcionando:

• Rápida incorporación de nuevos recursos para los servidores

virtualizados.

• Reducción de los costos de espacio y consumo necesario de

forma proporcional al índice de consolidación logrado

(Estimación media 10:1).

• Reducción de los costos de IT gracias al aumento de la

eficiencia y la flexibilidad en el uso de recursos. • Administración global centralizada y simplificada.

• �os permite gestionar nuestro CPD como un pool de recursos o

agrupación de toda la capacidad de procesamiento, memoria, red y almacenamiento disponible en nuestra infraestructura.

• Mejora en los procesos de clonación y copia de sistemas: Mayor facilidad para la creación de entornos de test que permiten poner en marcha nuevas aplicaciones sin impactar a la producción, agilizando el proceso de las pruebas.

• Aislamiento : un fallo general de sistema de una máquina virtual no afecta al resto de máquinas virtuales

• �o sólo aporta el beneficio directo en la reducción del hardware necesario, sino también en sus costos asociados.

• Reduce los tiempos de parada. • Migración en caliente de máquinas virtuales (sin pérdida de

servicio) de un servidor físico a otro, eliminando la necesidad

29

de paradas planificadas por mantenimiento de los servidores físicos.

• Balanceo dinámico de máquinas virtuales entre los servidores físicos que componen el pool de recursos, garantizando que cada máquina virtual ejecute en el servidor físico más adecuado y proporcionando un consumo de recursos homogéneo y óptimo en toda la infraestructura.

• Alto grado de satisfacción general (P.1).

DESVE�TAJAS:

Carrero, David (Noviembre, 2009)

• Menor rendimiento, dado que una máquina virtual corre en

una capa intermedia a la del hardware real, siempre tendrá un rendimiento inferior.

• Teóricamente no se podrá utilizar hardware que no esté soportado por el hypervisor de virtualización.

• La aceleración de vídeo se ve afectada por el menor rendimiento.

• Aumento de las máquinas virtuales, como una vía para ahorrar compra servidores dedicados reales.

• A veces se desaprovechan los recursos con la creación de

máquinas virtuales que no son necesarias.

• La avería o fallo de un servidor anfitrión de virtualización afecta a todos los servidores virtuales que aloja.

• Como cada producto de virtualización usa sus propios sistemas, no hay uniformidad o estandarización de formatos, la portabilidad entre plataformas es realmente complicada.

• La virtualización incide de forma directa en la venta de servidores reales, aunque los servidores utilizados para virtualizar suelen ser más potentes y por supuesto más caros (P.1).

30

La virtualización tiene múltiples ventajas y muchos beneficios que hacen que

las empresas se inclinen por virtualizar sus servidores, pero así mismo hay

varias desventajas que se deben tener muy en cuenta para establecer

estrategias y procedimientos que las contrarresten.

TIPOS DE VIRTUALIZACIÓ�

En la actualidad las máquinas virtuales se pueden clasificar en dos grandes grupos:

1.- Tipo nativo, unhosted o sobre el metal desnudo (bare metal).

2.- Tipo hosted.

TIPO �ATIVO, U�HOSTED O SOBRE EL METAL DES�UDO (BARE METAL).

En este tipo, el hipervisor se ejecuta directamente sobre el hardware real del equipo

para que controle todo el hardware y pueda monitorizar los sistemas operativos

virtualizados. Las máquinas virtuales que corren de forma simultánea lo hacen en otro

nivel que está por encima del hipervisor. Ejemplos: VMware ESXi, VMware ESX,

Xen, Citrix XenServer y Microsoft Hyper-V Server.

31

Virtualización tipo �ativo

Gráfico 6

Elaboración: http://www.pcactual.com/ Fuente: http://www.pcactual.com/articulo/laboratorio/especiales/7434/ virtualizacion_apodera_del.html

TIPO HOSTED.

En este tipo, la aplicación del Hypervisor se ejecuta sobre un sistema operativo

convencional para luego virtualizar diversos sistemas operativos. Como la

virtualización se la realiza en una capa más alejada del hardware, el rendimiento del

hipervisor va a ser menor. Ejemplos: Sun VirtualBox, Sun VirtualBox OSE, VMware

Workstation, VMware Server, VMware Player, QEMU, Microsoft Virtual PC y

Microsoft Virtual Server.

32

Virtualización tipo huésped

Gráfico 7

Elaboración: http://www.pcactual.com/ Fuente: http://www.pcactual.com/articulo/laboratorio/especiales/7434/ virtualizacion_apodera_del.html

VUL�ERABILIDADES E� MÁQUI�AS VIRTUALES VMWARE

A continuación se detallan algunas de las vulnerabilidades más importantes que se

has detectado en las máquinas virtuales VMware con el pasar de los años, las mismas

que se detallan a continuación:

33

VUL�ERABILIDADES E� OPE�SSL, BI� Y VIM

Según, http://www.rzw.com.ar/seguridad-informatica-5379.html

Múltiples vulnerabilidades en VMWare ESX 3.x

VMware ha publicado una actualización de OpenSSL, bind y vim para VMware ESX 3.0.3 y 3.0.2, que corrigen múltiples vulnerabilidades que podrían permitir a un atacante remoto evadir restricciones de seguridad y ejecutar código arbitrario.

VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. VMware ESX permite asignar recursos de procesador, memoria, almacenamiento de información y redes en múltiples máquinas virtuales.

La primera de las vulnerabilidades corregidas es un fallo en OpenSSL que omitía la validación del valor de retorno de la función 'EVP_VerifyFinal'. Esto podría ser aprovechado por un atacante remoto para evadir restricciones de seguridad a través de firmas 'SSL/TLS' para claves RSA y ECDSA especialmente manipuladas.

Se ha corregido un fallo en bind que omitía la validación del valor de retorno de la función 'DSA_do_verify'. Esto podría ser aprovechado por un atacante remoto para evadir restricciones de seguridad a través de un servidor D�S malicioso con un certificado DSA especialmente manipulado.

Otro de los problemas corregidos reside en el escapado de caracteres especiales en Vim, lo que permitiría ejecutar comandos de la shell introduciendo la clave de carácter 'K' en líneas que contengan el carácter ';'. Esto podría ser aprovechado por un atacante remoto ejecutar comandos de la shell a través de archivos vimscript especialmente manipulados. También se solucionan varios problemas de validación de entrada en funciones de sistema de Vim. Un atacante podría ejecutar código si la víctima abre con vim un documento especialmente manipulado.

Se ha corregido un desbordamiento de memoria intermedia basada en heap en la función 'mch_expand_wildcards' de 'os_unix.c' en Vim. Esto podría ser aprovechado por un atacante

34

remoto para ejecutar código arbitrario a través de nombres de archivo especialmente manipulados.

Por último, se ha corregido un error en el procesamiento de cadenas en la función 'helptags_one' de 'src/ex_cmds.c' en Vim. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario a través de un archivo con 'help-tags' especialmente manipuladas. Se recomienda aplicar la actualización disponible.

Estas vulnerabilidades fueron encontradas en el año 2009 para VMware ESX 3.0.3 y

3.0.2, si bien es cierto las actualizaciones están disponibles en la página de VMware

para corregir Openssl, bin y vim, hay muchas empresas cuyos departamentos de

sistemas desconocen de las mismas y por ende las que tengan instaladas estas

versiones y no se hayan parchado, aún presentarían las vulnerabilidades, más que

nada en nuestro medio.

AGUJERO E� MÁQUI�A VIRTUAL VMWARE FUSIO�

Según, la revista PC World, en su página http://www.idg.es/pcworldtech/mostrarNoticia.asp?id=79445&seccion=actualidad

Agujero descubierto en VMware Fusion mediante el cual,

una máquina virtual Windows (o Linux) residente en un sistema Mac OS X podría ejecutar código malicioso en la máquina desarrollada por Apple. Concretamente, esta vulnerabilidad afecta a la versión 2.0.4 de Fusion.

Según declara Kostya Kortchinsky, investigador de exploits en Immunity Inc, una vulnerabilidad crítica en una máquina virtual de VMWare podría ser utilizada para leer y escribir en el sistema operativo nativo que la alberga (el sistema padre).

35

De hecho, "este exploit utiliza varias vulnerabilidades de la función Display del producto para permitir la lectura y escritura arbitraria de memoria en el host. Por lo tanto, un invitado podría ejecutar código en dicho host, que es el sistema operativo principal", aclara Kortchinsky.

Por su parte, VMware publicó una alerta de seguridad el pasado viernes advirtiendo de la vulnerabilidad, además de incluir un enlace a la nueva versión parcheada de la solución. Se trata de un fichero de 186 MB que se puede descargar gratuitamente desde la web del fabricante .

Si bien es cierto que esta es una vulnerabilidad encontrada en el año 2009, no

podemos dejar de lado la importancia de conocerla y parchar nuestro sistema

VMware Fusion en las versiones indicadas en caso de utilizar esta herramienta.

VUL�ERABILIDADES E� EL SOFTWARE DHCP Según, www.rzw.com.ar/seguridad-informatica-5421.html

El software DHCP en el uso de la tecnología de virtualización que se ejecutan en máquinas virtuales de VMware asigna dirección IP diferente, pero los investigadores de IBM descubrieron que puede ser utilizado por los hackers para controlar el ordenador.

IBM Internet Security investigador Systems, dijo Cruz, para muchas aplicaciones en el software de VMware se ejecutan en el usuario, esto es una mala noticia. Dijo que a través del uso de esta vulnerabilidad, un atacante puede controlar completamente la tecnología de virtualización en este entorno para ejecutar cualquier máquina virtual. Los investigadores de IBM han desarrollado el uso de estos códigos de tres vulnerabilidades.

Con el fin de atacar el sistema, el hacker debe obtener

primero el software que se ejecuta en un acceso a la máquina virtual.

36

Como vemos en esta vulnerabilidad es muy delicado tener un servidor de DHCP, ya

que un hacker puede utilizarlo para controlar el ordenador.

Este tipo de entornos son los preferidos para los hackers, que ven cómo, al aumentar

la superficie de ataque, podrían aprovechar para acceder a un mayor número de

recursos tan pronto como se descubra una vulnerabilidad en alguna de las

aplicaciones o plataformas que coexista.

VUL�ERABILIDADES E� VARIOS PRODUCTOS VMWARE

Según, www.csirtcv.gva.es/html/es/alerts/1516/ Sistemas afectados: VMware Workstation 7.1.1 y anteriores VMware Player 3.1.1 y anteriores VMware ACE Management Server 2.7.1 y anteriores Riesgo: Medio

Descripción:

Los 3 problemas de seguridad son:

• Los instaladores de VMware Workstation 7.x y VMWare Player 3.x cargan un archivo index.htm que se encuentra en el directorio de trabajo en el que se va a instalar la aplicación. Esto puede permitir a un atacante facilitar un archivo malicioso al sistema antes de iniciarse la instalación.

El problema puede ser explotado en el momento en que la aplicación se instala. Las versiones instaladas de Workstation y Player no se ven afectadas.

37

Actualización de del paquete libpng a la versión 1.2.44

Existe una condición de desbordamiento de búfer en libpng. Esto podía permitir la ejecución de código con los privilegios de la aplicación que use libpng. Dos problemas potenciales de denegación de servicio también se abordan en la actualización.

• El tercer fallo afecta a ACE Management Server (AMS) y

viene provocado por una vulnerabilidad en Apache HTTP Server, donde una función no controla correctamente las cabeceras en subrequests en determinadas circunstancias cuando se usan mutihilos (MPM). Esto puede permitir a atacantes remotos obtener información sensible a través de una solicitud manipulada que permita el acceso a ubicaciones de la memoria asociadas con una solicitud anterior. También el módulo mod_isapi de Apache puede ser forzado a cargar una librería específica antes de que se complete el procesado de una petición, provocando una corrupción de memoria. Esto puede permitir a un atacante remoto ejecutar código arbitrario.

Solución, descargar los parches para cada producto.

Estas vulnerabilidades aparecen el 24-09-2010 por lo que se deben descargar los

parches respectivos para evitar que personas mal intencionadas puedan hacer uso

de estas vulnerabilidades.

MÚLTIPLES VUL�ERABILIDADES E� VARIOS PRODUCTOS VMWARE. 24-11-2009

Según, http://comunidad.dragonjar.org/f150/vmware-multiples

Múltiples vulnerabilidades han sido identificadas en varios productos de VMware, que podrían ser explotadas por atacantes remotos para realizar una larga lista de diferentes ataques contra la seguridad de los sistemas.

38

Sistemas afectados:

VMware vCenterServer versiones 4.x VMware VirtualCenter versiones 2.x VMware Server versiones 2.x VMware ESX versiones 4.x VMware ESX versiones 3.x VMware ESXI versiones 4.x VMware ESXI versiones 3.x VMware VMA versiones 4.x Riesgo: Alto Descripción:

VMware ha publicado actualizaciones para múltiples paquetes que afectan a JRE, Tomcat, ntp, kernel, python, bind, libxml, libxml2, curl, y gnutil. Para estas vulnerabilidades se corrigen varios errores que pueden ser explotados por usuarios locales para eludir ciertas restricciones de seguridad, revelar información sensible o manipular ciertos datos, y por usuarios maliciosos remotos para revelar información sensible, realizar ataques de Cross-Site Scripting, manipular datos, ignorar ciertas restricciones de seguridad, causar Denegación de Servicio (DoS - Denial of Service), o comprometer un sistema de usuario.

La mayoría de estas vulnerabilidades han sido reportadas en el nuevo Advisory VMSA-2009-0016, pero también se han actualizado otras alertas de seguridad: - VMSA-2009-0014.1 que resuelve nuevas vulnerabilidades en DHCP, Service Console kernel y JRE. - VMSA-2009-0002.2 que resuelve nuevas vulnerabilidades en Tomcat.

Solución, descargar los parches para cada producto.

Estas vulnerabilidades encontradas el 24-11-2009 ponen en evidencia que las

máquinas virtuales no son completamente seguras, para aquellos departamentos de

39

IT que no tengan el soporte de VMware o alguna empresa que brinde este soporte, es

más que seguro que no se enterarán de las vulnerabilidades a las que están

expuestos.

VMWARE MÚLTIPLES VUL�ERABILIDADES

Según, www.cservices.com.ar/web/noticiaDetalle.aspx?ID=314

Se han reportado múltiples vulnerabilidades en productos VMWare, que podrían ser aprovechadas por usuarios locales maliciosos para revelar información importante o escalar privilegios, y por usuarios remotos maliciosos para revelar información importante, causar una denegación de servicio o potencialmente comprometer el sistema. Versiones Afectadas por estas vulnerabilidades: • VMware Workstation 7.0 • VMware Workstation 6.5.3 y anteriores • VMware Player 3.0 • VMware Player 2.5.3 y anteriores • VMware ACE 2.6 • VMware ACE 2.5.3 y anteriores • VMware Server 2.0.2 y anteriores • VMware Fusion 3.0 • VMware Fusion 2.0.6 y anteriores • VMware VIX API para Windows 1.6.x • VMware ESXi 4.0 con actualización anterior a ESXi400-

201002402-BG • VMware ESXi 3.5 con actualización anterior a ESXe350-

200912401-T-BG • VMware ESX 4.0 sin las actualizaciones ESX400-201002401-

BG y ESX400-200911223-UG • VMware ESX 3.5 sin la actualización ESX350-200912401-BG • VMware ESX 3.0.3 sin la actualización ESX303-201002203-UG • VMware ESX 2.5.5 sin la actualización Upgrade Patch 15

40

Detalle

1. Dos errores en VMware Tools para Windows pueden ser aprovechados para realizar ejecución de código arbitrario y potencialmente escalar privilegios.

2. Un error en el servicio USB puede ser aprovechado para escalar privilegios ubicando en el "host" un archivo ejecutable malicioso.

3. Un error en la librería "libpng" puede ser aprovechado para revelar memoria no inicializada por medio de una imagen especialmente elaborada.

4. Un error de límites y dos errores de enteros truncados en el códec "VMnc" pueden ser aprovechados para realizar ejecución de código arbitrario.

5. Un error en el servicio de autorización "vmware-authd" puede ser aprovechado para causar que la aplicación deje de responder.

6. Un error en ciertos componentes que permiten implementar redes virtuales puede ser aprovechado para revelar información importante.

7. Un error de formato de enteros en "vmrun" puede ser aprovechado para escalar privilegios.

El impacto de estas vulnerabilidades es CRÍTICA.

Estas vulnerabilidades encontradas en muchos de los productos VMware son muy

críticas, por lo que lo recomendable es que todo departamento de IT aplique las

actualizaciones necesarias, si bien es cierto que muchas de las vulnerabilidades han

sido reportadas en años anteriores, esto no es indicativo que muchas de las empresas

hayan parchado sus sistemas virtuales.

Para estas vulnerabilidades se puede acceder a descargar los parches respectivos en la

página principal de VMware.

41

VUL�ERABILIDAD E� VMWARE AFECTA A EQUIPOS BAJO WI�DOWS

Según, www.vsantivirus.com/vul-vmware-250208.htm

Se ha reportado una vulnerabilidad crítica en VMware (25-02-2008) que afecta a versiones instaladas en Windows. VMware es un sistema de virtualización por software, esto es un programa que simula un sistema físico (una computadora). Pueden ejecutarse múltiples sistemas virtuales dentro de un mismo hardware de manera simultánea.

Si se instala VMware en Windows, y se ha habilitado una carpeta compartida, es posible que un programa que se ejecute en el equipo virtual pueda acceder al sistema operativo del host, o sea al de la computadora en que se ejecuta la máquina virtual. El acceso permite la modificación, creación o ejecución de archivos en determinadas ubicaciones.

La carpeta compartida de VMware permite la transferencia de datos entre el sistema virtual y el sistema principal. La vulnerabilidad afecta a las versiones VMware Workstation, VMware Player y VMware ACE que se ejecutan en Windows. Las versiones de este producto para Windows Server, Mac y Linux basados en host, no son vulnerables. El fallo fue reportado a VMware por la compañía de seguridad Core Security Technologies.

Por el momento, la solución es deshabilitar la carpeta compartida. El problema no afecta la línea de software de virtualización para servidores, VMware Server y VMware ESX Server, ya que no utilizan carpetas compartidas.

Las nuevas versiones de VMware Client para Windows también deshabilitan las carpetas compartidas por defecto. Por lo tanto, solo son vulnerables si los usuarios activan dicha opción de forma manual. VMware es ampliamente utilizado para múltiples propósitos, por ejemplo el análisis de malware, respuesta a incidentes, análisis forense, pruebas de seguridad, o capacitación.

42

En este caso podemos observar que las vulnerabilidades se dieron por tener una

carpeta compartida afectando a las máquinas virtuales VMware de las versiones

Workstation, Player, ACE, pero no así en los productos Server, Esx Server, Mac,

Linux, pese a que al instalarse la máquina virtual esta carpeta no se habilite

automáticamente hoy en día, la vulnerabilidad está latente.

¿QUÉ ES X-FORCE?

Según, http://www.ibm.com/ec/services/sps/iss/vms/xforce.phtml

El equipo de investigación y desarrollo X-Force de IBM Internet Security Systems es un grupo líder de expertos en seguridad dedicado a la contrainteligencia proactiva y a la enseñanza pública contra las amenazas en línea. X-Force investiga problemas de seguridad, realiza seguimiento de la evolución de las amenazas a través del Global Threat Operations Center (Centro global de operaciones frente a amenazas) de ISS, y garantiza que ISS sea el primero en aportar al mercado nuevas soluciones de gestión de las amenazas.

Las amenazas a la seguridad no dejan de multiplicarse y

evolucionan a un ritmo vertiginoso, por lo que, ahora más que nunca, es importante analizar las diferentes amenazas que puedan existir para ayudar a nuestros clientes a anticiparse a ellas", afirma Steve Robinson, director de las Soluciones de Seguridad de IBM. "Este año, el informe revela que, a pesar de las amenazas van en aumento, la industria en su conjunto se está volviendo mucho más activa a la hora de identificar vulnerabilidades, lo cual es muy positivo ya que esta colaboración permite identificar y hacer frente a las vulnerabilidades.

X-Forse que es un grupo líder de expertos en seguridades, que trabaja desde 1997 en

la investigación y catalogación de vulnerabilidades, cuyo objetivo es detectar las

43

amenazas y ponerla al descubierto, aportan en mucho a la sociedad con sus

investigaciones descubriendo las nuevas vulnerabilidades en las tecnologías de la

información y también aportando con la solución de las mismas.

Según el último Informe sobre seguridad dado por IBM X-Force 2010, en el primer

semestre de 2010 (07 Septiembre 2010), indica que el 35% de las vulnerabilidades

que impactan a los sistemas virtualizados afectan al software (hypervisor) que

controla todas las máquinas virtuales, esto significa que un atacante o persona mal

intencionada que tenga el control de un sistema virtual puede ser capaz de manipular

a los otros sistemas virtuales en la misma máquina, lo que pone de manifiesto la

importancia de tener en cuenta la seguridad a la hora de abordar los proyectos de

virtualización.

SOFTWARE DE PROTECCIÓ� PARA MÁQUI�AS VIRTUALES VMWARE

IBM VIRTUAL SERVER SECURITY PARA VMWARE

Los sistemas de protección contra intrusos se han venido adaptando progresivamente

a la virtualización y como muestra de esta tendencia, IBM ISS lanzó a mediado de

noviembre 2009 el IBM Virtual Server Security para VMware, permitiendo proteger

los diferentes aspectos de una infraestructura virtual, incluyendo el hypervisor, el

44

IBM VIRTUAL SERVER SECURITY PARA VMWARE

sistema operativo, las aplicaciones de redes, escritorios virtuales basados en

servidores, máquinas virtuales y tráfico de datos entre ellos.

Gráfico 8

Fuente: http://www.ftp.software.ibm.com Elaboración: http://www.ftp.software.ibm.com

Esta herramienta controla de acceso a la red virtual, detección de rootkits de

detección y prevención, monitoreo y reporteo de la infraestructura virtual,

autodescubrimiento y protección de segmentos de la red virtual. La virtualización está

ya en un gran porcentaje de los centros de cómputo en nuestro medio, donde se

45

emplea para rebajar los costos de la actualización del hardware pues integra más

servidores en un solo computador físico.

Este software tiene como misión proteger la seguridad de cargas de trabajo que corren

sobre servidores virtuales, cuya protección dinámica es para todas las capas:

– Hypervisor – SO – Red – Aplicaciones – Máquinas virtuales (VM) – Trafico interno

SEGURIDAD DE LA GESTIÓ� DE LA VIRTUALIZACIÓ�

La virtualización con el pasar de los años se ha convertido en una de las mayores

transformaciones en la tecnología de la información. Sin embargo, muchas empresas

en nuestro medio aún no pueden apreciar por completo el impacto que el uso de estas

ejerce sobre la seguridad. La virtualización nos da muchos beneficios, así como

también nuevos riesgos, muchos de los cuales no tienen precedentes en la TI

tradicional ni en el entorno físico.

Si comparamos los sistemas físicos, con las múltiples máquinas virtuales (huésped),

estas comparten un mismo host, abstraen de su topología física una red, se pueden

configurar offline y se pueden implementar según demanda, con lo que se da un

entorno más dinámico y flexible cumpliendo las exigencias propias del negocio.

46

Las seguridades en la funcionalidad virtualizada dependen mucho del control

administrativo, con esto viene la necesidad de seguridad en los procesos, en la gestión

y en las tecnologías que tengan en cuenta la virtualización y garanticen su

administración.

Según EMA (Enterprise Management Associates) describe un enfoque sistemático

para asegurar la gestión de sistemas virtualizados en los centros de cómputo de

acuerdo a la filosofía “planificar, hacer, verificar y actuar” de la serie de normas ISO

27000.

Los sistemas virtualizados tipo huésped pueden tener algunos niveles vulnerables

como: en sus operaciones, en su exposición de red o en la información que manejan.

Si una máquina virtual tipo huésped está expuesta a una red pública puede correr el

riesgo de exponer información valiosa en otro huésped en el mismo host.

Cuándo se tenían servidores por host, las interacciones que podría resultar peligrosas

se las controlaban fácilmente mediante el aislamiento físico o lógico. A diferencia de

la virtualización que hace que este aislamiento sea mucho más fácil de vulnerar, ya

que los recursos están compartidos en un solo host.

Los cambios que se puedan dar en la configuración de los servidores o en la red

pueden generar vulnerabilidades tales como: una falla de software sin parches o un

acceso a la red, lo cual podría incurrir en una apropiación del sistema. En cambio, la

47

virtualización amplifica en gran medida estas vulnerabilidades, cuando una

configuración de la máquina virtual vulnerable se replica varias veces en producción.

Si las organizaciones no controlan la implementación de la virtualización de sus

servidores, esto puede aumentar la superficie de ataques sustancialmente y además

que su administración no sea la adecuada.

Este crecimiento desordenado de la virtualización conlleva a consecuencias

importantes tales como:

• Aumentan las exposiciones al riesgo si no se aplican medidas de seguridad

adecuadas y consistentes en todo el entorno virtual.

• Expone a la organización a vulneraciones de licencia de software.

• Introduce, de manera potencial, infracciones del cumplimiento de

regulaciones relacionadas con la gestión de datos privados; con la separación

de sistemas y redes; y con los registros, los recursos y el control de cambios

adecuados.

Las imágenes de las máquinas virtuales son archivo o un conjunto de archivos

almacenados como datos. Estos datos pueden ser copiados y luego ejecutados en un

ambiente no controlado evadiendo protecciones autorizadas. Por esta razón se deben

48

tomar medidas de control sobre el acceso a los sistemas de almacenamiento que

gestionan dichos datos.

Se debe reforzar la protección de privilegios y acciones administrativas, ya que los

privilegios administrativos hacen posible la definición de imágenes de las máquinas

virtuales, su capacidad de recuperación almacenada como datos, el control sobre su

implementación y la gestión en producción.

Se necesita un conocimiento profundo sobre la infraestructura virtual para detectar

factores como la consolidación, la transferencia y la suspensión de máquinas

virtuales, y el control de imágenes de las máquinas virtuales como datos. Sin esta

visibilidad, las acciones administrativas que representan riesgos pueden pasar

inadvertidas. Sin controles específicos de la virtualización, estas acciones también

pueden carecer de gestión.

Las Normas ISO 27000 se enfocan en las normas administrativas de la seguridad en

TI, las mismas que se resumen en: “Planificar, hacer, verificar y actuar”, las

organizaciones tales como Computer Security Institute (CSI) y VMware ofrecen sus

propias pautas para asegurar la gestión de entornos virtualizados.

49

Para, ENTERPRISE MANAGEMENT ASSOCIATES (EMA™) (2010), preparado para RSA, la División de Seguridad de EMC

PLA�IFICAR:

DEFI�ICIÓ� DE U�A CO�FIGURACIÓ� ADECUADA

La seguridad del control administrativo está implícita en los

principios de seguridad fundamentales que se aplican en los entornos virtuales y físicos. La seguridad de la gestión de la virtualización comienza, por lo tanto, asegurando el entorno físico y extendiendo esos principios a la virtualización.

• Limite la exposición que pueda originar accesos de privilegios altos no autorizados.

• Instale herramientas de seguridad personalizadas, como

antimalware, firewall y sistemas de prevención de intrusiones en host.

• Desactive las funciones innecesarias o superfluas. • Reserve los recursos de sistema para los procesos de gestión de

servicios: gestión de parches, cambios, recursos y configuración. • Las configuraciones seguras se deben construir en plantillas

consolidadas para garantizar que cuando se implementen sistemas nuevos, estos se configuren adecuadamente. Esto incluye la configuración del host físico, el hipervisor y cada VM huésped.

La segmentación de red adquiere una dimensión agregada

en los entornos virtualizados, ya que cada una de las VM huésped tiene sus propias conexiones (a las topologías de red lógicas y físicas fuera del host virtualizado, y también dentro del host en sí).

• En la mayoría de los casos, las comunicaciones de red entre las VM huésped se deben aislar. Las tecnologías como VMware vShield Zones pueden limitar el tráfico entre máquinas virtuales y las consiguientes exposiciones al riesgo, lo que extiende los principios de segmentación de red consolidados al mundo virtual.

50

• La conexión a interfaces físicas específicas puede garantizar aún más este aislamiento protector y moderar los riesgos de configuración de software.

La configuración de sistemas de gestión de la virtualización es especialmente importante, ya que estos controlan de manera directa la funcionalidad. VMware vCenter, por ejemplo, brinda gestión centralizada de entornos de VMware y, en consecuencia, debe emplearse cuidadosamente.

• Limite el acceso administrativo al host donde se ejecuta vCenter. vCenter debería ejecutarse en una cuenta administrativa independiente específicamente provista para ese fin.

• Las redes de gestión y producción deberían aislarse mutuamente

para limitar el riesgo de acceso no autorizado a las funcionalidades administrativas.

Cuando el acceso administrativo está autorizado, se debe

aplicar el principio de privilegio mínimo.

• El acceso administrativo debería relacionarse con la responsabilidad individual tanto como sea posible. El acceso a cuentas administrativas compartidas, como root, debería limitarse, mientras que las herramientas como “su” deberían restringirse.

• El control de acceso basado en funciones (RBAC) ofrece una

forma de separar funciones administrativas en funciones individuales que los usuarios autorizados pueden activar cuando es necesario. En el caso de VMware vCenter, la funcionalidad de funciones personalizadas ofrece una manera incorporada de definir y separar los privilegios administrativos según las funciones.

La monitorización del entorno es esencial, principalmente

para monitorizar el acceso y las acciones administrativas, tanto autorizadas como no autorizadas. Las organizaciones deberían planificar la implementación de herramientas de gestión de eventos y tener un conocimiento profundo sobre los riesgos de la virtualización. Esto incluye acceso monitorizado a recursos de almacenamiento de imágenes de VM.

51

• Aquí también, la separación de funciones basada en RBAC debería ayudar a garantizar que aquellos que cuentan con privilegios de acceso administrativo no tengan además la capacidad de alterar la evidencia de las acciones administrativas.

HACER:

SEGURIDAD ADMI�ISTRATIVA E� LAS OPERACIO�ES

Una vez implementada la virtualización, los principios de exposición limitada y privilegio mínimo se deben continuar en la gestión de las operaciones. La exposición a los riesgos de acceso administrativo se puede moderar mediante el uso de las herramientas de gestión más seguras o detalladas, siempre que estén disponibles. • En el entorno VMware, la consola de servicio ESX puede

activar una funcionalidad extremadamente amplia con control limitado. Se puede lograr un mejor control mediante el uso de herramientas mucho más detalladas que aprovechen la funcionalidad vCenter, como PowerCLI y toolkits que usen la API de vSphere.

• Ya que estas herramientas aprovechan vCenter, tambiénhacen

cumplir el control y la monitorización de privilegios centralizados. Además, brindan acceso administrativo basado en funciones mediante las funciones personalizadas de vCenter.

• Una autenticación sólida puede asegurar aún más el acceso al privilegio administrativo. Algunas directivas de cumplimiento de normas, como el estándar de seguridad de datos de PCI, pueden requerir, específicamente, una autenticación de dos factores para el acceso administrativo remoto. Uno de los ejemplos más conocidos de la autenticación de dos factores es la tecnología de contraseñas de un solo uso de RSA SecurID, usada, desde hace tiempo, para asegurar el acceso administrativo en muchas organizaciones de todo el mundo.

52

VERIFICAR:

MO�ITORIZACIÓ� DE ACCIO�ES ADMI�ISTRATIVAS

La creación de funcionalidades de monitorización en la fase

de planificación es esencial, pero debe usarse de manera efectiva en las operaciones. Según el informe de investigaciones sobre vulneraciones de datos de Verizon Business realizado en 20092, el 66% de las víctimas tuvo suficiente evidencia disponible en los datos de registro como para descubrir una vulneración prestando la debida atención al análisis del log. El volumen total de información de monitorización que TI genera resume el problema para muchos. Esta masa de datos es difícil, si no imposible, de manejar sin las herramientas para dar prioridad a las alertas que identifican los riesgos significativos.

Los sistemas de gestión de eventos e información de seguridad (SIEM) son una herramienta primordial para enfrentar estos retos. Sin embargo, para ser más efectivos en la monitorización de la gestión de la virtualización, deben contar con una visibilidad integral:

• Eventos en cualquier entorno. La monitorización debe cubrir eventos que son específicos de la virtualización, pero que afectan la seguridad de la gestión de la virtualización. Por ejemplo:

- Los eventos deben correlacionarse con los cambios de TI. La monitorización del cambio de TI es un principio fundamental de la gestión de TI que fortalece el control de cambios y mejora la fiabilidad de TI. En seguridad, la detección de cambios podría revelar actividad de amenaza.

- Los eventos deben correlacionarse con los accesos

administrativos. Esto puede ayudar a identificar un acceso administrativo no autorizado o un ataque de seguridad que explote el privilegio administrativo. También proporciona una gestión de TI más fiable, dado que ayuda a identificar la causa raíz de problemas de rendimiento o disponibilidad provocados por acciones administrativas.

- El acceso a recursos de almacenamiento que alojan las

imágenes de VM debe monitorizarse para brindar protección contra la implementación o el análisis no autorizados de sistemas virtuales.

53

• Eventos específicos de la virtualización. Las herramientas de monitorización también deben contar con visibilidad en la actividad administrativa exclusiva de la virtualización. Esto es particularmente importante cuando los eventos tienen pocos precedentes, o no los tienen, en el entorno físico.

- Deben monitorizarse las acciones administrativas que producen cambios en el estado de la VM. La detención y el inicio de un servicio en un servidor físico se pueden detectar mediante herramientas convencionales; pero en el caso de los problemas específicos de la virtualización, como suspensión de VM, es posible que no sea así. Las VM también se pueden transferir de un host físico a otro, lo que podría provocar la infracción de una política. En estos casos, la monitorización debe contar con visibilidad dentro de la infraestructura de la virtualización.

- En la mayoría de los casos, la realización de cambios en la

configuración de una VM requiere poner la VM offline y volver a montarla, lo cual no es tan intuitivo como el reinicio de un servidor físico. Cuando los cambios se definen en las imágenes de VM maestras, la monitorización debe garantizar que estos cambios se comiencen a implementar oportunamente. Esto puede ser importante al parchear las vulnerabilidades de seguridad explotadas de manera activa.

- Deben detectarse los intentos no autorizados de copia o

“clonación” de VM para garantizar que la información o los sistemas confidenciales no se expongan fuera del entorno autorizado y controlado.

- El crecimiento desordenado de la virtualización debe

monitorizarse y contenerse para garantizar que la virtualización se gestione de manera adecuada, que los entornos regulados se encuentren bajo control adecuado y que se reduzca la posibilidad de que la exposición al riesgo amplíe la superficie de ataque.

Las herramientas de monitorización también deben contar con visibilidad en la actividad administrativa exclusiva de la virtualización. Esto es particularmente importante cuando los eventos tienen pocos precedentes, o no los tienen, en el entorno físico.

54

Las plataformas SIEM, como RSA enVision®, proporcionan visibilidad dentro de la actividad integral en entornos físicos y virtualizados. Las herramientas de gestión de cambios y configuración de EMC y VMware, como VMware vCenter Server Configuration Manager, ofrecen un conocimiento profundo de la configuración y los cambios conscientes de la virtualización que se puede correlacionar con la monitorización de eventos. Estos son ejemplos de tecnologías que cuentan con visibilidad dentro de la infraestructura de la virtualización, necesaria para garantizar que los problemas específicos de la virtualización no se pasen por alto.

ACTUAR:

LA IMPORTA�CIA DE LA RESPUESTA

Una cosa es monitorizar y otra diferente es actuar, como lo

sugieren las investigaciones sobre vulneraciones de datos. Incluso cuando los sistemas de gestión de eventos se correlacionan e identifican los problemas de alta prioridad, se deben tomar medidas para permitir una respuesta, para evitar que el problema se vuelva a repetir y para asegurar de una mejor manera la gestión de la virtualización en el futuro. Aquí también existen principios generales que se pueden aplicar en cualquier entorno, además de los que son específicos de la virtualización:

• Evalúe la integridad de la respuesta. Cuando se conocen las vulnerabilidades, se debe encontrar y confirmar la exposición en otros entornos. Los sistemas de gestión de configuración no solo pueden verificar su presencia cuando aparece, sino que también pueden corregir directamente las exposiciones mediante un cambio de configuración.

• Adopte un método proactivo. Más allá de la monitorización, la

“revisión” también debe incluir la evaluación regular de la efectividad del programa. Esto ayuda a garantizar que la virtualización se gestione de manera responsable a medida que las tecnologías, los casos de uso y los requerimientos del negocio cambien. Los eventos de cambios que requieren consistentemente excepciones para procesos de gestión aceptados, por ejemplo, pueden requerir una revaluación de esos procesos.

55

• Expanda la “conciencia sobre la virtualización”. Reconozca que la virtualización puede tener un impacto contundente en las disciplinas de gestión existentes, como la gestión de configuración. El entorno virtual es mucho más dinámico que el mundo existente. Las VM se pueden transferir con mucha libertad entre hosts físicos. Los cambios se pueden realizar offline, lo que reduce el impacto de cambio en los entornos de producción; sin embargo, los equipos de operaciones deben garantizar que estos cambios se pongan en producción según lo esperado. Las organizaciones querrán garantizar que las herramientas administrativas cuenten con visibilidad adecuada dentro de la infraestructura de la virtualización a fin de evitar ser tomadas por sorpresa por estos problemas específicos de la virtualización.

• Enlace la infraestructura virtual con la gestión de servicios de TI.

Los sistemas de monitorización pueden crear un ticket de servicio como respuesta a eventos específicos. Esto ayuda a que el seguimiento de incidentes llegue a una conclusión satisfactoria, que puede incluir análisis forense u otro tipo de seguimiento, si es necesario. Por el contrario, un ticket de servicio se puede usar para autorizar un evento de cambio específico, cuyo resultado (satisfactorio o no) se refleje en los sistemas de monitorización (P.4-7).

LOS SISTEMAS I�FORMÁTICOS

Los Sistemas informáticos son un conjunto de elementos conectados o relacionados

por los dispositivos físicos (Hardware) y los lógicos (Software) para almacenar

procesar y tener acceso a la información. En todo sistema informático se introduce la

información a través de los periféricos de entrada, para luego ser procesados y

mostrados por los periféricos de salida.

56

LA I�FORMACIÓ�

Para la Profesora Ana María Muñoz, La información es un

conjunto organizado de datos procesados, que constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje. Desde el punto de vista de la teoría general de sistemas cualquier señal o input capaz de cambiar el estado de un sistema constituye un pedazo de información (P.1).

Según la página, http://www.mfbarcell.es/redes_de_datos/tema_14/redes_t14_seguridad1_conceptos.pdf

La información ISO/IEC 17799

La información es un activo que tiene valor para la organización y requiere una protección adecuada.

La seguridad de la información la protege de un amplio elenco de amenazas para:

• Asegurar la continuidad del negocio, • Minimizar los daños a la organización • Maximizar el retorno de inversiones • Y las oportunidades de negocios.

ISO/IEC 17799 formas de la información

La información adopta diversas formas.

• Puede estar impresa o escrita en papel, • Almacenada electrónicamente, • Transmitida por correo o por medios electrónicos, • Mostrada en filmes o hablada en conversación.

Debería protegerse adecuadamente cualquiera que sea la

forma que tome o los medios por los que se comparta o almacene (P.4-5).

57

La información constituye uno de los activos más importantes de toda organización,

por lo cual debe ser resguardada, respaldada y debidamente asegurada,

implementando todos los controles posibles físicos y lógicos.

SEGURIDAD I�FORMÁTICA

Según, http://definicion.de/seguridad-informatica/

“La seguridad informática es una disciplina que se encarga de proteger la integridad y privacidad de la información almacenada en un sistema informático.”

Gráfico 9

Elaboración: Markus Erb Fuente: http://protejete.wordpress.com/gdr_principal/seguridad_informacion _proteccion/

La certeza de que un sistema sea cien por ciento seguro y que se puedan evitar daños

y problemas ocasionados por intrusos, técnicamente es imposible, por ello se habla de

niveles de seguridad, en donde la seguridad informática es un conjunto de técnicas

encaminadas en obtener altos niveles de seguridad en los sistemas informáticos.

58

IMPORTA�CIA DE PROTEGER LA I�FORMACIÓ�

Como los sistemas informáticos están expuestos a cualquier tipo de ataque, sea este

en el hardware, software o datos, siendo los datos y la información lo más importante

de una organización, deben ser protegidos por las técnicas de seguridad informática,

dedicada a proteger principalmente la confidencialidad, la integridad, la

disponibilidad y la irrefutabilidad de la información.

Gráfico 10

Elaboración: Markus Erb Fuente: http://protejete.wordpress.com/gdr_principal/seguridad_informacion _proteccion/

Confidencialidad: Se refiere a que la información debe ser conocida sólo por

individuos autorizados.

Integridad: Se refiere a que la información no ha sido alterada, borrada, copiada,

reordenada, etc, durante el proceso de transmisión o en su propio equipo de origen.

59

Disponibilidad: La información debe estar disponible en el momento que se

necesite.

Irrefutabilidad: Que no se pueda negar la autoría.

TÉRMI�OS DE LA SEGURIDAD I�FORMÁTICA

Según, http://www.teleinformatica.gob.ve/?p=127

Activo: Recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos. Amenaza: Es un evento que puede desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos. Impacto: Medir la consecuencia al materializarse una amenaza. Riesgo: Es la probabilidad de que suceda la amenaza o evento no deseado. Vulnerabilidad: Son aspectos que influyen negativamente en un activo y que posibilita la materialización de una amenaza. Ataque: Evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema. Desastre o Contingencia: Puede ser un huracán, una tormenta etc. procesamiento de la misma a través de computadoras necesarias para la operación normal de un negocio.

60

Seguridad Física

SEGURIDAD DEPE�DIE�DO DE LA AME�AZA

Dependiendo a las fuentes de amenaza, la seguridad puede ser:

• Seguridad lógica.

• Seguridad física.

LA SEGURIDAD FÍSICA

En la página, http://www.segu-info.com.ar/logica/seguridadlogica.htm

“Así, la Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial”.

Gráfico 11

Elaboración: Alejandro Barros Fuente: http://www.alejandrobarros.com/content/view/502061/Discos-USB-Desafio-para-la-seguridad.html

De nada serviría que las organizaciones sean las más seguras ante ataques externos,

hackers, virus, etc, si la seguridad física es nula y no se ha previsto como combatir un

incendio, en caso de un ataque interno a la empresa que quiera acceder físicamente a

61

la sala de operaciones, etc. Esto puede derivar en que para un atacante sea más fácil

lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica a la misma.

TIPOS DE DESASTRES

Las principales amenazas que se prevén en la seguridad física son: • Desastres naturales.

• Incendios accidentales.

• Tormentas e inundaciones.

• Amenazas ocasionadas por el hombre.

• Disturbios.

• Sabotajes internos y externos deliberados.

Se debe recalcar que las organizaciones no están exentas a cualquier tipo de desastre

ya sea este natural, por alguna amenaza o sabotaje, por lo que se deberían tomar

medidas de seguridad como son los respaldos de información valiosa para la empresa.

LA SEGURIDAD LÓGICA En la página, http://www.segu-info.com.ar/logica/seguridadlogica.htm “La Seguridad Lógica consiste en la aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo".

62

Seguridad Lógica

Gráfico 12

Elaboración: http://www.audienciaelectronica.net/2010/09/24/50-software-utilizado-tienen-problemas-de-seguridad/ Fuente: http://www.audienciaelectronica.net/2010/09/24/50-software-utilizado-tienen-problemas-de-seguridad/ La información debe ser resguardada en todo momento por ser uno de los activos más

valiosos de toda empresa, para ello se debe tomar en cuenta todas las medidas de

seguridad que sean necesarias y así evitar pérdida de datos, robo de información o

cualquier otro delito informático.

OBJETIVOS

En la página, http://www.segu-info.com.ar/logica/seguridadlogica.htm

� Restringir el acceso a los programas y archivos. � Asegurar que los operadores puedan trabajar sin una

supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan.

� Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el procedimiento correcto.

63

� Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro.

� Que la información recibida sea la misma que ha sido transmitida.

� Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.

� Que se disponga de pasos alternativos de emergencia para la transmisión de información.

Estos objetivos son algunos de los que deberían tener en cuenta todas las empresas al

momento de implementar sus políticas de seguridad y así evitarse cualquier

inconveniente con sus sistemas de información.

Implementar buenas políticas de seguridad en todos los niveles permitirá tener un

mejor control de la información que se maneja dentro de una organización.

CO�TROLES DE ACCESO

Según, http://www.nist.gov

�ational Institute for Standars and Technology (�IST) ha resumido los siguientes estándares de seguridad que se refieren a los requisitos mínimos de seguridad en cualquier sistema: • Identificación y Autentificación

Se denomina Identificación al momento en que el usuario se da a conocer en el sistema; y Autenticación a la verificación que realiza el sistema sobre esta identificación.

• Roles

El acceso a la información también puede controlarse a través de la función o rol del usuario que requiere dicho acceso.

• Transacciones

64

También pueden implementarse controles a través de las transacciones, por ejemplo solicitando una clave al requerir el procesamiento de una transacción determinada.

• Limitaciones a los Servicios

Estos controles se refieren a las restricciones que dependen de parámetros propios de la utilización de la aplicación o preestablecidos por el administrador del sistema.

• Modalidad de Acceso

Se refiere al modo de acceso que se permite al usuario sobre los recursos y a la información. Esta modalidad puede ser:

� Lectura: el usuario puede únicamente leer o visualizar la

información pero no puede alterarla. Debe considerarse que la información puede ser copiada o impresa.

� Escritura: este tipo de acceso permite agregar datos,

modificar o borrar información.

� Ejecución: este acceso otorga al usuario el privilegio de ejecutar programas.

� Borrado: permite al usuario eliminar recursos del sistema

(como programas, campos de datos o archivos). El borrado es considerado una forma de modificación.

� Todas las anteriores.

Además existen otras modalidades de acceso especiales, que generalmente se incluyen en los sistemas de aplicación: • Creación: permite al usuario crear nuevos archivos, registros o

campos. • Búsqueda: permite listar los archivos de un directorio

determinado. • Ubicación y Horario

El acceso a determinados recursos del sistema puede estar basado en la ubicación física o lógica de los datos o personas. En cuanto a los horarios, este tipo de controles permite limitar el acceso de los usuarios a determinadas horas de día o a determinados días de la semana.

65

• Control de Acceso Interno

� Palabras Claves (Passwords)

Se podrá, por años, seguir creando sistemas altamente seguros, pero en última instancia cada uno de ellos se romperá por este eslabón: la elección de passwords débiles.

� Encriptación

La información encriptada solamente puede ser desencriptada por quienes posean la clave apropiada.

� Listas de Control de Accesos

Se refiere a un registro donde se encuentran los nombres de los usuarios que obtuvieron el permiso de acceso a un determinado recurso del sistema, así como la modalidad de acceso permitido. Este tipo de listas varían considerablemente en su capacidad y flexibilidad.

� Límites sobre la Interface de Usuario

Esto límites, generalmente, son utilizados en conjunto con las listas de control de accesos y restringen a los usuarios a funciones específicas. Básicamente pueden ser de tres tipos: menús, vistas sobre la base de datos y límites físicos sobre la interface de usuario.

� Etiquetas de Seguridad

Consiste en designaciones otorgadas a los recursos que pueden utilizarse para varios propósitos como control de accesos, especificación de medidas de protección, etc. Estas etiquetas no son modificables.

• Control de Acceso Externo

� Dispositivos de Control de Puertos

Estos dispositivos autorizan el acceso a un puerto determinado y pueden estar físicamente separados o incluidos en otro dispositivo de comunicaciones, como por ejemplo un módem.

66

� Firewalls o Puertas de Seguridad

Permiten bloquear o filtrar el acceso entre dos redes, usualmente una privada y otra externa (por ejemplo Internet). Los firewalls permiten que los usuarios internos se conecten a la red exterior al mismo tiempo que previenen la intromisión de atacantes o virus a los sistemas de la organización.

� Acceso de Personal Contratado o Consultores

Debido a que este tipo de personal en general presta servicios temporarios, debe ponerse especial consideración en la política y administración de sus perfiles de acceso.

� Accesos Públicos

Para los sistemas de información consultados por el público en general, o los utilizados para distribuir o recibir información computarizada (mediante, por ejemplo, la distribución y recepción de formularios en soporte magnético, o la consulta y recepción de información a través del correo electrónico) deben tenerse en cuenta medidas especiales de seguridad, ya que se incrementa el riesgo y se dificulta su administración.

� Administración

Una vez establecidos los controles de acceso sobre los sistemas y la aplicación, es necesario realizar una eficiente administración de estas medidas de seguridad lógica, lo que involucra la implementación, seguimientos, pruebas y modificaciones sobre los accesos de los usuarios de los sistemas.

Todos los controles de acceso tanto internos como externos deben ser

cuidadosamente configurados según el estándar establecido, para que la información

de la empresa no sea vulnerable con la manipulación de los sistemas por parte de los

usuarios sean estos internos, externos o también consultores.

67

�IVELES DE SEGURIDAD I�FORMÁTICA

En la página http://www.segu-info.com.ar/logica/seguridadlogica.htm

El estándar de niveles de seguridad más utilizado internacionalmente es el TCSEC Orange Book, desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del Departamento de Defensa de los Estados Unidos.

Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el mínimo grado de seguridad al máximo.

Estos niveles han sido la base de desarrollo de estándares europeos (ITSEC/ITSEM) y luego internacionales (ISO/IEC).

Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: así el subnivel B2 abarca los subniveles B1, C2, C1 y el D.

� �ivel D

Este nivel contiene sólo una división y está reservada para sistemas que han sido evaluados y no cumplen con ninguna especificación de seguridad.

Sin sistemas no confiables, no hay protección para el hardware, el sistema operativo es inestable y no hay autentificación con respecto a los usuarios y sus derechos en el acceso a la información. Los sistemas operativos que responden a este nivel son MS-DOS y System 7.0 de Macintosh.

• �ivel C1: Protección Discrecional

Se requiere identificación de usuarios que permite el acceso a distinta información. Cada usuario puede manejar su información privada y se hace la distinción entre los usuarios y el administrador del sistema, quien tiene control total de acceso.

Muchas de las tareas cotidianas de administración del sistema sólo pueden ser realizadas por este "súper usuario" quien tiene gran responsabilidad en la seguridad del mismo. Con la actual

68

descentralización de los sistemas de cómputos, no es raro que en una organización encontremos dos o tres personas cumpliendo este rol. Esto es un problema, pues no hay forma de distinguir entre los cambios que hizo cada usuario.

A continuación se enumeran los requerimientos mínimos que debe cumplir la clase C1:

� Acceso de control discrecional: distinción entre usuarios y recursos. Se podrán definir grupos de usuarios (con los mismos privilegios) y grupos de objetos (archivos, directorios, disco) sobre los cuales podrán actuar usuarios o grupos de ellos.

� Identificación y Autentificación: se requiere que un usuario se identifique antes de comenzar a ejecutar acciones sobre el sistema. El dato de un usuario no podrá ser accedido por un usuario sin autorización o identificación.

• �ivel C2: Protección de Acceso Controlado

Este subnivel fue diseñado para solucionar las debilidades del C1. Cuenta con características adicionales que crean un ambiente de acceso controlado. Se debe llevar una auditoria de accesos e intentos fallidos de acceso a objetos.

Tiene la capacidad de restringir aún más el que los usuarios ejecuten ciertos comandos o tengan acceso a ciertos archivos, permitir o denegar datos a usuarios en concreto, con base no sólo en los permisos, sino también en los niveles de autorización.

Requiere que se audite el sistema. Esta auditoría es utilizada para llevar registros de todas las acciones relacionadas con la seguridad, como las actividades efectuadas por el administrador del sistema y sus usuarios.

La auditoría requiere de autenticación adicional para estar seguros de que la persona que ejecuta el comando es quien dice ser. Su mayor desventaja reside en los recursos adicionales requeridos por el procesador y el subsistema de discos.

69

Los usuarios de un sistema C2 tienen la autorización para realizar algunas tareas de administración del sistema sin necesidad de ser administradores.

Permite llevar mejor cuenta de las tareas relacionadas con la administración del sistema, ya que es cada usuario quien ejecuta el trabajo y no el administrador del sistema.

• �ivel B1: Seguridad Etiquetada

Este subnivel, es el primero de los tres con que cuenta el nivel B. Soporta seguridad multinivel, como la secreta y ultra secreta. Se establece que el dueño del archivo no puede modificar los permisos de un objeto que está bajo control de acceso obligatorio.

A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un nivel de seguridad jerárquico (alto secreto, secreto, reservado, etc.) y con unas categorías (contabilidad, nóminas, ventas, etc.).

Cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo y viceversa. Es decir que cada usuario tiene sus objetos asociados.

También se establecen controles para limitar la propagación de derecho de accesos a los distintos objetos.

• �ivel B2: Protección Estructurada

Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto inferior.

La Protección Estructurada es la primera que empieza a referirse al problema de un objeto a un nivel más elevado de seguridad en comunicación con otro objeto a un nivel inferior.

Así, un disco rígido será etiquetado por almacenar archivos que son accedidos por distintos usuarios.

El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y seguridad son modificadas; y el administrador es el encargado de fijar los canales de almacenamiento y ancho de banda a utilizar por los demás usuarios.

70

• �ivel B3: Dominios de Seguridad

Refuerza a los dominios con la instalación de hardware: por ejemplo el hardware de administración de memoria se usa para proteger el dominio de seguridad de acceso no autorizado a la modificación de objetos de diferentes dominios de seguridad.

Existe un monitor de referencia que recibe las peticiones de acceso de cada usuario y las permite o las deniega según las políticas de acceso que se hayan definido.

Todas las estructuras de seguridad deben ser lo suficientemente pequeñas como para permitir análisis y testeos ante posibles violaciones.

Este nivel requiere que la terminal del usuario se conecte al sistema por medio de una conexión segura.

Además, cada usuario tiene asignado los lugares y objetos a los que puede acceder.

• �ivel A: Protección Verificada

Es el nivel más elevado, incluye un proceso de diseño, control y verificación, mediante métodos formales (matemáticos) para asegurar todos los procesos que realiza un usuario sobre el sistema.

Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores deben incluirse. El diseño requiere ser verificado de forma matemática y también se deben realizar análisis de canales encubiertos y de distribución confiable. El software y el hardware son protegidos para evitar infiltraciones ante traslados o movimientos del equipamiento.

Cada nivel de seguridad tiene sus beneficios y desventajas pero si llegamos al

nivel A que incluye a todos los otros niveles, la seguridad sería mejor

controlada y los accesos a los sistemas serían los más apropiados según los

estándares de la ISO.

71

Delitos informáticos

LOS DELITOS I�FORMÁTICOS

Gráfico 13

Elaboración: Brenda Soledad De León Fuente: http://www.seguridadinformatica.es/profiles/blogs/delitos-informaticos-1

Según, Julio Téllez Valdés, Derecho Informático, 2da Edición, Mc Graw Hill – México 1996

Julio Téllez Valdés conceptualiza al delito informático en

forma típica y atípica, entendiendo que en la forma típica son “las conductas típicas, antijurídicas y culpables en que se tienen a las computadoras como instrumento o fin” y la forma atípica “actitudes ilícitas en que se tienen a las computadoras como instrumento o fin”.

Según, María de la Luz Lima, Delitos Electrónicos Pág. 100, Ediciones Porrua - México 1984

María de la Luz Lima indica que el delito electrónico en un

sentido amplio es “cualquier conducta criminógena o criminal que en su realización hace uso de la tecnología electrónica ya sea como método, medio o fin”, y que en un sentido estricto, el delito informático, es “cualquier acto ilícito penal en el que las

72

computadoras, sus técnicas y funciones desempeñan un papel ya sea como método, medio o fin”.

El Convenio de Cyber-delincuencia del Consejo de Europa,

define a los delitos informáticos como “los actos dirigidos contra la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, redes y datos informáticos, así como el abuso de dichos sistemas redes y datos”

Los Delitos informáticos, con los avances tecnológicos, el desarrollo de la

programación y de Internet; se vuelven cada vez más frecuentes, buscando infringir y

causar daño a todo lo que encuentren en el ámbito informático.

En sí todo aquello que se realice a través de una computadora y se tenga a éste como

método, medio o fin con la intención de causar daño a terceros es considerado un

delito informático y el mismo debe ser penalizado y sancionado por la Ley.

CARACTERÍSTICAS DE LOS DELITOS

Según el mexicano Julio Tellez Valdez, perito en los delitos informáticos presenta las siguientes características principales:

- Son conductas criminales de cuello blanco (white collar crime), en tanto que sólo un determinado número de personas con ciertos conocimientos (en este caso técnicos) puede llegar a cometerlas.

- Son acciones ocupacionales, en cuanto a que muchas veces se realizan cuando el sujeto se halla trabajando.

- Son acciones de oportunidad, ya que se aprovecha una ocasión creada o altamente intensificada en el mundo de funciones y organizaciones del sistema tecnológico y económico.

73

- Provocan serias pérdidas económicas, ya que casi siempre producen "beneficios" de más de cinco cifras a aquellos que las realizan.

- Ofrecen posibilidades de tiempo y espacio, ya que en milésimas de segundo y sin una necesaria presencia física pueden llegar a consumarse.

- Son muchos los casos y pocas las denuncias, y todo ello debido a la misma falta de regulación por parte del Derecho.

- Son muy sofisticados y relativamente frecuentes en el ámbito militar.

- Presentan grandes dificultades para su comprobación, esto por su mismo carácter técnico.

- Tienden a proliferar cada vez más, por lo que requieren una urgente regulación. Por el momento siguen siendo ilícitos impunes de manera manifiesta ante la ley.

Estas conductas criminales deben ser tipificadas por la Ley para que no se sigan

dando este tipo de delitos y se puedan realizar las respectivas denuncias y así se

pueda clarificar y sancionar a aquellos que les gusta infringir las leyes ya sea por

juego, orgullo o ánimo de causar daño alguno.

TIPOS DE DELITOS I�FORMÁTICOS RECO�OCIDOS POR �ACIO�ES U�IDAS

• Fraudes cometidos mediante manipulación de ordenadores. • Manipulación de programas. • Manipulación de datos de salida. • Fraude efectuado por manipulación informática o por medio

de dispositivos informáticos. • Falsificaciones informáticas. • Sabotaje informático.

74

• Virus, gusanos y bombas lógicas. • Acceso no autorizado a Sistemas o Servicios de Información. • Reproducción no autorizada de programas informáticos de

protección legal. • Producción / Distribución de pornografía infantil usando

medios telemáticos. • Amenazas mediante correo electrónico. • Juego fraudulento on-line.

FRAUDES COMETIDOS MEDIA�TE MA�IPULACIÓ� DE COMPUTADORAS MA�IPULACIÓ� DE LOS DATOS DE E�TRADA

Este tipo de fraude informático, conocido también como sustracción de datos, representa el delito informático más común ya que es fácil de cometer y difícil de descubrir. Este delito no requiere de conocimientos técnicos de informática y puede realizarlo cualquier persona que tenga acceso a las funciones normales de procesamiento de datos en la fase de adquisición de los mismos. MA�IPULACIÓ� DE PROGRAMAS

Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente debe tener conocimientos técnicos concretos de informática. Este delito consiste en modificar los programas existentes en el sistema de computadoras o en insertar nuevos programas o nuevas rutinas. Un método común utilizado por las personas que tienen conocimientos especializados en programación informática es el denominado Caballo de Troya, que consiste en insertar instrucciones de computadora de forma encubierta en un programa informático para que pueda realizar una función no autorizada al mismo tiempo que su función normal. MA�IPULACIÓ� DE LOS DATOS DE SALIDA

Se efectúa fijando un objetivo al funcionamiento del sistema informático. El ejemplo más común es el fraude de que se hace objeto a los cajeros automáticos mediante la falsificación de instrucciones para la computadora en la fase de adquisición de

75

datos. Tradicionalmente esos fraudes se hacían a base de tarjetas bancarias robadas; sin embargo, en la actualidad se usan ampliamente equipo y programas de computadora especializados para codificar información electrónica falsificada en las bandas magnéticas de las tarjetas bancarias y de las tarjetas de crédito. MA�IPULACIÓ� I�FORMÁTICA APROVECHA�DO REPETICIO�ES AUTOMÁTICAS DE LOS PROCESOS DE CÓMPUTO

Es una técnica especializada que se denomina “técnica del salchichón” en la que “rodajas muy finas” apenas perceptibles, de transacciones financieras, se van sacando repetidamente de una cuenta y se transfieren a otra. FALSIFICACIO�ES I�FORMÁTICAS COMO OBJETO: Cuando se alteran datos de los documentos almacenados en forma computarizada. COMO I�STRUME�TOS: Las computadoras pueden utilizarse también para efectuar falsificaciones de documentos de uso comercial. Cuando empezó a disponerse de fotocopiadoras computarizadas en color a base de rayos láser surgió una nueva generación de falsificaciones o alteraciones fraudulentas. Estas fotocopiadoras pueden hacer copias de alta resolución, pueden modificar documentos e incluso pueden crear documentos falsos sin tener que recurrir a un original, y los documentos que producen son de tal calidad que sólo un experto puede diferenciarlos de los documentos auténticos.

DAÑOS O MODIFICACIO�ES DE PROGRAMAS O DATOS COMPUTARIZADOS SABOTAJE I�FORMÁTICO

Es el acto de borrar, suprimir o modificar sin autorización funciones o datos de computadora con intención de obstaculizar el funcionamiento normal del sistema. Las técnicas que permiten cometer sabotajes informáticos son:

76

Virus informático y Malware

VIRUS

Es una serie de claves programáticas que pueden adherirse a los programas legítimos y propagarse a otros programas informáticos. Un virus puede ingresar en un sistema por conducto de una pieza legítima de soporte lógico que ha quedado infectada, así como utilizando el método del Caballo de Troya.

Gráfico 14

Elaboración: Dr. Santiago Acurio Del Pino Fuente: http://www.oas.org/juridico/spanish/cyb_ecu_delitos_inform.pdf GUSA�OS

Se fabrica de forma análoga al virus con miras a infiltrarlo en programas legítimos de procesamiento de datos o para modificar o destruir los datos, pero es diferente del virus porque no puede regenerarse. En términos médicos podría decirse que un gusano es un tumor benigno, mientras que el virus es un tumor maligno. Ahora bien, las consecuencias del ataque de un gusano pueden ser tan graves como las del ataque de un virus: por ejemplo, un programa gusano que subsiguientemente se destruirá puede dar instrucciones a un sistema informático de un banco para que transfiera continuamente dinero a una cuenta ilícita.

77

Gusano Informático

BOMBA LÓGICA O CRO�OLÓGICA

Exige conocimientos especializados ya que requiere la programación de la destrucción o modificación de datos en un momento dado del futuro. Ahora bien, al revés de los virus o los gusanos, las bombas lógicas son difíciles de detectar antes de que exploten; por eso, de todos los dispositivos informáticos criminales, las bombas lógicas son las que poseen el máximo potencial de daño. Su detonación puede programarse para que cause el máximo de daño y para que tenga lugar mucho tiempo después de que se haya marchado el delincuente. La bomba lógica puede utilizarse también como instrumento de extorsión y se puede pedir un rescate a cambio de dar a conocer el lugar en donde se halla la bomba.

Gráfico 15

Elaboración: Dr. Santiago Acurio Del Pino Fuente: http://www.oas.org/juridico/spanish/cyb_ecu_delitos_inform.pdf ACCESO �O AUTORIZADO A SERVICIOS Y SISTEMAS I�FORMÁTICOS

Por motivos diversos: desde la simple curiosidad, como en el caso de muchos piratas informáticos (hackers) hasta el sabotaje o espionaje informático.

78

Phishing

PIRATAS I�FORMÁTICOS O HACKERS

El acceso se efectúa a menudo desde un lugar exterior, situado en la red de telecomunicaciones, recurriendo a uno de los diversos medios que se mencionan a continuación. El delincuente puede aprovechar la falta de rigor de las medidas de seguridad para obtener acceso o puede descubrir deficiencias en las medidas vigentes de seguridad o en los procedimientos del sistema. A menudo, los piratas informáticos se hacen pasar por usuarios legítimos del sistema; esto suele suceder con frecuencia en los sistemas en los que los usuarios pueden emplear contraseñas comunes o contraseñas de mantenimiento que están en el propio sistema.

Gráfico 16

Elaboración: Dr. Santiago Acurio Del Pino Fuente: http://www.oas.org/juridico/spanish/cyb_ecu_delitos_inform.pdf REPRODUCCIÓ� �O AUTORIZADA DE PROGRAMAS I�FORMÁTICOS DE PROTECCIÓ� LEGAL

Esta puede entrañar una pérdida económica sustancial para los propietarios legítimos. Algunas jurisdicciones han tipificado como delito esta clase de actividad y la han sometido a

79

sanciones penales. El problema ha alcanzado dimensiones transnacionales con el tráfico de esas reproducciones no autorizadas a través de las redes de telecomunicaciones modernas. Al respecto, consideramos, que la reproducción no autorizada de programas informáticos no es un delito informático debido a que el bien jurídico a tutelar es la propiedad intelectual.

La necesidad de regular esta conducta criminógena ha hecho que algunos países,

contemplen en sus Leyes sanciones, para penalizar los delitos informáticos y de esta

manera enfrentarlos, para que de algún modo baje el índice delictivo en este tipo de

ilícitos.

Buscando que los delitos informáticos no queden impunes y sin ser sancionados o

penalizados tanto en nuestro medio como a nivel internacional, es indispensable que

se tipifiquen en la Ley.

Según el estudio realizado por Silvia Delgado y Laura Guachizaca podemos observar

en los siguientes cuadros estadísticos los delitos que más se cometieron hasta el año

2007 en 10 países de América (Chile, Venezuela, Ecuador, EEUU, Costa Rica,

Argentina, Bolivia, México, Perú, Brasil) y 8 países de Europa (España, Italia,

Austria, Francia, Gran Bretaña, Holanda, Inglaterra):

80

1. En el gráfico 17 podemos observar que en 8 países americanos el delito más

sancionado es el de la Ley de Propiedad Intelectual, esto se debe a que se copian

programas sin la autorización de sus respectivos propietarios. El sabotaje

informático y el fraude le siguen en los delitos más cometidos.

Gráfico 17

PAÍSES AMERICA�OS

Elaboración: Silvia Delgado - Laura Guachizaca Fuente: http://www.utpl.edu.ec/eccblog/wp-content/uploads/2007/04/articulo-tecnico-analisis-de-la-influencia-de-los-delitos-informaticos-e-implementacion-de-politicas_silviadelgado.pdf

81

2. En el gráfico 18 podemos observar que en Europa 7 de esos países consideran un

delito informático a aquellos que mediante la manipulación de las computadoras

cometieren algún fraude, mientras que el resto de delitos se da en menor cantidad.

Gráfico 18

PAÍSES EUROPEOS


82

3. En el gráfico 19 podemos observar que el Ecuador es el tercer país en el que más

se cometen delitos informáticos, después de Venezuela y Costa Rica.

Gráfico 19

DELITOS MÁS SA�CIO�ADOS E� AMÉRICA

Elaboración: Silvia Delgado - Laura Guachizaca

Fuente: http://www.utpl.edu.ec/eccblog/wp-content/uploads/2007/04/articulo-tecnico-analisis-de-la-influencia-de-los-delitos-informaticos-e-implementacion-de-politicas_silviadelgado.pdf

83

4. En el gráfico 20 podemos observar que en Europa, tanto en España como en Italia

se cometen la mayor cantidad de delitos informáticos.

Gráfico 20

DELITOS MÁS SA�CIO�ADOS E� EUROPA


84

DE�U�CIAS DE DELITOS I�FORMÁTICOS

Santiago Acurio, Director Nacional de Tecnologías de la Información de la Fiscalía,

aseguró que existen muchos casos que se han dado con frecuencia en nuestro medio,

pero que las denuncias son muy poco comunes.

Según las estadísticas de la Fiscalía, estas revelan que, en el 2008, hubo 1461

denuncias por causa de delitos informáticos. De estas, el 95% se registró en la

provincia del Guayas, es decir 1264, de las cuales, hubo 364 desestimaciones, 72

instrucciones fiscales y, de este número, se registraron cuatro sentencias: dos

condenatorias y dos absolutorias.

Hasta junio de 2009, las acusaciones casi se mantuvieron en el mismo margen, pues

se presentaron 89 casos de delitos informáticos, de los cuales 54 corresponden a la

provincia del Guayas; 18, a Santa Elena y 4, a Pichincha.

Acurio explicó que el 90% de personas que cometen este tipo de faltas son empleados

de los bancos. En otros casos, son ingenieros en sistemas que han investigado sobre el

tema y han perfeccionado sus estafas. En muchos casos, este grupo de personas no se

encarga de extraer el dinero, sino que negocia los datos con los cuales se pueden

acceder a las cuentas de los clientes.

85

En la fiscalía de delitos misceláneos hasta Agosto del 2010 se han registrado 221

indagaciones de las que se han abierto 10 instrucciones fiscales, de ese total el 80%

corresponde a la apropiación ilícita, delitos que provienen del robo, clonación y robo

de dinero a través de las tarjetas de crédito violentando las claves. Sin embargo, estos

casos se tratan como apropiación indebida penalizada en el Código Penal.

DELÍTOS I�FORMÁTICOS E� MÁQUI�AS VIRTUALES

De los delitos informáticos mencionados y entre los más importantes que podrían

darse en las máquinas virtuales, los mismos que fueron corroborados por

especialistas en virtualización y peritos en los delitos informáticos, analizados con

respecto a las vulnerabilidades que estas presentan, tenemos:

� Violentar claves o sistemas de seguridad.

Este delito informático puede ser sancionado, basándose en el artículo 202 con Título

II: de los delitos contra las garantías Constitucionales y la igualdad racial. Cap.V. de

los delitos contra la inviolabilidad del secreto en el Código de procesamiento Penal

como: ACCESOS NO AUTORIZADOS y si fuera con la reforma a la Ley en el

Artículo 59.- A continuación del Artículo 202, sería sancionado como DELITOS

CONTRA LA INFORMACIÓN PROTEGIDA, VIOLACIÓN DE CLAVES O

SISTEMAS DE SEGURIDAD.

86

� Robo de información contenida en máquinas virtuales.

Este delito informático se lo podría sancionar, basándose en el Artículo 553 con

Título V. de los delitos contra la seguridad pública. Cap. II:- del ROBO en el Código

de procesamiento Penal, sancionado en las leyes ecuatorianas como:

APROPIACIÓN ILÍCITA y si fuera con la reforma a la Ley Artículo 63.- A

continuación del artículo 553 del Código Penal, debería ser sancionado como:

FRAUDE INFORMÁTICO.

� Que maliciosamente y fraudulentamente se borre o dañe una máquina

virtual.

Este delito informático se puede sancionar, basándose en Artículo 415 del Tíitulo V.

de los delitos contra la seguridad pública. Cap. VII:- del incendio y otras

destrucciones, de los deterioros y daños en el código de Procesamiento Penal,

sancionado en las leyes ecuatorianas como: DAÑOS INFORMÁTICOS Y

SABOTAJE INFORMÁTICO y si fuera con la reforma a la Ley Artículo 62.- A

continuación del Art. 415 del Código Penal debería ser sancionado como: DAÑOS

INFORMÁTICOS.

� Robo de una máquina virtual.

Este delito informático puede ser sancionado, basándose en el Artículo 553 con

Título V. de los delitos contra la seguridad pública. Cap. II:- del ROBO en el Código

87

de procesamiento Penal, sancionado en las leyes ecuatorianas como:

APROPIACIÓN ILÍCITA, y si fuera con la reforma a la Ley Artículo 63.- A

continuación del artículo 553 del Código Penal, debería ser sancionado como:

FRAUDE INFORMÁTICO.

� Acceder remotamente a una máquina virtual vulnerando sus seguridades.

Este tipo de delito informático realizado por hackers, se puede sancionar, basándose

en el artículo 202 con Título II: de los delitos contra las garantías Constitucionales y

la igualdad racial. Cap.V. de los delitos contra la inviolabilidad del secreto en el

Código de procesamiento Penal como: ACCESOS NO AUTORIZADOS y si fuera

con la reforma a la Ley en el Artículo 59.- A continuación del Artículo 202, sería

sancionado como DELITOS CONTRA LA INFORMACIÓN PROTEGIDA,

VIOLACIÓN DE CLAVES O SISTEMAS DE SEGURIDAD.

PREGU�TAS A CO�TESTARSE

¿Cómo afecta el desconocimiento de las vulnerabilidades que puedan tener las máquinas virtuales VMware frente a los riesgos de seguridad en el Área de Sistemas de una Organización? ¿De qué manera afecta el desconocimiento de las vulnerabilidades que podrían tener las Máquinas Virtuales en una organización y provocar perjuicios en sus infraestructuras y/o costos por ataques maliciosos?

88

¿Cómo contribuye a las empresas y comunidad tecnológica, el estudio de los delitos informáticos en máquinas virtuales de microcomputadoras, ya que su uso se está extendiendo por la optimización de recursos? ¿Cómo se podrían contrarrestar los delitos informáticos, en las máquinas virtuales VMware, siendo un aporte a la Seguridad Informática? ¿Cómo se podría robustecer las seguridades de una máquina virtual VMware, conociendo sus vulnerabilidades, para que las personas maliciosas no puedan cometer delito alguno?

VARIABLES DE LA I�VESTIGACIÓ�

VARIABLE I�DEPE�DIE�TE

Estudio de las vulnerabilidades en las tecnologías de virtualización con VMware en

microcomputadoras.

VARIABLE DEPE�DIE�TE

Determinar los posibles delitos informáticos que puedan afectar a los sistemas

virtualizados VMware en microcomputadoras.

89

DEFI�ICIO�ES CO�CEPTUALES

Vulnerabilidad.

En seguridad informática, la palabra vulnerabilidad hace referencia a una debilidad en

un sistema permitiendo a un atacante violar la confidencialidad, integridad,

disponibilidad, control de acceso y consistencia del sistema o de sus datos y

aplicaciones.

Microcomputadora.

Una microcomputadora es un tipo de computadora que utiliza un microprocesador

como unidad central de procesamiento (CPU). Generalmente son computadoras que

ocupan espacios físicos pequeños, comparadas a sus predecesoras históricas, las

mainframes y las minicomputadoras.

Mainframe.

Ordenador central o microordenador. Son ordenadores de gran capacidad que se

utilizan para grandes operaciones como las realizadas en banca.

Virtualización.

En computación, la virtualización es un medio para crear una versión virtual de un

dispositivo o recurso, como un servidor, un dispositivo de almacenamiento, una red o

incluso un sistema operativo, donde se divide el recurso en uno o más entornos de

90

ejecución.

Tubo de vacío.

La válvula electrónica, también llamada válvula termoiónica, válvula de vacío, tubo

de vacío o bulbo, es un componente electrónico utilizado para amplificar, conmutar, o

modificar una señal eléctrica mediante el control del movimiento de los electrones en

un espacio "vacío" a muy baja presión, o en presencia de gases especialmente

seleccionados. La válvula electrónica fue el componente crítico que posibilitó el

desarrollo de la electrónica durante la primera mitad del siglo XX, incluyendo la

expansión y comercialización de la radiodifusión, televisión, radar, audio, redes

telefónicas, computadoras analógicas y digitales, control industrial, etc. Algunas de

estas aplicaciones son anteriores a la válvula, pero vivieron un crecimiento explosivo

gracias a ella.

Transistor.

Dispositivo compuesto de un material semiconductor que amplifica una señal o abre

o cierra un circuito. Inventado en 1947 en Bell Labs, los transistores se han vuelto el

principal componente de todos los circuitos digitales, incluidos las computadoras. En

la actualidad los microprocesadores contienen millones de transistores microscópicos.

Previo a la invención de los transistores, los circuitos digitales estaban compuestos de

tubos vacíos, lo cual tenía muchas desventajas. Eran más grandes, requerían más

91

memoria y energía, generaban más calor y eran más propensos a fallas. Los

transistores cumplen las fuciones de amplificador, oscilador, conmutador o

rectificador.

Circuito integrado.

Un circuito integrado (CI), es una pastilla pequeña de material semiconductor, de

algunos milímetros cuadrados de área, sobre la que se fabrican circuitos electrónicos

generalmente mediante fotolitografía y que está protegida dentro de un encapsulado

de plástico o cerámica. El encapsulado posee conductores metálicos apropiados para

hacer conexión entre la pastilla y un circuito impreso.

Microprocesador.

Microchip más importante en una computadora, es considerado el cerebro de una

computadora. Está constituido por millones de transistores integrados.

Este dispositivo se ubica en un zócalo especial en la placa madre y dispone de

un sistema de enfriamiento (generalmente un ventilador).

Lógicamente funciona como la unidad central de procesos (CPU), que está

constituida por registros, la unidad de control y la unidad aritmético-lógica.

En el microprocesador se procesan todas las acciones de la computadora.

92

Su "velocidad" es medida por la cantidad de operaciones por segundo que puede

realizar: la frecuencia de reloj. La frecuencia de reloj se mide en MHz (megahertz) o

gigahertz(GHz).También dispone de una memoria caché (medida en kilobytes),

y un ancho de bus (medido en bits).

El primer microprocesador comercial fue el Intel 4004, presentado el 15 de

noviembre de 1971. Actualmente las velocidades de procesamiento son miles de

veces más grandes que los primeros microprocesadores. También comienzan a

integrarse múltiples procesadores para ampliar la capacidad de procesamiento. Se

estima que para 2010 vendrán integrados hasta 80 núcleos en un microprocesador,

son llamados procesadores multi-core.

Dispositivo. Aparato, artificio, mecanismo, artefacto, órgano, elemento de un sistema.

Son estructuras sólidas, electrónicas y mecanicas las cuales son diseñadas para un uso

específico, estos se conectan entre sí para crear una conexión en común y obtener los

resultados esperados siempre y cuando cumplan con las reglas de configuración.

En las computadoras los distintos dispositivos conectados a ellas deben ser

reconocidos por el sistema operativo y para ello se utilizan controladores (drivers).

CD ROM.

Disco compacto con gran capacidad de almacenamiento de información que se lee

mediante un sistema láser.

93

Monousuario.

(mono: uno, usuario). Sistema operativo o aplicación que solamente puede ser usado

por un único usuario en un determinado momento.

Multiusuario.

Cualquier hardware o software que tiene la capacidad de soportar múltiples usuarios.

Programa.

Un programa es un conjunto de instrucciones escritas en algún lenguaje de

programación. El programa debe ser compilado o interpretado para poder ser

ejecutado y así cumplir su objetivo.

Tooking-Ring.

Token Ring es una arquitectura de red desarrollada por IBM en los años 1970 con

topología lógica en anillo y técnica de acceso de paso de testigo. Token Ring se

recoge en el estándar IEEE 802.5. En desuso por la popularización de Ethernet;

actualmente no es empleada en diseños de redes. (red en anillo). Tipo de LAN con los

nodos cableados en anillo.

Ethernet.

Tecnología para redes de área local (LAN) basada en tramas de datos, desarrollada al

principio por Xerox, y tiempo después se le unieron DEC e Intel. Fue aceptada como

94

estándar por la IEEE.

Hardware.

En computación, término inglés que hace referencia a cualquier componente físico

tecnológico, que trabaja o interactúa de algún modo con la computadora. No sólo

incluye elementos internos como el disco duro, CD-ROM, disquetera, sino que

también hace referencia al cableado, circuitos, gabinete, etc. E incluso hace referencia

a elementos externos como la impresora, el mouse, el teclado, el monitor y demás

periféricos.

El hardware contrasta con el software, que es intangible y le da lógica al hardware

(además de ejecutarse dentro de éste).

Software.

En computación, el software -en sentido estricto- es todo programa o aplicación

programado para realizar tareas específicas. El término "software" fue usado por

primera vez por John W. Tukey en 1957.

Algunos autores prefieren ampliar la definición de software e incluir también en la

definición todo lo que es producido en el desarrollo del mismo.

La palabra "software" es un contraste de "hardware"; el software se ejecuta dentro del

95

hardware.

Usuario.

En informática, un usuario es un individuo que utiliza una computadora, sistema

operativo, servicio o cualquier sistema informático. Por lo general es una única

persona.

Un usuario generalmente se identifica frente al sistema o servicio utilizando un

nombre de usuario (nick) y a veces una contraseña, este tipo es llamado usuario

registrado.

Aplicación.

Programa informático que permite a un usuario utilizar una computadora con un fin

específico. Las aplicaciones son parte del software de una computadora, y suelen

ejecutarse sobre el sistema operativo.

Una aplicación de software suele tener un único objetivo: navegar en la web, revisar

correo, explorar el disco duro, editar textos, jugar (un juego es un tipo de aplicación),

etc. Una aplicación que posee múltiples programas se considera un paquete.

Son ejemplos de aplicaciones Internet Explorer, Outlook, Word, Excel, WinAmp, etc.

96

Seguridad informática.

La seguridad informática es una disciplina que se relaciona a diversas técnicas,

aplicaciones y dispositivos encargados de asegurar la integridad y privacidad de la

información de un sistema informático y sus usuarios.

Técnicamente es imposible lograr un sistema informático ciento por ciento seguro,

pero buenas medidas de seguridad evitan daños y problemas que pueden ocasionar

intrusos.

Ataque malicioso.

Intento organizado y deliberado de una o más personas para causar daño o problemas

a un sistema informático o red. Los ataques en grupo suelen ser hechos por bandas de

piratas informáticos por diversión, para causar daño, buenas (relativamente buenas)

intenciones, espionaje, obtención de ganancias, etc. Los blancos preferidos suelen ser

los sistemas de grandes corporaciones o estados, pero ningún usuario de internet u

otras redes está exento.

Probablemente el primer ataque informático masivo de la historia se produjo un

viernes 13 de 1989, cuando una revista informática regaló disquetes de promoción,

pero estaban infectados con un virus. El virus afectó a cientos de empresas y

particulares.

97

Actualmente los ataques suelen afectar principalmente a internet, pero también

afectan otras redes como las de telefonía, redes Wi-Fi, redes de área local de

empresas, etc.

Hackers.

Experto en informática capaz de entrar en sistemas cuyo acceso es restringido, sin

tener necesariamente con malas intenciones. No obstante, el término se identifica con

el de delincuente informático, e incluye a los cibernautas que realizan operaciones

delictivas a través de las redes de computadores existentes. Entre la comunidad de

“hackers” se identifica a estos últimos con el término de “crackers”.

Virus.

Fragmentos de código que se introducen en los ordenadores sin que el usuario note su

presencia. Provocan efectos dañinos de diversa índole, desde afectar al rendimiento

hasta borrar toda la información del disco, se ocultan y pueden tener la capacidad de

propagarse a otros ordenadores.

Control de acceso.

(access control). Es la habilidad de permitir o denegar el uso de un recurso particular

a una entidad en particular.

Los mecanismos para el control de acceso pueden ser usados para cuidar recursos

físicos (ej: acceso a una habitación donde hay servidores), recursos lógicos (ej: una

cuenta de banco, de donde solo determinadas personas pueden extraer dinero) o

98

recursos digitales (ej: un archivo informático que sólo puede ser leído, pero no

modificado).

Password.

Contraseña. Conjunto de caracteres que permite acceder a un determinado contenido

en la red o que sirve para discriminar el acceso de los usuarios.

Encriptación.

(Cifrado, codificación). La encriptación es el proceso para volver ilegible información

considera importante. La información una vez encriptada sólo puede leerse

aplicándole una clave.

Se trata de una medida de seguridad que es usada para almacenar o transferir

información delicada que no debería ser accesible a terceros. Pueden ser contraseñas,

nros. de tarjetas de crédito, conversaciones privadas, etc.

Para encriptar información se utilizan complejas fórmulas matemáticas y para

desencriptar, se debe usar una clave como parámetro para esas fórmulas.

El texto plano que está encriptado o cifrado se llama criptograma.

Descencriptación.

Recuperación del contenido original de una información cifrada con anterioridad.

Interface.

99

Circuito electrónico que gobierna la conexión entre dos dispositivos de hardware y

los ayuda a intercambiar información de manera confiable. Es sinónimo de Puerto.

Puertos.

Adaptador de un ordenador al cual se fijan las unidades periféricas, como la

impresora o el módem.

TCSEC.

Los TCSEC (Trusted Computer Security Evaluation Criteria) definidas por el

Departamento de Defensa de EEUU (comúnmente conocido como el Libro Naranja).

Suministra especificaciones de seguridad relativas a sistemas operativos y sistemas

gestores de bases de datos.

Sistema operativo.

(Operating System). Sistema tipo software que controla la computadora y administra

los servicios y sus funciones como así también la ejecución de otros programas

compatibles con éste.

Ejemplos de familias de sistemas operativos: Windows, Unix, Linux, DOS, Mac OS,

etc.

Un sistema operativo permite interactuar con el hardware de computadoras, teléfonos

celulares, PDAs, etc. y ejecutar programas compatibles en éstos.

Permite controlar las asignaciones de memoria, ordenar las solicitudes al sistema,

controlar los dispositivos de entrada y salida, facilitar la conexión a redes y el manejo

de archivos.

100

ITSEC.

El ITSEC (Information Technology Security Evaluation Criteria) que es el

equivalente europeo del Libro Naranja, pero más moderno y con mayor alcance que

aquél. Se conoce comúnmente como Libro Blanco.

Criterios de Evaluación de Seguridad en Tecnologías de la Información.

Los Criterios de Evaluación de Seguridad en Tecnologías de la Información (CESTI),

también conocidos por sus siglas en inglés ITSEC (Information Technology Security

Evaluation Criteria), son un conjunto de criterios para evaluar la seguridad

informática de productos y sistemas.Los CESTI fueron publicados

en mayo de 1990 por la RFA, Francia, los Países Bajos y el Reino Unido, basándose

en trabajos anteriores existentes en las naciones mencionadas. A partir de la profunda

revisión internacional a que fueron sometidos, la Comisión Europea publicó la

versión 1.2 en junio de 1991, para su uso operativo en los esquemas de evaluación y

certificación.

Criterios de Evaluación de la Seguridad en las Tecnologías de la Información, título

de un documento publicado por la Comisión Europea, en el que se describe un

conjunto determinado de criterios de evaluación de la seguridad de las TI que ha sido

oficialmente recomendado por el Consejo de la Unión Europea para su utilización en

la realización de evaluaciones en toda la Unión Europea y que también es usado en

otros países.

101

ITSEM.

Manual de Evaluación de la Seguridad en las Tecnologías de la Información, título de

un documento técnico suscrito por el SOG-IS y publicado por la Comisión Europea,

que establece un conjunto determinado de métodos de evaluación de la seguridad de

las TI.

ISO.

(International Organization for Standardization - Organización Internacional para la

Estandarización). Su nombre ISO significa "igual" en griego. Fue fundada en el año

1946 y unifica a más de cien países. Se encarga de crear estándares o normas

internacionales.

Tipo de formato de imagen de CDs, DVDs, etc.

Imagen ISO es un archivo donde se almacena una copia o imagen exacta de un

sistema de ficheros, normalmente un disco óptico. Se rige por el estándar ISO 9660

que le da nombre. Algunos de los usos más comunes incluyen la distribución de

sistemas operativos, tales como sistemas Linux, BSD o Live CDs.

IEC.

Conector IEC es el nombre común para un conjunto de trece conectores de

alimentación eléctrica (denominados el conector en las especificaciones) y trece

paneles de enchufe (denominados la entrada) definidos por la especificación IEC

102

60320 (anteriormente IEC 320) de la International Electrotechnical Commission

(IEC). Cuando se usa sin otros calificadores, "conector IEC" por lo general se refiere

específicamente a los conectores C13 y C14.

La Comisión Electrotécnica Internacional (CEI o IEC, por sus siglas del idioma

inglés International Electrotechnical Commission) es una organización de

normalización en los campos eléctrico, electrónico y tecnologías relacionadas.

Numerosas normas se desarrollan conjuntamente con la ISO (normas ISO/IEC).

La CEI, fundada en 1904 durante el Congreso Eléctrico Internacional de San Luis

(EEUU), y cuyo primer presidente fue Lord Kelvin, tenía su sede en Londres hasta

que en 1948 se trasladó a Ginebra. Integrada por los organismos nacionales de

normalización, en las áreas indicadas, de los países miembros, en 2003 pertenecían a

la CEI más de 60 países.

A la CEI se le debe el desarrollo y difusión de los estándares para algunas unidades

de medida, particularmente el gauss, hercio y weber; así como la primera propuesta

de un sistema de unidades estándar, el sistema Giorgi, que con el tiempo se

convertiría en el sistema internacional de unidades.

En 1938, el organismo publicó el primer diccionario internacional (International

Electrotechnical Vocabulary) con el propósito de unificar la terminología eléctrica,

esfuerzo que se ha mantenido durante el transcurso del tiempo, siendo el Vocabulario

Electrotécnico Internacional un importante referente para las empresas del sector.

103

Dominio de seguridad.

(domain) Website (lugar del ciberespacio) que organiza un servidor de acuerdo al

rango que ocupa, (números IP que son de su propiedad y solo este servidor ocupa,

cede y maneja).

Testeo.

(Software testing, prueba del software). Es el proceso empleado para identificar la

correctitud, completitud, seguridad y calidad en el desarrollo de un software para

computadoras.

El proceso de testeo es una investigación técnica que intenta revelar información de

calidad acerca del producto de software con respecto al contexto en donde operará.

El testo de un producto de software es uno de los pasos más complejos e importantes

en el desarrollo de software. Esto incluye el proceso de encontrar errores en el

software; pero el testeo no sólo se limita a eso. El testeo o prueba de un software se

relaciona a atributos como la fiabilidad, eficiencia, portabilidad, escalabilidad,

mantenibilidad, compatibilidad, usabilidad y capacidad del mismo.

Delito.

El delito informático implica cualquier actividad ilegal que encuadra en figuras

tradicionales ya conocidas como robo, hurto, fraude, falsificación, perjucio, estafa y

104

sabotaje, pero siempre que involucre la informática de por medio para cometer la

ilegalidad.

Antijurídico.

Que es contra derecho.

Criminógena.

Tendencias conducentes a la delincuencia

Tecnología.

La tecnología es un concepto amplio que abarca un conjunto de técnicas,

conocimientos y procesos, que sirven para el diseño y construcción de objetos para

satisfacer necesidades humanas.

En la sociedad, la tecnología es consecuencia de la ciencia y la ingeniería, aunque

muchos avances tencológicos sean posteriores a estos dos conceptos.

La palabra tecnología proviene del griego tekne (técnica, oficio) y logos (ciencia,

conocimiento).

Ilícito.

No permitido legalmente.

105

Cyber delincuencia.

Se entienden las «actividades delictivas realizadas con ayuda de redes de

comunicaciones y sistemas de información electrónicos o contra tales redes y

sistemas.

Máquina virtual.

En informática una máquina virtual es un software que emula a una computadora y

puede ejecutar programas como si fuese una computadora real. Este software en un

principio fue definido como "un duplicado eficiente y aislado de una máquina física".

La acepción del término actualmente incluye a máquinas virtuales que no tienen

ninguna equivalencia directa con ningún hardware real.

CPD.

Se denomina centro de procesamiento de datos (CPD) a aquella ubicación donde se

concentran todos los recursos necesarios para el procesamiento de la información de

una organización. También se conoce como centro de cómputo en Iberoamérica, o

centro de cálculo en España o centro de datos por su equivalente en inglés data center.

Dichos recursos consisten esencialmente en unas dependencias debidamente

acondicionadas, computadoras y redes de comunicaciones.

106

Pool.

Conjunto de usuarios de uno o diferentes modelos de palets comunes. Se trata de

palets de multiples rotaciones que pueden ser intercambiados por los miembros del

pool. Por ejemplo, los utilizadores del palet EUR.

En computación, se denomina connection pool (agrupamiento de conexiones) al

manejo de una colección de conexiones abiertas a una base de datos de manera que

puedan ser reutilizadas al realizar múltiples consultas o actualizaciones.

Aislamiento.

Acción y efecto de aislar - Sistema o dispositivo que impide la transmisión de la

electricidad, el calor, el sonido, etc.

Servidor.

En redes, computadora central en un sistema de red que provee servicios a otras

computadoras.

En internet, los servidores son los proveedores de todos sus servicios, incluyendo la

WWW (las páginas web), el FTP, el correo electrónico, los grupos de noticias, etc.

Plataforma.

(platform). En informática, determinado software y/o hardware con el cual una

aplicación es compatible y permite ejecutarla.

107

Una plataforma es, por ejemplo, un sistema operativo, un gran software que sirve

como base para ejecutar determinadas aplicaciones compatibles con este. También

son plataformas la arquitectura de hardware, los lenguajes de programación y sus

librerías en tiempo de ejecución, las consolas de videojuegos, etc.

Uniformidad.

Igualdad, semejanza.

Si se tienen diversos archivos con la información relacionada dentro de la

organización, es probable que cada uno tenga un formato diferente, lo cual dificulta

su comparación. El uso de bases de datos permite información en un formato común.

Estandarización.

Se conoce como estandarización al proceso mediante el cual se realiza una actividad

de manera standard o previamente establecida. El término estandarización proviene

del término standard, aquel que refiere a un modo o método establecido, aceptado y

normalmente seguido para realizar determinado tipo de actividades o funciones. Un

estándar es un parámetro más o menos esperable para ciertas circunstancias o

espacios y es aquello que debe ser seguido en caso de recurrir a algunos tipos de

acción.

108

Encapsular.

El encapsulamiento es el proceso por el cual los datos que se deben enviar a través de

una red se deben colocar en paquetes que se puedan administrar y rastrear. El

encapsulado consiste pues en ocultar los detalles de implementación de un objeto,

pero a la vez se provee una interfaz pública por medio de sus operaciones permitidas.

Considerando lo anterior también se define el encapsulado como la propiedad de los

objetos de permitir el acceso a su estado únicamente a través de su interfaz o de

relaciones preestablecidas con otros objetos.

VMware.

Subsidiaria de EMC Corporation, es una empresa que provee software de

virtualización para computadoras compatibles x86, donde se destacan sus productos

VMware Workstation, y los gratuitos VMware Server y VMware Player.

El software de VMware se ejecuta en Microsoft Windows, Linux y Mac OS X.

Guest.

Suele ser el nombre de la cuenta pública de un sistema, y puede utilizarla cualquiera

que no tiene una propia. Cuenta pública de un sistema para acceder a recursos de red.

(Huésped) Palabra clave utilizada comúnmente para obtener archivos públicos de una

computadora llamada host (anfitrión), que es el servidor donde se encuentran los

archivos.

109

Hypervisor.

Un Hypervisor es una capa que se sitúa por encima del Hardware y por debajo del

Sistema Operativo del Host. Entonces, cuando el Hypervisor es desplegado, tanto el

Sistema Operativo Padre (parent) como el Sistema Operativo Hijo (child) ambos

instalados en particiones separadas, éstos tienen igual acceso al hardware.

�IC.

Network Information Center. Organismo que se encarga en cada país de asignar las

direcciones IP y los nombres de dominio a los computadores conectados a Internet.

Linux.

Sistema Operativo desarrollado por Linus Torvald, de la Universidad de Helsinki en

Finlandia, con el fin de facilitar a los usuarios de computadores personales un sistema

operativo, de libre distribución, compatible con Unix. Para desarrollar el sistema se

usó un sistema de cooperación y prueba a nivel mundial, a través de la Internet.

Utilizado para denominar a un servidor conectado a Internet.

FU�DAME�TACIÓ� FILOSÓFICA

PRAGMATISMO Según, http://www.eumed.net/libros/2007b/288/53.htm

110

Pragmatismo, doctrina filosófica desarrollada por los filósofos estadounidenses del siglo XIX Charles Sanders Peirce, William James y otros, según la cual la prueba de la verdad de una proposición es su utilidad práctica; el propósito del pensamiento es guiar la acción, y el efecto de una idea es más importante que su origen. El pragmatismo fue la primera filosofía de Estados Unidos desarrollada de forma independiente. Se opone a la especulación sobre cuestiones que no tienen una aplicación práctica. Afirma que la verdad está relacionada con el tiempo, lugar y objeto de la investigación y que el valor es inherente tanto por sus medios como por sus fines.

Hoy en día las organizaciones están sometidas a cambiar su infraestructura y

plataformas, por los diversos beneficios que los avances tecnológicos brindan, pero

sin embargo no todas están al nivel de hacerlo, en la mayoría de los casos desconocen

los beneficios que la virtualización les pueden aportar.

La virtualización se debe basar en un proceso que denote el tiempo en que una

organización estaría acorde para su aplicación, mediante el cual el personal de

sistemas se apropia de los conocimientos, ventajas, desventajas y funcionalidad

comprometiendo la implementación integra en la virtualización de sus equipos.

El proceso de la virtualización tiene como objetivo principal establecer los diferentes

beneficios que otorgan a las organizaciones, bajar los costos, seguridad, factibilidad,

disponibilidad, redundancia, etc, bajo estos parámetros, la virtualización debe ser

considerada como segura.

111

FILOSOFÍA DE LA TEC�OLOGÍA

Según, http://es.wikipedia.org/wiki/Filosof%C3%ADa_de_la_tecnolog%C3%ADa “La filosofía de la tecnología es una rama de la filosofía dedicada a estudiar la naturaleza de la tecnología y sus efectos sociales”.

Hoy en día nos damos cuenta que la ciencia y la tecnología no nos dan las respuestas,

sino que nos generan nuevas interrogantes, que aún están sin respuesta.

Pero también podemos decir que algunas de las tecnologías nuevas, que se están

dando en estos últimos tiempos, aparte de generar nuevas interrogantes, nos dan

tiempo para pensar en las respuestas a las interrogantes anteriores. Es así como la

tecnología incide de manera primordial sobre nuestra vida futura.

Según, http://www.oei.es/publicaciones/temas01.htm

La filosofía de la tecnología, o filosofía de la técnica, es hoy

un importante campo de trabajo en el panorama académico internacional. Como subdisciplina filosófica, se ha convertido en una materia autónoma con sus propias tradiciones, sus revistas especializadas y sus nombres destacados. Asimismo, la filosofía de la tecnología constituye un ámbito de reflexión relativamente reciente si lo comparamos con otros temas de interés filosófico como la ciencia, el arte o la política. Aunque posee tradiciones consolidadas, ha sido en las últimas décadas cuando ha adquirido relevancia académica y atención pública. Este hecho no es independiente de la reafirmación de tendencias antiesencialistas en parte de la filosofía contemporánea, ni de la transformación de las sensibilidades sociales respecto al cambio tecnológico.

112

Al desarrollar o perfeccionar la virtualización, son principios filosóficos, si

entendemos que la filosofía en la tecnología la trata como una técnica importante,

serán entonces causas de que las organizaciones opten por virtualizar sus servicios,

diremos que debe tener una línea correcta filosófica.

FU�DAME�TACIÓ� LEGAL

LEY DE COMERCIO ELECTRÓ�ICO, ME�SAJES DE DATOS Y FIRMAS

ELECTRÓ�ICAS PUBLICADA E� LA LEY �O. 67. DEL REGISTRO OFICIAL. SUPLEME�TO 557 DE 17 DE ABRIL DEL 2002.

Gráfico 21

SA�CIO�ES PARA LOS DELITOS I�FORMÁTICOS E� EL ECUADOR


113

CÓDIGO DE PROCEDIMIE�TO PE�AL Y CÓDIGO DE PROCEDIMIE�TO CIVIL

En la siguiente tabla se muestra la reforma al Código de Procedimiento Penal de

acuerdo a las especificaciones contempladas en el Título Quinto, de las Infracciones

Informáticas en la Ley de Comercio Electrónico, Firmas Digitales y Mensajes de

Datos:

CUADRO 1

DELITOS I�FORMÁTICOS

DELITOS I�FORMATICOS REPRESIO� MULTAS

Art. 58 Delitos contra la información protegida (Art. 202). - Violentare claves o sistemas de seguridad, para accede u obtiene información protegida. - Seguridad nacional, o a secretos comerciales o industriales. - Divulgación o utilización fraudulenta de la información protegida. - Divulgación o utilización fraudulenta por custodios de la información. - Obtención y utilización no autorizada de la información.

6 meses a 1 año

1 a 3 años

3 a 6 años

6 a 9 años

2 meses a 2 años

$500 - $1000

$1.000 - $1500

$2.000 - $10.000

$2.000 - $10.000

$1.000 - $2.000

Art. 59 Destrucción maliciosa de documentos (Art. 262)

3 a 6 años ---

Art. 60 Falsificación electrónica (Art. 353)

3 a 6 años ---

114

Art. 61 Daños informáticos (Art. 415) - Daño dolosamente, servicio público o vinculado con la defensa nacional. - Si no se tratare de un delito mayor.

6 meses a 3 años 3 a 5 años

8 meses a 4 años

$60 – $150 $200 - $600 $200 - $600

Art. 62 Apropiación ilícita (Art. 553) - Utilizare fraudulentamente Sistemas de información o redes electrónicas. - Uso de medios (claves, tarjetas magnéticas, otros instrumentos

6 meses a 5 años 1 a 5 años

$500 - $1000 $1.000 - $2.000

Art. 63 Estafa (Art. 563) 5 años $500 - 1.000 Art. 64 Contravenciones de tercera clase (Art. 606)

2 a 4 días $7 - $14

Elaboración: Johnny Villavicencio Fuente: Ley de Comercio Electrónico, Firmas electrónicas y mensajes de datos (P 17 -19), Código de Procedimiento Penal.

LOS ARTÍCULOS

ART. 58 DELITOS CO�TRA LA I�FORMACIÓ� PROTEGIDA.

Art. 202 A):- El que empleando cualquier medio electrónico, informático o afín, violentare claves o sistemas de seguridad, para acceder u obtener información protegida, contenida en sistemas de información; para vulnerar el secreto, confidencialidad y reserva, o simplemente vulnerar la seguridad, será reprimido con prisión de seis meses a un año y multa de quinientos a mil dólares de los Estados Unidos de �orteamérica.

Si la información obtenida se refiere a seguridad nacional, o a secretos comerciales o industriales, la pena será de uno a tres años de prisión y multa de mil a mil quinientos dólares de los Estados Unidos de �orteamérica.

La divulgación o la utilización fraudulenta de la información protegida, así como de los secretos comerciales o

115

industriales, serán sancionadas con pena de reclusión menor ordinaria de tres a seis años y multa de dos mil a diez mil dólares de los Estados Unidos de �orteamérica.

Si la divulgación o la utilización fraudulenta se realizan por parte de la persona o personas encargadas de la custodia o utilización legítima de la información, éstas serán sancionadas con pena de reclusión menor de seis a nueve años y multa de dos mil a diez mil dólares de los Estados Unidos de �orteamérica.

Art. 202 B) Obtención y utilización no autorizada de información? La persona o personas que obtuvieren información sobre datos personales para después cederla, publicarla, utilizarla o transferirla a cualquier título, sin la autorización de su titular o titulares, serán sancionadas con pena de prisión de dos meses a dos años y multa de mil a dos mil dólares de los Estados Unidos de �orteamérica."

ART. 59 DESTRUCCIÓ� MALICIOSA DE DOCUME�TOS.

Art...- 262.- Serán reprimidos con tres a seis años de reclusión menor, todo empleado público y toda persona encargada de un servicio público, que hubiere maliciosa y fraudulentamente, destruido o suprimido documentos, títulos, programas, datos, bases de datos, información o cualquier mensaje de datos contenido en un sistema de información o red electrónica, de que fueren depositarios, en su calidad de tales, o que les hubieren sido encomendados sin razón de su cargo".

ART. 60 FALSIFICACIÓ� ELECTRÓ�ICA.

Art. 353. A) Falsificación electrónica.- Son reos de falsificación electrónica la persona o personas que con ánimo de lucro o bien para causar un perjuicio a un tercero, utilizando cualquier medio; alteren o modifiquen mensajes de datos, o la información incluida en éstos, que se encuentre contenida en cualquier soporte material, sistema de información o telemático, ya sea: 1.- Alterando un mensaje de datos en alguno de sus elementos o requisitos de carácter formal o esencial;

116

2.- Simulando un mensaje de datos en todo o en parte, de manera que induzca a error sobre su autenticidad; y, 3.- Suponiendo en un acto la intervención de personas que no la han tenido o atribuyendo a las que han intervenido en el acto, declaraciones o manifestaciones diferentes de las que hubieren hecho. El delito de falsificación electrónica será sancionado de acuerdo a lo dispuesto en este Capítulo ART. 61 DAÑOS I�FORMÁTICOS

Art. 415 A) Daños informáticos? El que dolosamente, de cualquier modo o utilizando cualquier método, destruya, altere, inutilice, suprima o dañe, de forma temporal o definitiva, los programas, datos, bases de datos, información o cualquier mensaje de datos contenido en un sistema de información o red electrónica, será reprimido con prisión de seis meses a tres años y multa de sesenta a ciento cincuenta dólares de los Estados Unidos de �orteamérica.

La pena de prisión será de tres a cinco años y multa de doscientos a seiscientos dólares de los Estados Unidos de �orteamérica, cuando se trate de programas, datos, bases de datos, información o cualquier mensaje de datos contenido en un sistema de información o red electrónica, destinada a prestar un servicio público o vinculada con la defensa nacional.

Art. 415 B) Si no se tratare de un delito mayor, la destrucción, alteración o inutilización de la infraestructura o instalaciones físicas necesarias para la transmisión, recepción o procesamiento de mensajes de datos, será reprimida con prisión de ocho meses a cuatro años y multa de doscientos a seiscientos dólares de los Estados Unidos de �orteamérica.". ART. 62 APROPIACIÓ� ILÍCITA.

Art. 553 A) Apropiación ilícita.- Serán reprimidos con prisión de seis meses a cinco años y multa de quinientos a mil dólares de los Estados Unidos de �orteamérica, los que utilizaren fraudulentamente sistemas de información o redes electrónicas, para facilitar la apropiación de un bien ajeno, o los que procuren la transferencia no consentida de bienes, valores o derechos de una persona, en perjuicio de ésta o de un tercero, en beneficio suyo o de otra persona alterando, manipulando o modificando el

117

funcionamiento de redes electrónicas, programas informáticos, sistemas informáticos, telemáticos o mensajes de datos.

Art. 553 B) La pena de prisión de uno a cinco años y multa de mil a dos mil dólares de los Estados Unidos de �orteamérica, si el delito se hubiere cometido empleando los siguientes medios: 1. Inutilización de sistemas de alarma o guarda; 2. Descubrimiento o descifrado de claves secretas o encriptadas; 3. Utilización de tarjetas magnéticas o perforadas; 4. Utilización de controles o instrumentos de apertura a distancia; y, 5. Violación de seguridades electrónicas, informáticas u otras semejantes.".

ART. 63 ESTAFAS.

Segundo Inciso del Art. 563.- Será sancionado con el máximo de la pena prevista en el inciso anterior y multa de quinientos a mil dólares de los Estados Unidos de �orteamérica, el que cometiere el delito utilizando medios electrónicos o telemáticos.".

ART. 64 CO�TRAVE�CIO�ES DE TERECERA CLASE.

A continuación del numeral 19 del artículo 606 añádase el siguiente:

Los que violaren el derecho a la intimidad, en los términos

establecidos en la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos.".

TIPOS DE DELITOS I�FORMÁTICOS EXISTE�TES E� LA LEGISLACIÓ� ECUATORIA�A

Según, Dr. Santiago Acurio Del Pino - Fiscalía General Del Estado (2010)

Los delitos que aquí se describen se encuentran como

reforma al Código Penal por parte de la Ley de Comercio Electrónicos, Mensajes de Datos y Firmas Electrónicas publicada

118

en Ley �o. 67. Registro Oficial. Suplemento 557 de 17 de Abril del 2002.

CUADRO 2 DELITOS CO�TRA LA I�FORMACIÓ� PROTEGIDA:

VIOLACIÓ� DE CLAVES O SISTEMAS DE SEGURIDAD

TITULO DEL CÓDIGO PE�AL DESCRIPCIÓ�

Título II: DE LOS DELITOS CONTRA LAS GARANTIAS CONSTITUCIONALES Y LA IGUALDAD RACIAL.

Cap. V. De los Delitos Contra la inviolabilidad

del secreto.

Empleo de cualquier medio electrónico, informático o afín. · Violentare claves o sistemas de seguridad · Acceder u obtener información protegida contenida en sistemas de información · Vulnerar el secreto, confidencialidad y reserva · Simplemente vulnerar la seguridad ·PRISION 6 MESES A UN AÑO MULTA 500 A 1000 USD · Agravantes dependiendo de la información y del sujeto activo

TIPOS PE�ALES

Artículo 59.- A continuación del Art. 202, inclúyanse los siguientes artículos innumerados:

Artículo....- El que empleando cualquier medio electrónico, informático o afín, violentare claves o sistemas de seguridad, para acceder u obtener información protegida, contenida en sistemas de información; para vulnerar el secreto, confidencialidad y reserva, o simplemente vulnerar la seguridad, será reprimido con prisión de seis meses a un año y multa de quinientos a mil dólares de los Estados Unidos de Norteamérica.

Si la información obtenida se refiere a

seguridad nacional, o a secretos

comerciales o industriales, la pena será de

Artículo...- Obtención y utilización

no autorizada de Información.- La

persona o personas que obtuvieren

información sobre datos personales

para después cederla, publicarla,

utilizarla o transferirla a cualquier

título, sin la autorización de su titular o

titulares, serán sancionadas con pena

de prisión de dos meses a dos años y

multa de mil a dos mil dólares de los

Estados Unidos de Norteamérica.

119

uno a tres años de prisión y multa de mil a mil

quinientos dólares de los Estados Unidos de

Norteamérica.

La divulgación o la utilización fraudulenta de

la información protegida, así como de los

secretos comerciales o industriales, serán

sancionadas con pena de reclusión menor

ordinaria de tres a seis años y multa de dos mil

a diez mil dólares de los Estados Unidos de

Norteamérica.

Si la divulgación o la utilización fraudulenta se

realizan por parte de la persona o

personas encargadas de la custodia o

utilización legítima de la información, éstas

serán sancionadas con pena de reclusión menor

de seis a nueve años y multa de dos mil a diez

mil dólares de los Estados Unidos de

Norteamérica.

Elaboración: Dr. Santiago Acurio Fuente:http://www.alfa-redi.com/apc-aa-alfaredi/img_upload/9507fc6773bf8321fcad954b7a344761/acurio1.pdf

CUADRO 3 DELITOS CO�TRA LA I�FORMACIÓ� PROTEGIDA:

DESTRUCCIÓ� O SUPRESIÓ� DE DOCUME�TOS, PROGRAMAS.

TITULO DEL CÓDIGO PE�AL DESCRIPCIÓ�

TITULO III. DE LOS DELITOS CONTRA LA ADMINISTRACION PÚBLICA. Cap. V. De la Violación de los deberes de Funcionarios Públicos, de la Usurpación de Atribuciones y de los Abusos de Autoridad

Empleado Público

· Persona encargada de un servicio Público · Que maliciosamente y fraudulentamente · DESTRUYA O SUPRIMA:

120

· Documentos, títulos, programas, datos, bases de datos, información, mensajes de datos contenidos en un sistema o red electrónica. · RECLUSION MENOR 3 A 6 AÑOS

TIPOS PE�ALES

Artículo 60.- Sustitúyase el Art. 262 por el siguiente: “Serán reprimidos con 3 a seis años de reclusión menor, todo empleado público y toda persona encargada de un servicio público, que hubiere maliciosa y fraudulentamente, destruido o suprimido documentos, títulos, programas, datos, bases de datos, información o cualquier mensaje de datos contenido en un sistema de información o red electrónica, de que fueren depositarios, en su calidad de tales, o que les hubieren sido encomendados en razón de su cargo.


CUADRO 4 DAÑOS I�FORMÁTICOS

TITULO DEL CÓDIGO PE�AL

DESCRIPCIÓ�

Titulo V. DE LOS DELITOS CONTRA LA SEGURIDAD PÚBLICA. Cap. VII: Del incendio y otras destrucciones, de los deterioros y daños

-Dolosamente, de cualquier modo o utilizando cualquier método destruya, altere, inutilice, suprima o dañe de forma temporal o definitiva:

-Programas, datos, bases de datos, información o cualquier mensaje de datos contenido en un sistema de información o red electrónica.

-Inutilización de la infraestructura para

121

la transmisión de datos.

PRISIÓN 6 MESES A 3 AÑOS, MULTA DE 60 A 150 USD

TIPOS PE�ALES

Artículo 62.- A continuación del Art. 415 del Código Penal, inclúyanse los siguientes artículos innumerados:

Art - Daños informáticos.- El que dolosamente, de cualquier modo o utilizando cualquier método, destruya, altere, inutilice, suprima o dañe, de forma temporal o definitiva, los programas, datos, bases de datos, información o cualquier mensaje de datos contenido en un sistema de información o red electrónica, será reprimido con prisión de seis meses a tres años y multa de sesenta a ciento cincuenta dólares de los Estados Unidos de Norteamérica.

La pena de prisión será de tres a cinco años y multa de doscientos a seis cientos dólares de los Estados Unidos de Norteamérica, cuando se trate de programas, datos, bases de datos, información o cualquier mensaje de datos contenido en un sistema de información o red electrónica, destinada a prestar un servicio público o vinculado con la defensa nacional.

Artículo Innumerado - Si no se tratare de un delito mayor, la destrucción, alteración o inutilización de la infraestructura o instalaciones físicas necesarias para la transmisión, recepción o procesamiento de mensajes de datos, será reprimida con prisión de ocho meses a cuatro años y multa de doscientos a seis cientos dólares de los Estados Unidos de Norteamérica.


122

CUADRO 5

FRAUDE I�FORMÁTICO TITULO DEL CÓDIGO PE�AL

DESCRIPCIÓ�

Titulo X. De los Delitos contra la Propiedad. Cap. II. Del Robo.

Cap. V De las Estafas y otras defraudaciones.

- Utilización fraudulenta de sistemas de información o redes electrónicas. - PRISION 6 MESES A 5 AÑOS - MULTA 500 A 1000 USD Y SI EMPLEA LOS SIGUIENTES MEDIOS:

- Inutilización de sistemas de alarma o guarda. - Descubrimiento o descifrado de claves secretas o encriptadas. - Utilización de tarjetas magnéticas o perforadas. - Utilización de controles o instrumentos de apertura a distancia, y, - Violación de seguridades electrónicas - PRISION 1 A 5 AÑOS MULTA 1000 A 2000 USD

TIPOS PE�ALES

Artículo 63.- A continuación del artículo 553 del Código Penal, añádanse los siguientes artículos innumerados: Art. Inn.-Apropiación Ilícita.- Serán reprimidos con prisión de seis meses a cinco años y multa de quinientos a mil dólares de los Estados Unidos de Norteamérica, los que utilizaren fraudulentamente sistemas de información o redes electrónicas, para facilitar la apropiación de un bien ajeno, o los que procuren la transferencia no consentida de bienes, valores o derechos de una persona, en perjuicio de ésta o de un tercero, en beneficio suyo o de otra persona alterando, manipulando o modificando el funcionamiento de redes electrónicas, programas informáticos, sistemas informáticos, telemáticos o mensajes de datos.

Art. Inn.- La pena será de prisión de uno a cinco años y multa de mil a dos mil dólares de los Estados Unidos de Norteamérica, si el delito se hubiere cometido empleando los siguientes medios:

1.- Inutilización de sistemas de alarma o guarda; 2.- Descubrimiento o descifrado de claves secretas o encriptadas; 3.- Utilización de tarjetas magnéticas o perforadas; 4.- Utilización de controles o instrumentos de apertura a distancia; 5.- Violación de seguridades electrónicas, informáticas u otras semejantes.

123

Artículo 64.- Añádase como segundo inciso del artículo 563 del Código Penal el siguiente: Será sancionado con el máximo de la pena prevista en el inciso anterior y multa de quinientos a mil dólares de los Estados Unidos de Norteamérica, el que cometiere el delito utilizando medios electrónicos o telemáticos.


Hasta la presente fecha en que se ha realizado el proyecto de tesis sólo se ha dado la

reforma a lo expuesto por el Presidente Constitucional de la República del Ecuador

Rafael Correa Delgado, quien decretó las reformas a la Ley de Comercio

Electrónico, Firmas Electrónicas y Mensajes de Datos No. 67 del Registro Oficial.

Suplemento 557 del 17 de Abril del 2002, según el REGISTRO OFICIAL Año II –

Quito, Lunes 6 de Octubre del 2008 – Nro. 440.

Esta reforma a la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de

Datos, sólo contempla regulaciones para las telecomunicaciones que les permitan

promover políticas que susciten y fortalezcan el desarrollo y aplicación efectiva del

comercio electrónico.

124

TÍTULO II DERECHOS

CAPÍTULO PRIMERO PRI�CIPIOS DE APLICACIÓ� DE LOS DERECHOS

SECCIÓ� II COMU�ICACIÓ� E I�FORMACIÓ�

Art. 16.- Todas las personas, en forma individual o colectiva, tienen derecho a:

1. Una comunicación libre, intercultural, incluyente, diversa y participativa, en todos los ámbitos de la interacción social, por cualquier medio y forma, en su propia lengua y con sus propios símbolos.

2. El acceso universal a las tecnologías de información y comunicación.

3. La creación de medios de comunicación social, y al acceso en igualdad de condiciones al uso de las frecuencias del espectro radioeléctrico para la gestión de estaciones de radio y televisión públicas, privadas y comunitarias, y a bandas libres para la explotación de redes inalámbricas.

4. El acceso y uso de todas las formas de comunicación visual, auditiva, sensorial y a otras que permitan la inclusión de personas con discapacidad.

5. Integrar los espacios de participación previstos en la Constitución en el campo de la comunicación.

Art. 18.- Todas las personas, en forma individual o colectiva, tienen derecho a: 1. Buscar, recibir, intercambiar, producir y difundir información

veraz, verificada, oportuna, contextualizada, plural, sin censura previa acerca de los hechos, acontecimientos y procesos de interés general, y con responsabilidad ulterior.

2. Acceder libremente a la información generada en entidades públicas, o en las privadas que manejen fondos del Estado o realicen funciones públicas. �o existirá reserva de información

125

excepto en los casos expresamente establecidos en la ley. En caso de violación a los derechos humanos, ninguna entidad pública negará la información.

TÍTULO VII

RÉGIME� DEL BUE� VIVIR SECCIÓ� PRIMERA

EDUCACIÓ�

Que el artículo 350 de la Constitución de la República del Ecuador señala que el sistema de educación superior tiene como finalidad la formación académica y profesional con visión científica y humanista; la investigación científica y tecnológica; la innovación, promoción, desarrollo y difusión de los saberes y las culturas; la construcción de soluciones para los problemas del país, en relación con los objetivos del régimen de desarrollo.

SECCIÓ� OCTAVA

CIE�CIA, TEC�OLOGÍA, I��OVACIÓ� Y SABERES A�CESTRALES

Art.385. El sistema nacional de ciencia, tecnología, innovación y saberes ancestrales, en el marco del respeto al ambiente, la naturaleza, la vida, las culturas y la soberanía, tendrá como finalidad:

• Generar, adaptar y difundir conocimientos científicos y tecnológicos.

• Recuperar, fortalecer y potenciar los saberes ancestrales. • Desarrollar tecnologías e innovaciones que impulsen la

producción nacional, eleven la eficiencia y productividad, mejoren la calidad de vida y contribuyan a la realización del buen vivir. Art. 386.- El sistema comprenderá programas, políticas,

recursos, acciones, e incorporará a instituciones del Estado,

126

universidades y escuelas politécnicas, institutos de investigación públicos y particulares, empresas públicas y privadas, organismos no gubernamentales y personas naturales o jurídicas, en tanto realizan actividades de investigación, desarrollo tecnológico, innovación y aquellas ligadas a los saberes ancestrales.

El Estado, a través del organismo competente, coordinará el sistema, establecerá los objetivos y políticas, de conformidad con el Plan �acional de Desarrollo, con la participación de los actores que lo conforman.

Art. 387.- Será responsabilidad del Estado: 1. Facilitar e impulsar la incorporación a la sociedad del conocimiento para alcanzar los objetivos del régimen de desarrollo. 2. Promover la generación y producción de conocimiento, fomentar la investigación científica y tecnológica, y potenciar los saberes ancestrales, para así contribuir a la realización del buen vivir, al sumak kawsay. 3. Asegurar la difusión y el acceso a los conocimientos científicos y tecnológicos, el usufructo de sus descubrimientos y hallazgos en el marco de lo establecido en la Constitución y la Ley. 4. Garantizar la libertad de creación e investigación en el marco del respeto a la ética, la naturaleza, el ambiente, y el rescate de los conocimientos ancestrales. 5. Reconocer la condición de investigador de acuerdo con la Ley.

127

CAPÍTULO III

METODOLOGÍA

MODALIDAD DE LA I�VESTIGACIÓ� Este proyecto de investigación tiene la modalidad de un proyecto bibliográfico,

que permite realizar los estudios teóricos, y recolectar información importante,

para concientizar dentro de la temática de una propuesta, según las variables

planteadas.

La función básica del método consiste en ser un instrumento que permita dar

pautas a aquello que se desea hacer: para ello, el método científico se va

perfeccionando en la práctica de la investigación científica.

MÉTODO CIE�TÍFICO.

“Según MSc. Pacheco, Oswaldo, (1999), expresa: “El método científico es un conjunto de procedimientos lógicamente sistematizados que el investigador utiliza para descubrir y enriquecer la ciencia” (Pág. 36)

Este método es un proceso destinado a explicar el procedimiento que se llevará a

cabo en esta investigación, cuyos resultados serán aceptados como válidos por la

comunidad organizacional, el profesional de sistemas no debe olvidar las

seguridades que deben ser consideradas al momento de implementar cualquier

tipo de infraestructura.

128

La actitud del profesional de sistemas no puede ser objeto de improvisación, debe ser

planificada y estudiada con un criterio ingenioso, mediante una metodología que le

permita obtener los resultados esperados.

MÉTODO I�DUCTIVO

Es un proceso de razonamiento lógico que nos lleva de lo particular a lo general o de

una parte a un todo, empezando con la observación de casos particulares para luego

comparar con propiedades, características y relaciones eficaces de las diferentes

etapas en los objetos del conocimiento; se abstrae, se generaliza y se llega al

establecimiento de las reglas y leyes científicas.

MÉTODO DEDUCTIVO

Este proceso va de lo general a lo particular o de lo complejo a lo simple presentando

conceptos, principios, reglas, definiciones, operaciones y fórmulas a partir de las

cuales se analiza, sintetiza, compara, generaliza y demuestra.

Es con la investigación realizada que se va acumulando información de a cuerdo a la

metodología adoptada, y esto lleva a resolver el problema real de las vulnerabilidades

en tecnologías de virtualización en una organización, elevando los niveles de

seguridad ante delitos informáticos que puedan darse en las máquinas virtuales,

descubriendo la existencia de procesos y resultados de la investigación.

El proyecto objeto de estudio, de acuerdo a las características y objetivos propuestos

por el problema, están enmarcados en la modalidad cualitativa, y como bibliográfico.

129

TIPOS DE I�VESTIGACIÓ�

La investigación , de acuerdo con Sabino (2000), se define

como “un esfuerzo que se emprende para resolver un problema , claro está, un problema de conocimiento” (p. 47), por su lado Cervo y Bervian (1989) la definen como “una actividad encaminada a la solución de problemas . Su Objetivo consiste en hallar respuesta a preguntas mediante el empleo de procesos científicos ” (p. 41).

Los tipos de investigación que se utilizaron para el desarrollo de esta

investigación son los siguientes:

I�VESTIGACIÓ� DE CAMPO

Según, http://es.wikipedia.org/wiki/Investigaci%C3%B3n

Se trata de la investigación aplicada para comprender y resolver alguna situación, necesidad o problema en un contexto determinado. El investigador trabaja en el ambiente natural en que conviven las personas y las fuentes consultadas, de las que obtendrán los datos más relevantes a ser analizados, son individuos, grupos y representaciones de las organizaciones científicas no experimentales dirigidas a descubrir relaciones e interacciones entre variables sociológicas, psicológicas y educativas en estructuras sociales reales y cotidianas.

Porque sirve para analizar que tanto conocimiento hay en nuestro medio

relevante al problema de las vulnerabilidades en las máquinas virtuales Vmware

si estas existieran y que Delitos Informáticos se pueden aplicar a estas, utilizando

las encuestas y entrevistas. Trabajando en la fuente misma de la investigación.

130

I�VESTIGACIÓ� DESCRIPTIVA

Según, http://tgrajales.net/investipos.pdf

Trabaja sobre realidades de hecho y su característica fundamental es la de presentar una interpretación correcta. Esta puede incluir los siguientes tipos de estudios: Encuestas, Casos, Exploratorios, Causales, De Desarrollo, Predictivos, De Conjuntos, De Correlación.

Porque sirve para analizar con mayor detenimiento las vulnerabilidades que puedan

tener las máquinas virtuales VMware, para llegar a conocer las debilidades que éstas

poseen en sus seguridades permitiendo ataques informáticos.

I�VESTIGACIÓ� DIAG�ÓSTICA

Según, http://mmalicea.tripod.com/proyecto/investprelim.htm

La investigación diagnóstica es la investigación preliminar que se realiza para determinar cuál es el problema o necesidad de un usuario, nos permite mejorar la información acerca del tema que se está investigando; ya que nos ayuda a entender la naturaleza del problema, definir el alcance, las restricciones y/o limitaciones de un sistema.

Porque permite diagnosticar el problema o necesidad que se está tratando como en

este caso la verificación de las vulnerabilidades que puedan tener las máquinas

virtuales VMware ante ataques de cualquier índole informática.

131

I�VESTIGACIÓ� BIBLIOGRÁFICA

Según, http://www.monografias.com/trabajos74/investigacion-bibliografica/investigacion-bibliografica.shtml

La investigación bibliográfica constituye una excelente

introducción a todos los otros tipos de investigación, además de que constituye una necesaria primera etapa de todas ellas, puesto que ésta proporciona el conocimiento de las investigaciones ya existentes teorías, hipótesis, experimentos, resultados, instrumentos y técnicas usadas acerca del tema o problema que el investigador se propone investigar o resolver. Para algunos autores, la investigación bibliográfica es una amplia búsqueda de información sobre una cuestión determinada, que debe realizarse de un modo sistemático, pero no analiza los problemas que esto implica. Otros autores la conciben como el proceso de búsqueda de información en documentos para determinar cuál es el conocimiento existente en un área particular.

Es decir que la investigación bibliográfica es el proceso que se encarga de la

búsqueda de información en fuentes como libros, citas, textos, internet, etc. sobre un

tema que el investigador está averiguando para determinar el nivel de conocimiento

que existe sobre un tema en particular.

132

POBLACIÓ� Y MUESTRA

Según, D-ONOFRE (citado por Andino, Yépez, 1999)

Es el conjunto agregado del número de elementos, con caracteres comunes, en un espacio y tiempo determinados sobre los cuales se pueden realizar observaciones (p. 117, 118) En otras palabras la población es el conjunto de todos los sujetos en los que se desea estudiar un hecho o fenómeno. Módulo de tutoría.

La muestra está constituida por un conjunto de personas de los departamentos de

sistemas que componen el sector empresarial de la ciudad de Guayaquil, en el ámbito

bancario, comercial y de servicios en general, tales como: bancos, empresas de

soporte tecnológico, empresas de tecnología, centros comerciales, empresas de

telecomunicaciones, municipio, medios de comunicación escritos y de servicios

hospitalarios, que han sido investigadas a través de una muestra no probabilística e

intencional, en razón de que el investigador conoce a los elementos de las mismas.

Aunque en la ciudad de Guayaquil existen un aproximado de 1339 empresas, según la página ecuador.acambiode.com, en el ámbito, bancario, comercial y de servicios

en general; la muestra, está representada por 54 sujetos que fueron escogidos de

manera intencional en 17 empresas importantes de la ciudad de Guayaquil tales

como: Omnihospital, Ocitel, Tecnobis, Inmobiliaria del Sol, Pronobis, Deprati, Super

Éxito, Banco de Guayaquil, Banco del Pacífico, IBM – Solinser, Digeim, Inocar,

Corporación Latino América de Software, El Universo, Municipio de Guayaquil,

Consorcio Ecuatoriano de Telecomunicaciones, SAAP, cuyos profesionales de

sistemas me brindaron su colaboración para realizar las encuestas.

133

OPERACIO�ALIZACIÓ� DE VARIABLES

CUADRO 6 MATRIZ DE OPERACIO�ALIZACIÓ� DE VARIABLES

Variables Dimensiones Indicadores Técnicas y/o Instrumentos

I�DEPE�DIE�TES Estudio de las vulnerabilidades en las tecnologías de virtualización con VMware en microcomputadoras. Esta variable se refiere a un estudio que permitirá conocer las vulnerabilidades más importantes que tienen las máquinas virtuales VMware

Metodología

-Estrategias -Técnicas -Recursos

-Libros Seleccionados -Videos -Entrevistas -Encuestas -Bibliografía

Virtualización con VMware en microcomputadoras

-Servidores virtualizados -Estaciones virtualizadas

-Estadísticas sobre áreas de sistemas usando máquinas virtuales

DEPE�DIE�TES Determinar los posibles delitos informáticos que puedan afectar a los sistemas virtualizados VMware en microcomputadoras. Esta variable se refiere a los delitos informáticos que pueden ser cometidos en las máquinas virtuales VMware, en nuestro medio

Metodología

-Estrategias -Técnicas -Recursos

-Bibliografía especializada -Consulta a expertos

Delitos informáticos

-Fraudes -Robos - Violación de claves

-Lectura y análisis código civil -Lectura y análisis código penal

Elaboración: Johnny Villavicencio Fuente: Johnny Villavicencio

134

I�STRUME�TOS DE RECOLECCIÓ� DE DATOS

LA TÉC�ICA

Una técnica (del griego, τέχνη (téchne), arte) es un procedimiento o conjunto de reglas, normas o protocolos, que tienen como objetivo obtener un resultado determinado, ya sea en el campo de la ciencia, de la tecnología, del arte, del deporte, de la educación o en cualquier otra actividad.

La técnica al ser un conjunto de reglas, mecanismos, medios de dirigir, recolectar,

conservar, reelaborar, transmitir datos, etc. Nos permite obtener resultados de acuerdo

a la investigación.

Un instrumento de recolección de datos es una herramienta que sirve al investigador

para extraer información que le sirva para el estudio y análisis del objetivo planteado.

Entre las técnicas de la investigación que se han seleccionado para la realización de

este proyecto, se va hacer uso de la encuesta y las entrevistas, el cuestionario que son

los documentos que constan en las preguntas de investigación, y se utilizó la escala de

Likert modificada.

Las técnicas utilizadas para la obtención necesaria de los datos, provino de fuentes

primarias y secundarias.

135

Primarias:

• Observación;

• Encuestas;

• Entrevistas.

Secundarias:

• Análisis de contenido;

• Lectura científica.

A continuación, explico algunos de los instrumentos de los cuales me he valido para realizar este trabajo:

OBSERVACIÓ�

La observación es una técnica que consiste en la observación de personas, fenómenos,

hechos, casos, objetos, acciones, situaciones, etc., con el fin de recopilar una

información determinada que sirva para una investigación.

Las ventajas de usar esta técnica es que permite obtener información relevante, es de

bajo costo y fácil de aplicar.

E�CUESTA

Consiste en que una persona proporciona directamente la información al

investigador o entrevistador en una relación personal en donde se obtienen datos

136

importantes y relevantes a un tema específico, para saber el porcentaje según la

opinión sobre las vulnerabilidades y seguridades en las máquinas virtuales.

Las encuestas por lo general pueden ser descriptivas y mixtas. Pueden ser por

muestreo cuando se lo hace a un cierto número de personas encuestadas.

Generalmente se utiliza preguntas de opinión y de índice, según el contenido.

También pueden ser preguntas abiertas, cerradas y mixtas, según la forma de la

encuesta.

Esta Técnica es la más utilizada y permite obtener información de casi cualquier tipo

de población, pero una de las desventajas de esta técnica es que no permite analizar

con profundidad temas complejos

E�TREVISTA

La entrevista consiste en una interrogación de tipo verbal que se le realiza a una o

varias personas de las cuales se desea obtener la información necesaria para la

investigación respectiva.

Existen varios tipos de entrevistas que nos pueden servir según el tipo de indagación

que se quiera realizar; entre ellas tenemos:

137

• Entrevista de Investigación;

• Entrevista dirigida;

• Entrevista semidirigida;

• Entrevista no dirigida;

• Entrevista de grupo.

En una entrevista el entrevistador puede hacer preguntas abiertas o cerradas y dirige

la entrevista de acuerdo a las respuestas que vaya dando el entrevistado.

Las ventajas de esta técnica es que brinda la oportunidad de profundizar en un tema.

Las desventajas pueden ser que las personas no estén dispuestas a conceder la

información; las respuestas del entrevistado, la información obtenida y la

interpretación de ésta dependen de la habilidad del entrevistador.

I�STRUME�TOS DE LA I�VESTIGACIÓ�

LOS I�STRUME�TOS

Los instrumentos son herramientas que se utilizan para obtener información o datos

relevantes, con el fin de obtener un resultado a un tema específico.

• Cuestionarios;

• Guión de entrevistas;

• Internet;

138

• Informes instruccionales.

PROCEDIMIE�TOS DE LA I�VESTIGACIÓ�

• Identificación y formulación del problema

• Elección del tema

• Determinación de las variables

• Selección bibliográfica

• Investigación bibliográfica vía internet, encuestas y entrevistas

• Selección de los instrumentos para la investigación

• Aplicación y recolección de la información

• Procesamiento y análisis de los resultados

• Tablas y gráficos estadísticos

• Análisis e interpretación de los resultados

• Reuniones de asesoría con el tutor

• Elaboración del primer borrador

• Corrección del borrador

• Aprobación del proyecto

• Sustentación del proyecto

139

A�ÁLISIS E I�TERPRETACIÓ� DE LOS RESULTADOS

Las estadísticas que a continuación se presentan, en los análisis de los resultados,

corresponden a entrevistas y encuestas realizadas en la ciudad de Guayaquil.

En esta investigación se aplicó como instrumentos: encuesta a 54 profesionales de TI

de los departamentos de sistemas de diferentes empresas, 3 entrevistas a expertos en

virtualización y 1 entrevista a experto en delitos informáticos, con el propósito de

obtener información que constan en los instrumentos para establecer “ESTUDIO DE

LAS VULNERABILIDADES EN TECNOLOGÍAS DE VIRTUALIZACIÓN CON

VMWARE EN MICROCOMPUTADORAS, DETERMINANDO LOS DELITOS

INFORMÁTICOS QUE PODRÍAN AFECTAR A ESTOS SISTEMAS, EN EL

SECTOR EMPRESARIAL DE LA CIUDAD DE GUAYAQUIL, EN EL AMBITO

BANCARIO, COMERCIAL, Y DE SERVICIOS EN GENERAL”

Dejo constancia de los respectivos agradecimientos por haber colaborado con sus

respuestas para la formulación de la propuesta.

A continuación se presenta un análisis cuali-cuantitativo del tema propuesto en base a

frecuencia y porcentajes para determinar conclusiones y recomendaciones que sirvan

de soporte para la investigación.

140

RESULTADOS DE LAS E�CUESTAS AL PERSO�AL DE SISTEMAS DE 17 EMPRESAS DE LA CIUDAD DE GUAYAQUIL

CUADRO 7

Cree Ud. que hoy en día es necesario tener conocimientos acerca del uso de la máquinas virtuales Ítem �° Categoría Frecuencia Porcentaje

1 4 En desacuerdo 0 0 3 Indiferente 1 2 2 De acuerdo 8 15 1 Muy de acuerdo 45 83

Total 54 100% Fuente: Johnny Villavicencio

Gráfico 22

Fuente: Johnny Villavicencio

De los profesionales de sistemas de las empresas de Guayaquil encuestados se

manifestaron el 83% el estar muy de acuerdo y el 15 % De acuerdo en que hoy en día

es necesario tener conocimientos acerca del uso de las máquinas virtuales, y sólo el

2% dicen no saber si es necesario tener conocimientos acerca del uso de las máquinas

virtuales.

De acuerdo a los resultados obtenidos nos damos cuenta que sí es necesario hoy en

día tener conocimientos acerca del uso de las máquinas virtuales debido al auge que

está cobrando en las empresas de nuestro medio.

141

CUADRO 8

Considera que el uso de las máquinas virtuales en las empresas se da por sus grandes ventajas y beneficios Ítem �° Categoría Frecuencia Porcentaje



Gráfico 23



manifestaron el 67% estar muy de acuerdo y el 31% de acuerdo, en que el uso de las

máquinas virtuales se dan en las empresas por sus grandes ventajas y beneficios,

mientras que el 2% dicen no saber por qué las empresas utilizan las máquinas

virtuales.

Se puede observar claramente que la mayoría del personal de sistemas considera que

las máquinas virtuales se las utiliza por sus grandes ventajas y beneficios que les

pueden dar a las empresas.

142

CUADRO 9

Cree Ud. que para administrar una máquina virtual y sus seguridades no es necesario tener mucha experiencia Ítem �° Categoría Frecuencia Porcentaje



Gráfico 24



manifestaron el 59% estar en desacuerdo, en que no es necesario tener mucha

experiencia para administrar una máquina virtual, el 30% dice estar de acuerdo y el

otro 11% dicen no saber si se necesita experiencia o no para administrar una máquina

virtual.

Se refleja que más de la mitad del personal de sistemas de las empresas encuestadas

están consientes que es importante tener experiencia en el manejo y administración de

las máquinas virtuales y sus seguridades.

143

CUADRO 10

Cree Ud. que las máquinas virtuales tienen vulnerabilidades Ítem �° Categoría Frecuencia Porcentaje



Gráfico 25


De los profesionales de sistemas de las empresas de Guayaquil encuestados opinaron

el 31% estar muy de acuerdo y el 54% está de acuerdo, en que si existen

vulnerabilidades en las máquinas virtuales, mientras que el 9% dicen desconocer el

tema y apenas el 6% dice estar en desacuerdo.

Es importante que el personal de sistemas de las empresas conozcan si las máquinas

virtuales tienen o no vulnerabilidades para poder establecer las seguridades

respectivas.

144

CUADRO 11

Cree Ud. Que hay bastante información que nos indica cómo proteger una máquina virtual para evitar vulnerabilidades Ítem �° Categoría Frecuencia Porcentaje



Gráfico 26



manifestaron el 15% dice estar muy de acuerdo, el 39% está de acuerdo, en que hay

bastante información que nos indica cómo proteger una máquina virtual para evitar

vulnerabilidades, mientras que el 22% dicen desconocer el tema y el 24% dice estar

en desacuerdo.

Se ha encontrado que aproximadamente la mitad del personal de sistemas creen que

hay suficiente información que indica cómo proteger una máquina virtual y así evitar

vulnerabilidades, mientras que el resto no saben si hay suficiente información para

proteger una máquina virtual y así evitar vulnerabilidades.

145

CUADRO 12

Cree Ud. que es necesario realizar un estudio para saber que tan vulnerables o seguras son las máquinas virtuales Ítem �° Categoría Frecuencia Porcentaje



Gráfico 27



manifestaron el 52% estar muy de acuerdo y el 44% está de acuerdo, en que si es

necesario realizar un estudio para saber que tan vulnerables o seguras son las

máquinas virtuales, mientras que sólo el 4% dicen desconocer el tema.

Se refleja que los profesionales de sistemas encuestados en su gran mayoría creen que

es necesario realizar un estudio para saber que tan vulnerables o seguras son las

máquinas virtuales.

146

CUADRO 13

Considera Ud. que si una máquina virtual no está debidamente protegida puede estar propensa a ataques informáticos Ítem �° Categoría Frecuencia Porcentaje



Gráfico 28



manifestaron el 70% estar muy de acuerdo y el 24% está de acuerdo, en que si una

máquina virtual no está debidamente protegida puede estar propensa a ataques

informáticos, mientras que el 6% no sabe si se debe proteger o no una máquina

virtual para evitar ataques informáticos.

Por lo tanto se puede notar con mucha claridad que la mayoría de los profesionales de

sistemas encuestados opinan que si una máquina virtual no está debidamente

protegida, está puede estar propensa a cualquier ataque informático y por

consiguiente estas son tan vulnerable como cualquier sistema operativo.

147

CUADRO 14

Considera Ud. que es importante realizar un estudio sobre las seguridades de las máquinas virtuales Ítem �° Categoría Frecuencia Porcentaje



Gráfico 29


De los profesionales de sistemas de las empresas de Guayaquil encuestados nos

damos cuenta que el 65% están muy de acuerdo y el 33% está de acuerdo, en que es

importante realizar un estudios sobre las seguridades de las máquinas virtuales,

mientras que apenas el 2% del personal de sistemas encuestados desconocen del

tema.

Se ha encontrado que la mayoría de los profesionales encuestados están preocupados

por las seguridades de las máquinas virtuales. Por lo tanto el investigador se da cuenta

cuan importante es realizar un estudio sobre este tema que compromete la seguridad

de los sistemas informáticos virtualizados.

148

CUADRO 15

Considera Ud. importante conocer los delitos informáticos que puedan darse en las máquinas virtuales en nuestro medio Ítem �° Categoría Frecuencia Porcentaje



Gráfico 30



manifestaron el 69% estar muy de acuerdo y el 31% estar de acuerdo, en lo

importante que es conocer los delitos informáticos que pudieran darse en las

máquinas virtuales en nuestro medio.

De acuerdo a lo expresado por los profesionales de sistemas, es necesario que se

conozcan los delitos informáticos en las máquinas virtuales que se podrían dar en

nuestro medio, ya que hoy en día está en auge el delito informático y muchos de ellos

no se encuentran tipificados en la ley ecuatoriana.

149

CUADRO 16

Cree Ud. que existe un desconocimiento en el uso óptimo de la virtualización de servidores en nuestro medio Ítem �° Categoría Frecuencia Porcentaje



Gráfico 31



manifestaron el 46% estar muy de acuerdo y el 46% estar de acuerdo, que existe un

desconocimiento en el uso óptimo de la virtualización de servidores en nuestro

medio. Y sólo el 8% cree que hay un uso óptimo de estas tecnologías dentro de las

empresas.

Es importante que los profesionales de sistemas de las empresas le den el uso óptimo

a sus infraestructuras virtualizadas, ya que por el desconocimiento se puede caer en el

uso excesivo y desmedido de la virtualización de servidores en un solo medio físico y

por tanto degradan los tiempos de respuesta.

150

CUADRO 17

De contar con la información necesaria que le permita proteger su máquina virtual ante los ataques informáticos la utilizaría Ítem �° Categoría Frecuencia Porcentaje



Gráfico 32


De los profesionales de sistemas de las empresas de Guayaquil encuestados opinaron

el 83% estar muy de acuerdo y el 15% estar de acuerdo, que de contar con la

información necesaria que les permita proteger sus máquinas virtuales ante ataques

informáticos la utilizarían, mientras que sólo el 2% que están en desacuerdo, no la

utilizarían.

En conclusión podemos observar que de los profesionales de sistemas encuestados

en su gran mayoría, dicen que de contar con la información necesaria que les

permitiera proteger sus máquinas virtuales, la utilizarían.

151

A�ALISIS DE LAS E�TREVISTAS REALIZADAS A EXPERTOS E� VIRTUALIZACIÓ�

E�TREVISTA #1

Para el Ing. Carlos Valero Especialista de IT y experto en virtualización, expresa que:

Las máquinas virtuales VMware son una de las mejores en el mercado a diferencia

de otras que a pesar de tener buenas características les falta madurar más, por esta

razón su empresa escogió VMware ESX 3.5, utilizando virtualización tipo nativa.

Como políticas de seguridad sólo utilizan usuarios que son creados por el personal del

área de seguridad informática con sus respectivas contraseñas, que les permitirán

crear, eliminar, modificar, apagar y encender los equipos virtuales.

Considera que toda máquina virtual es tan vulnerable como un Sistema Operativo,

más que nada a nivel de hardware, por esta razón y con el fin de evitar

vulnerabilidades aconseja robustecer el ambiente físico (Hardware) donde va a

residir la máquina virtual de la siguiente manera:

- Configurar por cada VLAN un Firewall.

- Habilitar el propio Firewall interno de las máquinas virtuales.

- El administrador a parte de los puertos de SSH, Telnet y otros debe tener claro que

puertos abre o cierra según la necesidad de la empresa.

152

En caso de desastres manejan un storage en Guayaquil con todas las máquinas

virtuales ejecutándose sin problemas y una réplica en otra parte de la ciudad

replicándose cada 5 minutos.

Entre las vulnerabilidades más comunes en las máquinas virtuales tenemos:

- A nivel del Hypervisor, ya que si algún intruso lograse ingresar y tuviere

conocimientos de Linux, podría borrar los archivos de disco de configuración de las

máquinas virtuales con el fin de causar daño.

- Los mismos empleados de la compañía que quisieran causar algún daño a la

compañía, basta con que conozcan las claves y usuarios correctos, la configuración de

los servidores, VLAN, Firewall, etc .

- Un administrador de las máquinas virtuales, puede copiar el archivo de la

configuración o la carpeta donde se encuentra el open source y levantarla en otro lado

sin problemas.

Para instalar una máquina virtual VMware ESX 3.5, se debe instalar todo por default,

no se utiliza ninguna configuración adicional, a más que el administrador requiera

realizar alguna configuración adicional una vez esté en el clúster.

Indicó que podrían darse delitos informáticos tales como:

153

- Violentar claves o sistemas de seguridad.

- Robo de información protegida contenida en sistemas virtuales.

- Que maliciosamente y fraudulentamente se borre o dañe una máquina virtual.

Piensa que existe un desconocimiento en el uso óptimo de la virtualización en nuestro

medio, ya que las empresas no invierten en la debida capacitación para su personal

de sistemas tanto en las máquinas virtuales como en Linux que no es muy explotado

en el Ecuador, y la mayoría de las cosas se las realiza empíricamente, a través de una

autoeducación o por medio de pequeños manuales.

E�TREVISTA #2

El Ing. Cristhian Murrieta, Subgerente de Operaciones de Tecnobis y experto en

virtualización considera que:

Para evitar vulnerabilidades, se debe tener configurado un buen firewall para que no

hayan puertos abiertos y establecer las seguridades propias de la máquina para que

herede las políticas de dominio del servidor Active Directory, como cualquier PC.

Existe un desconocimiento en el uso óptimo de la virtualización, porque es una

tecnología relativamente nueva, y por este motivo no se llega a optimizar los recursos

de estos sistemas.

154

Piensa que es importante hacer un estudio y análisis de las fortalezas y debilidades de

las máquinas virtuales, porque estas son como un sistema operativo y por ende

pueden ser vulnerables; por lo tanto considera que es importante hacer un estudio

sobre las seguridades en las máquinas virtuales porque, como sistema operativo,

puede ser vulnerable; y debido a la poca información que se tiene a la mano, lo

convierte en un ambiente potencialmente vulnerable.

Cree que los delitos informáticos que se puedan dar es el robo de información si el

administrador no custodia adecuadamente el usuario y la clave. Así mismo si alguien

lograra entrar al hypervisor podría llevarse las máquinas virtuales, pero no la

información, ya que ésta reposa en una SAN.

E�TREVISTA #3

Por solicitud del entrevistado se mantiene el anonimato del mismo y de la empresa

para la cual trabaja, por motivos de exigencias y políticas de su empresa.

El Jefe de Redes y Servidores de una importante empresa multinacional del Ecuador,

especialista en IT y con experiencia en virtualización de servidores:

Tiene experiencia sobre VMware, las seguridades que se aplicarían, es tener las

máquinas virtuales aisladas, de tal forma que si un intruso pasara el firewall no tenga

el acceso a las máquinas virtuales. Para realizar el filtrado de equipos externos, utiliza

una IP Filter, para configurar los accesos remotos externos permitidos, filtrarlos y

negarles el acceso en caso de ser necesario.

155

Considera que las máquinas virtuales como todo sistema operativo están propensas a

ataques si no se toman los controles respectivos.

La seguridad de las máquinas virtuales va de la mano con la seguridad a nivel de

redes y del sistema operativo.

Una medida de seguridad es tener configuradas distintas VLAN, de tal forma que no

esté todo en una misma red.

Cree que las seguridades de las máquinas virtuales dependen mucho de los servicios

que podrían estar levantados, especialmente los puertos que no son seguros. Una

buena práctica de seguridad es instalar los parches del hypervisor regularmente.

Si no se tiene bien diseñada y configurada la red, podrían darse los siguientes delitos

informáticos:

- Violentar claves de seguridad

- Robar información contenida en las máquinas virtuales

- Robo de una máquina virtual

Por lo que considera que es recomendable conocer los delitos informáticos que

podrían darse.

156

Piensa que las empresas que no tienen soporte técnico de los proveedores de esta

herramienta poseen un desconocimiento en su uso óptimo, no así las empresas que si

cuentan con este tipo de asesoramiento.

Considera importante el estudio de las vulnerabilidades de estas máquinas virtuales

porque ellos solo las administran y el proveedor es el que conoce las vulnerabilidades

de estos sistemas.

A�ÁLISIS DE LA E�TREVISTA REALIZADA A U�

EXPERTO E� DELITOS I�FORMÁTICOS

E�TREVISTA #1

Para el Ing. Darwin Patiño Coordinados del Departamento de Investigación,

Desarrollo Tecnológico y Educación Continua de la Carrera de Ingeniería en

Sistemas Computacionales de la Universidad de Guayaquil, indicó que:

Hoy en día ya existen abogados especializados en Delitos informáticos, promoción de

abogados cuya maestría la realizaron en España.

La manera en que los peritos informáticos trabajan es realizando un informe técnico

del delito informático encontrado, de esta manera asesoran al Juez, para que este

157

sea el que juzgue según su criterio, ya que el perito en delitos informáticos no es

quien dice que se ha cometido o no un delito, sólo emite su informe.

Para obtener la información necesaria los peritos en delitos informáticos realizan una

especie de Informática Forense utilizando herramientas que estén a su alcance y les

permitan esclarecer el delito, ya que hoy en día en nuestro país no existen los medios,

ni los equipos necesarios para hacerlo.

Los delitos informáticos más comunes que se dan en nuestro medio son: El fraude, el

robo de información, la suplantación de identidad.

La única ley que tenemos para castigar los delitos informáticos es la Ley aprobada en

el 2002 del código civil, aunque los abogados han encontrado en la Ley del código

penal artículos que les han permitido sancionar ciertos delitos informáticos.

En nuestro país no se cumplen las leyes ante los delitos informáticos debido al poco

conocimiento que existe en la población sobre éstos, quedando impunes y sin

sanción alguna.

Los Delitos informáticos se dan hoy en día en cualquier organización sea esta

pequeña, mediana o grande.

158

La Fiscalía de Quito está buscando crear un departamento que aplique la Informática

Forense que permita obtener pruebas y descubrir los delitos informáticos que se

cometan en nuestro medio, para ello también envió a la Asamblea los Delitos

informáticos que aún no están tipificados en la Ley, para que los mismos sean

aprobados en nuestras Leyes para su respectiva aplicación y estén correctamente

sancionados y tipificados en la Ley del código penal para juzgar a alguien en estos

casos.

159

CAPÍTULO IV

MARCO ADMI�ISTRATIVO

En el marco administrativo se detallan las actividades realizadas con los debidos

tiempos establecidos para cada una de ellas.

Entre las actividades que se realizaron tenemos:

1.- En la Introducción al Proyecto de Tesis, Planteamiento del tema, objetivos y

alcances, se lo realizó durante un mes en clases programadas por la Carrera de

Ingeniería en Sistemas Computacionales de la Universidad, en el mes de junio

2010.

2.- Para el desarrollo del capítulo 1 se tomó un mes y tres semanas, desde Julio

hasta Agosto del 2010.

3.- Para el desarrollo, análisis, investigación y obtención de los conceptos para el

proyecto de tesis en el capítulo 2 del Marco teórico, se tomó dos meses y dos

semanas, desde Agosto, septiembre y culminando en octubre del 2011.

4.- Para la elección de la metodología a utilizar en el presente proyecto de tesis del

capítulo 3, se tomó dos meses y dos semanas, desde octubre, noviembre y

diciembre del 2010.

160

5.- Para determinar los tiempos de la tesis, plasmarlos en un cronograma y realizar el

presupuesto, según el capítulo 4, se tomó dos semanas entre diciembre del 2010 y

enero del 2011.

6.- Para detallar las conclusiones y recomendaciones, en el capítulo 5, se tomó 3

semanas del mes de enero del 2011.

CUADRO 18

CRO�OGRAMA

�°

ACTIVIDADES

JU� 2010

JUL 2010 AGOST

2010 SEPT 2010

OCT 2010

�OV 2010 DIC 2010 E�E 2011

30/06/2010 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3

1 Introducción al Proyecto de Tesis - Planteamiento del Tema - Objetivos y Alcances

CAPÍTULO 1.- EL PROBLEMA

2 PLANTEAMIENTO DEL PROBLEMA

3 Ubicación del Problema en un contexto

4 Situación Conflicto

5 Causas del problema, Consecuencias

6 Delimitación del Problema

7 Planteamiento

8 Evaluación del Problema

9 OBJETIVOS DE LA INVESTIGACIÓN

10 JUSTIFICACIÓN E IMPORTANCIA DE LA INVESTIGACIÓN

11 Utilidad práctica de la Investigación

12 Cuáles serán los beneficiarios

CAPÍTULO 2.- MARCO TEÓRICO

13 FUNDAMENTACIÓN TEÓRICA

14 Antecedentes del estudio

15 Exposición fundamentada en la consulta bibliográfica

16 Documental actualizada

17 Orientación Filosófica y Educativa de la Investigación

CAPÍTULO 3.- METODOLOGÍA

161

18 DISEÑO DE LA INVESTIGACIÓN

19 Modalidad de la Investigación

20 Tipo de Investigación

21 Población y Muestra

22 Operacionalización de las Variables

23 Instrumento de Recolección de Datos

24 Procesamiento de la Investigación

25 Recolección de la Información

26 PROCESAMIENTO Y ANÁLISIS

27 Criterio para la elaboración de la propuesta

28 Criterio para la realización de la propuesta

CAPÍTULO 4.- MARCO ADMI�ISTRATIVO

29 PRESUPUESTO

CAPÍTULO 5.- CO�CLUSIO�ES Y RECOME�DACIO�ES

30 CONCLUSIONES

31 RECOMENDACIONES

PRESUPUESTO

Para la realización de este proyecto de tesis se contó con ingresos propios, producto

de mi esfuerzo y trabajo.

Los egresos que aquí se detallan corresponden a lo utilizado para el desarrollo del

proyecto de tesis, tales como: materiales de oficina (hojas, plumas, lapiceros,

carpetas, vinchas, clips, grapas, Cd´s), materiales de computación (tinta para

impresora, switch, cables de red), fotocopias, impresiones de tesis (borradores y

originales), uso de computadora, servicios de internet, investigación y transporte,

refrigerios, empastados y anillados de las tesis.

162

CUADRO 19 DETALLE DEL PROYECTO

I�GRESOS

Recursos de autofinanciamiento $ 850.00

TOTAL DE I�GRESOS $ 850.00

EGRESOS

Suministros de oficina y computación $ 260.00 Fotocopias $ 40.00 Impresión de Tesis de grado (Borradores y originales)

200.00

Computadora y servicios de internet $ 150.00 Costos de investigación y Transporte $ 80.00 Refrigerio $ 40.00 Empastado, anillado de tesis de grado $ 80.00

TOTAL DE EGRESOS $ 850.00

163

CAPÍTULO V

CO�CLUSIO�ES Y RECOME�DACIO�ES

Una vez realizadas y analizadas las investigaciones, y al realizar el estudio de los

diferentes aspectos relacionados con la ejecución del presente proyecto, se

concluye que:

CO�CLUSIO�ES

� Nos podemos dar cuenta que en la ciudad de Guayaquil no existen, como

en otras ciudades del mundo, muchas empresas que capaciten y/o

certifiquen en tecnologías VMware a los profesionales de TI de nuestro

medio, lo que conlleve a que nuestros ingenieros estén en la capacidad de

asegurar sus ambientes virtualizados y que su administración sea adecuada

y óptima.

� Se ha visto que en la ciudad de Guayaquil existe muy poco conocimiento

de la tecnología VMware lo cual es un riesgo ya que en algunas empresas

utilizan esta técnica de virtualización en sus sistemas y podrían dar

oportunidad a que sufran violaciones de seguridad.

164

� En muchas empresas de nuestro medio, las claves de acceso no son

complejas y en muchos casos fácilmente identificables, lo cual constituye un

riesgo en la seguridad de información de una empresa.

� Se ha visto asimismo que en las empresas de nuestro medio, que cuentan con

esta tecnología instalada, dependen de un consultor externo para la

instalación, configuración, soporte y solución de problemas encontrados en

sus sistemas virtualizados.

� Los resultados de las encuestas que se aplicaron, comprueban que las

máquinas virtuales son utilizadas por las grandes ventajas y beneficios que

pueden brindar este tipo de tecnologías a las empresas, pero que así mismo es

necesario tener conocimientos en el buen uso y administración de las mismas,

por tal motivo se busca concientizar al medio empresarial en que se debe

capacitar al personal de sistemas para el uso óptimo de estas técnicas.

� EL personal de sistemas de las empresas están conscientes que es importante

tener información que les indique como asegurar su infraestructura virtual,

para que las mismas no sean fácilmente vulnerables y así poder proteger y

administrar de una mejor manera las máquinas virtuales y establecer sus

seguridades.

165

� Si una máquina virtual no está debidamente protegida, está puede estar

propensa a cualquier ataque informático sea este interno o externo a la

empresa, por este motivo se realizó un estudio de qué tan vulnerables pueden

ser las máquinas virtuales VMware y así establecer las seguridades

necesarias.

� La determinación de los delitos informáticos que se puedan dar en las

máquinas virtuales, nos ayudarían en gran manera para establecer procesos

que podrían impedir que estos se puedan dar dentro de la empresa, ya que

muchos de los delitos informáticos aún no están tipificados por las leyes

ecuatorianas.

� Es fundamental que los profesionales de sistemas le den el uso óptimo a las

infraestructuras virtuales en las empresas, para no caer en el uso desmedido y

excesivo al momento de virtualizar los servidores y así su administración

pueda ser óptima y oportuna.

� Toda máquina virtual es tan vulnerable como un sistema operativo, por lo que

se deben considerar algunos factores de seguridad al momento de virtualizar,

si bien es cierto que una máquina virtual ayuda en gran manera a las

empresas, estos sistemas deben ser tomados con mucha responsabilidad y si

no se tiene el proveedor que de soporte, toda compañía al emprender ese

166

proyecto debe considerar los riesgos, ventajas y desventajas de utilizar ese

tipo de tecnología, para de alguna manera no exponer tan fácilmente su

información.

� Es importante que la seguridad para este tipo de tecnologías no se tome tan a

la ligera ya que los delitos informáticos están en auge, y si no queremos caer

en alguno de ellos debemos también conocer las leyes que están estipuladas

en el Ecuador y cómo podríamos protegernos contra dichos delitos.

� Si bien es cierto que no todos los delitos informáticos están tipificados en las

Leyes ecuatorianas, todo delito puede ser sancionado de alguna u otra manera,

ya sea a través del código civil o por el código penal.

� Todos los administradores de los equipos virtuales deben utilizar todo tipo de

herramientas que les permitan monitorear, administrar y asegurar que su red

no esté fácilmente vulnerable ni expuesta a peligro alguno.

� El tener una clave de acceso a las máquinas virtuales no garantiza la

seguridad de las mismas, ya que las claves pueden ser descifradas por

deducción, por fuerza bruta, por engaño, por diccionario, robo y espionaje de

información, crack del sistema de seguridad, claves débiles, etc.

167

� Con las entrevistas realizadas a expertos en Delitos informáticos, en

virtualización y la investigación basada en la fundamentación bibliográfica,

se ha podido determinar los siguientes delitos informáticos más importantes

que se podrían dar para las máquinas virtuales VMware en nuestro medio:

• Violentar las claves o sistemas de seguridad de las máquinas virtuales.

• Robo de información contenida en máquinas virtuales.

• Que maliciosamente o fraudulentamente se borre o dañe una máquina

virtual.

• Robo de las máquinas virtuales.

• Vulnerar las seguridades de las máquinas virtuales VMware por medio de

acceso remoto, aprovechándose de sus vulnerabilidades.

� Entre las vulnerabilidades más críticas que tienen las máquinas virtuales

VMware se podrían citar algunas de ellas:

• En VMware ESX 3.x tenemos vulnerabilidades en OpenSSL, bind y vim,

permitiéndole a un atacante remoto evadir restricciones de seguridad a

través de firmas SSL/TSL (Protocolo de Capa de Conexión Segura /

Seguridad de la Capa de Transporte) para claves RSA (Sistema

criptográfico de clave pública) y ECDSA (clase base abstracta que

encapsula el algoritmo de firma digital de curva elíptica), evadir

restricciones de seguridad a través de un servidor DNS malicioso con un

168

certificado DSA (Algoritmo de Firma digital) manipulado, ejecutar

código malicioso y comandos de la Shell a través de archivos

manipulados.

• Un Hacker podría controlar un servidor completo y toda la tecnología de

virtualización a través del software DHCP virtualizado, para esto el

atacante debe obtener primero el software que se ejecuta en una máquina

virtual.

• Un error en el servicio USB puede ser aprovechado para escalar

privilegios ubicando en el "host" un archivo ejecutable malicioso.

• Dos errores en VMware Tools para Windows pueden ser aprovechados

para realizar ejecución de código arbitrario y potencialmente escalar

privilegios.

• Si se instala VMware en Windows, y se ha habilitado una carpeta

compartida, es posible que un programa que se ejecute en el equipo

virtual, pueda acceder al sistema operativo del host, este acceso permitiría

la modificación, creación o ejecución de archivos en determinadas

ubicaciones propuestas por el atacante.

169

RECOME�DACIO�ES

Analizadas las conclusiones se recomienda que:

� Las empresas de nuestro medio, deberían implementar un sistema de gestión

de seguridad de la información, aplicando normas ISO, como por ejemplo la

27001:2005; que les ayude a proteger su activo más importante como lo es la

información; aplicando políticas y normas de confidencialidad de la

información y el buen uso de sus credenciales lógicas.

� Se deberían implementar planes de continuidad del negocio que los

profesionales de sistemas de las empresas estén en la capacidad de resolver,

incluyendo las tecnologías de virtualización, para este caso VMware.

� Que existan más cursos de especialización o más empresas de capacitación de

tecnologías VMware en la ciudad de Guayaquil.

� Que los profesionales de sistemas de las empresas le den el uso óptimo a las

máquinas virtuales y le den la importancia requerida a sus seguridades.

� Que las empresas se preocupen por capacitar a los profesionales en sistemas

para el manejo, administración y protección de estos ambientes virtuales.

170

� Recomiendo este estudio, como el principio para enriquecer nuestros

conocimientos acerca de los equipos virtuales, sus seguridades y,

vulnerabilidades.

� Se recomienda establecer todas las seguridades informáticas que sean

necesarias, para impedir en lo posible los ataques de personas maliciosas

puedan comprometer información primordial de la empresa.

� Es necesario que se establezcan políticas de cambio de claves periódicas de

los usuarios administradores y también cuando hay cambio de responsable, en

este caso de las máquinas virtuales, como parte del procedimiento de asegurar

los Sistemas Informáticos.

BIBLIOGRAFÍA

LIBROS Corporación de Estudios y Publicaciones (2011). Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos. Alberto G. Alexander (2007). Diseño de un Sistema de Gestión de Seguridad de Información. Óptica ISO 27001:2005. CLAPAM (2008). Seguridad Informática. Óptica del Estándar Internacional ISO 27001:2005. )ORMA ISO 17799. VERSIO) (2005). Eficiencia Gerencial.

PUBLICACIO)ES

PC WORLD Revista del Grupo IDG Communications (2009). Un agujero descubierto en VMware Fusion. Revista Judicial – Derecho Ecuador (2010). Delitos Informáticos Revista )ext IT - Revista de )etworking y Programación. Tecnologías de Virtualización

DIRECCIO)ES WEB

Prof. ISRAEL J. RAMIREZ. Las Microcomputadoras. Definición, características, origen desde http://isis.faces.ula.ve/COMPUTACION/Israel/Capitulo2a_archivos/frame.htm Máquinas virtuales, servidor virtual, infraestructura virtual - VMware desde http:/www.vmware.com/es/virtualization/virtual-machine.html VMware - VMware Fusion · Virtual Infrastructure VMware ACE VMware Lab Manager VMware Converter .... Obtenido de http://es.wikipedia.org/wiki/VMware Virtualización desde http://www.virtualizacion.com/?page_id=7 Virtualización, Ventajas (27 Ene 2008) – Rápida incorporación de nuevos recursos para los servidores virtualizados. Reducción de los costos, de espacio y consumo necesario desde www.virtualizacion.com/

Carrero David, ()oviembre, 2009). Desventajas de la virtualización desde http://carrero.es/desventajas-de- virtualizacion-de-servidores la- /4459/ Múltiples vulnerabilidades en VMWare ESX 3.x - Hispasec (Abr 2009), desde www.rzw.com.ar/seguridad-informatica-5379.html E)TERPRISE MA)AGEME)T ASSOCIATES (EMA) en las pág. (4–7). http://www.rsa.com/solutions/technology/secure/ar/10905_IbSpanish_EMA_-_Securing_the_Admin_of_Virtualization_FINAL_COPY_20100301a.pdf Dra. Ana María Muñoz Asignatura: Gestión de la Información en Trabajo Social. La información desde http:/www.ugr.es/.../TS_1%20%5BModo%20de%20compatibilidad%5D.pdf Concepto de seguridad. La Información ISO/IEC 17799 extraída desde http://www.mfbarcell.es/redes_de_datos/tema_14/redes_t14_seguridad1_concept...Similares Definición de seguridad informática - Qué es, Significado y Concepto, Definición. Desde http://definicion.de/seguridad-informatica/ El Delito Informático - Latino Seguridad, desde www.latinoseguridad.com/LatinoSeguridad/.../delinfo.shtml - Carpeta de prensa - Lucha contra la delincuencia en la Internet Décimo Congreso de las )aciones Unidas desde www.un.org/spanish/conferences/Xcongreso/prensa/2088hs... Dr. Santiago Acurio, Delitos Informáticos: Generalidades - OAS www.oas.org/juridico/spanish/cyb_ecu_delitos_inform.pdf Silvia Janeth Delgado Reyes. - Laura Amparo Guachizaca Sarango, ANÁLISIS DE LA INFLUENCIA DE LOS DELITOS INFORMÁTICOS desde http://www.utpl.edu.ec/eccblog/wp-content/uploads/2007/04/articulo-tecnico-analisis-de-la-influencia-de-los-delitos-informaticos-e-implementacion-de-politicas_silviadelgado.pdf

REGISTRO OFICIAL Año II -- Quito, Lunes 6 de Octubre del 2008- )ro. 440. FU)CIO) EJECUTIVA DECRETO: 1356 Expídase las reformas al Reglamento General, desde http://sinar.gov.ec/downloads/RO_440_de_06.10.2008.pdf

Pragmatismo, doctrina filosófica desarrollada por los filósofos estadounidenses del siglo XIX Charles Sanders Peirce, William James y otros, desde http://www.eumed.net › Libros Vulnerabilidad en VMware afecta a equipos bajo Windows - VSAntivirus (2008). Desde www.vsantivirus.com/vul-vmware-250208.htm VMWare: Múltiples vulnerabilidades - La Comunidad DragonJAR, desde http://comunidad.dragonjar.org/f150/vmware-multiples... - Colombia IBM - Investigación de X-Force - Ecuador, desde http://www.ibm.com/ec/services/sps/iss/vms/xforce.phtml IBM Seguridad: La seguridad en los entornos virtualizados y cloud computing aparece como los dos aspectos relevantes a plantear en el futuro (2010). Desde www.techweek.es/seguridad/informes/1007118004801/ibm-apunta-segurid... Concepto de seguridad, desde www.mfbarcell.es/redes_de_datos/tema_14/redes_t14_seguridad1_concept...Similare Seguridad Informatica / Seguridad Lógica – Segu - Info (EEUU. 1985). Desde www.segu-info.com.ar/logica/seguridadlogica.htm Definición de seguridad informática - Qué es, Significado y Concepto, desde http://definicion.de/seguridad-informatica/ Hackeando un Mac desde Windows gracias a VMware (2009) - agujero descubierto en Fusion, desde www.idg.es/pcworldtech/mostrarNoticia.asp?id=79445... Actualización para múltiples vulnerabilidades en productos VMWare ESX– VMware es un software que permite ejecutar diferentes sistemas. Se han corregido un total de 48 vulnerabilidades que residen en DHCP, (2009). Desde www.rzw.com.ar/seguridad-informatica-5421.html Vulnerabilidades en varios productos VMWare (2010), desde www.csirtcv.gva.es/html/es/alerts/1516/

VMWare: Múltiples vulnerabilidades (2010), Se han reportado múltiples vulnerabilidades en productos VMWare desde www.cservices.com.ar/web/noticiaDetalle.aspx?ID=314

Filosofía de la tecnología, obtenido desde http://es.wikipedia.org/wiki/Filosof%C3%ADa_de_la_tecnolog%C3%ADa

Filosofía de la Tecnología - OEI - Publicaciones - Libros - Temas de Iberoamérica - Organización de Estados Iberoamericanos para la Educación, la Ciencia y la Cultura, desde www.oei.es/publicaciones/temas01.htm TIPOS DE I)VESTIGACIO), obtenido desde http://tgrajales.net/investipos.pdf Investigación Preliminar, obtenido desde http://mmalicea.tripod.com/proyecto/investprelim.htm Investigación bibliográfica - Metodología de la investigación bibliográfica, desde www.monografias.com

A�EXO �° 1


FACULTAD DE CIE�CIAS MATEMÁTICAS

CARRERA DE I�GE�IERÍA E� SISTEMAS COMPUTACIO�ALES

Encuesta dirigida al personal de Sistemas de las empresas de la ciudad de Guayaquil.

Objetivo.- Conocer el criterio del personal de Sistemas de las empresas de la ciudad

de Guayaquil acerca de las vulnerabilidades y los delitos informáticos en las

Máquinas Virtuales.

I�FORMACIÓ� GE�ERAL

Instructivo: Marque con una (X) en el casillero correspondiente y llene los datos.

�ota: El nombre no es un campo obligatorio La empresa no es un campo obligatorio

I�FORMACIÓ� ESPECÍFICA

Instructivo: Marque con una (X) el casillero correspondiente a su respuesta que mejor

refleje su criterio, según las opciones propuestas para cada pregunta.

Encuestado

�ombre:

Cargo:

Empresa:

Empresa

Tamaño: Grande Mediana Pequeña Microempresa

Actividad: Industrial Comercial Servicio Banca

Tipo: Privada Pública

PREGU�TAS

1. ¿Cree Ud. que hoy en día es necesario tener conocimientos acerca del uso de la

máquinas virtuales?

Muy de Acuerdo De Acuerdo Indiferente En Desacuerdo

2. ¿Considera que el uso de las máquinas virtuales en las empresas se da por sus

grandes ventajas y beneficios?


3. ¿Cree Ud. que para administrar una máquina virtual y sus seguridades no es

necesario tener mucha experiencia?


4. ¿Cree Ud. que las máquinas virtuales tienen vulnerabilidades?


5. ¿Cree Ud. Que hay bastante información que nos indica cómo proteger una

máquina virtual para evitar vulnerabilidades?


6. ¿Cree Ud. que es necesario realizar un estudio para saber que tan vulnerables o

seguras son las máquinas virtuales?


7. ¿Considera Ud. que si una máquina virtual no está debidamente protegida puede

estar propensa a ataques informáticos?


8. ¿Considera Ud. que es importante realizar un estudio sobre las seguridades de las

máquinas virtuales?


9.- ¿Considera Ud. importante conocer los delitos informáticos que puedan darse en

las máquinas virtuales en nuestro medio?


10.-¿ Cree Ud. que existe un desconocimiento en el uso óptimo de la virtualización de

servidores en nuestro medio?


11. De contar con la información necesaria que le permita proteger su máquina virtual

ante los ataques informáticos la utilizaría?


¡Gracias por la atención a la presente!

A�EXO �° 2

E�TREVISTA A EXPERTO E� VIRTUALIZACIÓ� �OMBRE: Ing. Carlos Valero CARGO: Especialista de IT

1.- ¿Cuáles son las funciones que realiza en su empresa?

Administración de Servidores Windows sean estos físicos o virtuales.

2.- ¿Qué herramientas de virtualización utilizan en su empresa?

VMWARE ESXI V. 3.5

3.- ¿Por qué decidieron utilizar esa herramienta de virtualización?

La decisión fue tomada por el Banco, ellos manejan la administración de la consola y

porque es la mejor del mercado a comparación de Xen Server de Citrix, Hyper – V de

Microsoft , KVM de Red Hot, entre otros, aunque tienen buenas características les

falta madurar más.

4.- ¿Qué tipo de virtualización tienen implementado?

Tipo Nativa están instaladas en los diferentes host en este caso en las cuchillas de un

blade y en cada una de ellas se instala el aplicativo, ellas están atachadas a un storage

y ahí es donde se les presentan las lun de disco para poder trabajar sin problemas.

5.- ¿Qué tipo de seguridades tienen implementado en esa virtualización, en caso de desastres que tipo de contingencia tienen?

A nivel de seguridades se utilizan solamente usuarios que los crean el personal del

área de seguridad informática del Banco con su respectiva clave, los mismos que le

permitirán crear, eliminar, apagar, encender, modificar equipos virtuales. ( no son

usuarios de dominio)

Tienen un storage en Guayaquil en la Matriz con todas las máquinas virtuales

ejecutándose sin problemas y una réplica en el centro alterno que es en Milagro el

cual se replica cada 5 minutos y en caso de desastres las configuraciones de los

servidores se pasarían automáticamente a Milagro, las mismas que se demorarían 10

minutos.

6. ¿Cree Ud. Que las máquinas virtuales VMWARE sean vulnerables?

Si son vulnerables como toda aplicación o sistema operativo, pero más que nada a

nivel del hardware.

También puede haber vulnerabilidad a nivel del hipervisor, ya que si es alguien que

conoce de comandos en Linux, podía borrar los archivos de disco de configuración de

la máquina virtual, para este tipo de vulnerabilidad se daría siempre y cuando alguien

de adentro de la empresa lo haga, ya cada cosa tiene una subneting diferente y los

permisos se dan a nivel de IP.

La consola que administra todos los host, están en una sola vlan, los host en otra vlan

y las máquinas virtuales están en diferentes vlan con esto sería complicado que

puedan vulnerar desde afuera sin tener los permisos y conocer la configuración

interna de los servidores.

7.- ¿Cuándo se instala una MV VMWARE (Hypervisor) qué medidas de seguridad se deben tomar en cuenta?

Todo se instala por default, es lo recomendado. NO se utiliza ninguna configuración

en especial.

Lo que se podría es configurar la máquina virtual ya instalada al momento de

distribuir los componentes del hardware, aumentar o quitar componentes cuando ya

se la vea en el clúster.

8.- ¿Cómo debe estar configurado el ambiente para proteger a las MV VMWARE y las mismas no sean vulnerables?

Se configura por cada vlan un firewall, aparte el VMware tiene su propio firewall

interno en donde vienen configurados el ssh, telnet, el puerto de comunicación propio

de VMware y otros que no están definidos y que el administrador sabe que puertos

abre o cierra según la necesidad.

9.- ¿Cuáles son las vulnerabilidades que tienen o podrían tener las MV VMWARE?

Un usuario administrador podría coger un archivo de configuración o la carpeta

donde se encuentra el open source y se la podría llevar a otro lado y levantarlo sin

ningún problema.

10.- ¿Qué delitos informáticos cree Ud. que son los más frecuentes o que podrían darse en este tipo de tecnologías en nuestro medio? - Violentar claves o sistemas de seguridad.

- Robo de información protegida contenida en sistemas virtuales.

- Que maliciosamente y fraudulentamente se borre o dañe una máquina virtual.

11.- ¿Cree Ud. que existe un desconocimiento en el uso óptimo de la virtualización de servidores en nuestro medio? ¿Por qué?

Sí, porque en estos últimos años se ha utilizado la virtualización bastante en las

empresas y no se dan las debidas capacitaciones a sus empleados de informática y

todo toca hacerlo empíricamente o toca leer manuales, en sí autoeducación.

También hay que recordar que en las Máquinas virtuales VMware por debajo corre

un Linux y aquí en el Ecuador no es muy explotada esta tecnología, ni hay mucho

conocimiento de la misma.

12.- ¿Considera Ud. que es importante realizar un estudio de las vulnerabilidades que podrían tener las máquinas virtuales VMWARE? ¿Porqué?

Definitivamente sí, para tratar de minimizar las vulnerabilidades que se presenten ya

que todo sistema es vulnerable de una u otra forma

13.- ¿Considera Ud. Que es importante realizar un estudio para determinar los delitos informáticos que pueden darse en las máquinas virtuales VMWARE? ¿Porqué?

Sí, porque dependiendo del delito informático se necesita saber que tan importante o

crítico es para la empresa, especialmente cuando se hablan de las cuentas de los

clientes del banco.

14.- ¿Si encontrara alguna vulnerabilidad en sus máquinas virtuales VMWARE cómo procedería?

• Armaría un laboratorio

• Descubrir la vulnerabilidad

• Buscar la solución

• Analizar en que afectaría en el ambiente de producción, para que al dar la

solución no se cometa el error de cerrar algún servicio que sea importante.

15.- ¿Sabe Ud. si existen herramientas o aplicaciones que protejan las máquinas virtuales VMWARE?

No ha escuchado.

A�EXO �° 3

E�TREVISTA A EXPERTO E� VIRTUALIZACIÓ� �OMBRE: Ing. Cristhian Murrieta

CARGO: Subgerente de Operaciones


Operaciones de Sistemas, se encarga de que los sistemas funcionen correctamente,

recepta y tramita requerimientos, recepta y resuelve problemas de operaciones, se

encarga de los respaldos, contingencias, participa en política y procedimientos de

sistemas, es el encargado fundamentalmente de la virtualización de la empresa.


Citrix XenServer

3.- ¿Cuántos años de experiencia tiene en esa herramienta de virtualización?

Un Año cinco meses

4.- ¿Por qué decidieron utilizar esa herramienta de virtualización?

Porque estaba de acuerdo a sus necesidades, tenía licencia gratuita de un año y con

la nueva publicación de Citrix se les extendía un año más de gratuidad a diferencia

de VMware que sólo les daba uno de prueba por 30 días y limitado.


Tipo Nativo, Bare-metal o unhosted

6.- ¿Qué tipo de seguridades tienen implementado en caso de desastres?

Para el caso de desastres tienen las máquinas virtuales respaldadas en cintas, lo

que harían en estos casos es volver a instalar en un equipo que esté disponible, ya

sea por contrato, por parte del proveedor o comprando uno nuevo.

Para el caso de desastres no tienen un servidor redundante en otro lado que pueda

ser usado en estos casos.

7.- ¿Qué haría Ud. para que las máquinas virtuales no sean vulnerables?

Tendría configurado un buen firewall, se instalaría y configuraría los switch para

que no hayan puertos abiertos que no sean autorizados, se establecerían las

seguridades propias de la máquina para que herede las políticas de dominio, como

cualquier PC.

8.- ¿Indique algunas ventajas y desventajas de las máquinas virtuales?

Ventajas:

• Consolidación.

• Disminución de energía eléctrica

• Mejora en la administrabilidad

• Nivel de contingencia automático

• Alta disponibilidad

• Tolerancia a fallos

• Disminuye costos

Desventajas:

• Daño en el servidor físico afecte el desempeño de las máquinas virtuales.

• Por cada máquina virtual que se tenga es una licencia.


Sí, Por lo que es relativamente nuevo, no se llega a optimizar los recursos de los

sistemas de virtualización como se debería.

10.- ¿Cuál es la diferencia entre la máquina virtual de Citrix Xenserver y VMware?

La diferencia radica en que las máquinas virtuales VMware tienen más Feature

administrativos y muchas más funcionalidades.

11. ¿Considera Ud. que es importante realizar un estudio de las fortalezas y debilidades de las máquinas virtuales? ¿Por qué?

Sí, es importante hacer un análisis porque las máquinas virtuales son como un

Sistema Operativo que se instala entre el Hardware y las máquinas virtuales y este

hypervisor puede ser vulnerable

12. ¿Considera Ud. Que es importante realizar un estudio sobre las seguridades en las máquinas virtuales? ¿Por qué?

Sí, Porque al ser como un sistema Operativo este puede ser vulnerable.

13. ¿Cree Ud. Que las máquinas virtuales sean vulnerables?

Sí.

14. ¿Si encontrara alguna vulnerabilidad en sus máquinas virtuales cómo procedería?

Procedería de la siguiente manera:

• Determinaría el problema.

• Diagnosticaría el problema.

• Establecería una solución.

15. ¿Qué delito informático cree Ud. que es el más frecuente en darse en este tipo de tecnologías?

• Si el Administrador de la máquina virtual lo permite, dando el usuario y

password, se podría dar el robo de la información.

• Si alguien lograra entrar al hypervisor podrían llevarse las máquinas virtuales

pero no la información, ya que esta está en una SAN (storage area network).

16. ¿Sabe Ud. si existen herramientas o aplicaciones que protejan las máquinas virtuales?

No conoce, pero puede ser que se estén en desarrollo.

A�EXO �° 4

E�TREVISTA A EXPERTO E� VIRTUALIZACIÓ� Jefe de Redes y Servidores de una importante empresa Multinacional del Ecuador


Está a cargo del área de redes, servidores y sus seguridades.


VMWARE ESXI V. 2.5 y ahora también las versiones 3.0 y 4.0

3.- ¿Porqué decidieron utilizar esa herramienta de virtualización?

Porque tienen una interface fácil de administración, tiene estabilidad, soporte técnico

y ventajas de las nuevas versiones, aunque son costosas vale la pena el sacrificio.


Tipo Nativa, está instado VMware ESX sobre el hardware (BLade) y sobre estas se

levantan los sistemas operativos.

5.- ¿Qué tipo de seguridades tienen implementado en esa virtualización, en caso de desastres que tipo de contingencia tienen?

A nivel de seguridades tienen las máquinas virtuales aisladas, para que si algún

intruso pasara el firewall no tengan acceso a las mismas.

No utilizan firewall a nivel de sistema operativo

Utilizan IP filter para filtrar que equipos se conectan remotamente y de esta manera

tener algo más controlado que el firewall (es una especie de firewall, pero

controlado), el mismo que lo configuran ellos, estableciendo reglas.

No tienen contingencia por ahora ya que sólo tienen un cluster.

6. ¿Cree Ud. Que las máquinas virtuales VMWARE sean vulnerables?

Sí, como todo sistema operativo está propenso a cualquier tipo de ataque informático,

si no se toman los controles respectivos.

7.- ¿Cuándo se instala una MV VMWARE (Hypervisor) qué medidas de seguridad se deben tomar en cuenta?

Todo se instala por default, el proveedor que les da soporte les instaló las máquinas

virtuales.

La configuración de seguridades va de la mano a nivel de redes y de sistema

operativo.

8.- ¿Cómo debe estar configurado el ambiente para proteger a las Máquinas Virtuales VMWARE y las mismas no sean vulnerables?

No se debe tener todo configurado dentro de la misma red, es decir una red para

administración, una red para pruebas, etc. Para esto implementan las VLAN.

A nivel de los blade se aíslan las redes en especial las de consola.

9.- ¿Cuáles son las vulnerabilidades que tienen o podrían tener las MV VMWARE?

Al nivel de puertos depende mucho de los servicios que podrían estar levantados,

en especial los puertos que no son seguros, por ejemplo: el puerto de telnet no

debería estar levantado ya que es una mala práctica de seguridad dejarlo levantado.

Como una buena práctica se deben instalar los parches para el hypervisor

regularmente.

10.- ¿Qué delitos informáticos cree Ud. que son los más frecuentes o que podrían darse en este tipo de tecnologías en nuestro medio?

Si no está bien diseñada y configurada la red se podrían dar estos delitos

informáticos:

• Violentar claves de seguridad.

• Robar información contenida en las máquinas virtuales.

• Robo de una máquina virtual.


Sí, a nivel de empresas pequeñas y medianas que no tienen los recursos necesarios

para tener un buen asesoramiento en el uso de las máquinas virtuales VMware

debido a su alto costo.

No, a nivel de empresas grandes ya que siempre cuentan con el soporte técnico de los

técnicos encargados de esta herramienta, tienden a invertir en estos soportes.

12.- ¿Considera Ud. que es importante realizar un estudio de las vulnerabilidades que podrían tener las máquinas virtuales VMWARE? ¿Porqué?

Sí, porque ellos sólo las administran y más bien es el proveedor el que se encarga y

sabe que vulnerabilidades tienen estos sistemas.

13.- ¿Considera Ud. Que es importante realizar un estudio para determinar los delitos informáticos que pueden darse en las máquinas virtuales VMWARE? ¿Por qué?

Si, lo cree recomendable, aunque en su empresa no han sufrido ningún tipo de ataque

debido a todas las seguridades implementadas, es necesario saber que delitos

informáticos puedan darse.

14.- ¿Si encontrara alguna vulnerabilidad en sus máquinas virtuales VMWARE cómo procedería?

• Realiza una evaluación del riesgo

• Ante el riesgo de seguridad lo tratan con el proveedor.

• El proveedor les da la solución.

15.- ¿Sabe Ud. si existen herramientas o aplicaciones que protejan las máquinas virtuales VMWARE?

No ha escuchado.

A�EXO �° 5

E�TREVISTA A PERITO E� DELITOS I�FORMÁTICOS �OMBRE: Ing. Darwin Patiño

Departamento de Investigación, Desarrollo Tecnológico y Educación Continua de la

Carrera de Ingeniería en Sistemas Computacionales de la Universidad de Guayaquil

En la entrevista realizada a un experto en delitos informáticos, indicó que hoy en día

ya existen abogados especializados en Delitos informáticos, promoción de abogados

cuya maestría la realizaron en España.

La manera en que los peritos informáticos trabajan es realizando un informe técnico

del delito informático encontrado, de esta manera asesoran al Juez, para que este sea

el que juzgue según su criterio, ya que el perito en delitos informáticos no es quien

dice que se ha cometido o no un delito, sólo emite su informe.

Para obtener la información necesaria los peritos en delitos informáticos realizan una

especie de Informática Forense utilizando herramientas que estén a su alcance y les

permitan esclarecer el delito, ya que hoy en día en nuestro país no existen los medios,

ni los equipos necesarios para hacerlo.

Los delitos informáticos más comunes que se dan en nuestro medio son: El fraude, el

robo de información, la suplantación de identidad.

La única ley que tenemos para castigar los delitos informáticos es la Ley aprobada en

el 2002 del código civil, aunque los abogados han encontrado en la Ley del código

penal artículos que les han permitido sancionar ciertos delitos informáticos.

En nuestro país no se cumplen las leyes ante los delitos informáticos ya que aún hay

jueces corruptos que se dejan comprar por los delincuentes quedando estos impunes y

sin sanción alguna.

Los Delitos informáticos se dan hoy en día en cualquier organización sea esta

pequeña, mediana o grande.

La Fiscalía de Quito está buscando crear un departamento que aplique la Informática

Forense que permita obtener pruebas y descubrir los delitos informáticos que se

cometan en nuestro medio, para ello también envió a la Asamblea los Delitos

informáticos que aún no están tipificados en la Ley, para que los mismos sean

aprobados en nuestras Leyes para su respectiva aplicación y estén correctamente

sancionados y tipificados en la Ley del código penal para juzgar a alguien en estos

casos.

A�EXO �°6

I�STALACIÓ� TIPO �ATIVO DEL ESX SERVER 4.0

1.- Escoger como boteo el CD-ROM

2.- Comienza la instalación

3.- Presionar siguiente

4.- Aceptar los términos de la licencia, siguiente.

5.- Instalar los drivers

6.- Poner el número serial, para este caso se puso que se ingresará después el número

serial, clic en Siguiente.

7.- Establecer la configuración de red, siguiente.

8.- Configurar la IP, mascara, Gateway, dns, nost name, siguiente.

9.- Poner standard setup, siguiente.

10.- Establecer la zona horaria, siguiente

11.- Establecer la clave para el root, siguiente.

12.- Siguiente.

13.- Siguiente

14.- Finish

15.- Esperamos que cargue VMware.

16.- Escoger VMware ESX 4.0

17.- Empieza a cargar VMware ESX 4.0

lÍe a de iv estigaciÓ: redes y sistemas...

Documents