Vulnerabilidad de los Sistemas Informáticos

 

La seguridad informática, también conocida como ciberseguridad o seguridad de tecnología de la información, se enfoca en la protección de la infraestructura computacional:

 

Infraestructura de software:

1)Bases de datos (DB): es un conjunto de datos estructurados que pertenecen a un mismo contexto y función, utilizado para administrar de forma electrónica la información de un sistema. Actualmente hay dos modelos de DB:

Bases relacionales (SQL): es el modelo más utilizado actualmente y almacena datos como:

  • El nombre de cada tabla.

  • El nombre de cada columna.

  • El tipo de dato de cada columna (numérico o alfabético).

  • Registro, línea o renglón de la tabla.

Bases No relacionales (NoSQL): tienen esquemas flexibles para crear aplicaciones modernas. Usan una variedad de modelos de datos, que incluyen documentos, gráficos, clave-valor. Las BD NoSQL, utiliza el formato JSON (JavaScript Object Notation), el formato de texto sencillo facilita el intercambio de datos y es independiente del lenguaje de programación utilizado.

Ejemplo: el registro de la BDR de los alumnos de la Universidad Central en formato JSON:

  • Cada registro esta entre llaves {}.

  • Tenemos 5 elementos separados por comas.

  • Cada elemento formado por un par clave: valor, ejemplo “Identidad”: 25089.

2) Metadatos: datos que proporcionan información sobre otros datos, pueden ser:

  • Descriptivos: Incluye elementos como título, resumen, autor y palabras clave de la DB.

  • Estructurales: Indican cómo ordenar las páginas para formar capítulos.

  • Otros como metadatos administrativos, de referencia, estadísticos y legales.

Ejemplo: al crear un NFT en la plataforma OpenSea, incluir la metadata que corresponde a ese NFT:

3) Archivos informáticos: es un recurso formado por uno o más registros de datos en un dispositivo de almacenamiento o memoria. Ejemplo de un archivo de DB relacional formado por tres registros:

Ejemplo de un archivo de DB no relacional formado por tres registros:

 

Infraestructura de hardware

Redes de computadoras: es un conjunto de equipos nodos y software conectados entre sí por medio de dispositivos físicos que envían y reciben impulsos eléctricos, ondas electromagnéticas o cualquier otro medio para el transporte de datos, con la finalidad de compartir información, recursos y ofrecer servicios, sus componentes más destacados son:

  • Servidores: es un ordenador y con sus programas, presta servicio a otros ordenadores.

  • Hub-Switch: Un Hub es un dispositivo de red que le permite conectar varias PC a una sola red, mientras que un Switch conecta varios dispositivos en una sola red informática. Un Hub opera en la capa física, mientras que Switch opera en la capa de enlace de datos.

  • Router: es un dispositivo de red que reenvía paquetes de datos entre elementos de redes informáticas conectados físicamente entre sí. Los enrutadores realizan las funciones de dirección del tráfico en Internet. Los datos enviados a través de Internet, como una página web o un correo electrónico, se encuentran en forma de paquetes de datos.

  • Router wifi: es un dispositivo que proporciona Wi-Fi o conexión inalámbrica a través de un módem. Envía información desde Internet a dispositivos personales como computadoras, teléfonos y tabletas.

  • Cliente: es una computadora o un programa que accede a un servicio que ofrece un servidor como parte del modelo cliente-servidor. El servidor está a menudo (pero no siempre) en otro sistema informático, en cuyo caso el cliente accede al servicio a través de una red.

 

Vulnerabilidades en informática

La infraestructura de software y hardware como un producto del desarrollo humano, tiende a presentar vulnerabilidades que pueden ser aprovechadas por hackers para sacar un provecho determinado. Entre estas vulnerabilidades encontramos:

  • Desbordamiento de buffer.

  • Condición de carrera (race condition).

  • Error de formato de cadena (format string bugs).

  • Cross Site Scripting (XSS).

  • Inyección SQL.

  • Denegación del servicio (DOS).

  • Ventanas engañosas.

La solución a estas vulnerabilidades dependerá de muchos factores técnicos:

  • Desde el análisis y diseño del sistema hasta el modelo de desarrollo de software seleccionado (Cascada, espiral, RUP, SCRUM, Kanban).

  • La experiencia, destrezas, compromiso y entrega del equipo de desarrolladores.

 

La criptografía: herramienta de defensa

La Criptografía se ocupa de los problemas relacionados con la transmisión confidencial y segura de la información, aunque la red o medio no sea fiable. También de la integridad de los datos en las bases de datos.

Aquí abordare como la criptografía, cuya definición formal daremos más adelante te permite resolver estos problemas los que llamaremos vulnerabilidades genéricas. Clasificaremos las vulnerabilidades genéricas en:

  • Integridad: Se refiere a que los elementos mensajes, datos, documentos, y otras formas de contenido no han sido modificados en tránsito dentro de la red informática o en reposo en la base de datos

  • Autenticidad: Se refiere a garantizar que el mensaje ha sido enviado por quien dice ser. Cuando el mensaje lo envía el nodo A de la red al nodo B, B puede verificarlo.

  • Confidencialidad: Es la capacidad de mantener oculto el contenido de un mensaje, de tal forma que si una tercera persona ve el mensaje no pueda interpretar o leer su contenido.

Conclusión: Toda entidad con un sistema de información debe evaluar cual es el valor de la información que posee, en esta medida necesita implementar un plan de trabajo que permita defender el sistema informático. En los siguientes artículos explicaremos que hace de la criptografía una herramienta de protección generalizada.

 
Carlos Sampson