ActasCIBSI TIBETS2015

I
II
III
IV
CIBSI 2015 - ECUADOR, NOVIEMBRE 2015
Modelo PERIL.
Repensando el gobierno de la seguridad de la
informacin desde la inevitabilidad de la falla
Jeimy J. Cano
Resumen La prctica actual de seguridad de la informacin
en las organizaciones ha estado marcada por un ejercicio de
aplicacin virtuoso de estndares para asegurar una gestin
eficiente y efectiva de la proteccin de la informacin, el cual
busca alcanzar certezas, pocos defectos y actuaciones predecibles
antes eventos inesperados. Sin embargo, el contexto actual
marcado por un entorno VICA - Voltil, Incierto, Complejo y
Ambiguo, demanda actualizar la forma como se gobierna la
seguridad de la informacin para lo cual se introduce el modelo
PERIL, que fundado en la incertidumbre, la debilidad y las fallas
permite dar cuenta de un ejercicio complementario de la
seguridad de la informacin que fortalece lo virtuoso de su
gestin y revela lo valioso de su gobierno.
Palabras clave incertidumbre, estndares, gobierno de la
seguridad, gestin de la seguridad, inseguridad de la
informacin.
De igual forma, se han desarrollado mltiples iniciativas

internacionales para avanzar en una adecuada gestin de
seguridad de la informacin [15] que buscan cubrir aspectos
tcticos y estratgicos claves para asegurar un entorno ms
seguro y confiable para las empresas. Dentro de estas
podemos anotar la serie ISO 27000 , los esfuerzos de ISACA
con el BMIS (Business Model for Information Security), sus
planteamientos desarrollados en el manual de la Certificacin
CISM (Certified Information Security Manager) y en el Cobit
5 for Information Security , as como el NIST 800-53
(Security and Privacy Controls for Federal Information
Systems and Organizations), el ISM-3 (Information Security
Management Maturity Model) y los avances acadmicos de
los profesores Von Solms [17] relacionados con buenas
prcticas y guas para un adecuado gobierno de la seguridad
de la informacin.
I. INTRODUCCIN
As empresas del siglo XXI estn fundadas sobre la base

del tratamiento de la informacin como quiera que en las
relaciones que desarrollan lo que fluyen es este recurso natural
de la sociedad de la informacin y conocimiento. Podramos
decir que poco a poco, la informacin, se est convirtiendo en
un commodity y las corporaciones debern incorporar
prcticas estndar que permitan una mayor fluidez de las
operaciones y negocios en un entorno altamente
interconectado [8] [9].
Sin perjuicio de lo anterior, las organizaciones se enfrentan
a escenarios cambiantes y riesgos emergentes, donde la
informacin se convierte en el foco de las acciones de los
posibles atacantes, habida cuenta que es con este insumo
clave, como se desarrollan nuevas forma de hacer negocios, se
crean servicios novedosos o propuestas inditas que pueden
terminar incluso como patentes las cuales representan la
apuesta de valor de las corporaciones modernas [12].
En este sentido, por ms de cuarenta aos se han venido
desarrollando prcticas de proteccin de la informacin,
generalmente aplicadas desde el mbito tecnolgico,
consolidando un imaginario colectivo que relaciona la
seguridad de la informacin nicamente con palabras como:
antivirus, sistemas de deteccin de intrusos, cortafuegos, redes
virtuales privadas, cifrado, entre otros, las cuales demandan un
conocimiento especfico y personal especializado, asociando a
stos ltimos, el ejercicio exclusivo de la proteccin de los
activos de informacin de la empresa.
Jeimy J. Cano M., Universidad de los Andes/Universidad Santo Toms de

Aquino, Colombia, jcano@uniandes.edu.co
Bien anota Goodman [12, p.99] que mientras mayor

produccin y almacenamiento de datos tengamos, mayor ser
el inters del crimen organizado para consumirlos, lo que
supone romper el imaginario construido alrededor de la
seguridad de la informacin para reconectar a las personas, sus
comportamientos y supuestos, los escenarios posibles y
probables, los riesgos conocidos, latentes, focales y
emergentes, las lecciones aprendidas y por aprender, as como
las pruebas controladas y no controladas para proponer una
forma diferente de gobernar la seguridad de la informacin.
El gobierno de la seguridad de la informacin en el
contexto de un entorno VICA - Voltil, Incierto, Complejo y
Ambiguo [18], implica los conocimientos y prcticas
conocidas hasta el momento para entrar en tensin conceptual
con esta realidad, comprometiendo nuestra capacidad de
prever y responder ante lo inesperado. En este sentido, se hace
necesario transformar nuestra forma de comprender y leer la
realidad, para enfrentarnos a la inestabilidad que genera la
incertidumbre y repensar la forma en la cual reconocemos y
actuamos en dicho contexto.
En razn con lo anterior y reconociendo los importantes
avances y aportes acadmicos y prcticos que se tienen a la
fecha, se propone un modelo de gobierno de seguridad de la
informacin, que busca incorporar a la investigacin actual
elementos novedosos y prcticos que apalanquen los esfuerzos
actuales y motiven un cambio en la forma como conocemos y
fundamentamos las reflexiones sobre la seguridad de la
informacin en las organizaciones del siglo XXI.
La organizacin del trabajo es la siguiente: en la Seccin I
CANO et al.: MODELO PERFIL
se explican los tres principios bsicos del gobierno de la

seguridad de la informacin basados en la incertidumbre, la
debilidad y la falla. Seguidamente en la Seccin II se detalla el
concepto de seguridad por vulnerabilidad donde se introduce
el modelo PERIL. La Seccin III muestra un caso de estudio
de aplicacin del modelo PERIL comparado con las
estrategias de gestin de seguridad actuales, para finalmente
plantear algunas conclusiones sobre el modelo PERIL y su
aplicacin en la Seccin IV.
las normas ISO), a travs de actividades concretas y

especficas, aseguran los entregables previstos, los modelos de
gobierno se fundan en medio de la incertidumbre para tratar de
navegar en a travs de tensiones, intereses y presiones
polticas para alcanzar su misin: conducir la nave que tiene a
cargo, a travs de caminos inciertos e inesperados, para lograr
los objetivos propuestos, privilegiando el bien general sobre el
bien particular como se puede observar en la Fig.1.
I. INCERTIDUMBRE, DEBILIDAD Y FALLAS: TRES PRINCIPIOS

BSICOS PARA EL GOBIERNO DE LA SEGURIDAD DE LA
INFORMACIN
Si entendemos que la seguridad de la informacin es un

ejercicio en permanente obra gris y que responde
necesariamente a la inevitabilidad de la falla, no podemos
fundar su gobierno solamente en los riesgos conocidos, en la
pedagoga del xito y tratando de disminuir todo el tiempo el
nivel de incertidumbre sabiendo que estamos inmersos en un
entorno VICA.
Esto supone cambiar radicalmente la manera como
entendemos el gobierno de la seguridad de la informacin,
esto es cambiar la lectura actual del tema arraigada en la
tradicin de muchos oficiales de seguridad de la informacin y
ejecutivos de empresas, que se puede manifestar en las
siguientes declaraciones:
La seguridad y la complejidad no son compatibles.
Las fallas de seguridad de la informacin revelan las
limitaciones de la gestin de la seguridad.
Los incidentes de seguridad deben ser la excepcin de la
operacin de un programa de seguridad.
Los errores en las prcticas de seguridad de la
informacin no son admisibles en ninguna parte de la
empresa.
La incertidumbre de la operacin del negocio es amenaza
para la seguridad de la informacin.
Las anteriores afirmaciones se traducen en mximas de la
gestin de los ejecutivos de seguridad de la informacin que
atienden los marcos de trabajo tradicionales en gestin de
riesgos como:
A menor nivel de vulnerabilidad identificada, mayor
expectativa de seguridad y control.
A mayor nivel de exposicin identificada, menor
expectativa de seguridad y control.
Basado en las reflexiones expuestas podemos entender que
el error se convierte en un tribunal para la gestin de
seguridad informacin, una afrenta a la confianza de la
organizacin y sus ejecutivos en las prcticas de seguridad de
informacin y el reflejo de la distancia y poco inters por
ejercicio del gobierno de la seguridad de la informacin en el
cuerpo colegiado directivo que asume el direccionamiento
empresarial.
Mientras los modelos de gestin (generalmente basados en
Figura 1. Caractersticas de la gestin y el gobierno (Tomado de: [6])
Por tanto, si queremos movilizar la organizacin para

gobernar la seguridad de la informacin, se hace necesario
partir de la debilidad, de la incertidumbre y las fallas como
fundamento de una vista estratgica y tctica de la seguridad
de la informacin ajustada al entorno VICA, propio de las
organizaciones, donde lo ms normal es el error en las
personas, las fallas de seguridad de la informacin en los
procesos y controles y los eventos inesperados que
comprometen las estrategias ms elaboradas de seguridad y
control.
Esto supone declarar tres principios bsicos de esta nueva
forma de gobierno de la seguridad de la informacin, que
exigen a los ejecutivos de seguridad de la informacin, pensar
por el complemento y de forma relacional, y no con una
epistemologa positivista (que controla todas las variables en
sus anlisis), para potenciar y renovar las prcticas actuales
respecto de los retos de agilidad, movilidad y proteccin que
demandan las empresas de hoy. Los tres principios son:
La debilidad es la base de la construccin de la confianza
y no las certezas.
La incertidumbre es el insumo para construir el futuro y
no condenar el presente.
Las fallas son la fuente para aprender y desaprender, y no
la forma para infundir miedo o configurar un fracaso.
Estas tres aseveraciones, por dems contradictorias, en una
lectura exitosa de la realidad, recaban en una manera
complementaria y real para entender que la inevitabilidad de
la falla es la base de cualquier forma de gobierno de la
seguridad de la informacin. Es claro que todos los esfuerzos
de seguridad y control que se tienen en las organizaciones
basadas en las prcticas previamente mencionadas, seguirn
siendo vlidos y claves para continuar desarrollando la
7
seguridad, sin perjuicio que, incorporar esta vista soportada en

estos tres principios movilizar el gobierno de la seguridad de
la informacin a un estadio superior de reflexin y nuevos
normales, que acerque y quiebre las prcticas actuales de
seguridad y control de las empresas inmersas en los
imaginarios de las personas que all laboran.
Si se revisan con cuidado estos tres principios, se confirma
una lectura de la seguridad de la informacin que plantea a la
inseguridad de informacin como un dual, lo que hace que el
pensamiento circular, donde una causa conduce a un efecto y
un efecto puede ser igualmente una causa, motive una
reflexin diferente sobre la forma como hemos venido
entendiendo las prcticas de proteccin:
() la inseguridad informtica como disciplina dual en
el estudio de la seguridad informtica, establece un
paradigma complementario (es decir dual a la seguridad
informtica) que comprende las propiedades emergentes de
los sistemas (analizados) bajo condiciones y realidades
extremas, las cuales no son viables en una estrategia de
proteccin causal (dualismo) sugerida por la seguridad
informtica actual. [3]
II. SEGURIDAD POR VULNERABILIDAD. SABIDURA
NO CONVENCIONAL EN SEGURIDAD DE LA
INFORMACIN
El gobierno de la seguridad de la informacin revisado
desde su dual, la inseguridad, plantea una visin extendida y
novedosa para establecer un referente estratgico de la
seguridad de la informacin en las organizaciones del siglo
XXI. Esta vista invierte los supuestos actuales de certeza,
gestin exitosa y variables controladas, para desarrollar los
principios previamente comentados en una propuesta
metodolgica que materialice la prctica de estas
declaraciones.
Para ello, es clave reconocer inicialmente las caractersticas
propias tanto de la seguridad como de la inseguridad como
fundamento de los componentes que se plantarn ms adelante
para atender la propuesta complementaria que asuma los
efectos de borde y situaciones inesperadas como insumos
caractersticos de la propuesta que se presenta ms adelante.
De acuerdo con Cano [4] existen caractersticas concretas
que definen a la seguridad de la informacin y a la inseguridad
de la informacin. En este entendido se presenta un cuadro
resumen que da cuenta de dichos rasgos, cuyos detalles y
anlisis se puede encontrar en la referencia indicada en este
prrafo:
Seguridad de la
informacin
Intangible
Subjetiva
Es una propiedad emergente
Se basa en la certeza
Inseguridad de la
informacin
Tangible
Objetiva
Es una propiedad inherente
Se basa en
la incertidumbre
Seguridad de la
informacin
Se requiere modelarla
Inseguridad de la
informacin
No requiere modelarse
Tabla 1. Seguridad de la Informacin Vs Inseguridad de la Informacin

(Adaptado de: [4])
La tabla anterior revela a la inseguridad de la informacin

como la base del gobierno de la seguridad de la informacin,
como quiera que la incertidumbre y la condicin de propiedad
inherente que contiene, hace que se contraponga a las certezas
y variables conocidas que se buscan en la gestin actual,
generando una reflexin en el margen de las hojas que
cuestione la forma en la que se concibe, estudia y definen los
lineamientos estratgicos de la seguridad de la informacin en
las organizaciones.
Enfrentar este dilema en el desarrollo de una visin
ejecutiva de seguridad de la informacin, requiere asumir la
vulnerabilidad como la fuente de la robustez de la gestin de
la seguridad de la informacin y el fundamento de su
gobierno, entendido ste como:
La responsabilidad de la junta directiva y el concurso del
ejecutivo de seguridad de la informacin [16] para movilizarse
en las tendencias propias del negocio donde opera, advertir
movimientos y retos emergentes que enfrenta el modelo de
generacin de valor de la empresa y anticiparse frente a los
riesgos y amenazas que pueden comprometer la vista
estratgica corporativa, como un ejercicio de alquimia entre la
poltica corporativa, los intereses superiores de los accionistas
y la realidad de la proteccin de la informacin.
Lo anterior supone una construccin de confianza desde la
vulnerabilidad propia de los elementos tradicionales de la
gestin de la seguridad como son las personas, los procesos y
tecnologa, que ilustre las prcticas sistemticas y sistmicas
que asisten las forma como la organizacin aprende de las
fallas, explora la incertidumbre y da cuenta de las tendencias
que pueden afectar el desarrollo de los negocios empresariales
y comprometer la viabilidad de su permanencia en el mercado.
Con el fin de concretar las reflexiones planteadas, se
detalla a continuacin un propuesta para el gobierno de la
seguridad de la informacin complementaria a las iniciativas
metodolgicas actuales, que cambia la tradicin del
entendimiento de la seguridad de la informacin ahora desde
una epistemologa basada en el pensamiento de sistemas y en
la pedagoga del error [1][9], que introduce dinmicas
adicionales a las ya conocidas y expresadas en las normas ISO
y dems referentes internacionales.
El modelo PERIL (que en ingls significa exponerse al
riesgo) asume una sabidura no convencional en seguridad de
la informacin, que sustentada en los principios de
incertidumbre, debilidad y fallas, declara lo siguiente:
La prctica de seguridad de la informacin slo es
posible desde la pedagoga del error [10].
Los incidentes de seguridad de la informacin son la base
8
de la gestin de seguridad de la informacin.

Las fallas de seguridad de la informacin abren ventanas
que reinventan el futuro de la seguridad.
La complejidad de un sistema (estudiada desde los ojos
del observador) revela la vulnerabilidad inherente a su
funcionamiento.
La incertidumbre es una oportunidad para conectar las
tendencias emergentes que propone la inseguridad de la
informacin.
Para articular las afirmaciones anteriores, el modelo
ilustrado en la Fig. 2, introduce cinco componentes que se
alimentan entre s, para ejercer un gobierno de la seguridad de
la informacin, basado en la realidad de los eventos
inesperados [14] y la capacidad de la organizacin de
prepararse para asumir el futuro con iniciativas novedosas,
que implican riesgos calculados, as como una postura activa y
propositiva de direccionamiento estratgico en seguridad de la
informacin que la asiste en sus propsitos.
imaginar situaciones retadoras para las supervivencia de la

empresa donde la informacin juega un papel determinante y
hace la diferencia frente a los impactos sobre los diferentes
grupos de inters identificados.
Adelantar este ejercicio de escenarios de manera
participativa y colectiva, aumenta la concientizacin de la
organizacin respecto de los activos de informacin claves y
las formas como se pueden comprometer, tanto de manera
interna como de manera externa. El valor de esta prctica est
dada por la construccin de una vista compartida de las
amenazas, capacidades de los atacantes y postura tctica de
proteccin de la empresa para contener, atender y superar un
escenario disruptivo, donde no es solamente la actuacin del
rea de seguridad de la informacin la relevantes, sino el papel
que asumen las reas de negocio y la junta directiva.
Complementario a lo anterior, se extiende la mirada
tradicional de los riesgos (R) identificados respecto de la
seguridad de la informacin introduciendo la ventana de
AREM [5] para no solamente adelantar las acciones de
tratamiento para los riesgos conocidos, sino estudiar y
caracterizar tanto los riesgos latentes como los focales
(propios del sector negocio de la empresa), as como estudiar
y analizar aquellos emergentes que advierten posibilidades
que se identifican en el entorno, para conectar los puntos y
revelar temticas desconocidas o que estn un estado
embrionario.
Figura 2. Modelo PERIL (Autora propia)
El ejercicio de gobierno de seguridad de la informacin

inicia por descubrir y revelar los imaginarios (I) que se tienen
sobre la seguridad de la informacin en la empresa, para lo
cual se hace necesario consultar los valores, las actitudes y
creencias que la conforman [11], para comprender la dinmica
de las prcticas actuales sobre la proteccin de la informacin,
para enfatizar en los aciertos y fortalezas identificadas,
utilizando las fallas o errores como una forma de crear
escenarios de aprendizaje que recompongan y actualicen el
imaginario actual.
Si lo anterior se hace de manera permanente, las personas
en los diferentes niveles (incluido la Junta Directiva) irn
adquiriendo una prctica de proteccin que asume el error no
como algo por lo cual voy a recibir una sancin, sino como
una oportunidad para distinguir nuevas formas de asegurar la
informacin, procurando cada vez, no equivocarme menos,
sino hacerlo de manera diferente lo que exige una
incorporacin de lecciones aprendidas y por aprender, que es
otro componente del modelo que ser detallado ms adelante.
Mantener una vista dinmica de los imaginarios ayuda a
movilizar los esfuerzo en el componente de escenarios (E) los
cuales demandan la participacin de diferentes pblicos y
niveles para construir la proyeccin de contextos posibles y
probables basados, no solamente en la experiencia de la
empresa y sus objetivos de negocios, sino la capacidad de
La ventana AREM permite darle a una vista sistmica de

los riesgos en seguridad de la informacin a los ejecutivos de
la junta directiva, para mantenerlos, no solamente informados
de la dinmica del entorno, sino participando de la
construccin del escenario de la inevitabilidad de la falla, de la
cual hacen parte y conocen los posibles impactos de la
materializacin de alguno de ellos.
Sin perjuicio de lo anterior, se hacen necesarias las pruebas
(P) controladas y no controladas para dar cuenta del nivel de
vulnerabilidad inherente a los sistemas objetivo de la
organizacin, los cuales generalmente estn asociados con los
activos de informacin de mayor valor para la empresa y de
aquellos que son parte fundamental de la estructura de
cumplimiento regulatorio y normativo [16]. Estas pruebas
demandan tensionar y tratar de romper la confiabilidad de los
controles en operacin, actuando como un atacante interno y
externo y as manifestar las debilidades que son claves que
pueden comprometer la confianza corporativa respecto de las
decisiones que afectan el direccionamiento estratgico.
Las prcticas generalmente aceptadas respecto de pruebas
de la seguridad de la informacin pasan por la verificacin de
la operacin de controles generales de seguridad, pruebas de
penetracin y superacin de medidas de seguridad
tecnolgica, as como ejercicios de ingeniera social y
combinaciones de las anteriores que maticen auditoras de
seguridad y control con diferentes niveles de profundidad,
siempre orientadas en aquellos sistemas de informacin o

lugares de la organizacin donde se hace realidad la promesa
de valor de la empresa para sus grupos de inters.
Finalmente y no menos importante, cada una de los
componentes debe desarrollar como parte de su ejercicio
lecciones (L) aprendidas y por aprender. Esto es, un ejercicio
reflexivo de cmo se adelant la actividad, qu cosas se
hicieron bien y que otras no. As las cosas, cada vez que se
concreten los entregables de los ejercicios propuestos en cada
componente se deben responder al menos preguntas como:
Qu cosas vamos a dejar de hacer, que no aportan al
ejercicio?
Qu cosas vamos a seguir haciendo, que benefician y
fortalecen la prctica?
Qu cosas nuevas vamos a hacer, que no hemos hecho
antes para alimentar y mejorar la prctica?
Adelantar este ejercicio, permite al modelo mantenerse
realimentado de las revisiones y apreciaciones de todos los
participantes de la organizacin y apalancar una gestin de
conocimiento en seguridad de la informacin, cuya
experiencia acumulada reconoce los quiebres permanentes de
la forma como se materializa la seguridad de la informacin,
evitando la falsa sensacin de seguridad, como quiera que su
gobierno est fundado en la inevitabilidad de la falla.
De esta forma, planteamos una vista del gobierno de la
seguridad de la informacin basado en un ejercicio virtuoso
basado en la aplicacin de estndares y buenas prcticas
reconocidas a nivel internacional y asistido por una lectura
estratgica y valiosa de la proteccin de la informacin que no
solo se anticipa a los cambios y realidades inesperadas de la
empresas, sino que construye una posicin proactiva y
resiliente frente a impactos y acciones imprevistas que se
puedan presentar.
Implementar este modelo, no implica solamente aplicar los
instrumentos mencionados en cada uno de los componentes,
sino transformar la forma como la empresa, es decir, cada uno
de sus participantes adquiere una madurez en el tratamiento de
la informacin desde los hbitos de la gestin segura de la
informacin tradicionales. Esto es apropiarse de la prctica de
seguridad y control desde la vulnerabilidad, fundada en la
pedagoga del error para hacer cada da ms resistente la
organizacin frente a la complejidad de las operaciones, la
cual se encuentra en los ojos de cada empleado.
III. COMPARANDO EL MODELO TRADICIONAL Y
PERIL
Teniendo presente el entorno VICA donde se encuentran
inmersas las organizaciones vamos a considerar una empresa
de corte financiero, como quiera que es uno de los sectores
ms regulados y donde la gestin de la seguridad de la
informacin se ha convertido en una norma, siguiendo
estndares como la serie ISO 27001.
Este es un banco tradicional que en la actualidad mantiene

una certificacin ISO 27001 en los procesos ms importantes
de su negocio y que de manera sistemtica adelanta auditoras
de seguimiento para advertir desviaciones sobre la aplicacin
de los controles establecidos para cubrir los riesgos conocidos
identificados en dichos procesos. En este sentido, ante un
incidente de seguridad de la informacin, se activa el proceso
de atencin de incidentes con el fin de atender la brecha que se
presenta, siguiendo el proceso natural que establece las
siguientes actividades: deteccin y notificacin, contencin,
erradicacin, recuperacin e investigacin.
Cumplido el ejercicio de aseguramiento del incidente, el
cual se contabiliza como una falla inherente del sistema de
gestin, se activa el sistema de mejoramiento continuo que
advierte la falla en alguno de los componentes del sistema de
gestin (personas, procesos, tecnologa) para luego, efectuar el
anlisis-causa raz que le permita cerrar la brecha identificada
y nuevamente mantener el estado de certidumbre que requiere
y exige la aplicacin del estndar y la lectura esperada de la
alta gerencia.
Si el modelo de gestin tradicional se sigue ejecutando, el
banco continuar su ejercicio de cumplimiento de la norma de
forma exitosa, con las verificaciones tradicionales, sin advertir
posibles eventos que se estn gestando en el contexto de sus
operaciones, bien con sus grupos de inters o terceros que
apoyan su operacin. Lo anterior supone que la seguridad de
la informacin es una funcin especializada encargada de la
proteccin del activo informacin y responsable de su
aseguramiento a nivel corporativo.
Actuando siguiendo el modelo tradicional de gestin
Considere que se ha emprendido una estrategia de
espionaje corporativo contra el banco con el fin de establecer
las nuevas medidas de seguridad y control que estn
planeando para el despliegue de sus productos mviles. En
este contexto, se valen los interesados de terceros que
actualmente tienen contratos con el banco y de personas
contratadas para llamar y tener los contactos de los ingenieros
a cargo del proyecto.
En esta condicin, sin ser detectados los ingenieros reciben
informacin clave de su proveedor de seguridad contratado
(que ha sido interceptada y modificada con cdigo malicioso)
las cuales reciben y descargan en la red local del banco,
sembrando la semilla maliciosa que infecta la aplicacin mvil
confiable construida, la cual al ser descargada por los
diferentes clientes exponen sus datos personales y financieros,
creando una ola de robos y desfalcos que no pudieron ser
anticipados, comprometiendo la imagen del banco y la buena
fe de sus clientes.
Ante una situacin como la anterior, activando el proceso
de atencin de incidentes, siguiendo todos sus pasos, podemos
advertir la fuente tcnica de los que ocurri, sin percatarnos de
las variables y condiciones del entorno que estuvieron
presentes, las cuales fueron ocasin de los planes establecidos
por atacantes para comprometer no solamente la informacin
de los cuentahabientes, sino la imagen y operacin del Banco.
10
El incidente se cierra bien con una investigacin que sea la

base para un proceso legal posterior o con un informe tcnico
y otro ejecutivo que d cuenta de lo que ocurri y las medidas
que se han establecido para que no vuelve a ocurrir.
Acto seguido, la alta gerencia llevar al tribunal de las
explicaciones al responsable de seguridad de la informacin
por la situacin que ha ocurrido, exigiendo respuestas y
acciones contundentes para blindar el proceso y las nuevas
propuestas que se puedan adelantar en el contexto de los
mviles, dejando nuevamente a la gerencia como un actor que
se deslinda del ejercicio de construccin del gobierno de la
seguridad de la informacin.
Actuando siguiendo el modelo PERIL
Dado que PERIL se fundamenta en la inevitabilidad de la
falla y considerando el lanzamiento de los nuevos productos
mviles, se hace necesario establecer los posibles puntos o
vectores de ataque que pueden ser objetivo para comprometer
la salida del producto, considerando no solamente las
condiciones tcnicas (siguiendo las exigencias de los
estndares conocidos), sino haciendo evidente el imaginario
(I) de proteccin que las personas tienen en la actualidad, para
establecer la brecha que se tiene respecto de los
comportamientos vigentes y aquellos que queremos que se
tengan una vez se liberen los productos mviles.
Como resultado de las consideraciones propias de los
imaginarios, deber desarrollarse todo un plan para, luego de
revelar el imaginario de los grupos de inters que utilizarn los
productos diseados para los dispositivos mviles, educar y
transformar los valores, las actitudes y las creencias de las
personas respecto de la seguridad en los dispositivos mviles,
empezando por los miembros del equipo de proyecto y
alcanzando la poblacin objetivo para movilizar los
comportamientos requeridos.
Sin perjuicio de lo anterior, se requiere que el equipo del
proyecto conociendo la poblacin impactada, las condiciones
de fallas, incertidumbre y debilidades propias de las
plataforma mviles, invitar a los miembros de las reas de
negocio, un conjunto significativo de las personas impactadas,
as como ejecutivos de primer nivel, para construir escenarios
(E) de posibles situaciones lmites que pueda afectar las
estrategias del negocio y las perspectivas y expectativas de la
junta con la salida del nuevo producto.
Este ejercicio exige abrir la mente para pensar en
situaciones posibles y probables que comprometan la imagen
y las operaciones del banco. Lo anterior, requiere seguir un
mtodo, que en este caso, se selecciona el que desarrolla Intel
[7] que incluye los siguientes elementos:
Participacin de mltiples roles de la organizacin
Establecer los escenarios de ataque basados en
vulnerabilidades conocidas y desconocidas
Operacionalizar el ataque (detalle de capacidades y
estrategias que puede seguir el atacante)
Capturar y analizar las ideas que surjan sobre el ataque
Con esta informacin, se documentan los posibles

escenarios de manera conjunta, entre el negocio y los
especialistas en seguridad de la informacin, incluyendo las
acciones que se deben seguir si la situacin planteada se
materializa y cmo participan cada uno de los roles ante el o
los evento(s).
Este ejercicio permite una sensibilizacin de las diferentes
reas de la empresa respecto de los planteamientos efectuados
ante la inevitabilidad de la falla, aumentando la apropiacin,
no solamente de la prctica de seguridad, sino del producto
mismo y sus posibles afectaciones.
Considerando lo anterior, se detalla a continuacin el
escenario de amenazas y riesgos (R) conocidos, latente,
focales y emergentes, usando la ventana de AREM. En el
desarrollo de este ejercicio, se puede alimentar o ampliar el
contexto de los escenarios planteados. La ventana de AREM
permite plantear no solamente las probabilidades de los
riesgos identificados, sino las posibilidades, lo que motiva una
vista ms incluyente de situaciones que no solamente tienen
que ver con las implicaciones tcnicas, sino con condiciones
de negocios como es el caso particular del espionaje, el robo
de informacin o la destruccin de informacin.
Si bien, el equipo que participa en los escenarios tiene una
vista amplia del producto y sus posibilidades, debera
participar en la consolidacin del ejercicio realizado con la
Ventana de AREM para que de manera complementaria
desinstale la posicin cmoda de la organizacin de los
riesgos conocidos y demande un monitoreo permanente y
habilitante de las decisiones anticipadas requeridas por la
empresa, que construyan capacidades que cambien la posicin
de la corporacin frente a situaciones inesperadas.
Con toda la informacin disponible en este momento, el
equipo de seguridad de la informacin no solamente debe
entrar a efectuar las pruebas (P) de seguridad y resistencia del
producto en las plataformas mviles para hacer evidente las
vulnerabilidades propias de su desarrollo, sino plantear los
casos de mal uso [2], diseados a partir de los escenarios
planteados y los riesgos expuestos en la Ventana de AREM, lo
cual demanda un entendimiento de las interacciones de los
diferentes actores, teniendo en el horizonte los impactos en los
objetivos estratgicos de la empresa y sus impactos.
Los resultados que se tienen de las simulaciones y anlisis
efectuados sobre la solucin mvil, plantean no solamente las
estrategias de aseguramiento del cdigo y el proceso mismo
de despliegue y uso de la misma, sino las lecciones (L)
aprendidas y por aprender que se deben incorporar en cada
uno de los pasos anteriores, as como las propias de cada
momento de la ejecucin del modelo PERIL.
Esto permite mantener una lectura renovada de la
aplicacin del modelo para que incorpore las vistas y
reflexiones de todos los participantes, nutriendo la prctica del
gobierno de la seguridad de la informacin, desde las mismas
experiencias de sus participantes y los cambios del entorno, lo
11
que necesariamente impacta y renueva el imaginario de las

personas que participan en este ejercicio.
Para el caso del banco, el escenario de espionaje hubiese
sido planteado posiblemente por el negocio y complementado
por los diferentes actores, generando una sensibilidad
adicional dentro del equipo del proyecto que aumentara las
precauciones del caso en, durante y despus del despliegue del
producto, como quiera que las expectativas de la alta gerencia
indicaban la sensibilidad de la estrategia en dispositivos
mviles como factor diferenciador en el mercado.
De presentarse el escenario identificado, luego de la
aplicacin de PERIL, el banco no solamente ejecutara lo que
tiene previsto en el proceso de atencin de incidentes, sino que
establecera una posicin proactiva mostrando su capacidad de
resiliencia frente a los eventos, proyectando confianza y
tranquilidad a los grupos de inters impactados, as como una
coordinacin estratgica con diferentes actores requeridos para
asegurar la atencin de las situaciones. La alta gerencia tiene
una mejor lectura de lo ocurrido, que si bien implica al
responsable de la seguridad de la informacin, procura una
estrategia poltico-relacional que complementa las acciones
tcnicas y de proceso que estn previstas para el escenario
planteado.
Un resumen conceptual de la aplicacin de los dos modelos
se presenta a continuacin:
Figura 3. Comparacin Modelo Tradicional y PERIL (Autora propia)
IV. CONCLUSIONES
No podemos negar los grandes logros y avances que se han
tenido en la gestin de la seguridad de la informacin, los
cuales permiten a las empresas un ejercicio de virtudes en la
proteccin de los activos estratgicos de las empresas. No
obstante, se hace necesario crear nuevas formas para
cuestionar dichas prcticas, desde enfoques de pensamiento
complementarios para procurar tensiones sobre los saberes
actuales donde opera la seguridad de la informacin, y as
proponer caminos alternativos que induzcan realidades
diferentes.
que permite sospechar de manera permanente sobre la realidad

de los controles, la vista de las prcticas y la formulacin de
estrategias de proteccin. Esto supone, reconocer que los
ejercicios tradiciones de gestin de seguridad de la
informacin, deben continuar, asistidos de la inevitabilidad de
las fallas y sus lecciones aprendidas para ir desaprendiendo de
lo que conocemos e incorporar las nuevas distinciones que
podemos encontrar.
As las cosas, al entender que todos estamos conectados
[13] y somos vulnerables (en mayor o menor medida) y que
cada persona tiene una lectura de la complejidad del entorno
que le rodea, se hace necesario crear escenarios posibles y
probables que capitalicen el conocimiento tanto de los
empleados como de los ejecutivos de la empresa, para
aumentar la sensibilidad de los anlisis requeridos para
preparar a la organizacin sobre cmo actuar ante momentos
no previstos con el menor impacto y as, aumentar la robustez
de respuestas, desde el reconocimiento de la vulnerabilidad
como fuente de la construccin de confianza con sus grupos
de inters.
Por tanto, el gobierno de la seguridad de la informacin
debe atender y asumir la incertidumbre del entorno de la
empresa y sus impactos, no como una amenaza para el
direccionamiento estratgico de la proteccin del valor de la
empresa, manifiesto en los activos de informacin claves, sino
como una oportunidad para crear valor, esto es, cambiar la
percepcin reactiva, de miedo, dudas y malos presagios, por
una que entiende el negocio y los impactos de la
materializacin de la inevitabilidad de la falla, anticipando
escenarios, riesgos y aprendizajes que aumenten la resistencia
de la empresa a los fallos, lo que no escapa a la presencia de
incidentes como parte natural del precio que se debe pagar por
la conectividad.
El modelo PERIL introduce componentes complementarios
a las prcticas vigentes sobre la seguridad de la informacin y
estndares conocidos, cambiando los referentes de
pensamiento de la gestin de riesgo tradicional, basados en la
mitigacin de riesgos, por uno donde se busca aceptar la
debilidad inherente de la organizacin (esto es, revelar en
mayor proporcin sus vulnerabilidades), para construir una
confianza inteligente.
Lo anterior, demanda asegurar las prcticas virtuosas
descritas en los referentes de ISO, ISACA, NIST y de la
academia, complementando aquellas con una vista valiosa,
construida desde la inseguridad como fundamento de un
gobierno de la seguridad de la informacin que exige quebrar
el Jarrn de lo conocido elaborado desde las certezas
tradicionales y reconstruirlo con la filigrana dorada de la
incertidumbre, la debilidad y las fallas, para revelar el
verdadero valor de la informacin en un mundo VICA.
AGRADECIMIENTOS
En este sentido, introducir la vulnerabilidad como fuente y

base del gobierno de la seguridad de la informacin, es hacer
una lectura complementaria y diferencial de las prcticas de
seguridad y control, que demanda un trabajo ms exhaustivo
El autor agradece a los maestros Francisco Rivas Dueas y

Andrs Almanza Junco, as como a los ingenieros Alberto
Len Lozano y Samuel Pinzn Barrios y a la doctora Lorena
12
Gonzlez Manzano cuyos valiosos y generosos comentarios

permitieron enriquecer las reflexiones y anlisis planteados en
este documento.
REFERENCIAS
[1]
[2]
[3]
[4]
[5]
[6]
[7]
[8]
[9]
[10]
[11]
[12]
[13]
[14]
[15]
[16]
[17]
[18]
lvarez, S (2012) Aprendiendo a perder. Las dos caras de la vida.

Barcelona, Espaa:Plataforma Editorial.
Barnum, S. y Sethi, A. (2006) Introduction to attack patterns. CIGITAL
Inc.
Recuperado
de:
https://buildsecurityin.uscert.gov/bsi/articles/knowledge/attack/585-BSI.html
Cano, J. (2004) Inseguridad informtica: un concepto dual en seguridad
informtica. Revista de Ingeniera. No.19. Universidad de los Andes.
Facultad de Ingeniera. Mayo. 40-44
Cano, J. (2007) Administracin de la inseguridad informtica.
Repensando el concepto de gestin de la seguridad informtica. Revista
Hakin9. No.23 Hard Core IT Security Magazine. Polonia. 36-42
Cano, J. (2014) La ventana de AREM. Una herramienta estratgica y
tctica para visualizar la incertidumbre. Actas de la XIII Reunin
Espaola de Criptologa y Seguridad de la Informacin. Alicante,
Espaa.
Septiembre
2
al
5.
Recuperado
de:
http://web.ua.es/es/recsi2014/documentos/papers/la-ventana-de-aremuna-herramienta-estrategica-y-tactica-para-visualizar-laincertidumbre.pdf
Cano, J. (2015) Gestin y gobierno de la seguridad de la informacin.
Dos conceptos complementarios para comprender la inevitabilidad de la
falla.
Blog
IT-Insecurity.
Recuperado
de:
http://insecurityit.blogspot.com/2015/04/gestion-y-gobierno-de-laseguridad-de.html
CEB (2014) Heard in suite: Intel perform structured risk sensing.
(Requiere suscripcin)
Crdoba-Pachn, J. R. (2010) Systems practice in the information
society. Routledge Series in Information Systems. Londres, United
Kingdom: Routledge.
Cortada, J. (2011) Information and the modern corporation. Cambridge,
Massachussets: MIT Press.
De la Torre, S. (2004) Aprender de los errores. El tratamiento didctico
de los errores como estrategias innovadoras. Buenos Aires: Ed.
Magisterio del Ro de la Plata
Escmez, J., Garca, R., Prez, C. y Llopis, A. (2007) El aprendizaje de
valores y actitudes. Teora y prctica. Madrid, Espaa: Editorial
Octaedro-OEI.
Goodman, M. (2015) Future crimes. Everything is connected, Everyone
is vulnerable and what we can do about it. New York, USA: Doubleday
Hoque, F. (2014) Everything connects: How to transform and lead in the
age of creativity, innovation, and sustainability. New York, USA:
McGraw Hill.
Prigogine, I. (1997) El fin de las certidumbres. Madrid, Espaa:Ed.
Taurus.
Sethuraman, S. (2006) Framework for Measuring and Reporting
Performance of Information Security Programs in Offshore Outsourcing.
ISACA
Journal.
6.
Recuperado
de:
http://www.isaca.org/Journal/archives/2006/Volume-6/Pages/JOnlineFramework-for-Measuring-and-Reporting-Performance-of-InformationSecurity-Programs-in-Offshore-Outso1.aspx
Triump, I. (2012) Confronting the legal liabilities of IT Systems.
EDPACS: The EDP Audit, Control, and Security. 46(2). 11-16
Von Solms, S. H y Von Solms, R. (2009) Information security
governance. New York, USA:Springer Verlag.
Johansen, B. (2009) Leaders Make the Future: Ten New Leadership
Skills for an Uncertain World. San Francisco, USA:Berrett-Koehler
Publishers.
Jeimy J. Cano M. Ingeniero y Magster en Ingeniera de

Sistemas y Computacin por la Universidad de los Andes,
Colombia. Especialista en Derecho Disciplinario por la
Universidad Externado de Colombia, Ph.D en Administracin
de Negocio por Newport University, CA., USA. Profesor
distinguido y miembro fundador de Grupo de Estudios en
Comercio Electrnico, Telecomunicaciones e Informtica de la Facultad de
Derecho de la Universidad de los Andes. Actualmente cursa el programa
Doctoral en Educacin en la Universidad Santo Toms de Aquino, Colombia.
13
Importancia de la Cultura de la Seguridad en las PYMES

para la correcta Gestin de la Seguridad de sus Activos
A. Santos-Olmo, L. E. Snchez, I. Caballero, D. Mellado, E. Fernandez-Medina
Abstract The information society is increasingly dependent
on Information Security Management Systems (ISMS), and
having these kind of systems has become vital for the
development of SMEs. However, these companies require ISMS
adapted to their special features, which would be optimized from
the aspect of the resources needed to deploy and maintain them.
This article presents the importance for SMEs of the safety
culture within the ISMS and how the concept of safety culture is
introduced into the methodology of safety management in small
and medium-sized enterprises. This model is being applied
directly to real cases, achieving a steady improvement in its
implementation.
Resumen La sociedad de la informacin cada vez depende
ms de los Sistemas de Gestin de la Seguridad de la Informacin
(SGSI), y poder disponer de estos sistemas ha llegado a ser vital
para la evolucin de las PYMES. Sin embargo, este tipo de
compaas requiere de SGSIs adaptados a sus especiales
caractersticas, y que estn optimizados desde el punto de vista de
los recursos necesarios para implantarlos y mantenerlos. En este
artculo se presenta la importancia que dentro de los SGSIs tiene
la cultura de la seguridad para las PYMES y cmo se ha
introducido el concepto de cultura de seguridad dentro de la
metodologa de gestin de la seguridad en las pequeas y
medianas empresas (MARISMA). Este modelo est siendo
aplicado directamente a casos reales, consiguiendo as una
constante mejora en su aplicacin.
Keyword Cybersecurity, Information Security Management

Systems, ISMS, Safety Culture, SMEs, ISO27001, ISO27002.
Palabras clave Ciberseguridad, Sistemas de Gestin de
Seguridad de la Informacin, SGSI, Cultura de la Seguridad,
PYMES, ISO27001, ISO27002.
I. INTRODUCCIN
Un sistema de gestin de la seguridad de la informacin
(SGSI) se puede definir como un sistema de gestin usado
para establecer y mantener un entorno seguro de la
informacin. El objetivo principal de los SGSIs es afrontar la
puesta en prctica y el mantenimiento de los procesos y los
A. Santos-Olmo, Departamento I+D+i, Sicaman Nuevas Tecnologas,
Tomelloso (Ciudad Real), Espaa, Asolmo@sicaman-nt.com
L. E. Snchez, Universidad de Castilla-la Mancha (UCLM), Espaa y
Universidad de las Fuerzas Armadas (ESPE), Proyecto Prometeo de la
SENESCYT, Ecuador, Luisenrique@sanchezcrespo.org
I. Caballero, Grupo de Investigacin Alarcos, Universidad de Castilla-la
Mancha, Ciudad Real, Espaa, Ismael.Caballero@uclm.es
D. Mellado, Agencia Tributaria, Spain, damefe@esdebian.org
E. Fernandez-Medina, Grupo de Investigacin GSyA, Universidad de
Castilla-la Mancha, Ciudad Real, Espaa, Eduardo.FdezMedina@uclm.es
procedimientos necesarios para gestionar la seguridad de las

tecnologas de la informacin [1-5]. Dhillon [6] afirma que los
SGSIs no se ocupan slo de la seguridad de la informacin,
sino que incluyen tambin la gestin de los aspectos formales
e informales dentro de la misma [7]. Estas acciones incluyen
la identificacin de las necesidades de seguridad de la
informacin y la puesta en prctica de las estrategias para
satisfacer estas necesidades, medir los resultados y mejorar las
estrategias de proteccin [8, 9].
Para ayudar a las empresas en la creacin de una cultura de
seguridad de la informacin los expertos han identificado
diversos enfoques basados en polticas, sensibilizacin,
formacin y educacin [10-13]. Sin embargo, las iniciativas de
gestin por s solas no influirn significativamente en el
comportamiento de los empleados [14]. Segn Schultz [15] es
necesario prestar especial atencin al factor humano.
Por otro lado, a la hora de implantar los SGSIs la mayor
parte de los modelos se han centrado en aspectos tcnicos y de
gestin, dejando de lado un tercer aspecto que es el
institucional, y que ha tomado una especial relevancia en los
ltimos aos [1, 8, 16]. As Von Solms [17] describe que la
seguridad de la informacin no debe centrarse slo en estas
dos orientaciones (tcnica y de gestin), sino que tiene que
verse completada con una tercera orientacin (institucional o
de cultura de la seguridad). De esta forma, la funcin principal
de cada una sera:
Orientacin tcnica: Se ocupa de las direcciones
tcnicas de seguridad de la informacin mediante el
uso de los sistemas informticos, como autenticacin
y servicios de control de acceso.
Orientacin a la gestin: Comenz cuando la alta
direccin se involucr en la seguridad de la
informacin con la evolucin de Internet y las
actividades de negocio electrnico, e incluye las tareas
de preparacin de seguridad de la informacin,
polticas, procedimientos y mtodos, as como la
designacin del responsable de seguridad.
Tendencia institucional: De forma paralela a la
primera y la segunda orientacin, incluye la creacin
de una cultura corporativa de la seguridad, abarcando
la normalizacin, certificacin, medicin y
preocupacin del aspecto humano en la seguridad de
la informacin.
El objetivo de la institucionalizacin es construir una
cultura de seguridad de la informacin, de tal manera que la
sta se convierta en un aspecto natural de las actividades
cotidianas de todos los empleados de la organizacin [17, 18].
El desarrollo de la cultura de seguridad de la informacin
pretende controlar el uso indebido de informacin por parte de
14
Santos-Olmo et. al.: Importancia de la seguridad en PYMES
los usuarios del sistema de informacin [19, 20]. En una

cultura de la seguridad de la informacin el comportamiento
del empleado contribuye a la proteccin de los datos,
informacin y conocimientos [20], y la seguridad de la
informacin se convierte en una parte natural de la actividad
diaria del empleado [11]. El valor potencial de la adopcin de
una cultura de la gestin de la seguridad de la informacin
tambin fue demostrado por Galletta y Polak [21], mostrando
que entre el 2050% de los empleados revelan informacin de
la compaa o hacen un uso inadecuado del sistema de
informacin [22-24]. Segn Ernt&Young [25], en los ltimos
aos se ha realizado un avance importante en el
establecimiento de la cultura de la seguridad, pero todava
queda mucho trabajo por realizar.
Muchos gobiernos han realizado grandes esfuerzos para
intentar mejorar el nivel de seguridad de sus compaas. As,
el grupo de polticas de seguridad de la informacin (DTI)
[26] del Reino Unido tiene como fin ayudar a las empresas a
gestionar eficazmente su seguridad de la informacin y
proporcionar un conjunto de documentos que sirvan de punto
de partida. "Las guas de la OCDE para la seguridad de los
sistemas de informacin y las comunicaciones [27] describen
la necesidad de una mayor conciencia y comprensin de las
cuestiones de seguridad y la necesidad de desarrollar una
"cultura de seguridad".
El artculo contina en la Seccin 2, describiendo
brevemente las metodologas y modelos para la gestin de la
seguridad existentes que se han centrado en la importancia de
la cultura de la seguridad para los SGSIs. En la Seccin 3 se
introduce brevemente nuestra propuesta de metodologa para
la gestin de la seguridad orientada hacia las PYMES
denominada MARISMA. En la Seccin 4 se analiza cmo se
ha introducido el concepto de cultura de la seguridad en
nuestra metodologa. En la Seccin 5, mostramos de forma
prctica la aplicacin del concepto de cultura de la seguridad.
Finalmente, en la Seccin 6 concluimos indicando cul ser el
trabajo que desarrollaremos en el futuro.
II. ESTADO DEL ARTE

La mayora de las investigaciones sobre la cultura de la
seguridad de la informacin [28-34] destacan que una cultura
corporativa que incluya una cultura de seguridad de la
informacin es un fenmeno colectivo transcendente y que
puede ser diseado por la propia direccin de una
organizacin. Nosworthy [28] hace hincapi en que la cultura
organizacional desempea un papel importante en la seguridad
de la informacin, ya que permite que la organizacin pueda
resistir los cambios que sufre su sistema. Aunque la mayora
de las investigaciones coinciden en la importancia de la
cultura de la seguridad para los SGSI [28], no se ha llegado a
una definicin clara del concepto de "cultura de la seguridad"
[34], existiendo diferentes visiones:
Siponen [35] describe que "la conciencia de seguridad
de la informacin" es un estado donde los usuarios en
una organizacin son conscientes de su misin en
seguridad, dividindola en dos categoras: i) marco de
aplicacin (la normalizacin, certificacin y medicin
de las actividades de la institucionalizacin); y ii) el

contenido (el aspecto humano).
Por otro lado Von Solms y Vroom [36, 37] sugieren el
establecimiento de una cultura de formacin y
cooperacin con los empleados, basada en una
progresiva adaptacin de la gestin de seguridad de la
organizacin y los valores individuales y de
comportamiento de los usuarios.
Dhillon [6] tiene una visin amplia del trmino
"cultura de seguridad", definindola como el
comportamiento de los usuarios de una organizacin
que contribuye a la proteccin de datos, informacin y
conocimientos.
Eloff [29] define la cultura de la seguridad de la
informacin como un conjunto de caractersticas de
seguridad de la informacin, tales como la integridad
y la disponibilidad de la informacin.
Para Chia [38] la cultura de la seguridad de la
informacin es un aspecto fundamental, y define un
conjunto de dimensiones que son importantes para
medir la eficacia de la cultura de la seguridad de la
informacin: i) la creencia en la importancia de la
seguridad de la informacin; ii) equilibrio de largo y
corto plazo, metas, polticas, procedimientos y
procesos de mejora continua; iii) cooperacin y
colaboracin; iv) atencin a los objetivos de auditora
y cumplimiento. Sin embargo, esta lista ha sido
recientemente criticada por Helokunnas [39], que
hacen especial hincapi en los aspectos humanos de la
Straub [40] sostiene que en los sistemas de
informacin casi siempre se asume que una persona
pertenece a una sola cultura, y por tanto proponen la
teora de identidad social para ser usada como base
para la investigacin de la cultura del sistema de
informacin. La cultura de la identidad social sugiere
que cada individuo est influido por multitud de
culturas. Segn [40], al aplicar la cultura de la
seguridad los usuarios se vern influidos por aspectos
ticos, de la legislacin de cada pas, y de
organizacin de la seguridad. Esta cultura tiene un
efecto sobre la forma en que el individuo interpreta el
significado y la importancia de la seguridad de la
informacin.
Kuusisto [41] propone un sistema en que la cultura de
la seguridad se crea a partir de la interaccin del
marco de referencia y los componentes (Figura 1).
Marco de trabajo:
- estndares
- certificaciones
- mtricas
Tiempo
Contenido:
- aptitud
- motivacin
- conocimiento
Figura 1. Marco de establecimiento de la cultura de seguridad.
15
Por ltimo, Detert [42] considera la cultura de la

seguridad como un aspecto clave dentro de los SGSI y
desarrolla un marco general para la seguridad de la
informacin basado en ocho dimensiones. [34] aplic
esas ocho dimensiones a las zonas de seguridad de la
informacin e identific los principales factores de
seguridad de la informacin de cada dimensin
(Figura 2).
Autenticacin
Servicios de
control de acceso
Orientacin
Tcnica
Orientacin
Gestin
Politicas
Procedimientos
Mtodos
Seguridad
Seleccin
R.Seguridad
Orientacin
Institucional
Marco de
aplicacin
Normalizacin
Certificacin
Medicin
Contenido
Aspecto
Humano
Figura 2. Orientaciones de seguridad [34].
Aunque estudios recientes demuestran la preocupacin de

las PYMES en relacin con las dificultades de desarrollar una
cultura de seguridad de la informacin [43], lo cierto es que la
cultura de la seguridad tiene una serie de problemas
adicionales a la hora de implantarse en las PYMES [44].
Segn [45, 46], las PYMES se ven especialmente perjudicadas
en comparacin con las grandes organizaciones en la
bsqueda de una cultura de seguridad de la informacin, por
varios motivos:
Las PYMES carecen de los fondos, tiempo y
conocimientos necesarios para coordinar la seguridad
de la informacin, o de forma eficaz imponer una
cultura de seguridad de la informacin [10, 47].
Las PYMES no suelen disponer de polticas y
procedimientos, ni han definido las responsabilidades
de los usuarios del sistema de informacin [48].
Las PYMES son ms susceptibles que las grandes
compaas a influencias nacionales, como cambios en
la legislacin [49].
Como conclusin, podemos destacar que se han
desarrollado diversos marcos de gestin de la seguridad
orientados al desarrollo de una cultura de seguridad de la
informacin [11, 17, 29, 31, 37, 39, 50-52], pero suelen estar
orientados hacia las grandes organizaciones. En cambio, segn
Hutchinson y Dojkovski [45, 53] los marcos para las PYMES
deberan estar basados en un estudio de las necesidades reales
de stas, identificando y desarrollando un marco especfico
para ellas.
Los expertos han propuesto diferentes marcos conceptuales
para que la gestin de la seguridad de la informacin incluya
la cultura de la seguridad de la informacin sobre la base de
iniciativas de gestin de polticas, sensibilizacin,
capacitacin y educacin [54, 55]. Sin embargo, esos marcos

pueden ser ms adecuados para medianas y grandes
organizaciones debido a los recursos necesarios. En los
ltimos aos han aparecidos varios marcos de trabajo para el
establecimiento de la cultura de la seguridad sobre la base de:
cultura organizacional y medicin de la cultura de seguridad
de la informacin [11, 30]; valores compartidos [48]: fases de
seguridad de la informacin, niveles de madurez [17]; medidas
relacionadas con el desarrollo del individuo, grupo y
organizacin que permitan conocer sus deficiencias en materia
de seguridad [29]; nivel sociotecnolgico sobre la seguridad
de la informacin [56]; medidas basadas en la moral y tica de
los usuarios [35]; mtodos informales de concienciacin [37];
conceptos clave de la cultura organizativa [31]; capacidades
del personal [51]; aprendizaje organizativo [52]; y un enfoque
multifactico [38]. Si bien esos marcos son claramente
valiosos se centran en fragmentos del campo terico, sin
integrarse en un marco comn y completo. Adems, no
abordan los requerimientos especiales de las PYMES.
As, Kuusisto y Ilvonen [41] llegan a la conclusin de que
no existe ninguna normativa adecuada para gestionar la
seguridad en las PYMES, y que principalmente se necesita de
modelos que sean vlidos y que permitan aumentar la cultura
de la seguridad en las PYMES.
En los siguientes subapartados se muestran dos propuestas
que se centraron en el anlisis de la necesidad de la cultura de
la seguridad en las PYMES.
A. Propuesta de Dojkovski [45].
Dojkovski [45] planteo la construccin de un SGSI
orientado a las PYMES tomando como punto central la cultura
de la seguridad. Para ello analiz el estado de las PYMES de
Australia, llegando a la conclusin que en los ltimos quince
aos los riesgos de seguridad de la informacin para las
PYMES de Australia han aumentado como resultado de un
mayor acceso a Internet, pero el nivel de seguridad de la
informacin y la sensibilizacin en las PYMES no se ha
mantenido a buen ritmo y sigue siendo bajo.
Esta propuesta no entra en los mecanismos de
implantacin del SGSI, ni en aspectos como controles,
mtricas y gestin de riesgos que debe contener, centrndose
solo en los elementos que debera contener un SGSI orientado
a la cultura de la seguridad.
Las principales causas de los problemas de gestin de la
seguridad detectadas en las PYMES fueron:
Las PYMES ven el sistema de informacin como un

sistema de apoyo a los departamentos de produccin
de la empresa y no como algo vital para su negocio.
Esto hace que sean reactivas ante los fallos de
seguridad en lugar de proactivas.
Para las PYMES, el coste es fundamental y ven la
seguridad como un gasto no justificado.
Los gerentes no se preocupan de la seguridad, y por
tanto el resto de empleados tampoco.
Los usuarios ven muy difcil cumplir este marco de
trabajo. Asimismo, es muy difcil hacer que cambien
16
los malos hbitos adquiridos, y ningn usuario quiere

ser responsable de los activos del sistema de seguridad
de la informacin.
Se deben gestionar las iniciativas de forma adecuada,
presentando las polticas y procedimientos a los
usuarios a la hora de firmar el contrato. En el caso de
la PYME esto puede ser ms difcil al carecer de
estructuras organizativas formales. Asimismo, es
importante considerar el cumplimiento de la seguridad
dentro de la valoracin del trabajo de los empleados.
Falta de formacin adecuada en seguridad. Los
encuestados consideraron el elearning como
herramienta de trabajo vlida para mejorar el nivel de
cultura de la seguridad de la informacin, as como la
posibilidad de poder compartir experiencias con otras
PYMES. Pero el problema es que normalmente en las
PYMES no se puede hacer un curso para los
trabajadores por cuestiones de tiempo y dinero, y que
muchos trabajadores no realizaran estos cursos si no
existiera algn tipo de motivacin al respecto.
Para afrontar estos problemas Dojkovski [45] plante la
construccin de un SGSI orientado al desarrollo de la cultura
de la seguridad de los sistemas de la informacin, que tendra
que tener en cuenta cmo las personas piensan y se
comportan, lo que sugiere la necesidad de un enfoque de
investigacin interpretativo. Siguiendo los principios de
Lichtenstein [57] se valid el modelo en cuatro grupos
diferentes. Se utilizaron diferentes marcos de trabajo y
enfoques para desarrollar una teora vlida. Se realiz un
anlisis sobre un conjunto de PYMES intentando determinar
su conciencia en seguridad, los desafos que enfrentan las
PYMES en el fomento de una cultura de seguridad de la
informacin, as como la viabilidad del anteproyecto.
Este marco de trabajo est formado por los siguientes
elementos (Figura 3):
Aprendizaje organizativo e individual: La cultura de

seguridad de la informacin debe ser difundida a todos
los niveles de la organizacin, tanto a nivel individual
como colectivo [29]. Segn Van Niekerk [52] podra
ser til utilizar un enfoque de aprendizaje
organizativo.
ELearning (la cooperacin, la colaboracin y el
intercambio de conocimientos): las PYMES pueden
realizar aprendizaje electrnico (elearning) [58] y
tambin pueden cooperar y colaborar electrnicamente
en las comunidades y foros de seguridad de los
sistemas de la informacin [39] con el objetivo de
mejorar la cultura de la seguridad entre los usuarios
del sistema de informacin.
Gestin: Los programas de sensibilizacin (respaldo
de la direccin, amenazas de medidas disciplinarias,
clusulas en los contratos de trabajo, etc), la
formacin, la educacin o el valor del liderazgo [59]
son iniciativas valiosas para el desarrollo de la cultura
de la seguridad de la informacin [12, 51]. En las
PYMES es probable que se generen diferentes niveles
en la sensibilizacin, la formacin y las necesidades
de educacin para los empleados individuales.

Cultura de la seguridad: Procedimientos para
responder a nuevos sucesos (como violaciones de
seguridad) ayudarn a subrayar la importancia de la
seguridad de la informacin a los trabajadores [27].
Los incentivos tambin pueden ser tiles para
modificar el comportamiento de los empleados. Sin
embargo, Rosanas y Velilla [14] advierten que los
controles de la gestin debe estar basados en valores
ticos.
Comportamiento: Gestin de iniciativas destinadas a
desarrollar los rasgos deseables de comportamiento
respecto a la responsabilidad, integridad, confianza y
tica del personal [20]. Sin embargo, valores fuertes
son necesarios para apoyar las iniciativas de gestin
[14]. Cuando los valores fuertes son difundidos entre
entidades colaboradoras, empleados y otras partes
interesadas, la seguridad de la informacin se fortalece
[39]. El desarrollo de la motivacin intrnseca es
importante [35] y puede ser apoyada por la promocin
al personal que cumpla las normativas de seguridad de
forma adecuada [42].
tica nacional y cultura organizacional: Segn
Helokunnas [39], la creacin de foros de seguridad
dentro del mbito nacional puede favorecer la creacin
de una cultura de la seguridad de la informacin.
Gerenciales:
Polticas y Procedimientos.
Evaluacin comparativa.
Anlisis de Riesgos.
Presupuesto.
Gestin.
Respuesta.
Formacin.
Educacin.
Conciencia.
Gestin del Cambio.
Comportamiento:
Responsabilidad.
Integridad
Confianza.
tica.
Valores.
La motivacin.
Orientacin.
Crecimiento Personal
E-Learning:
Cooperacin,
Colaboracin y
Conocimiento
compartido
Aprendizaje
Individual y
Organizacional
tica nacional y
Cultura
Organizacional
Cultura del SI
Figura 3. Marco para el desarrollo de la CS en la PYME [45].
Segn las investigaciones realizadas por Dojkovski [45],

los principales retos en el desarrollo de la cultura de seguridad
de la informacin en las PYMES incluyen:
Motivar a los propietarios para que asignen un

presupuesto adecuado a la seguridad de la
informacin.
Convencer a los propietarios de realizar un anlisis
formal de los riesgos.
Velar para que los propietarios desarrollen una poltica
de seguridad de la informacin, desarrollen
procedimientos y asignen responsabilidades.
Desarrollar una postura proactiva hacia la seguridad
17
de la informacin.
Identificar y establecer una serie de actividades de
sensibilizacin para adaptarse a los entornos de las
PYMES.
Las principales conclusiones obtenidas de la aplicacin del
marco de trabajo son que aunque tiene valor de forma
individual para identificar qu elementos debera tener un
SGSI orientado a las PYMES y a la cultura de la seguridad, no
es un modelo completo y utilizable.
Este marco de trabajo est formado por los siguientes

elementos:
B. Propuesta de Sneza [60].

Plantea la construccin de un SGSI tomando como punto
central el desarrollo de la cultura de seguridad de la
informacin, y teniendo en cuenta cmo las personas piensan
y se comportan. Por ello basaron su marco de trabajo en el
establecimiento de la cultura de la seguridad en aspectos
cualitativos en detrimento de los cuantitativos. Para definir su
marco de trabajo, realizaron un estudio sobre PYMES
Australianas de menos de 20 empleados [61].
Influencias externas e
Iniciativas
Influencias organizativas e Iniciativas
tica Nacional/
Cultura
Organizativa
GESTIN
Liderazgo / Gobierno
Corporativo
Cultura
Organizativa
Cuestiones de Gestin
Anlisis de riesgos / Prdida de
Proteccin de Activos
Presupuesto
Polticas y Procedimientos
Respuesta
Auto evaluacin
Contratos / Manuales
EVALUACIN
Gobierno
EVALUACIN
Concienciacin
de seguridad de
la Informacin
GESTIN
GESTIN
Proveedores
Aprendizaje
Individual y
Organizativo
E-LEARNING
FORMACIN
EDUCACIN
Salidas
SENSIBILIZACIN
Cuestiones de
comportamiento
Responsabilidad.
Integridad
Confianza
Valores ticos.
Motivacin
Orientacin personal
Crecimiento.
Cultura de
Seguridad de la
Informacin
MARKETING
EVALUACIN
REVISAR / EVALUAR
Figura 4. Marco para fomentar la CS en las PYMES [60]
En la Figura 4 se pueden ver los elementos que debera

tener un SGSI basado en el fomento de la cultura de la
seguridad de la informacin. En este marco se describen tres
influencias externas:
tica nacional y cultura organizacional: las culturas

nacionales pueden afectar a la organizacin de la
seguridad de la informacin. La tica social tambin
puede tener un impacto importante. Helokunnas [48]
destaca la importancia de las redes sociales para
compartir problemas de seguridad de la informacin y
crear una conciencia sobre el tema.
Las iniciativas del gobierno: Los gobiernos pueden
jugar un papel fundamental para crear una cultura de
seguridad de la informacin, aprobando legislaciones
especiales y dando apoyos (cursos, subvenciones, etc).
Proveedores: Los proveedores pueden proporcionar
fiabilidad a las PYMES, como garantas adicionales
de seguridad de los productos que les venden.
Liderazgo y gobierno corporativo: Los propietarios de

las PYMES deben demostrar que apoyan la gestin de
la seguridad de la informacin. Segn Dutta [59], el
apoyo de la direccin se valor mucho en las grandes
organizaciones, pero no en el caso de las PYMES.
Cultura organizativa: La cultura de la organizacin y
del entorno influye directamente en el cumplimiento
de la gestin de la seguridad.
Gestin: Las PYMES consideran los resultados del
anlisis de riesgos como clave para garantizar que las
polticas y procedimientos son realmente necesarios.
Adems, las PYMES deben guiarse por el riesgo de
prdidas de activos, derivado del anlisis de riesgos.
Martins haba identificado esta necesidad en las
grandes organizaciones. En tercer lugar, se debe
asignar un presupuesto para la gestin de la seguridad,
que incluir las iniciativas para establecer una cultura
de gestin de seguridad en los recursos. Martins
sugiri anteriormente que el presupuesto tiene una
gran influencia en las organizaciones. En cuarto lugar,
los procedimientos que responden a incidentes de
seguridad de la informacin ayudarn a subrayar la
importancia de la seguridad de la informacin a los
empleados, lo que tambin ha sido sugerido por
OCDE [27] en general. En quinto lugar, las PYMES
se vern favorecidas por evaluar peridicamente la
cultura de la seguridad de la informacin. En sexto
lugar, el contrato de trabajo debe incluir sanciones o
incentivos a los empleados para influir en su
motivacin. Todos los procesos de gestin deben ser
evaluados de forma peridica.
Aprendizaje individual y organizativo: El elearning,
la formacin y la educacin son iniciativas
potencialmente valiosas para el desarrollo de la cultura
de seguridad de la informacin para las PYMES,
como tambin lo son para las grandes empresas [35,
51, 58]. El intercambio de conocimientos, la
cooperacin y la colaboracin son importantes para el
aprendizaje en los distintos niveles de la organizacin
y con el fin de desarrollar la cultura de seguridad de la
informacin. Los procesos de aprendizaje deben ser
evaluados peridicamente.
Concienciacin de seguridad de la organizacin: [58]
ha sugerido medidas de sensibilizacin formales e
informales para las PYMES. [35] propone incluir
medidas de sensibilizacin que adems tengan
aspectos de persuasin.
Revisin y evaluacin: Las PYMES deberan
examinar y evaluar peridicamente las medidas
adoptadas con el fin de mejorar continuamente [12].
Comportamiento: Una serie de iniciativas externas e
internas pueden desarrollar comportamientos de
responsabilidad, integridad, confianza y tica. Segn
Dhillon [20], en las grandes organizaciones esta
transformacin parte de iniciativas de gestin interna,
18
mientras que en el marco propuesto [60] se reparte

esta responsabilidad entre agentes internos y externos.
Siponen [35] seala la importancia de la motivacin
intrnseca. Una medida eficaz para la organizacin es
ofrecer beneficios a los usuarios que cumplan con el
reglamento de seguridad del sistema de informacin
[42].
Las principales conclusiones obtenidas de la aplicacin de
este marco de trabajo fueron:
Los propietarios de las PYMES de Australia carecen

de una adecuada comprensin de la importancia de la
seguridad de la informacin para su negocio [23, 47,
48, 62].
Se debe persuadir a los propietarios de las PYMES de
emprender un escenario formal basado en el anlisis
de riesgos y la proteccin de los activos de
informacin. Los recientes hallazgos de la seguridad
de la informacin han puesto de manifiesto una fuerte
correlacin entre el proceso formal de evaluacin de
riesgos y los gastos de la seguridad de la informacin
[23].
Los propietarios de las PYMES de Australia no
entienden el valor estratgico de las TI en su
negocio. Otros estudios demuestran que esto no
es un caso aislado, as un estudio de OHalloran
[63] determin que las PYMES del Reino Unido
no entienden cmo la seguridad les ofrece
valores aadidos a sus negocios.
Un requisito previo para el desarrollo de la cultura de
seguridad de la informacin en las PYMES es el
desarrollo y la comunicacin de las polticas,
procedimientos y responsabilidades. Como muchos
expertos y estudios han sealado, la mayora de las
PYMES en los pases desarrollados carecen de tales
polticas [23, 47, 62].
La cooperacin, colaboracin, intercambio de
conocimientos y aprendizaje electrnico para los
empleados de las PYMES de Australia eran
actividades valiosas. Este hallazgo coincide con el
estudio realizado por ISBS [23].
Si bien los expertos han sealado la importancia de los
valores de los usuarios hacia la gestin de la seguridad en las
organizaciones sin importar su tamao [11, 29, 48, 64], el
estudio realizado por Sneza [60] demostr que es muy
complejo inculcar estos valores a los usuarios de las PYMES.
Algunas de las limitaciones que se desprendieron del
estudio fueron: i) el anlisis es interpretativo y las
conclusiones estn basadas en el estudio de un pequeo
conjunto de PYMES australianas; ii) el marco carece de
elementos aplicables slo a las PYMES; iii) el marco de
proceso carece de directrices detalladas para permitir su
aplicacin; iv) el estudio se centr en la investigacin de
PYMES de perfil tcnico, cuyo personal ya tena
conocimientos tcnicos; v) se desarroll el marco centrndose
slo en el contexto Australiano, y por tanto puede no ser
vlido para otros pases; vi) el marco no ofrece proactividad

a la empresa y deja en ella la responsabilidad de ser dinmica.
III. FRAMEWORK MARISMA
La metodologa para la gestin de la seguridad y su
madurez en las PYMES que se ha desarrollado, permite a
cualquier organizacin gestionar, evaluar y medir la seguridad
de sus sistemas de informacin, pero est orientado
principalmente a las PYMES, ya que son las que tiene mayor
tasa de fracaso en la implantacin de las metodologas de
gestin de la seguridad existentes [65, 66].
Uno de los objetivos perseguidos en la metodologa
MARISMA es que sea sencilla de aplicar, y que el modelo
desarrollado sobre ella permita obtener el mayor nivel de
automatizacin y reusabilidad posible con una informacin
mnima, recogida en un tiempo muy reducido [67]. En la
metodologa se ha priorizado la rapidez y el ahorro de costes,
sacrificando para ello la precisin que ofrecan otras
metodologas, es decir, la metodologa desarrollada busca
generar una de las mejores configuraciones de seguridad pero
no la ptima, priorizando los tiempos y el ahorro de costes
frente a la precisin, aunque garantizando que los resultados
obtenidos tengan la calidad suficiente [68], apoyndose en
otras normativas [69, 70].
Otra de las principales aportaciones que presenta la
metodologa que se ha desarrollado es un conjunto de matrices
que permiten relacionar los diferentes componentes del SGSI
(controles, activos, amenazas, vulnerabilidades, criterios de
riesgo, procedimientos, registros, plantillas, instrucciones
tcnicas, reglamentos y mtricas) y que el modelo utilizar,
para generar de forma automtica gran parte de la informacin
necesaria, reduciendo de forma muy notable los tiempos
necesarios para el desarrollo e implantacin del SGSI [71].
Este conjunto de interrelaciones entre todos los componentes
del SGSI, permite que el cambio de cualquiera de esos objetos
altere el valor de medicin del resto de objetos de los que se
compone el modelo, de forma que se pueda tener en todo
momento una valoracin actualizada de cmo evoluciona el
sistema de seguridad de la compaa.
GEGS: Generacin de
Esquemas
MSGS:
Mantenimiento
del SGSI
GSGS: Generacin del SGSI

Schema
A1.1
Generacin
de tablas
maestras
A1.2
Generacin
de tablas
del Nivel de
Madurez
A1.3
Generacin
de tablas
del Anlisis
de Riesgos
A1.4
Generacin
de tablas de
biblioteca
de objetos
InfSGSI
A2.1
Establecim.
del marco
de trabajo
del SGSI
A2.2
Establecim.
del Nivel de
Madurez
A2.3
Realizacin
del Anlisis
de Riesgos
A2.4
Generacin
del SGSI
A3.1
Obtener o
renovar el
certificado de
cultura de
segurid.
A3.2
Ejecutar
procedimientos
del SGSI
A3.3
Seguimiento
cumplimient
del SGSI
KnowHow
Figura 5. Subprocesos de la metodologa.
19
De esta forma y a partir de la informacin obtenida

mediante la implantacin en diferentes empresas, se ha
desarrollado una metodologa de gestin y madurez de la
seguridad de los sistemas de informacin y un modelo
asociado a la misma (ver Figura 5).
Est metodologa consta de tres subprocesos principales:
GEGS Generacin de Esquemas de Gestin de
Seguridad: El principal objetivo de este subproceso
est orientado a la construccin de esquemas, que
son estructuras necesarias para la construccin de
SGSIs, creadas para un conjunto de posibles
compaas de la misma categora. Estos esquemas son
reutilizables y permiten reducir el tiempo de creacin
del SGSI, as como sus costes de mantenimiento hasta
hacerlos adecuados para la dimensin de una PYME
[65]. El uso de esquemas es de especial inters en el
caso de las PYMES ya que por sus especiales
caractersticas, stas suelen tener sistemas de
informacin sencillos y muy parecidos entre s.
GSGS Generacin de Sistemas de Gestin de
Seguridad: El objetivo principal de este subproceso es
la creacin de un SGSI adecuado para una compaa,
utilizando para ello un esquema existente.
MSGS Mantenimiento del Sistema de Gestin de
el mantener y gestionar la seguridad del sistema de
informacin de la compaa, aportando informacin
actualizada en el tiempo de un SGSI generado.
Las principales actividades que se ocupan de ir creando
una cultura de la seguridad progresiva, se centran en el
proceso de mantenimiento del SGSI.
planificacin, y hace que la cultura de seguridad se mantenga

como algo inherente al propio sistema de informacin.
Entradas
Tareas
Salidas
MSGS A3.1
Respuestas
Usuarios
cCs
T3.1.1
Repositorio de
Informacin de
SGSIs
Figura 6. Esquema simplificado a nivel de tarea de la actividad A3.1.
En la Figura 6 se puede ver el esquema bsico de entradas,

tareas y salidas que componen esta actividad:
Entradas: Como entradas se recibirn las respuestas de

los usuarios al cuestionario de preguntas sobre el
reglamento generado por el sistema.
Tareas: El subproceso estar formado por una sola
tarea que se ocupar de la emisin de los certificados
de seguridad.
Salidas: La salida producida por este subproceso
consistir en el certificado de cultura de seguridad en
el caso de que la nota obtenida en el cuestionario sea
superior a cinco o la denegacin del certificado en
caso contrario. Si se suspende el examen, se
recomendar al usuario el estudio del manual de
seguridad incluido en el SGSI o bien la asistencia a un
curso de gestin de seguridad para aumentar los
conocimientos en la materia.
IV. GCCS-PYME: GESTIN DE LOS CERTIFICADOS DE

CULTURA DE LA SEGURIDAD
SGSI
El principal objetivo de esta actividad es establecer una

cultura de seguridad bsica en los usuarios que tendrn que
trabajar con el sistema de informacin de la compaa, y sin la
que no podrn acceder al mismo [72].
Durante el desarrollo de la investigacin se han probado
diversos mtodos para establecer una cultura de la seguridad
en la compaa. Finalmente, el procedimiento que se ha
determinado implantar consiste en la realizacin de una serie
de cuestionarios de seguridad asociados al reglamento del
SGSI, con el objetivo de mantener y mejorar la cultura de la
seguridad de la compaa sin que tenga un coste alto de
mantenimiento.
La idea principal es requerir un certificado de nivel
cultural con respecto al sistema de la informacin a los
usuarios del mismo, certificado que puede ser retirado y que
debe ser renovado peridicamente para garantizar que se sigue
manteniendo el nivel necesario de cultura de seguridad.
La actividad ha demostrado que, por su sencillez y el poco
tiempo que requiere, va creando de forma progresiva una
cultura de la seguridad en los usuarios. La automatizacin de
la misma evita costes adicionales de mantenimiento y
sP3 MSGS A3.1

T3.1.1
Realizacin del Test de
Cultura de Seguridad
Gener. Examen
con Artefactos
SGSI
cCS
Resultados
Examen
Entrada
Entregable
Tarea
Repositorio de
SGSIs
Repositorio de
Informacin de
SGSI
Repositorio
Flujo Informacin
Flujo Proceso
cCs
Figura 7. Esquema detallado a nivel de tarea de la actividad A3.1.
20
En la Figura 7 muestra la tarea de la actividad de forma

mucho ms detallada, viendo cmo interacta sta con el
repositorio de informacin de SGSIs encargado de contener
los certificados de seguridad concedidos y la nota obtenida.
El objetivo de la tarea T.3.1.1 es realizar una evaluacin de
los conocimiento que un usuario que desea acceder al sistema
de informacin de la compaa tiene con respecto al
reglamento que compone el SGSI, determinando si est
preparado o no para acceder al mismo.
El limitar el acceso al sistema de informacin a los
usuarios, hasta que consigan demostrar que tienen unos
conocimientos bsicos de cmo deben actuar con l es un
control que ayuda a mitigar los riesgos a los que est sometido
el sistema, obligando a los usuarios a incrementar su cultura
de seguridad de forma progresiva y con un bajo coste.
Antes del S.I.
Aceptacin
Politica de Seguridad
Normativa
Politica
Aceptada?
Si
No
Test Inicial de
Cultura de Seguridad
No
20 preguntas
Certificado
Nivel Cultural
Dentro de esta tarea existen dos procesos diferenciados: i)

Obtencin del certificado de cultura de la seguridad.; ii)
Renovacin del certificado de cultura de la seguridad.
En la Figura 8 se puede ver en detalle el diagrama de flujo
de los diferentes pasos que conforman el primero de estos
procesos (obtencin del certificado de cultura de la seguridad).
La primera vez que el usuario accede al sistema de
informacin, deber aceptar la poltica de seguridad de la
empresa. De esta forma se garantiza que el usuario lea, aunque
sea de forma rpida, la poltica de la empresa (mejorando la
cultura de seguridad). Despus, el usuario deber pasar un test
inicial compuesto por unas veinte preguntas extradas al azar a
partir del SGSI de la compaa.
Mientras el usuario no consiga obtener ms del 50% de
respuestas correctas en el test se considera que su cultura de
seguridad para el sistema de informacin de la compaa no
es adecuada y deber realizar otro examen hasta conseguir una
calificacin superior o igual a cinco. El usuario no podr
acceder al sistema de informacin de la compaa hasta que no
alcance un nivel adecuado de cultura de seguridad. De esta
forma se garantiza implantar la cultura de una forma eficiente.
Una vez que el usuario consiga el aprobado su nota se
guardar en un registro, se le conceder un certificado de
cultura de seguridad y se le dar acceso al sistema de
informacin. La nota obtenida ser importante para poder
mantener el certificado obtenido en el tiempo, ya que sta se
ver modificada por otras tareas del sistema.
El segundo de los procesos que componen la tarea de
realizacin del test de cultura de seguridad es la renovacin
del certificado de cultura de la seguridad (CS), ya sea por la
caducidad del mismo o por la prdida de puntos de la
calificacin. Los pasos de este proceso se pueden ver en
detalle en el diagrama de flujo de la Figura 9.
Durante el S.I.
Activacin por Caducidad del Certificado
de Nivel Cultural
Aprobado?
No se autoriza el
acceso al S.I.
Si
Concesin de puntos
y Certificado de
Nivel Cultural
Aviso Caducidad del

Certificado
Nota obtenida
No
No
Acceso al S.I.
No
Programar Aviso
para el da Siguiente
Figura 8. Obtencin inicial de un certificado de cultura de seguridad.
Ha caducado
el certificado
Realizar
Test?
Si
Test de Cultura de
Seguridad
Normativa
20 preguntas
Si
Si
Aprobado?
Bloqueo de acceso al
S.I.
Si
Concesin de puntos
y certificado de
Nivel Cultural
Nota
Obtenida
Si
En el caso de que un usuario suspenda un examen, deber

volver a estudiar la informacin del SGSI o asistir a un curso
de gestin de seguridad para adquirir el nivel de conocimiento
adecuado para acceder al sistema.
Acceso al S.I.
Certificado
Nivel Cultural
Figura 9. Esquema de renovacin de un certificado de la CS.
21
Se ha establecido un periodo de renovacin del certificado

de cultura de la seguridad de 1 ao, aunque esta cifra podra
reducirse a 6 meses para acelerar el establecimiento de la
cultura de la seguridad de la informacin. Debido a la
sencillez del procedimiento no es aconsejable relajar ms el
tiempo de la renovacin de los certificados, porque podra
degradarse la cultura de seguridad (ej.: se considera que un
tiempo de 2 aos sera contraproducente), ni forzarlo
demasiado porque podra producir rechazo entre los usuarios
(Ej.: se considera que un tiempo inferior a 6 meses creara
rechazo entre los usuarios). En la Figura 10 se puede ver
cmo, segn los resultados de las investigaciones realizadas
durante la elaboracin de la investigacin, si el periodo de
renovacin se mueve entre los 6 y los 18 meses el nivel de la
cultura de la seguridad (NCS), medido como la calificacin
media obtenida en los exmenes al obtener el certificado de
cultura de la seguridad, es ms alto, lo que hace recomendable
la renovacin del certificado cada 12 meses.
que los usuarios del sistema de informacin consideran esta

inversin de tiempo razonable.
Por ltimo, merece la pena destacar que los usuarios que
intentaron saltarse la lectura de la poltica de seguridad para
ahorrar tiempo tuvieron que repetir varias veces los test,
invirtiendo finalmente el mismo tiempo que si hubieran ledo
la poltica. Cualquiera de los dos caminos se puede considerar
correcto, ya que ambos conducen al objetivo de introducir en
los usuarios la semilla inicial de la cultura de seguridad.
Con esta sencilla tarea los usuarios nunca pierden
conciencia de la importancia de mantener actualizado su nivel
de cultura de la seguridad. Asimismo, dado que los test se
realizan al azar mediante combinacin de preguntas de los
reglamentos de seguridad activados en la compaa, los
usuarios van tomando conciencia cada vez mayor de estos
reglamentos, de una forma intuitiva y con un coste mnimo.
Por otro lado, la puntuacin de los certificados de cultura
de seguridad cambia cuando se producen ciertas acciones: i)
violaciones del reglamento de seguridad; y ii) prdida del
certificado de cultura de la seguridad por tener menos puntos
de los requeridos.
Calificacin media en la
obtencin de los
certificados de seguridad
A lo largo de la investigacin se ha determinado que

cuanto mayor es la cultura de seguridad de la compaa,
mayor es el nmero de denuncias que llegan de parte de los
usuarios, mxime cuando dichas denuncias no implican
actualmente sanciones graves contra los denunciados.
Meses
2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6 7 8 9 10 11 12
Ao 1
Durante el S.I.
Activacin por Incidencia de Seguridad
Ao 2
Figura 10. Asociacin del NCS con el periodo de renovacin de los

certificados.
Denuncia aprobada
Para evitar interferir en el trabajo diario de los usuarios, la

notificacin de caducidad del certificado se produce desde 1
mes antes de ser efectiva, de forma que el usuario puede
postergar la realizacin de los test al momento que desee
dentro de ese periodo. El sistema diariamente le ir
recordando el tiempo que resta para que caduque su
certificado. Llegada la fecha de caducidad, si el usuario no ha
realizado y aprobado el test se bloquear su acceso al sistema
de informacin hasta que consiga renovar el certificado.
Dado que el tiempo consumido por recurso (TcR) es uno
de los factores principales de xito para la metodologa (en
particular en el caso de las PYMES), se han realizado
estimaciones del tiempo que podra costar la implantacin de
la cultura de seguridad, llegando a la conclusin de que la
sencillez del proceso lo hace totalmente aceptable para las
PYMES (se ha estimado que la obtencin inicial del
certificado podra llevar entre 1 y 2 horas, en torno a 90
minutos para la lectura de la poltica de seguridad y el
entendimiento de los elementos del SGSI, y unos 30 minutos
para la realizacin y aprobacin de test). Esta inversin de
tiempo se realizara slo inicialmente ya que, aunque el
certificado se debe renovar de forma peridica, la poltica de
seguridad slo se debe leer y aprobar inicialmente. La
experiencia obtenida a partir de los casos de prueba demuestra
-1
Certificado
Nivel Cultural
Nivel
Cultural <5?
Si
Normativa
Nota
Obtenida
20 preguntas
Retirada del
Certificado de Nivel
Cultural
Bloqueo de acceso al
S.I.
Test de Cultura de
Seguridad
No
Si
Aprobado?
Si
Concesin de puntos
y certificado de
Nivel Cultural
Si
Acceso al S.I.
Figura 11. Alteracin del NCS por una violacin de la normativa.
22
Cuando se realiza una denuncia de un incidente de

seguridad y el responsable de seguridad considera que est
justificada y por lo tanto la aprueba, adems de verse afectado
el nivel de seguridad global de la compaa se ve afectada la
puntuacin del certificado de cultura de la seguridad del
usuario que cometi la violacin de seguridad. Cada violacin
implica la prdida de un 1 punto del certificado de cultura de
la seguridad (NCS) que el usuario tena hasta el momento, y
que era el resultado de la nota obtenida en el test de cultura de
seguridad, menos los puntos que ya hubiera perdido durante el
periodo de validez de ese certificado por violaciones de la
normativa activa en la compaa. Si la prdida de puntos
debida a violaciones de seguridad hace que la puntuacin del
certificado de cultura de la seguridad baje de los 5 puntos, se
le quitar al usuario el certificado, y con ello el acceso al
sistema de informacin de la compaa, hasta que vuelva a
aprobar el examen y as obtenga un nuevo certificado de
seguridad. Todo este proceso se puede ver en la Figura 11.
Este proceso sirve como control preventivo para que los
usuarios del sistema de informacin sean conscientes de que
las violaciones de las normativas tienen un coste. Asimismo,
la medida no es excesivamente grave y por tanto los usuarios
no la ven con rechazo. Este control no tiene un coste de
gestin representativo, ni en tiempo ni en recursos para la
compaa, pero supone un importante refuerzo para establecer
una correcta cultura de seguridad en la compaa.
En la Figura 12 se puede ver cmo se relacionan las
puntuaciones del examen de cultura de la seguridad con la
matriz de reglamentoscontroles, de forma que cuando un
certificado de seguridad se obtiene con una nota baja afecta a
los controles asociados a las normativas de las que se han
obtenido las cuestiones, ya que al fallar una pregunta del
examen se reduce en un porcentaje el nivel de los controles
asociados a dicha pregunta (0.1%). De igual manera, si se
acierta la pregunta aumenta el nivel de los controles (+0.1%).
ReglamentoControles
Pregunta
Acertada
Base de Datos
Normativas
Examen
Cultura de
Seguridad
Pregunta
Fallada
V. APLICACIN PRCTICA DE GCCS-PYME

A nivel de aplicacin, el aspecto principal de la cultura de
la seguridad ser realizar pequeos cuestionarios con el
objetivo de determinar si los usuarios del sistema de
informacin de la compaa tienen un conocimiento que les
permita cumplir y respetar las normas del mismo. El resultado
ser una calificacin respecto a la cultura de la seguridad de
los usuarios, obtenida mediante la realizacin de un test
generado de forma automtica por el sistema de cultura de
seguridad (Figura 13) asociado al SGSI. Esta zona se
corresponde con la actividad A3.1 del subproceso MSGS de la
metodologa.
Figura 13. A3.1 Pantalla de test de cultura de seguridad.
Cuando el certificado de cultura de seguridad es revocado

por reiteradas violaciones de seguridad, o caduca, deber ser
renovado siguiendo las mismas premisas enunciadas en la
seccin anterior.
En la Tabla I se puede ver la simulacin de un examen
realizado por un usuario del sistema para obtener el acceso al
mismo.
TABLA I. EXAMEN DE OBTENCIN DEL CERTIFICADO DE CULTURA DE LA
SEGURIDAD
Realizacin de test para obtencin del certificado de cultura de seguridad

Usuario:
Por lo tanto, podemos concluir en que esta actividad

permite de una forma sencilla obtener un certificado de cultura
de la seguridad a los usuarios, aumentando el conocimiento de
los mismos con respecto al SGSI de una forma sencilla y
valorando su nivel de conocimientos con respecto al SGSI, y a
la vez este certificado de cultura de la seguridad se ir
actualizando de forma dinmica, mediante la aplicacin de las
sanciones por violaciones de seguridad, que permiten
actualizar de forma dinmica y sin coste este certificado de
cultura de la seguridad.
Reglamento
Descripcin
Respt.
Respt.
Usuario
Correct
Nota
N/AS03
Todos los accesos al

permetro
de
seguridad deben ser
supervisados
N/AS06
Registro de
accesos
fsicos
La organizacin debe
guardar un registro
de visitas
N/SE09
Registro de Se debe mantener un

mantenimien registro de todos los
to
fallos detectados
N/CS01
Las
copias
de
Copias
de
seguridad del sistema
seguridad
de informacin
N/CS03
Premisas
para
almacenar
copias de
seguridad
N/ISI08
Revisin
independient
e
de
la
poltica de
seguridad
ScoreBoard
Figura 12. Gestionar los certificados de cultura de la seguridad.
12/08/2014
Control de
acceso
Almacn de
Controles
Fecha:
Parte 1: Responda V/F a la pregunta El reglamento es de obligado

cumplimiento para el SGSI de su compaa?
Cdigo
Jos Antonio Parra
Las
copias
de
seguridad se deben
mantener en una
localizacin
La
poltica
de
seguridad debe ser
revisada
peridicamente
23
Cuando un tercero
debe acceder a las
instalaciones,
Todos los contratos

Clusulas de de
servicios
N/OE03 los contratos asociados al sistema
de servicios
de informacin, debe
N/ISFI
05
Tipos
de Cualquier empleado o
incidentes de contratado ha de
seguridad
conocer
N/ISFI
15
Incumplimie La
organizacin
nto de las aplicara
medidas
polticas
disciplinarias
N/CI03
Se debe realizar una

Inventario de
revisin anual del
activos
inventario
N/CI04
Clasificacin Toda la informacin

de activos de debe ser considerada
informacin confidencial
N/DPT
07
Los
empleados
contratados debern
Clusula de
firmar las clusulas
seguridad
de confidencialidad,
propiedad
Cuando se despide a
un empleado, se debe
comunicar
Slo estar permitido

el acceso a zonas
crticas
N/AT01
N/DPT
08
N/AS02
Tipo
acceso
Despido
Zonas
crticas
de
OS/SI
PR01
Procedimiento
Procedimiento de revisin y
evaluacin peridica de la poltica
de seguridad
CULTURA DE LA SEGURIDAD
Reglamento
Respt.
Respt.
Usuario
Correct
Califi
cac
Procedimiento para autorizacin de

acceso al sistema de informacin
desde instalaciones personales.
SP/DPT
PR01
Procedimiento previo a la
contratacin
SF/AS
PR01
Control de acceso fsico.
CO/GR
PR01
Procedimiento de revisin
peridica de controles de red.
OS/ISI
PR02
Por ltimo, cuando el usuario realiza el examen, las

preguntas contestadas correctamente sirven para incrementar
(+0.1%) y las incorrectas para disminuir (0.1%) en una
pequea proporcin los controles asociados a los reglamentos
y procedimientos que formaron parte de las preguntas del
examen (Tabla III).
TABLA III. EJEMPLO DE PENALIZACIN DE CONTROLES PARA EXAMEN DE
Parte 2: Responda V/F a la pregunta El procedimiento forma parte del

SGSI de su compaa?
Cdigo
Por otro lado, al producirse una violacin de seguridad de

una de las normativas que forma parte del SGSI, se ve
afectado el certificado de cultura de seguridad, retirando 1
punto por sancin. Por lo tanto, siguiendo el caso del ejemplo,
el siguiente paso del proceso de sancin es retirar un punto de
sancin del certificado de cultura de seguridad del usuario
denunciado, que actualmente est con 6.5, dejndolo en 5.5
puntos. En el caso de que el usuario hubiera bajado de 5
puntos, el sistema revocara sus permisos de acceso al sistema
de informacin de la empresa y le obligara a obtener un
nuevo certificado de cultura de seguridad.
Controles asociados
8.3.3, 9.1.2
0.1
N/AS06
8.3.3, 9.1.2
+0.1
N/SE09
9.2.4
0.1
N/CS01
10.5.1
+0.1
N/CS03
10.5.1
+0.1
N/ISI08
6.1.8
+0.1
N/AT01
6.2.1
0.1
N/OE03
6.2.2, 10.2.2
0.1
N/ISFI05
13.1.1, 13.1.2, 13.2.1
+0.1
N/ISFI15
8.2.3
+0.1
N/CI03
7.1.1, 7.1.2
+0.1
N/CI04
7.2.1
+0.1
N/DPT07
6.1.5
0.1
N/DPT08
8.1.3, 8.3.1, 8.3.2
+0.1
N/AS02
8.3.3, 9.1.2
0.1
Reglamento
Una vez finalizado el examen, el sistema analizar el

resultado obtenido para determinar si debe o no repetirse. En
caso de aprobar, el usuario obtiene su certificado por un
periodo de tiempo dado, y con dicho certificado obtiene el
acceso al sistema de informacin (Tabla II).
TABLA II. RESULTADO DEL EXAMEN DE CERTIFICADO DE SEGURIDAD
La calificacin obtenida por el usuario Jos Antonio Parra el

da 12/08/2014 ha sido de 6.5 puntos (13/20), lo que le autoriza
la concesin del certificado de cultura de la seguridad y con ello
el acceso al sistema de informacin de la compaa. La validez
de dicho certificado ser hasta el 12/08/2015, salvo que sea
retirado antes por violaciones de seguridad.
Cambio nivel
N/AS03
Controles asociados
Cambio nivel
OS/SIPR01
5.1.2
+0.1
OS/ISIPR02
6.1.4
+0.1
SP/DPTPR01
6.1.5, 8.1.1
0.1
SF/ASPR01
8.3.3, 9.1.1, 9.1.2, 9.1.3, 9.1.4, 9.1.5
+0.1
CO/GRPR01
10.6.1, 10.6.2, 11.4.4, 11.4.6, 11.4.7, 12.5.4
+0.1
Con la introduccin de este sencillo sistema, se ha

conseguido que reducir la tasas de fracaso de mantenimiento
del sistema del 35% al 25%.
VI. CONCLUSIONES
En este artculo se ha mostrado la importancia que tiene la
cultura de la seguridad dentro de los SGSIs en las PYMES,
cmo se ha incorporado ese elemento dentro de la
metodologa MARISMA y las ventajas que se han obtenido.
24
La metodologa MARISMA cumple con los principios que

segn la OCDE [27] debe seguir toda metodologa de
implantacin y mantenimiento de un SGSI para que cuente
con una correcta cultura de la seguridad de la informacin,
garantizando el xito del SGSI en la compaa. A
continuacin se muestran estos principios y cmo la
metodologa MARISMA los cumple en su totalidad, lo que es
otra muestra de la validez de la misma:
Concienciacin, responsabilidad, respuesta, tica:

Mediante un sistema de cursos basados en sencillas
preguntas de tipo test y un sistema de premios y
sanciones, se va creando de forma progresiva la
conciencia de cultura de la seguridad entre los
usuarios del sistema de informacin. La actividad
A3.1 est basada en sencillos cuestionarios.
Democracia: El sistema debe proteger los puestos de
trabajo de los usuarios y a la compaa, a la vez que
no les suponga impedimento alguno para realizar su
trabajo con eficiencia. El principal objetivo de la
actividad A3.1 es permitir el acceso slo de aquellos
usuarios que tengan constancia de la importancia de la
seguridad en el sistema de informacin.
Evaluacin del riesgo: El sistema debe tener la
capacidad de autoevaluar su riesgo de forma
continuada en el tiempo, proponiendo medidas.
Gracias a la nota obtenida en la actividad A3.1
(Obtencin del certificado de cultura de la seguridad)
se tiene una constancia del nivel de conocimiento con
respecto al reglamento de los usuarios, y esta medida
se ve completada con la evaluacin de riesgos y el
plan de mejora de la actividad A2.3 (Realizacin del
anlisis de riesgos).
Diseo y realizacin de la seguridad: La metodologa
est pensada para integrarse dentro del marco de
trabajo como una pieza ms, orientando a organizar la
forma de trabajo con respecto a la seguridad sin ser
una carga para los trabajadores. La actividad A3.1 est
totalmente integrada dentro del trabajo diario con el
SGSI como una actividad ms.
Gestin de la seguridad: La metodologa debe permitir
gestionar la seguridad de una forma cmoda para que
la cultura de la seguridad asociada a ella vaya
introducindose de forma natural en los usuarios del
sistema de informacin. Toda la metodologa
MARISMA ha sido enfocada pensando en la sencillez
a la hora de trabajar con ella.
Reevaluacin: La metodologa debe contar con
mtricas que permitan que el sistema pueda
reevaluarse de forma peridica con bajo coste y
recomendar las medidas adecuadas. La metodologa
MARISMA cuenta con mtricas de carcter general y
otras de carcter especfico que permiten mantener,
con un coste muy bajo, actualizado en todo momento
el cuadro de mandos de seguridad, lo que posibilita
conocer el nivel de cumplimiento de los controles de
seguridad en todo momento. Ejemplo de estas
mtricas es la nota del certificado de cultura de la
seguridad de cada usuario, que define un nivel mnimo

de cultura de la seguridad para los usuarios del
sistema.
Las caractersticas ofrecidas por la nueva metodologa y su
orientacin a las PYMES ha sido muy bien recibida, y su
aplicacin est resultando muy positiva ya que permite
acceder a este tipo de empresas al uso de sistemas de gestin
de seguridad de la informacin, algo que hasta ahora haba
estado reservado a grandes compaas. Adems, con esta
metodologa se obtienen resultados a corto plazo y se reducen
los costes que supone el uso de otras metodologas,
consiguiendo un mayor grado de satisfaccin de la empresa.
Todas las mejoras futuras de la cultura de la seguridad se
estn orientando a reducir los incumplimientos en materia de
gestin de la seguridad por parte de los usuarios del sistema de
informacin, pero siempre respetando el principio de coste de
recursos y orientada a la cultura de la seguridad.
AGRADECIMIENTOS
Esta investigacin ha sido co-financiada es parte por los
proyectos SIGMA-CC (TIN2012-36904) y GEODAS
(TIN2012-37493-C03-01) financiados por el Ministerio de
Economa y Competitividad y Fondo Europeo de Desarrollo
Regional FEDER (Espaa), del proyecto SERENIDAD
(PEII14-2014-045-P) financiados por la Consejera de
Educacin, Ciencia y Cultura de la Junta de Comunidades de
Castilla-la Mancha y el Fondo Europeo de Desarrollo
Regional FEDER (Espaa), del proyecto Plataformas
Computacionales de Entrenamiento, Experimentacin,
Gestin y Mitigacin de Ataques a la Ciberseguridad Cdigo: ESPE-2015-PIC-019 financiado por la ESPE y
CEDIA (Ecuador), y del proyecto PROMETEO financiado
por la Secretara Nacional de Educacin Superior, Ciencia,
Tecnologa e Innovacin (SENESCYT) del Gobierno de
Ecuador.
Referencias
[1]
[2]
[3]
[4]
[5]
[6]
[7]
[8]
Eloff, J. and M. Eloff, Information Security Management - A New

Paradigm. Annual research conference of the South African
institute of computer scientists and information technologists on
Enablement through technology SAICSIT03, 2003: p. 130-136.
Whitman, M. and H. Mattord, Principles of information security2011:
Cengage Learning.
Disterer, G., Iso/iec 27000, 27001 and 27002 for information security
management. 2013.
Beckers, K., et al., Supporting the Development and Documentation of
ISO 27001 Information Security Management Systems through
Security Requirements Engineering Approaches, in Engineering
Secure Software and Systems, G. Barthe, B. Livshits, and R.
Scandariato, Editors. 2012, Springer Berlin Heidelberg. p. 14-21.
Von Solms, R., Information security management: processes and
metrics, 2014.
Dhillon, G., Managing Information System Security, ed. M.P. Ltd1997,
Great Britain. 210.
Candiwan, C. Analysis of ISO27001 Implementation for Enterprises and
SMEs in Indonesia. in The International Conference on CyberCrime Investigation and Cyber Security (ICCICS2014). 2014. The
Society of Digital Information and Wireless Communication.
Whitman, M. and H. Mattord, Management of information security2013:
Cengage Learning.
25
[9] Johnson, M., Cybercrime: Threats and Solutions, 2014.

[10] Furnell, S.M., M. Gennatou, and P.S. Dowland. Promoting Security
Awareness and Training within Small Organisations. in 1st
Australian Information Security Management Workshop. 2000.
Deakin University, Geelong, Australia.
[11] Schlienger, T. and S. Teufel. Information Security Culture - From
Analysis to Change. in 3rd Annual IS South Africa Conference.
2003. Johannesburg, South Africa.
[12] Lichtenstein, S. and P.M.C. Swatman. Effective Management and Policy
in E-business Security. in Fourteenth Bled Electronic Commerce
Conference. 2001b. Bled, Slovenia.
[13] Cole, K.S., S.M. Stevens-Adams, and C.A. Wenner, A Literature Review
of Safety Culture. Sandia National Laboratories, 2013.
[14] Rosanas, J.M. and M. Velilla, The Ethics of Management Control
Systems: Developing Technical and Moral Values. Business
Ethics, 2005. 53: p. 87-96.
[15] Schultz, E., The Human Factor in Security. Computers & Security,
2005. 24: p. 425-426.
[16] Bugdol, M. and P. Jedynak, Integrated Management Systems2015:
Springer.
[17] Von Solms, B., Information Security - The Third Wave? Computers and
Security, 2000. 19(7): p. 615-620.
[18] Bozic, G. The role of a stress model in the development of information
security culture. in MIPRO, 2012 Proceedings of the 35th
International Convention. 2012.
[19] Magklaras, G. and S. Furnell. The Insider Misuse Threat Survey:
Investigating IT misuse from legitimate users. in International
Information Warfare Conference. 2004. Perth, Australia.
[20] Dhillon, G. and J. Backhouse, Current Directions in Information
Systems Security Research: Toward Socio-Organizational
Perspectives. Information Systems Journal, 2001b. 11(2): p. 127153.
[21] Galletta, D.F. and P. Polak. An Empirical Investigation of Antecedents of
Internet Abuse in the Workplace. in AIS SIG-HCI Workshop. 2003.
Seattle: December, 2003.
[22] CSI/FBI, Tenth Annual CSI/FBI Computer Crime and Security Survey.
Computer Security Institute2005, USA.
[23] ISBS, Information Security Breaches Survey 2006. Department of Trade
and Industry2006, UK.
[24] AusCERT, Australian Computer Crime and Security Survey. AusCERT,
2005.
[25] Ernst&Young, 2006 Global Information Security Survey. Ernst &
Young, 2006.
[26] DTI.
The_Empirical_Economics_of_Standards.
2005
www.dti.gov.uk/iese/
The_Empirical_Economics_of_Standards.pdf.
[27] OECD, OECD Guidelines for the Security of Information Systems and
Networks: Towards a Culture of Security., O.f.E.C.-o.a.D.
(OECD). Editor 2002: Paris.
[28] Nosworthy, J., Implementing Information Security in the 21st Century Do You Have the Balancing Factors. Computers and Security,
2000. 19(4): p. 337-347.
[29] Martins, A. and J.H.P. Eloff. Information Security Culture. in IFIP TC11
17th International Conference on Information Security (SEC2002).
2003. Cairo, Egipt.
[30] Schlienger, T. and S. Teufel. Information Security Culture: The Sociocultural Dimension in Information Security Management. in IFIP
TC11 17th International Conference on Information Security
(SEC2002). 2002. Kluwer Academic Publishers, USA.
[31] Zakaria, O. and A. Gani. A Conceptual Checklist of Information Security
Culture. in 2nd European Conference on Information Warfare and
Security. 2003. University of Reading, UK: 30 June 1 July.
[32] Zakaria, O., P. Jarupunphol, and A. Gani. Paradigm Mapping for
Information Security Culture Approach. in 4th Australian
Conference on Information Warfare and IT Security. 2003b.
Adelaide, Australia.
[33] Schein, E.H., Organizational Culture and Leadership 2nd, ed. JosseyBass1992, San Francisco, USA.
[34] Chia, P.A., A.B. Ruighaver, and S.B. Maynard. Understanding
Organizational Security Culture. in Security Culture. Proc. of
PACIS2002. 2002b. Japan.
[35] Siponen, M.T., A conceptual foundation for organizational information
security awareness. Information Management & Computer
Security, 2000. 8(1): p. 31-41.
[36] Von Solms, B. and R. Von Solms, Incremental Information Security

Certification. Computers & Security, 2001. 20: p. 308-310.
[37] Vroom, C. and R. Von Solms, Towards information security
behavioural compliance. Computers & Security, 2004. 23(3): p.
191-198.
[38] Chia, P.A., S.B. Maynard, and A.B. Ruighaver. Exploring
Organisational Security Culture: Developing A Comprehensive
Research Model. in IS ONE World Conference. 2002. Las Vegas,
USA.
[39] Helokunnas, T. and R. Kuusisto. Information security culture in a value
net. in 2003 IEEE International Engineering Management
Conference (IEMC 2003). 2003b. Albany, New York, USA: 2-4
November 2003.
[40] Straub, D., et al., Toward a Theory-Based Measurement of Culture.
Global Information Management, 2002. 10(1): p. 13-23.
[41] Kuusisto, T. and I. Ilvonen. Information security culture in small and
medium size enterprises. in Frontiers of e-business research 2003.
2003.
[42] Detert, J., R. Schroeder, and A. J. Mauriel, A Framework For Linking
Culture and Improvement Initiatives in Organisations. The
Academy of Management Review, 2000. 25(4): p. 850-863.
[43] Taylor, M. and A. Murphy, SMEs and eBusiness. Small Business and
Enterprise Development, 2004. 11(3): p. 280-289.
[44] Hutchinson, D., C. Armitt, and D. Edwards-Lear, The application of an
agile approach to it security risk management for SMES. 2014.
[45] Dojkovski, S., S. Lichtenstein, and M.J. Warren. Challenges in
Fostering an Information Security Culture in Australian Small and
Medium Sized Enterprises. in 5th European Conference on
Information Warfare and Security. 2006. Helsinki, Finland: 1-2
June.
[46] Hutchinson, D. and M. Warren. e-Business Security Management for
Australian Small SMEs - A Case Study. in e-Business: how far
have we come? Proceedings of the 7th International We-B
(Working for E-Business) Conference. 2006c. Electronic
Commerce Research Unit ECRU, Australia.
[47] Dimopoulos, V., et al. Approaches to IT Security in Small and Medium
Enterprises. in 2nd Australian Information Security Management
Conference, Securing the Future. 2004. Perth, Western Australia:
73-82.
[48] Helokunnas, T. and L. Iivonen. Information Security Culture in Small
and Medium Size Enterprises. in e-Business Research Forum
eBRF 2003. 2003. Tampere, Finland: Tampere University of
Technology.
[49] Warren, M.J. Australias Agenda for E-Security Education and
Research. in TC11/WG11.8 Third Annual World Conference on
Information Security Education (WISE3). 2003. Naval Post
Graduate School, Monterey, California, USA.
[50] Von Solms, R. and B. Von Solms, From policies to culture. Computers
& Security, 2004. 23(4).
[51] Furnell, S.M. and N.L. Clarke. Organisational Security Culture:
Embedding Security Awareness, Education and Training. in 4th
World Conference on Information Security Education (WISE
2005). 2005. Moscow, URSS.
[52] Van Niekerk, J.C. and R. Von Solms. Establishing an Information
Security Culture in Organisations: an Outcomes-based Education
Approach. in ISSA 2003:3rd Annual IS South Africa Conference.
2003. , Johannesburg, South Africa: 9-11 July 2003.
[53] Hutchinson, D. and M. Warren. Australian SMES and e-Security Guides
on Trusting the Internet. in Fourth Annual Global Information
Technology Management World Conference. 2003. Global
Information Technology Management Association (GITMA), USA
[54] Knapp, K.J., et al., Information Security: Management's effect on culture
and policy. Information Management & Computer Security, 2006.
14(1): p. 24-36.
[55] Lichtenstein, S., Internet security policy for organisations. Unpublished
thesis (PhD) (public version), ed. S.o.I.M.S. Monash
University2001, Melbourne, Australia.
[56] Stanton, J.M., et al., Analysis of end-user security behaviors. Computers
& Security, 2004. 24: p. 124-133.
[57] Lichtenstein, S. and P.M.C. Swatman. The Potentialities of Focus
Groups in e-Business Research: Theory Validation, in Seeking
Success in e-Business: a Multi-disciplinary Approach. in IFIP
TC8/WG 8.4 Second Working Conference on E-business:
Multidisciplinary Research and Practice. 2003. Copenhagen,
Denmark: Kluwer Academic Publishers.
26
[58] Furnell, S., A. Warren, and P.S. Dowland. Improving security awareness
and training through computer-based training. in 3rd World
Conference on Information Security Education (WISE 2004). 2004.
Monterey, California.
[59] Dutta, A. and K. McCrohan, Management's Role in Information Security
in a Cyber Economy. California Management Review, 2002. 45(1):
p. 67-87.
[60] Sneza, D., L. Sharman, and W. Matthew John. Fostering information
security culture in small and medium size enterprises: An
interpretive study in australia. in the Fifteenth European
Conference on Information Systems. 2007. University of St.
Gallen, St. Gallen.
[61] ABS, 1321.0 - Small Business in Australia. Australian Bureau of
Statistics, 2001.
[62] Gupta, A. and R. Hammond, Information systems security issues and
decisions for small businesses. Information Management &
Computer Security, 2005. 13(4): p. 297-310.
[63] OHalloran, J., ICT business management for SMEs. Computer Weekly,
2003. December 11.
[64] Dhillon, G., Violation of Safeguards by Trusted Personnel and
Understanding Related Information Security Concerns. Computers
& Security, 2001b. 20(2): p. 165-172.
[65] Sanchez, L.E., et al., ISMS Building for SMEs through the Reuse of
Knowledge. Small and Medium Enterprises: Concepts,
Methodologies, Tools, and Applications, 2013: p. 394.
[66] Snchez, L.E., et al., Managing Security and its Maturity in Small and
Medium-sized Enterprises. J. UCS, 2009. 15(15): p. 3038-3058.
[67] Santos-Olmo, A., et al., Desirable Characteristics for an ISMS Oriented
to SMEs., in 8th International Workshop on Security in
Information Systems (WOSIS11) In conjunction with 11th
International Conference on Enterprise Information Systems
(ICEIS11)2011: Beijing, China. p. 151-158.
[68] Santos-Olmo, A., et al., A Systematic Review of Methodologies and
Models for the Analysis and Management of Associative and
Hierarchical Risk in SMEs, in 9th International Workshop on
Security in Information Systems (WOSIS12) In conjunction with
11th International Conference on Enterprise Information Systems
(ICEIS12).2012: Wroclaw, Poland. p. 117 -124.
[69] ISO/IEC27001, ISO/IEC 27001:2013, Information Technology Security Techniques Information security management systemys Requirements., 2013.
[70] ISO/IEC27002, ISO/IEC 27002:2013, the international standard Code
of Practice for Information Security Management (en desarrollo).
2013.
[71] Snchez, L.E., et al. Building ISMS Through Knowledge Reuse. in 7th
International Conference on Trust, Privacy & Security in Digital
Business (TRUSTBUS'10). 2010. Bilbao, Spain.
[72] Snchez, L.E., et al., Security Culture in Small and Medium-Size
Enterprise, in ENTERprise Information Systems2010, Springer
Berlin Heidelberg. p. 315-324.
ntonio Santos-Olmo is MsC in in Computer Science and

is an Assistant Professor at the Escuela Superior de
Informtica of the Universidad de Castilla- La Mancha in
Ciudad Real (Spain) (Computer Science Department,
University of Castilla La Mancha, Ciudad Real, Spain),
MSc in Information Systems Audit from the Polytechnic
University of Madrid, and Certified Information System
Auditor by ISACA. He is the Director of Software
Factory departments of the company Sicaman Nuevas Tecnologas S.L. His
research activities are management security system, security metrics, data
mining, data cleaning, and business intelligence. He participates in the GSyA
research group of the Department of Computer Science at the University of
Castilla- LaMancha, in Ciudad Real (Spain). He belongs to various
professional and research associations (COIICLM, ATI, ASIA, ISACA,
eSEC, INTECO, etc).
Luis Enrique Snchez is PhD and MsC in Computer

Science and is an Professor at the Universidad de las
Fuerzas Armadas (ESPE) of Latacunga (Ecuador), MSc in
Information Systems Audit from the Polytechnic
Auditor by ISACA. He is the Director of Professional
Services and R&D departments of the company Sicaman
Nuevas Tecnologas S.L. COIICLM board or committee
member and responsible for the professional services committee. His research
activities are management security system, security metrics, data mining, data
cleaning, and business intelligence. He participates in the GSyA research
group of the Department of Computer Science at the University of CastillaLaMancha, in Ciudad Real (Spain). He belongs to various professional and
research associations (COIICLM, ATI, ASIA, ISACA, eSEC, INTECO, etc).
Ismael Caballero has an MSc and PhD in Computer

Science from the Escuela Superior de Informatica of the
Castilla-La Mancha University in Ciudad Real. He actually
works as an assistant professor in the Department of
Information Systems and Technologiesat the University of
Castilla-La Mancha, and he has also been working in the
R&D Department of Indra Sistemas since 2006. His
research interests are focused on information quality
management, information quality in SOA, and Global Software Development.
Daniel Mellado holds a PhD and MSc in Computer

Science from the Castilla- La Mancha University (Spain)
and holds a degree in Computer Science from the
Autonomous University of Madrid (Spain), and he is
Certified Information System Auditor by ISACA
(Information System Audit and Control Association). He is
Assistant Professor of the Department of Information
Technologies and Systems at the Rey Juan Carlos
University (Spain). He participates at the GSyA research group of the
Department of Information Technologies and Systems at the Castilla- La
Mancha University. He is civil servant at the Spanish Tax Agency (in Madrid,
Spain), where he works as IT Auditor Manager. His research activities are
security governance, security requirements engineering, security in cloud
computing, security in information systems, secure software process
improvement and auditory, quality and product lines. He has several dozens of
papers in national and international conferences, journals and magazines on
these subjects and co-author of several chapter books. He belongs to various
professional and research associations (ASIA, ISACA, ASTIC, ACTICA,
etc).
Eduardo Fernndez-Medina holds a PhD. and an MSc. in

Computer Science from the University of Sevilla. He is
associate Professor at the Escuela Superior de Informtica
of the University of Castilla-La Mancha at Ciudad Real
(Spain), his research activity being in the field of security in
databases, datawarehouses, web services and information
systems, and also in security metrics. Fernndez-Medina is
co-editor of several books and chapter books on these subjects, and has
several dozens of papers in national and international conferences (DEXA,
CAISE, UML, ER, etc.). Author of several manuscripts in national and
international journals (Information Software Technology, Computers And
Security, Information Systems Security, etc.), he is director of the GSyA
research group of the Information Systems and Technologies Department at
the University of Castilla-La Mancha, in Ciudad Real, Spain. He belongs to
various professional and research associations (ATI, AEC, ISO, IFIP WG11.3
etc.).
27
Analysis of dynamic complexity of the

Cybersecurity Ecosystem in Colombia
A. Flrez, L. J. Serrano, U. E. Gmez, L. E. Surez, A. Villarraga and H. A. Rodrguez.
Abstract This paper presents two proposals for the analysis of
dynamic complexity of the Cybersecurity Ecosystem in Colombia,
which allows the understanding of the synergy between the legal
entities working in Cybersecurity in Colombia and the distinct
components of it. The complexity of the Cybersecurity Ecosystem in
Colombia is shown in the form of influence diagrams from System
Dynamics and domain diagrams from Software Engineering. The
resulting model presents Cybersecurity as a strategic component in
national security.
Keywords cybersecurity, cyberspace, ecosystem, influence
diagram, domain model, system dinamics, software engineering.
I.
INTRODUCCION
os avances tecnolgicos, en particular la masificacin del

uso de Internet tanto para personas naturales como
jurdicas, conllevan a un espacio abierto para el intercambio de
datos e informacin, en el cual se encuentran diversos actores,
algunos que usan la plataforma virtual y tecnolgica para
realizar sus actividades diarias, ya sea de ndole personal o
laboral, as como los intrusos que dan uso de la red para su
beneficio personal aprovechando las diversas vulnerabilidades
presentes y el alto nmero de usuarios con bajo conocimiento
acerca de los riesgos y amenazas a los cuales se encuentran
expuestos en este canal de comunicacin. Esto ha generado un
reto importante en el aseguramiento de la informacin y la
infraestructura que se encuentra presente en Internet.
El ciberespacio, definido como el ambiente virtual resultado
del Internet en el cual se concentran las diversas
infraestructuras, dispositivos tecnolgicos y personas que se
conectan a la red, ha conllevado a la evolucin del concepto de
seguridad de la informacin a la seguridad en el ciberespacio.
Dichas infraestructuras, dispositivos y personas conectadas,
van desde una pequea red en el hogar, hasta las redes de los
Estados, las grandes industrias, los prestadores de servicios de
comunicaciones, entre otros.
En consecuencia, se tiene un panorama lleno de retos por
asumir y brechas por cerrar, para afrontar los riesgos y
amenazas que se presentan en el ciberespacio para cada uno de
los actores que estn potencialmente expuestos en ste
ambiente virtual frente a ciberataques, ciberespionaje,
ciberterrorismo, ciberbullying, hacktivismo, entre otros. Las
fronteras reales son diluidas frente a la exposicin de los
diferentes sectores de la sociedad en el ciberespacio.
En los ltimos aos el Estado colombiano ha demostrado
inters en la seguridad de la informacin, as como de la
realidad actual de exposicin de los diversos sectores de la
sociedad ante las amenazas de naturaleza ciberntica, es as
como se encuentra legislacin en dicha materia desde el ao
1999 a partir de la Ley de comercio electrnico, hasta la Ley
Estatutaria 1571 de 2012 para la proteccin de datos personales.
Adicionalmente, el documento CONPES 3701 con

periodicidad del 2011 al 2015 define los lineamientos de
poltica en Ciberseguridad y Ciberdefensa para Colombia, con
el fin de mejorar la capacidad del Estado en el enfrentamiento
de posibles amenazas en el ciberespacio.
En el ao 2014 se desarroll una Misin de Asistencia
Tcnica en Seguridad Ciberntica de la Organizacin de
Estados Americanos (OEA), del cual se emiti un documento
de conclusiones y recomendaciones que refleja, entre otras
cosas, la necesidad que en Colombia se realicen esfuerzos para
abordar la Ciberseguridad debido a que se encontr una falta de
visin estratgica clara [1].
A partir de estas consideraciones, se plantea en ste trabajo
de investigacin la definicin del Ecosistema de
Ciberseguridad de Colombia, en el cual se establezcan los
componentes del mismo, la visin estratgica de la
Ciberseguridad en las instituciones del estado, y el anlisis de
la complejidad del Ecosistema utilizando el lenguaje de las
influencias de la dinmica de sistemas y el modelo de dominio
de la ingeniera de software.
La organizacin del artculo es la siguiente: la Seccin II
describe los conceptos a tener en cuenta para la definicin del
ecosistema. La Seccin III detalla el Ecosistema de
Ciberseguridad de Colombia. La Seccin IV describe la
complejidad dinmica del Ecosistema de Ciberseguridad de
Colombia a partir del diagrama de influencias de la Dinmica
de Sistemas y el modelo de dominio de la Ingeniera del
Software. Finalmente, se pueden encontrar las conclusiones en
la Seccin V.
II.
CONCEPTUALIZACIN
En sta seccin se describen los conceptos bases que

conllevan a la definicin y el establecimiento del Ecosistema de
Ciberseguridad de Colombia, y los necesarios para el anlisis
de complejidad dinmica del ecosistema a partir del
conocimiento de la dinmica de sistemas, la ingeniera de
software y los diagramas que permiten representarlo.
A. Ecosistema
El concepto de Ecosistema ha estado principalmente
enmarcado desde la ciencia de la Ecologa, su relacin con los
seres vivos y entre stos con su medio ambiente. Sin embargo,
ste concepto ha podido trascender a las esferas socioeconmicas y tecnolgicas.
Hasta hace 50 aos, el tema y los servicios eco sistmicos
eran invisibles dentro del anlisis socio-econmico, no se
evidenciaba contribucin alguna al sistema econmico y la vida
humana, en general. Actualmente y por referencia al trabajo de
28
FLREZ et al.: Analysis of Dynamic Complexity
diversos autores, el concepto del ecosistema se enfoca desde

mltiples disciplinas y es as como, ecologa y economa se
fusionan para ser identificados los servicios eco sistmicos,
dndole la debida importancia en lograr su conservacin [2].
Desde el enfoque tecnolgico, las empresas y el propio
Estado, generan cada vez ms informacin, la cual debe ser
almacenada y difundida, requiriendo por tanto de una buena
capacidad tecnolgica, con enfoque estratgico hacia la gestin
del conocimiento basada en procesos y mtodos, como insumo
importante para la toma de decisiones.
En tal sentido, el concepto de ecosistema tecnolgico se
utiliza como un conjunto de componentes software que se
relacionan entre s mediante flujos de informacin en un medio
fsico que sirve como soporte para dichos flujos.
Bajo las definiciones de un ecosistema natural existe una clara
analoga entre ste y un ecosistema tecnolgico, dado que los
componentes asociados cumplen la labor de los organismos
vivos del ecosistema tecnolgico, relacionndose con otros
organismos y vindose condicionados por el medio fsico que
les rodea, como por ejemplo los componentes de software
interrelacionndose.
Por tanto, al hacer relacin entre ecosistema natural y
ecosistema tecnolgico se cumplen los tres principios bsicos
de la tica ecolgica [3]:
- En un ecosistema todos los seres vivos son
interdependientes y se necesitan entre s. Lo mismo ocurre en
un ecosistema tecnolgico, donde cada componente se
relaciona con otros componentes. Si un componente es
totalmente independiente entonces no forma parte del
ecosistema.
- La diversidad de los ecosistemas es la base de su
estabilidad y ser proporcional a que ofrezca mayores
posibilidades y opciones, pero con las premisas de armona,
unidad, seguridad y coherencia.
- El crecimiento del sistema debe ser de manera controlada,
al igual que las materias primas son limitadas, por ello el
ecosistema tecnolgico debe evolucionar bajo un objetivo muy
especfico de lo contrario se convierte en insostenible y por
ende, no ha de cumplir el fin para el cual se cre.
B.
El lenguaje de las influencias de la Dinmica de

Sistemas
La Dinmica de Sistemas (DS) es una metodologa que

permite representar y modelar diferentes sistemas de manera
que se pueda entender su complejidad para estudiar su
comportamiento bajo ciertas condiciones y obtener
conclusiones que puedan ser tiles en la toma de decisiones [4],
para ello la metodologa utiliza diferentes lenguajes de
representacin de los modelos mentales que surgen a partir del
estudio de un fenmeno.
Segn Gmez, Andrade & Vsquez [5], la DS contribuye a la
construccin de un consenso entre investigadores que puede ser
utilizado en la construccin de modelos computacionales que
constituyen herramientas de apoyo en la investigacin para
representar la complejidad del modelo.
El diagrama de influencias de la DS permite la definicin de

un esquema en el cual se logra la integracin de las variables y
las relaciones de cada una de ellas con el sistema definido.
C. El diagrama de dominio desde la Ingeniera del
Software
La abstraccin es un elemento fundamental para la
Ingeniera del Software (IS), sta se apoya en un conjunto de
paradigmas, modelos, meta modelos, diagramas, lenguajes,
semntica y sintaxis para formalizar sistemas de gran
complejidad y/o elementos de la realidad fsica y conceptual
para facilitar el desarrollo de aplicaciones, adicionalmente le
permiten gestionar la complejidad del sistema en elementos
finitos.
D. Ciberseguridad
La Organizacin Internacional para la Estandarizacin (ISO)
a travs de la norma ISO/IEC 27032:2012, define la
Ciberseguridad como la preservacin de la confidencialidad,
integridad y disponibilidad de la informacin en el
ciberespacio. El ciberespacio hace referencia a un ambiente
virtual, resultado del Internet, adicionando las organizaciones,
personas, usuarios y dispositivos tecnolgicos que son
conectados a sta red, por lo tanto se define que la seguridad en
ste ciberespacio o mundo virtual es a lo que conlleva al
concepto de Ciberseguridad [6].
En Colombia se ha definido la Ciberseguridad en el
documento CONPES 3701, como la capacidad del Estado para
minimizar el nivel de riesgo al que estn expuestos sus
ciudadanos, ante amenazas o incidentes de naturaleza
ciberntica [7].
III.
ECOSISTEMA DE CIBERSEGURIDAD DE
COLOMBIA
A. Legislacin y lineamientos de poltica de

Ciberseguridad en Colombia
En los ltimos aos Colombia se ha hecho consciente de la
importancia de legislar y reglamentar en el mbito de la
seguridad de la informacin, razn por la cual se han creado una
serie de leyes, circulares y resoluciones que aportan de manera
significativa al fortalecimiento de capacidades del Estado para
enfrentar las amenazas que se generen en el ciberespacio, tales
como:
- la Ley 527 de 1999 - comercio electrnico,
- la Ley 599 de 2000 - violacin ilcita de comunicaciones,
- la Circular 052 de 2007 - requerimientos mnimos de
seguridad y calidad en el manejo de informacin a travs
de medios y canales de distribucin de productos y
servicios para clientes y usuarios de la Superintendencia
Financiera,
- la Ley 1273 de 2009 - la proteccin de la informacin y de
los datos,
- la Ley 1341 de 2009 por el cual se definen Principios y
conceptos sobre la sociedad de la informacin y la
29
organizacin de las Tecnologas de la Informacin y las

Comunicaciones TIC,
- la Resolucin de la Comisin de Regulacin de
Comunicaciones 2258 de 2009 - seguridad de la redes de
los
proveedores
de
redes
y
servicios
de
telecomunicaciones,
- y, la Ley Estatutaria 1581 de 2012 para la proteccin de
datos personales.
Adicionalmente, en el ao 2011 se definen los Lineamientos
de Poltica para Ciberseguridad y Ciberdefensa en Colombia, a
travs del documento CONPES 3701, el cual est dirigido a
potenciar las capacidades del estado para enfrentar las
amenazas cibernticas.
El objetivo general del CONPES 3701 es Fortalecer las
capacidades del Estado para enfrentar las amenazas que atentan
contra su seguridad y defensa en el mbito ciberntico
(Ciberseguridad y Ciberdefensa), creando el ambiente y las
condiciones necesarias para brindar proteccin en el
ciberespacio [7].
El documento CONPES 3701 caduca en el ao 2015, razn
por la cual actualmente se est desarrollando la nueva versin
de los Lineamientos de Poltica de Ciberseguridad en
Colombia, en el cual se plantea, entre otras cosas, el
fortalecimiento de las entidades que se han creado para el apoyo
a la Ciberseguridad, la generacin de un Ecosistema de
Ciberseguridad que defina las diversas entidades que se
consideran claves para el desarrollo de la Ciberseguridad en
Colombia, el desarrollo de una estrategia nacional de
Ciberseguridad y Ciberdefensa, y, mejorar los vacos que se
presentaron de acuerdo a los resultados del seguimiento del
CONPES 37011. Se espera que a finales de 2015 se tenga la
versin de ste nuevo CONPES.
Figura 1. Componentes del Ecosistema de Ciberseguridad de Colombia
Entidades: persona natural o jurdica considerado un

agente activo o pasivo del Ecosistema.
Activos: bienes, tangibles o intangibles de pertenencia de
las Entidades del Ecosistema.
Amenazas: riesgo al cual se encuentran expuestos los
activos definidos en el Ecosistema.
Capacidades: recursos con los cuales se cuentan o se
requieren para lograr la gestin de las amenazas a las cuales
se encuentran expuestos los activos del Ecosistema.
Relaciones: interaccin entre los componentes del
Ecosistema.
C. Entidades del Ecosistema de Ciberseguridad de
Colombia
A partir del documento CONPES 3701 y de la investigacin

realizada por los autores, se han identificado seis tipos de
entidades del Ecosistema de Ciberseguridad en Colombia, tales
como (
Figura 2):.
B. Definicin de los componentes del Ecosistema de

Ciberseguridad de Colombia
Se definen cinco componentes del Ecosistema de
Ciberseguridad de Colombia (
Figura 1):
Figura 2. Entidades del Ecosistema de Ciberseguridad de Colombia
Sector Pblico: Entidades e instituciones del Estado

Colombiano, de naturaleza pblica, que tienen entre sus
objetivos misionales funciones relacionadas al
fortalecimiento de la Ciberseguridad y la Ciberdefensa.
Sector Privado: Conjunto de pequeas, medianas y grandes
empresas que hacen parte del eje productivo de la industria
y de toda aquella otra persona jurdica de carcter no
pblico que participa del ecosistema.
Ciudadana: Conjunto de personas naturales residentes en
territorio colombiano.
Infraestructura Crtica: Entidades que prestan servicios
esenciales los cuales son considerados como estratgicos
en Colombia, tales como prestadores de servicios
energticos, de acueducto, financieros, entre otros.
Centros de investigacin: Instituciones que realizan
innovacin e investigacin en materia de Ciberseguridad,
tales como universidades, centros tecnolgicos, centros de
1
Informacin obtenida en entrevista sostenida en marzo de 2015 con la Dra.
Diana Pereira de la Subdireccin de Seguridad y Defensa del Departamento
Nacional de Planeacin de Colombia.
30
excelencia, tanques de pensamiento, entre otros.

Atacantes: Personas naturales o jurdicas que intentan
acceder, interceptar o daar un sistema informtico
afectando la integridad, confidencialidad y disponibilidad
de los datos y los sistemas.
Atendiendo a lo anterior, se procede con la descripcin de las

entidades del Sector Pblico que se consideran fundamentales
dentro del Ecosistema (Figura 3):
coordinacin con los CSIRT (Grupos de Respuesta a Incidentes

Informticos) del pas y la coordinacin con los organismos
internacionales en materia de Ciberseguridad [7] [11] [12].
Comando Conjunto Ciberntico (CCOC): Dependencia
adscrita al Comando General de las Fuerzas Militares, que tiene
por propsito prevenir y contrarrestar las amenazas y ataques
de naturaleza ciberntica que afecten los valores e intereses
nacionales. Creado en Octubre de 2012, tiene como funciones
la implementacin de protocolos de Ciberdefensa y la defensa
de la infraestructura crtica [7].
Centro Ciberntico Policial (CCP): Hace parte de la
estructura organizativa de la Polica Nacional de Colombia, se
encuentra encargado de realizar la gestin de la Ciberseguridad
en el territorio colombiano, apoyar las labores de investigacin
y judicializacin por la comisin de punibles de origen
ciberntico, recibir informacin y reporte de delitos
cibernticos. Inici como la Unidad de Delitos Informticos de
la DIJIN y a partir del CONPES 3701 pasa a llamarse CCP [7].
Figura 3. Entidades del Sector Pblico del Ecosistema de Ciberseguridad de

Colombia
Presidente: Es el Jefe de Estado, Jefe de Gobierno y suprema

autoridad administrativa [8].
Congreso de la Repblica de Colombia: Se encuentra
integrada por el Senado y la Cmara de Representantes. Al
Congreso le corresponde reformar la constitucin, hacer las
leyes y ejercer el control poltico sobre el gobierno y la
administracin [8].
Ministerio de Tecnologas de la Informacin y las
Comunicaciones (MinTIC): Desarrolla su objeto mediante la
reglamentacin de las normas existentes, la adopcin de
polticas, la financiacin de proyectos y otros relacionados con
las Tecnologas de Informacin y las Comunicaciones, entre
ellas las que corresponden al rea de Ciberseguridad a travs de
la Direccin de Estndares y Arquitectura de TI [9].
Cancillera o Ministerio de Relaciones Exteriores: Entidad

rectora del Sector Administrativo de Relaciones Exteriores a la
cual pertenece la Coordinacin de Prevencin del Delito y la
Direccin de Asuntos Polticos Multilaterales, donde se tratan
los temas referentes a la Ciberseguridad [13].
Departamento Nacional de Planeacin (DNP): A travs
de la Subdireccin de Seguridad y Defensa se encarga, entre
otros, de la coordinacin, planeacin, determinacin de
presupuesto y el seguimiento a las acciones definidas el
documento CONPES referentes a Ciberseguridad, la
generacin de informacin que sirve de insumo para la toma de
decisiones del Estado en la materia [14].
Ministerio de Justicia (MinJusticia): La entidad tiene entre
sus funciones la formulacin y direccin de la Poltica Nacional
de Justicia, la coordinacin de asuntos carcelarios y
penitenciarios, la promocin de la cultura de legalidad y otros
establecidos en la ley. Los temas referentes a Ciberseguridad se
coordinan a travs de la Direccin de Poltica Criminal [15].
Ministerio de Defensa Nacional (MinDefensa): Dirigida

por el Ministro de Defensa quien ejerce en colaboracin con los
Comandantes Generales de las Fuerzas Militares y la Polica
Nacional. Pertenecen a ste ministerio el ColCERT, el CCOC
y el CCP [10].
Ministerio de Hacienda y Crdito Pblico (MinHacienda):

Entre sus funciones, la entidad se encarga de definir, formular
y ejecutar la poltica econmica del pas; preparar las leyes,
decretos y la regulacin pertinente a los sectores fiscal,
tributario, aduanero, financiero. Define como entidad
reguladora en aspectos de seguridad de la informacin a la
Superintendencia Financiera de Colombia [16].
Grupo de Respuesta a Emergencias Cibernticas de

Colombia (ColCERT): Grupo de trabajo que hace parte de la
Direccin de Seguridad Pblica y de Infraestructura, en el
Viceministerio para las Polticas y Asuntos Internacionales del
MinDefensa. Creado en el ao 2012, encargado de la
coordinacin a nivel nacional de los asuntos de Ciberseguridad
y Ciberdefensa, as como la respuesta a los incidentes de
naturaleza ciberntica que se presenten en el territorio, la
Ministerio de Comercio, Industria y Turismo (MinCIT):

Tiene como funciones propender por el desarrollo socio
econmico del sector productivo de la industria, el
fortalecimiento de la pequea, mediana y gran empresa, la
promocin de inversin, entre otros. Define como entidad
reguladora la Superintendencia de Industria y Comercio en
aspectos de proteccin de datos [17].
31
Direccin Nacional de Inteligencia: Entidad que se

encarga de producir inteligencia estratgica y contrainteligencia
de Estado a nivel nacional e internacional.
Fiscala General de la Nacin: La entidad hace parte de la
Rama Judicial del Poder Pblico, es autnoma desde el punto
de vista administrativo y presupuestal y constitucionalmente ha
sido designada como el organismo acusador del Estado, en esa
medida su rol se encamina a ser la encargada de ejercer la
accin penal [8]. Los aspectos de delitos informticos estn a
cargo del Cuerpo Tcnico de Investigacin (CTI) en la
Coordinacin de Delitos Informticos.
Cuerpo Tcnico de Investigacin CTI: Tiene por objeto
la investigacin y bsqueda de los autores y/o partcipes de un
delito, entre ellos los de naturaleza ciberntica. Trabaja de la
mano con la Rama Judicial para los aspectos de judicializacin
de delitos informticos.
Administracin Pblica: Entidades e instituciones del
Estado Colombiano, de naturaleza pblica, tales como
Gobernaciones, Alcaldas, empresas pblicas, entre otros.
Infraestructura Crtica: Entidades de naturaleza pblica
que prestan servicios esenciales los cuales son considerados
como estratgicos en Colombia, tales como prestadores de
servicios energticos, de acueducto, financieros, entre otros.
Comisin de Regulacin de Comunicaciones (CRC): Esta
Unidad Administrativa Especial se encuentra adscrita al
MinTIC. Tiene por objeto la regulacin del sector de redes y
servicios de comunicaciones [9].
Superintendencia Financiera de Colombia (SFC): Tiene
como objetivos preservar la estabilidad, seguridad y confianza
en el sistema financiero colombiano, desarrollar el mercado de
valores y buscar la proteccin de inversionistas, ahorradores y
asegurados [18]. En el ao 2007 emiti la Circular Externa 052,
la cual establece los requerimientos mnimos de seguridad y
calidad en el manejo de la informacin a travs de medios y
canales de distribucin de productos y servicios para clientes y
usuarios del sistema financiero [19].
Superintendencia de Industria y Comercio (SIC): Es un
organismo tcnico, que se encuentra adscrito al MinCIT; tiene
como objetivo principal fortalecer el desarrollo de los mercados
desde el punto de vista de la competencia, el consumo y su
organizacin. Adicionalmente, travs de la Delegatura para la
Proteccin de Datos Personales, la entidad se encarga de velar
por la proteccin del derecho fundamental de Habeas Data,
estableciendo las polticas a seguir por parte de los responsables
y encargados del tratamiento de datos personales [20].
D. La Ciberseguridad como componente estratgico en
la seguridad nacional
El CONPES 3701 destaca que no existe una estrategia
nacional para enfrentar las amenazas y debilidades del Estado

en materia de Ciberseguridad. [7]
Dado lo anterior, se procede con la labor investigativa para
identificar los planteamientos de diferentes Estados sobre la
materia y se decide tomar como referente la Estrategia de
Seguridad Nacional de Espaa, ya que dicho pas se sita entre
los ms avanzados en aspectos concernientes a la seguridad,
debido a que incorpora la seguridad nacional de forma integral,
comprendiendo las relaciones globales y del diario vivir de la
poblacin.
En la Estrategia de Seguridad Nacional de Espaa se
evidencia que las ciberamenazas, entre otros mbitos de
actuacin, hacen parte de los riesgos y amenazas para la
seguridad nacional, lo que conlleva a definir dentro de dicha
estrategia una lnea de accin estratgica en Ciberseguridad y
una correspondiente a la Proteccin de las Infraestructuras
Crticas [21].
Se concluye que la Ciberseguridad se define como un
componente estratgico en la seguridad nacional de un pas, ya
que propende por el fortalecimiento de las capacidades de una
nacin para la prevencin, deteccin y respuesta a los ataques
de naturaleza ciberntica.
IV.
COMPLEJIDAD DEL ECOSISTEMA DE
CIBERSEGURIDAD DE COLOMBIA DESDE LA
VISIN DEL DIAGRAMA DE INFLUENCIAS
DE LA DINMICA DE SISTEMAS (DS) Y EL
MODELO DE DOMINIO DE LA INGENIERIA
DEL SOFTWARE (IS)
El anlisis de la complejidad dinmica del Ecosistema de
Ciberseguridad de Colombia dirigi sus esfuerzos en la
elaboracin de dos modelos conceptuales (Diagrama de
Influencias y Modelo de Domino) haciendo uso de la Dinmica
de Sistemas y la Ingeniera del Software, las cuales son dos
vertientes del conocimiento en el rea de la Ingeniera de
Sistemas e Informtica que proveen herramientas para entender
el comportamiento y la estructura de una realidad particular (o
problema especfico) formalizada con el uso de los modelos.
El trmino modelo hace alusin a la representacin de un
sistema que utiliza grficos y texto [22] para revelar la
complejidad de una situacin, el cual puede ser utilizado para
explicar la situacin o lograr el aprendizaje del mismo [4].
A. Diagrama de Influencias del Ecosistema de

Ciberseguridad de Colombia
Para representar el Ecosistema de Ciberseguridad de
Colombia se har uso del lenguaje de las influencias de la DS,
un esquema donde se integran las variables y las relaciones de
cada una de estas con el sistema.
Las relaciones se muestran por medio de flechas que van de
una variable a otra, llevando la direccin de influencia en un
solo sentido. Con el lenguaje de las influencias se facilita la
explicacin de la complejidad a partir de la identificacin de los
ciclos de realimentacin que conllevan a demostrar que el
sistema es dinmico.
32
A partir de los componentes del Ecosistema de

Ciberseguridad de Colombia (Figura 1), se realiza una primera
aproximacin de las relaciones entre los elementos la cual
sugiere interrelaciones entre los elementos (en la descripcin de
cada diagrama se escribirn con negrilla las palabras que
correspondan con elementos en el diagrama).
En la Figura 4 se encuentra el diagrama de influencias
general del Ecosistema de Ciberseguridad de Colombia, en el
cual se aprecia que las Entidades cuentan con Activos que son
susceptibles a Amenazas las cuales al lograr ser explotadas
afectan las Entidades; a su vez, las Entidades cuentan con
Capacidades que les permiten ser protegidas de las Amenazas;
adicionalmente se evidencia que las flechas en el diagrama
representan la interaccin que existe entre los componentes del
ecosistema, denominado Relaciones en el apartado III.B.
Figura 5. Ciclo Gestin de Riesgos
Figura 4. Diagrama de influencias general de la estructura bsica del

Ecosistema de Ciberseguridad de Colombia
En la Figura 6, se puede apreciar que los Recursos son

usados para adquirir Capacidades que permitan gestionar los
Riesgos para mitigar las Amenazas que de materializarse
pueden conllevar a la comisin de DelitosInf; un aumento en
estos deber generar Estrategias para promover los
Reglamentos que generen Leyes cuya aplicacin permita
generar nuevos Recursos para las Entidades, en especial las del
Sector Pblico. Adems, los Recursos deben ser utilizados para
realizar InvDes que permita la adquisicin de Capacidades.
En los diagramas que se aprecian en las Figura 5 a la 11 se

presentan las relaciones del ecosistema junto a algunos de los
ciclos de realimentacin. Para simplificar la complejidad en el
diagrama de influencias, todas las entidades se han agrupado en
un solo elemento (teniendo en cuenta que el Ecosistema define
varias entidades, tal como se encuentra descrito en el apartado
III.C, Figura 2), tambin se han agregado otros elementos para
representar la complejidad dinmica del Ecosistema.
En la Figura 5, se puede apreciar que las Entidades realizan
Investigacin y Desarrollo (InvDes) para adquirir
Capacidades que les van a permitir gestionar los Riesgos para
mitigar las Amenazas que en caso de ser materializadas podrn
conllevar a la comisin de Delitos Informticos (DelitoInf)
que afectarn a las Entidades.
Figura 6. Ciclo de Delitos por Leyes y Capacidades
A su vez (Figura 7), las Sanciones (entre las que se

encuentran penas privativas y/o multas a entidades atacantes o
negligentes) mitigan las Amenazas que de materializarse
pueden conllevar a la comisin de DelitosInf los cuales deben
ser denunciados por y a las Entidades para poder aplicar las
Sanciones que mitiguen las Amenazas. Adems, gestionar los
Riesgos tambin mitiga las Amenazas y posibilita a las
Entidades la generacin de Indicadores y Recomendaciones
(IndRec) que permitan gestionar Riesgos e identificar
Vulnerabilidades (Vulner) las cuales son aprovechadas por
los delincuentes para la comisin de DelitosInf.
33
En la Figura 9 se presentan las relaciones de las Entidades

con los otros elementos, es decir, las acciones que son
realizadas por las Entidades:
-
Denuncian DelitosInf
Generan Estrategias
Promueven Reglamentos
Generan Reglamentos, IndRcm y Leyes
Adquieren Capacidades
Realizan InvDes
Mitigan Amenazas
Identifican Vulnerabilidades
Adquieren Activos
Figura 7. Ciclos de Delitos por Sanciones y Vulnerabilidades
En la Figura 8, se puede apreciar que los Recursos son

usados para adquirir Capacidades que permitan gestionar
Riesgos para mitigar las Amenazas que de materializarse
pueden conllevar a la comisin de DelitosInf; un aumento en
estos deber generar Estrategias para promover los
Reglamentos que generen Leyes cuya aplicacin permita
generar nuevos Recursos para el fortalecimiento de
capacidades.
Adicionalmente, las Entidades aplican Sanciones que
generan Recursos que permiten adquirir Activos para generar
ms Recursos y estos conllevan a adquirir Capacidades que
pueden ser utilizados por las Entidades al margen de la ley para
la comisin DelitosInf. Los DelitosInf generan Estrategias
para promover Reglamentaciones que se transforman en
IndRec que justifican Leyes para aplicar Sanciones que
generen Recursos. Tambin se contempla que los DelitosInf
generan prdidas de Recursos.
Figura 9. Acciones realizadas por las Entidades
En la Figura 10, se hizo uso de variables copia (elementos

delineados con lneas punteadas que corresponden a clones de
elementos para evitar lneas cruzadas), se colocaron solo las
relaciones de estas con otros elementos, es decir:
-
Las Sanciones requieren de denuncias y permiten mitigar

las Amenazas.
Los Recursos permiten realizar InvDes.
Los IndRcm permiten gestionar las Capacidades e
identificar Vulnerabilidades.
Las Vulnerabilidades son aprovechadas por los
delincuentes para la comisin de DelitosInf y el
conocimiento de las mismas conllevan a gestionar los
Riesgos; dicha gestin permite proteger la Soberana y la
generacin de IndRcm.
Figura 8. Ciclos de Delitos por Estrategias, Leyes y Sanciones con

participacin de Activos
34
entidades en el mbito Colombiano. Por consiguiente, se

expone en primera instancia el Meta Modelo utilizado para la
formalizacin del ecosistema.
Meta Modelo: Las entidades u objetos del dominio son
especificadas por el Meta Modelo que es una representacin
comn de la caracterizacin de los artefactos utilizados. De
manera tal, el Modelo del ecosistema es gobernado por el Meta
Modelo Meta Modelo del Ecosistema de Ciberseguridad de
Colombia que representa la formalidad de las entidades
definidas en el apartado III.C (Figura 12) y que describe las
siguientes entidades:
Figura 10. Utilizacin de clones para facilitar lectura
<<Meta>>Sector Pblico.
<<Meta>>Sector Privado.
<<Meta>>Ciudadana.
<<Meta>>Centros de Investigacin.
<<Meta>>Atacantes.
<<Meta>>Infraestructura Crtica.
En la Figura 11 se aprecia la hiptesis del ecosistema, en el

cual se muestran algunas relaciones no descritas en los prrafos
anteriores: las Entidades son responsables de generar IndRcm
que van a permitir la gestin de Riesgos para poder mitigar las
Amenazas que en caso de materializarse conllevan a la
comisin de DelitosInf que perjudican a otras Entidades.
Adems, se puede apreciar que las Capacidades que se
desarrollen pueden conllevar a la comisin de DelitosInf.
Figura 12. Meta Modelo del Ecosistema de Ciberseguridad de Colombia
Figura 11. Hiptesis General del Ecosistema
B. Modelo de Dominio del Ecosistema de

Ciberseguridad de Colombia desde la Ingeniera del
Software
Derivado del proceso iterativo de construccin junto a los
diagrama de influencias y una vez se ha validado la complejidad
del sistema, el ecosistema de Ciberseguridad de Colombia
puede ser instanciado desde la Ingeniera del Software en un
Modelo de Dominio, el cual es desarrollado sobre un diagrama
de clases para exponer las relaciones y acciones que toman las
Es importante sealar que la intencin es destacar el

concepto de Entidad como la concrecin de los elementos
bsicos del Ecosistema de Ciberseguridad de Colombia, es
decir los estereotipos Sector Pblico, Sector Privado,
Ciudadana, Centros de Investigacin, Atacantes e
Infraestructuras Criticas son elementos grficos concluyentes
en el anlisis de los objetos que pertenecen al ecosistema y son
congruentes por si mismos para representar cualquiera de las
entidades.
En la Figura 12 la entidad <<Meta>>Infraestructuras
Crticas se encuentra en dependencia del Sector Pblico y el
Sector Privado debido a que pueden pertenecer a los dos
sectores, aunque no representen una mayor jerarqua en el Meta
Modelo esta relacin plantea que la existencia o instancia de un
objeto por ejemplo <<: Infraestructuras Crticas>> siempre
mantendr al menos un vnculo con uno de los Sectores.
Modelo de Dominio: En el desarrollo de software un
Modelo de Dominio es utilizado en la fase de toma de
requerimientos como primer paso en la identificacin y
formalizacin de objetos (Entidades) y mtodos (Acciones)
presentes en el entorno del problema, el diagrama de clases
resultante contiene una descripcin cualitativa del problema, es
decir, modela el sistema actual. El Modelo de Dominio no
espera generar una trasformacin a un cdigo fuente particular
en un lenguaje de programacin particular, pero si es utilizado
35
para describir el estado actual del sistema utilizando por

ejemplo artefactos del Lenguaje de Modelado Unificado
(UML), en otras palabras es una imagen codificada en UML del
estado actual del sistema.
Partiendo de la presuncin planteada en el Meta Modelo
basado en el resultado del anlisis de cada uno de los
componentes y relaciones estudiados desde la visin clsica
hasta la aplicacin de la dinmica de sistemas en la versin del
diagrama de influencias, el Modelo de Domino se compone de
tres paquetes para agrupar conceptualmente las entidades del
ecosistema de Ciberseguridad en Colombia: Estado, Atacantes
y Sectores.
i. Estado (Figura 13): Compuesto por los organismos y/o
instituciones que cuentan con una relacin directa en temas de
Ciberseguridad a nivel del Sector Pblico:
-
<<Sector Pblico>>Presidente.
<<Sector Pblico>>Congreso.
<<Sector Pblico>>Cancillera.
<<Sector Pblico>> DNI.
<<Sector Pblico>>MinDefensa.
o <<Sector Pblico>>CCP.
o <<Sector Pblico>>CCOC.
o <<Sector Pblico>>ColCERT.
<<Sector Pblico>>DNP.
<<Sector Pblico>>MinTIC.
o <<Sector Pblico>>CRC.
<<Sector Pblico>>MinJusticia.
<<Sector Pblico>>MinCIT.
o <<Sector Pblico>>SIC.
<<Sector Pblico>>MinHacienda.
o <<Sector Pblico>>SFC.
<<Sector Pblico>>Rama Judicial.
<<Sector Pblico>>Fiscala General-CTI
<<Sector Pblico>>Administracin Pblica.
<<Infraestructura Crtica>>Infraestructuras Crticas.
Los elementos expuestos que conforman el conjunto Estado

corresponden con la visn actual del Ecosistema de
Ciberseguridad de Colombia y representa las entidades que al
tomar cualquier accin generan una reaccin que afecta a todos
los dems elementos del sistema, por esta razn la coordinacin
y colaboracin es fundamental en las entidades del Sector
Pblico en el rea de la Ciberseguridad. El paquete tambin
contiene tres interfaces que definen las acciones que podran
llevarse a cabo en trminos de Ciberseguridad, siendo resultado
del anlisis en los diagrama de influencias descritos en el
apartado IV.A.
ii. Atacantes (Figura 14): Entidades con las capacidades
para causar afectacin a otras entidades o activos de las mismas,
cualquier entidad presente en el modelo podra hacer parte de
este grupo en caso que sus acciones conlleven a la comisin de
un delito informtico.
- <<Atacantes>>Hacktivista.
- <<Atacantes>>Hacker.
- <<Atacantes>>Contratista.
- <<Atacantes>>Banda Criminal.
- <<Atacantes>>Grupo Terrorista.
- <<Atacantes>>Empresas Competidoras.
- <<Atacantes>>Empleado Saboteador.
Figura 14. Atacantes
Los Atacantes son una representacin de todas las entidades

vistas como perpetuadoras de delitos informticos, el modelo
muestra estas entidades en un paquete separado pero hay que
tener en cuenta que as como en el paradigma de la
programacin Orientada a Objetos, un objeto puede Heredar
atributos y mtodos de otro, cualquiera de las entidades
presentes en el modelo podrn jugar en algn momento el papel
de Atacante o dicho en trminos del modelo generalizar
comportamientos de una clase Atacante.
Figura 13. Entidades del Estado
iii. Sectores (Figura 15) (Empresas Sector Privado,

Ciudadana, Centros de Investigacin):
- << Sector Privado >>Gran Empresa.
- << Sector Privado >>Pyme.
- << Sector Privado >>Independiente.
- << Sector Privado >>Contratista.
- << Sector Privado >>Financiera.
- << Sector Privado >>TIC.
- <<Infraestructura Crtica>>Infraestructuras Crticas.
- <<Ciudadana>>Usuario Internet.
36
<<Ciudadana>>Usuario Telecomunicaciones.
<<Ciudadana>>Organizaciones Ciudadanas.
<<Ciudadana>>Menores de Edad.
<<Ciudadana>>Residentes.
<<Centros de Investigacin>>Colciencias.
<<Centros de Investigacin>>Academia.
<<Centros de Investigacin>>Centros de Excelencia.
<<Centros de Investigacin>>Think Thank.
<<Centros de Investigacin>> Centros de Innovacin e
Investigacin.
Accin Crtica (Figura 17): Procedimiento y acciones

generales dispuestas por las entidades del estado para la
proteccin del pas ante incidentes de naturaleza ciberntica.
Esta interface fue determinada como una de las derivaciones
con mayor relevancia de las acciones que se toman en los
diferentes grupos del modelo y que representan el esfuerzo
mximo que hace Colombia como pas en temas de
Ciberseguridad.
Figura 17. Acciones Criticas del Estado
Los mtodos, procedimientos o acciones que debe realizar

el Estado son:
- Proteger Soberana (Infraestructuras Crticas).
- Proteger Soberana (Riesgos).
- Mitigar Amenazas (Riesgos, Sanciones).
Accin Sector Pblico (Figura 18): Modela
comportamiento de las entidades del sector pblico.
el
Figura 15. Sectores
Este documento revela qu comportamientos tiene cada uno

de los grupos de entidades con respecto a la Ciberseguridad,
modelados en cuatro interfaces o contratos que en algunos
casos son comunes para una implementacin especfica, estas
acciones son conclusiones de los ciclos presentados en los
diagramas de influencias, por ejemplo el mtodo: Aplicar
Sanciones (Leyes): Recursos, obedece al patrn: Entidad >
Aplicar > Sanciones (->Leyes): ->Recursos, ver Figura 16.
Esto significa que las entidades pueden aplicar sanciones en
base a las leyes y con ello generar nuevos recursos.
Figura 18. Acciones del Sector Pblico
Los mtodos, acciones o procedimientos que debe realizar

el sector pblico son:
- Aplicar Sanciones (Leyes): Recursos.
- Generar Leyes (Reglamentos): Leyes.
- Generar Leyes (Indicadores y Recomendaciones): Leyes.
- Generar Reglamentos (Estrategias): Reglamentos.
- Generar Recursos (Sanciones, Leyes): Recursos.
- Generar Estrategias (Delitos Informticos): Estrategias.
Accin General (Figura 19): Esta interface contiene las
acciones generales que ejecutan las Entidades Colombianas en
temas de Ciberseguridad.
Figura 16. Patrn de Instancia
Figura 19. Acciones Generales de las Entidades
37
Los mtodos, acciones o procedimientos que deben realizar

las Entidades a nivel general son:
- Adquirir Capacidad (Investigacin y Desarrollo):
Capacidades.
- Adquirir Activos (Recursos, Investigacin y Desarrollo):
Activos.
- Denunciar (Delitos Informticos): Sanciones.
- Gestionar Riesgos (Capacidades, Indicadores y
Recomendaciones, Vulnerabilidades): Indicadores y
Recomendaciones.
- Generar Recursos (Activos): Recursos.
- Generar Indicadores y Recomendaciones (Estrategias):
Indicadores y Recomendaciones.
- Generar Estrategias (Delitos Informticos): Estrategias.
- Generar Reglamentos (Estrategias): Reglamentos.
- Identificar
Vulnerabilidades
(Indicadores
y
Recomendaciones): Vulnerabilidades.
- Promover Reglamentos (Estrategias): Reglamentos.
- Realizar Investigacin y Desarrollo (Recursos):
Investigacin y Desarrollo.
Accin Afectar (Figura 20): Interface en la que se define el
comportamiento de las entidades al margen de la ley:
mitigarlos, o los problemas de que sean explotados por las

entidades al margen de la ley; adems se observa que la
soberana, es el nico elemento que no genera influencia a otro,
por lo tanto, se puede ratificar que es el elemento principal a
proteger en el Ecosistema de Ciberseguridad de Colombia junto
a las entidades cuyos recursos y activos se ven perjudicados por
la comisin de Delitos informticos.
Las actividades a realizar en las entidades del diagrama de
dominio presentadas en las interfaces que no generan productos
(Figura 12 a la 20) son las acciones primordiales en el
Ecosistema de Ciberseguridad de Colombia, es decir Proteger
Soberana y mitigar amenazas, lo cual es coherente con los
resultados obtenidos en el diagrama de influencias, los dems
mtodos pueden ser considerados como acciones que deben
aportar a la consecucin de estos dos objetivos primordiales.
El Modelo de Dominio puede utilizarse en el diseo de un
sistema de gestin del conocimiento, orientado a coordinar los
esfuerzos de las entidades colombianas en Ciberseguridad ya
que ha formalizado los objetos, atributos y mtodos presentes
en el ecosistema actual.
Finalmente, se concluye que el anlisis de complejidad
dinmica planteado y concretado en el Modelo de Dominio
permite visualizar la importancia que tiene la Ciberseguridad
como componente fundamental y estratgico de la seguridad
nacional del pas.
AGRADECIMIENTOS
Figura 20. Acciones de Atacantes
Los Mtodos que realizan las entidades al Margen de la Ley

son:
- Afectar Entidad (Delitos Informticos).
- Afectar Activos (Delitos Informticos).
Las relaciones se han omitido en los diagramas para efectos
de simplificacin y mejor comprensin del lector, quien
asociando el paquete como un elemento de relacin puede
visualizar la interaccin entre las entidades.
V.
CONCLUSIONES
El diagrama de las influencias contribuy a la consecucin del

diagrama de dominio mediante el desarrollo de un proceso
iterativo para la comprensin de la complejidad en el trabajo
interdisciplinario de los autores y para especificar un patrn que
facilitara la identificacin de las entidades y sus mtodos para
el diagrama de dominio: a) una entidad corresponde a una
variable en el diagrama de influencias cuya primera letra est
en mayscula; b) una accin corresponde con la unin del
origen y destino de una relacin que llega a una entidad
(primera letra en minscula); c) un insumo es la variable de la
cual llego la relacin a la unin anterior; d) el resultado de dicha
accin son las variables a la que dicha relacin llegar.
En el anlisis que permite realizar el diagrama de influencias
se puede apreciar que los Delitos informticos influyen sobre
cuatro acciones, lo cual permite comprender la importancia de
Los autores expresan agradecimiento a el Departamento

Administrativo de Ciencia, Tecnologa e Innovacin
(Colciencias), al Ministerio de Tecnologas de la Informacin y
la Comunicacin (MinTIC), ya que el artculo se logra como
resultado del proyecto de investigacin Estudio de Viabilidad
para la Creacin de un Observatorio Nacional de
Ciberseguridad de Colombia (ONC_COL), el cual fue
aprobado en la convocatoria 668 de 2014 de Colciencias, para
el fortalecimiento de la Ciberseguridad en las instituciones del
estado. Adicionalmente se agradece a la Entidad Ejecutora del
proyecto: La Universidad Pontificia Bolivariana Seccional
Bucaramanga y a las Empresas Beneficiarias del proyecto: TYT
S.A.S., ISL S.A., ESI de Colombia S.A.S. y TICService
Soluciones S.A.S. Finalmente se agradece a los Consultores
Internacionales de la Empresa EstudNet S.L. quienes han
aportado de manera significativa en el desarrollo del proyecto.
REFERENCIAS
[1] Organizacin de los Estados Americanos, Misin de
Asistencia Tcnica en seguridad ciberntica:
Conclusiones y Recomendaciones, 4 Abril 2014. [En
lnea]. Available:
http://www.oas.org/documents/spa/press/Recomendacio
nes_COLOMBIA_SPA.pdf.. [ltimo acceso: Marzo
2015].
[2] M. G. Oropeza Corts, J. I. Urciaga Garca y G. Ponce
Daz, Importancia Econmica y Social de los Servicios
de los Ecosistemas: Una revisin de la Agenda de
38
[3]
[4]
[5]
[6]
[7]
[8]
[9]
[10]
[11]
[12]
[13]
Investigacin., Revista Global de Negocios, vol. 3, n

2, pp. 103-113, 2015.
A. Garca H. y F. J. Garca P., Anlisis de integracin
de soluciones basadas en software como servicio para la
implantacin de ecosistemas tecnolgicos
corporativos, Repositorio Documental de la
Universidad de Salamanca, Salamanca, 2013.
H. Andrade, I. Dyner, A. Espinosa, H. Lpez y R.
Sotaquir, Pensamiento Sistmico: Diversidad en
bsqueda de Unidad., Universidad Industrial de
Santander, 2001.
U. E. Gmez P., H. Andrade y C. A. Vsquez,
Lineamientos Metodolgicos para construir Ambientes
de Aprendizaje en Sistemas Productivos Agropecuarios
soportados en Dinmica de Sistemas, Informacin
Tecnolgica, 2015.
ISO/IEC, International Standard ISO/IEC 27032:
Information Technology - Security techniques Guidelines for cybersecurity, ISO/IEC, Switzerland,
2012.
Consejo Nacional de Poltica Econmica y Social.
Repblica de Colombia. Departamento Nacional de
Planeacin, Documento CONPES 3701, 14 Julio
2011. [En lnea]. Available:
http://www.mintic.gov.co/portal/604/articles3510_documento.pdf. [ltimo acceso: 12 Junio 2015].
Repblica de Colombia, Constitucin Poltica de
Colombia, 20 Julio 1991. [En lnea]. Available:
http://www.secretariasenado.gov.co/senado/basedoc/con
stitucion_politica_1991.html. [ltimo acceso: Junio
2015].
El Congreso de Colombia, Ley No. 1341, 30 Julio
http://www.mintic.gov.co/portal/604/articles3707_documento.pdf. [ltimo acceso: 12 Junio 2015].
Ministerio de Defensa Nacional, Decreto 1512 de
2000, 11 Agosto 2000. [En lnea]. Available:
http://www.mindefensa.gov.co/irj/go/km/docs/Mindefen
sa/Documentos/descargas/Sobre_el_Ministerio/fondelib
ertad/Dec_1512_2000.pdf. [ltimo acceso: 12 Junio
2015].
Mnisterio de Defensa Nacional, Resolucin 127 de
2012, 25 Enero 2012. [En lnea]. Available:
http://www.icbf.gov.co/cargues/avance/docs/resolucion
_mindefensa_0127_2012.htm. [ltimo acceso: 12 Junio
2015].
Ministerio de Defensa Nacional, Resolucin 3933 de
2013, 6 Junio 2013. [En lnea]. Available:
http://www.icbf.gov.co/cargues/avance/docs/resolucion
_mindefensa_3933_2013.htm. [ltimo acceso: 12 Junio
2015].
Presidente de la Repblica de Colombia, Decreto 3355
de 2009, 7 Septiembre 2009. [En lnea]. Available:
https://www.cancilleria.gov.co/sites/default/files/Normo
grama/docs/decreto_3355_2009.htm. [ltimo acceso:
Junio 2015].
[14] Departamento Nacional de Planeacin, Subdireccin

de Seguridad y Defensa, Gobierno de Colombia, 12
Junio 2015. [En lnea]. Available:
https://www.dnp.gov.co/programas/justicia-seguridady-gobierno/Paginas/subdireccion-de-seguridad-ydefensa.aspx. [ltimo acceso: 2012 Junio 2015].
[15] Departamento Administrativo de la Funcin Pblica,
Decreto Nmero 2897 de 2011, 11 Agosto 2011. [En
lnea]. Available:
http://wsp.presidencia.gov.co/Normativa/Decretos/2011
/Documents/Agosto/11/dec289711082011.pdf. [ltimo
acceso: Junio 2015].
[16] Ministerio de Hacienda y Crdito Pblico, Ministerio
de Hacienda y Crdito Pblico - Conoces el
Ministerio?, Gobierno de Colombia, Junio 2015. [En
lnea]. Available:
http://www.minhacienda.gov.co/HomeMinhacienda/elm
inisterio. [ltimo acceso: 12 Junio 2015].
[17] Ministerio de Comercio, Industrial y Turismo, Misin,
Visin, Objetivos, Normas y Principios ticos,
Gobierno de Colombia, 17 Abril 2015. [En lnea].
Available:
http://www.mincit.gov.co/publicaciones.php?id=13..
[ltimo acceso: Junio 2015].
[18] Superintendencia Financiera de Colombia, Acerca de
la Superintentencia Finanaciera de Colombia,
Ministerio de Hacienda y Crdito Pblico, 12 Junio
https://www.superfinanciera.gov.co/jsp/loader.jsf?lServi
cio=Publicaciones&lTipo=publicaciones&lFuncion=loa
dContenidoPublicacion&id=60607#funciones2. [ltimo
acceso: Junio 2015].
[19] Superintendencia Financiera de Colombia, Circular
Externa 052 de 2007, 25 Octubre 2007. [En lnea].
Available:
https://www.google.com.co/url?sa=t&rct=j&q=&esrc=s
&source=web&cd=1&ved=0CBwQFjAAahUKEwiY8p
W6uI3GAhXnY4wKHQ7xA3E&url=https%3A%2F%2
Fwww.superfinanciera.gov.co%2FSFCant%2FConsumi
dorFinanciero%2Fce05207.docx&ei=YYl8Vdi9JOfHsQ
SO4o-IBw&usg=AFQjCNFPYEEiulxeSJWtI. [ltimo
acceso: 12 Junio 2015].
[20] El Congreso de Colombia, Ley Estatutaria No. 1581,
17 Octubre 2012. [En lnea]. Available:
http://www.sic.gov.co/drupal/sites/default/files/normati
vidad/Ley_1581_2012.pdf. [ltimo acceso: 12 Junio
2015].
[21] Departamento de Seguridad Nacional de Espaa,
Estrategia de Seguridad Nacional, Madrid, 2013.
[22] G. Booch, J. Rumbaugh y i. Jacoboson, El lenguaje
Unificado de Modelado, Madrid: Pearson, 2004.
[23] Congreso de la Repblica de Colombia, Ley 1121 de
2006, 29 Diciembre 2006. [En lnea]. Available:
https://www.uiaf.gov.co/#. [ltimo acceso: Junio 2015].
39
Anglica Flrez Abril, Master in Systems and Computer

Engineering from Universidad de los Andes, Bogot (2002).
Systems Engineer from Universidad Francisco de Paula
Santander, Ccuta, Colombia (1998). Associate Professor at
the Systems and Informatics Engineering Faculty, Universidad
Pontificia Bolivariana at Bucaramanga. Her current research
interests are in the computer networking and information
security areas. Member of Research Group in Informatic Engineering
(GIINFO).
Lenin Javier Serrano Gil, Master in Management,
Application and Software Development from Universidad
Autnoma at Bucaramanga. Computer Security Specialist and
Computer Engineer from Universidad Pontificia Bolivariana
at Bucaramanga. Telecommunications Technologist from
Unidades Tecnolgicas de Santander. Full-time Professor at
the Systems and Informatics Engineering Faculty,
Universidad Pontificia Bolivariana at Bucaramanga. Member of Research
Group in Informatic Engineering (GIINFO).
Urbano Elicer Gmez Prada, Master in Engineering in
Computer Sciences and Systems Engineer from Universidad
Industrial de Santander. Full-time Professor at the Systems
and Informatics Engineering Faculty, Universidad Pontificia
Bolivariana at Bucaramanga. Member of Comunidad
Colombiana de Dinmica de Sistemas. Member of Research
Group in Informatic Engineering (GIINFO).
Luis Eduardo Surez Caicedo, Master in Business
Administration, ITESM (Mexico) in partnership with
Universidad Autnoma de Bucaramanga. Economist of
University Santo Toms - Bucaramanga. Associate Professor
of Industrial Engineering Faculty, Universidad Pontificia
Bolivariana at Bucaramanga, member of Research Group in
Business, Education and Information, Comunication
Technologies (GeeTIC ).
Alejandro Villarraga Plaza, Magister E-Learning
Universitat Oberta de Catalunya and Universidad Autnoma
de Bucaramanga,
degree in International Business
Universidad Pontificia Bolivariana. Business Management at
Universidad de La Sabana, Bogot. Associate Professor of
Estrategic Businnes School in
Universidad Pontificia
Bolivariana, member of Research Group in Business,
Education and Information and Communication Technologies (GeeTIC).
Hugo Armando Rodrguez Vera, degree in intellectual
property and new technologies from the Universidad
Externado de Colombia, lawyer of the Pontificia Universidad
Javeriana, assistant professor from the law school of the
Universidad Pontificia Bolivariana and legal consultant on
intellectual property and new technologies.
40
El uso de contrasenas, un mundo lejos de la

extincion: Un Estudio Emprico
Rolando P. Reyes Ch.
Oscar Dieste
Efran R. Fonseca C.
Departamento de Ciencias
Departamento de Ingeniera
Departamento de Seguridad
de la Computacion
de Software
y Defensa
Universidad de las Fuerzas Armadas ESPE Univesidad Politecnica de Madrid Universidad de las Fuerzas Armadas ESPE
Sangolqu, Ecuador
Madrid, Espana
Sangolqu, Ecuador
Email: erfonseca@espe.edu.ec
Email: odiste@fi.upm.es
Email: rpreyes@armada.mil.ec
AbstractAntecedentes: En la actualidad los sistemas de

informacion utilizan distintos mecanismos de seguridad para
permitir el acceso a sus funcionalidades a usuarios identificados,
el modo mas comun
de validacion. Existen
siendo las contrasenas
varias polticas y normas (unas mas estrictas que otras) para la
siguen siendo
creacion de contrasenas;
sin embargo, e stas aun
vulnerables. Objetivo: Conocer las vulnerabilidades de diferentes
propuestos para el presente
niveles de complejidad de contrasenas
estudio, as como conocer los tipos de contrasenas

usados en
los ataques, tipos de atacantes y su procedencia. Metodo: Esta
investigacion fue llevada a cabo a traves de un estudio emprico
basado en un experimento controlado. El estudio se fundamento
en la utilizacion de honeypots para emular un servidor SSH,
el cual fue expuesto al internet durante un tiempo aproximado
de 30 das. Resultados: Se registro un gran numero

de ataques,
nivel de complejidad
los cuales no llegaron a vulnerar ningun
propuestos. Conclusion: A pesar que no fueron
de contrasenas
vulnerados los niveles de complejidad propuestos, se considera
que un incremento en el factor tiempo, podra permitir que dichos
niveles sean vulnerados.
Keywords: experimento controlado, vulnerabilidad, contrasena, entropa, ataque, honeypot.

I.
I NTRODUCCI ON
Independientemente de la informacion que desean proteger

los usuarios, de la tecnologa utilizada para tal efecto y de la
potencial consecuencia de una intrusion; las contrasenas se han
convertido en el medio de seguridad mas habitual de acceso a
informacion digital de toda ndole [1, 2]. Las personas y empresas utilizan contrasenas con el afan de proteger todo tipo de
recursos (ej. correo electronico, bancos, portales, citas, sitios
de redes sociales, etc.) [3, 2]. Sin embargo, las contrasenas
que utilizan los usuarios han demostrado ser vulnerables a
potenciales amenazas que atentan contra la privacidad de la
informacion [4].
Existen estudios tales como el de Yan et al. [5] y el de
Florencio et al. [3], que han determinado que la memoria
humana no gestiona adecuadamente una cantidad considerable
de contrasenas. Por ejemplo, para un usuario que maneja 30
cuentas, le resultara muy complejo recordar 30 contrasenas
distintas, mas aun, si su complejidad es alta. Esto ha obligado a
que los usuarios seleccionen un numero menor de contrasenas
de las que realmente necesitan [6]. En otras palabras, los
usuarios se esfuerzan por recordar entre 5 o 6 contrasenas,
y las distribuyen entre todas su cuentas, o simplemente usan

como contrasena a una combinacion entre ellas [3].
Desde esta perspectiva, se podra indicar que la complejidad de las contrasenas es directamente proporcional a
su seguridad; es decir, mientras mas compleja se torna
una contrasena, su seguridad es mayor. La complejidad
de las contrasenas es una problematica que se acrecienta
cuando los usuarios definen sus contrasenas en base a
supuestos parametros basicos de creacion, tales como: facil
de recordar , segura , etc. Por ejemplo, para el caso de las
polticas de creacion de contrasenas que requieren la inclusion
de al menos tres dgitos como parte de la contrasena, el
cumplimiento de esta poltica por parte del usuario se limita
en la mayora de casos a simplemente anadir 123 en uno
de los extremo de su contrasena, convirtiendola en insegura y
candidata a ser vulnerada [7].
Existen otros metodos con diferentes factores de autenticacion como por ejemplo: biometricos, faciales, etc., como
sustitutos o complementos para las contrasenas; justamente
para evitar el desfase de la aplicacion de las polticas de
creacion de contrasenas. No obstante, estos metodos tienen
problemas de costos elevados y complejidad en su aplicacion
[2].
En la actualidad, el estudio de la tematica de contrasenas
ha motivado mucha investigacion, dada su incidencia en el da
a da de la vida cotidiana de las personas y de las empresas.
Como producto de dicha investigacion se han obtenido resultados importantes, lo cual motivo el presente estudio. Mas especficamente, esta investigacion se basa en el experimento de
Colombini et al. [4], el cual propone verificar la vulnerabilidad
de las contrasenas en funcion de su complejidad. No obstante,
nuestro experimento vara en el hecho de que se elaboraron tres
niveles de complejidad de contrasenas (Alto, Medio y Bajo)
con el fin de estudiar la vulnerabilidad de estos. Los niveles
de complejidad estan basados en distintos estudios empricos
tales como: [1, 8, 9, 10, 4, 7].
Con el proposito de operacionalizar el experimento, las
contrasenas fueron definidas dentro de un servidor SSH simulado sobre un honeypot, de tal forma que su asignacion sea
aleatoria. Adicionalmente, el uso del honeypot permitio emular
las vulnerabilidades de un sistema operativo con el proposito
de atraer, capturar y analizar ataques ciberneticos [4, 11].
El estudio emprico fue llevado a cabo en la Universidad
41
REYES et al.: El uso de contraseas
de las Fuerzas Armadas ESPE de Ecuador, durante un periodo

de treinta das, sobre la red publica del CEDIA (Consorcio
Ecuatoriano para el Desarrollo de Internet Avanzado). Los
resultados obtenidos de este estudio muestran que durante el
periodo de estudio propuesto se perpetraron 407.029 ataques
procedentes de distintos lugares del mundo, de los cuales
ningun ataque comprometio los niveles de complejidad de
contrasenas propuestos (Alto, Medio, Bajo). Sin embargo, se
registro un total de 140.036 sesiones provenientes de 579
direcciones IP y 124.387 contrasenas de distintos niveles de
complejidad, que fueron inyectadas utilizando 14 diferentes
tipos de clientes SSH (ej. Putty, Paramiko, etc.).
La estructura del artculo es la siguiente: en la seccion II, se
analiza la literatura referente a la elaboracion y mediciones de
contrasenas en distintos estudios empricos. En la seccion III,
se hace e nfasis en la problematica de la entropa y se proporciona el detalle de los niveles de complejidad de contrasenas
establecidos para el experimento. En la seccion IV, se presenta
el diseno experimental enfocado en las vulnerabilidades de los
niveles de complejidad planteados. En la seccion V, se detalla
la ejecucion y resultados del experimento. En la seccion VI, se
presentan las conclusiones y lecciones aprendidas. Finalmente,
en la seccion VII, se presenta una discusion de los resultados
obtenidos y sus implicaciones.
II.
a usuarios reales. Los autores enfatizan que mientras las contrasenas sigan siendo formuladas por la
memoria humana, seran vulnerables a los ataques de
diccionarios-inteligentes .
c.
Yan et al. [5] realizaron un ensayo controlado con el

fin de medir la seguridad de 300 contrasenas creadas
a partir de: diccionarios, fichas mnemotecnicas y
contrasenas aleatorias. Las contrasenas seleccionadas
para el estudio fueron en promedio de entre 6, 7
y 8 caracteres de longitud. El 32% de estas contrasenas fueron vulneradas mediante un ataque basado
en diccionario, mientras que las contrasenas basadas
en frases mnemotecnicas y aleatorias, fueron difciles
de ser vulneradas. Este estudio es considerado como
uno de los primeros experimentos en donde se usaron fichas mnemotecnicas para la formacion de contrasenas y el primer paso hacia una mejor comprension
de los aspectos de la psicologa aplicada en la seguridad informatica.
d.
Wu [14] en su estudio, recogio mas de 25 mil contrasenas a partir de Kerberos v4, con el fin de intentar
vulnerar su seguridad. Durante su experimento logro
vulnerar solo 8.1% de las contrasenas. Con los resultados concluyo que el bajo porcentaje de contrasenas
vulneradas se debio a la complejidad computacional
de la formulacion de contrasenas de Kerberos v4.
Discute la naturaleza de la debilidad de Kerberos v4
y el peligro que e ste supone.
e.
Cazier y Medlin [15] examinaron las contrasenas

creadas por los clientes de un sitio web de comercio
electronico, con el fin de investigar la relacion entre la
longitud y la vulnerabilidad de la contrasena frente a
un ataque de fuerza bruta. Concluyeron que el 61.2%
de 520 contrasenas tomadas para su estudio, fueron
vulneradas en menos de 10 horas con metodos de
diccionarios y ataques de fuerza bruta. Este estudio
evidencio la necesidad de fortalecer las investigaciones
relacionadas a la creacion de contrasenas.
A NTECEDENTES
La mayora de sistemas actuales utilizan algun modo de

identificacion de usuarios para dar acceso a sus funcionalidades. El modo de identificacion tradicional se basa en el
uso de contrasenas. La administracion de las contrasenas generalmente es de responsabilidad de cada usuario al momento
de su seleccion. Sin embargo, para que esta seleccion sea
sustentada bajo un esquema de seguridad, los administradores
de los sistemas establecen polticas especficas referentes a
la seleccion de las contrasenas en lo tocante a: su longitud,
caracteres menos usados, etc.
No obstante, los estudios realizados hasta la fecha respecto
a esta tematica, presentan un panorama bastante sombro
respecto a las vulnerabilidades de las contrasenas, pese a la
existencia de polticas especficas y estudios referentes a la
creacion de contrasenas.
a.
Morris y Thompson [12] presentaron un estudio donde

idearon varios disenos de esquemas de seguridad de
contrasenas con el objetivo de proporcionar una mejor
seguridad. Los resultados de este estudio revelaron que
aproximadamente el 30% de 3.000 contrasenas fueron
vulneradas durante un ataque de diccionario formado
de 250.000 palabras conocidas. Asimismo, se utilizo
un ataque por fuerza bruta sobre el mismo numero de
contrasenas de estudio, de las cuales fueron vulneradas
el 86% de las contrasenas.
b.
Narayanan y Shmatikov [13] experimentaron con la

medicion de seguridad de contrasenas, con el fin de
disminuir la vulnerabilidad de las contrasenas atacadas
por fuerza bruta. El estudio utilizo un ataque sistematico basado en fuerza bruta de series de Markov.
Los resultados de este estudio determinaron la vulnerabilidad del 67.6% de 142 contrasenas consideradas
para el estudio. Estas contrasenas eran pertenecientes
Estos estudios ponen de manifiesto que no resulta sencillo

determinar un nivel de complejidad de las contrasenas en
relacion a la seguridad que e stas deben brindar. Por ejemplo,
en el caso de la longitud de una contrasena, se ha llegado
a concluir que no representa un sinonimo de aumento en
la seguridad; es decir que, considerar a la longitud (sea
esta demasiado pequena o demasiado grande) como parte
de un nivel de complejidad de una contrasena, podra ser
igualmente comprometida [8]. Por el contrario, la longitud de
una contrasena se la ha relacionado directamente al tiempo
en que esta puede ser vulnerada [2]. Lo mismo sucede con
las contrasenas basadas en diccionario, en las que el usuario
coloca una falta de ortografa a proposito , con el fin de
ofrecer cierta proteccion contra ataques de diccionario [10].
III.
N IVELES DE C OMPLEJIDAD DE C ONTRASE NAS
Un detalle importante que nos llamo la atencion sobre los

estudios descritos en la seccion II, es que ninguno baso su
investigacion en el nivel de complejidad de las contrasenas que
las polticas actuales podran ofrecer. Por ejemplo, las polticas
de creacion de contrasenas de la NIST SP800-63 [7].
42
La NIST SP 800-631 es considerada como el documento

mas influyente en la elaboracion de polticas de creacion
de contrasenas. Sus recomendaciones han llegado a ser la
base para la generacion de polticas de contrasena de varios
gobiernos e industrias [7]. La base metodologica de la NIST
SP800-63, se centra en la puntuacion de la Entropa de
Shannon para la estimacion de la resistencia de la contrasena,
esto con el fin de emitir polticas de creacion y/o generacion
de contrasenas [7].
El termino entropa fue introducido por primera vez por
Claude Shannon [7] como una medida de los problemas en
el contexto de la comunicacion. Sin embargo, de acuerdo a
teoras de la informacion, el termino entropa se utiliza como
una medida de contenido de informacion [10]. La entropa es
una medida de incertidumbre de un fenomeno que es aleatorio
[5]. Es por ello que la puntuacion de la entropa de Shannon,
considera a los caracteres y numeros como un valor a nivel de
bits. Por ejemplo, el primer caracter de una contrasena se le
representa como 4 bits, y los proximos 7 caracteres son 2 bits
por caracter, entre otros [5].
No obstante, existen autores como Malone & Maher [10],
Weir et al. [7] y Florencio et al. [1]; que afirman que el uso de
la Entropa de Shannon utilizada en las recomendaciones de
la NIST SP800-63 [7], no es una metrica eficaz para medir la
seguridad de contrasena (sin arrojar dispersiones sobre el resto
del documento NIST SP800-63 [7]). Como consecuencia, los
autores afirman que las contrasenas creadas a partir de esta
entropa resultan ser faciles de adivinar, dado que el tipo de
entropa base de este documento, no se relaciona directamente
con el parametro de adivinanza de una contrasena [10]. As
mismo, senalaron que no se podra proponer una manera de
convertir la nocion de la Entropa de Shannon en una entropa
mas realista basada en adivinanzas o probabilidades [7]. En
la actualidad existen varias propuestas de entropas que estan
basadas en adivinanzas, las cuales podran soportar de manera
aceptable un ataque a sus contrasenas [13]. Sin embargo, en
algunos estudios a estas propuestas de entropas las consideran
como de nivel bajo [10].
La perspectiva anterior, da una idea de que los valores
o medidas de entropa usados en las polticas de creacion
de contrasenas, posiblemente son ingenuos o no reales al
momento de estimar o construir contrasenas con un nivel de
complejidad aceptable de seguridad durante un ataque (ej.
fuerza bruta, ataque de diccionario, etc.) [2, 1]. A esto se
agrega, una comprension equivocada de la eficacia de las
entropas (especialmente de la NIST SP 800-63) en relacion a
las tecnicas de ataques actuales y a la omision del cumplimiento de polticas de creacion de contrasenas por parte de los
usuarios. Por ejemplo, aplicar la poltica de incluir al menos
tres dgitos en una contrasena, probablemente el resultado del
cumplimento por parte del usuario sea simplemente anadir
123 en el extremo final de su contrasena, convirtiendola
en una contrasena insegura y candidata a ser vulnerada [7].
Este caso, incluso se presenta en portales web donde se
maneja sistemas de validacion automatica de contrasenas, los
cuales suponen validaciones para que el usuario elija supuestas
contrasenas fuertes, o no reutilizables [1].
Para el presente estudio emprico, creamos una catego1 NIST
Electronic Authentication Guideline
rizacion de niveles de complejidad de contrasenas. Para ello, se

considero como base el resultado de varios estudios empricos
que analizaron distintos parametros o variables para la elaboracion de contrasenas, por ejemplo: longitud, probabilidad
de uso de ciertos caracteres y/o numeros, probabilidad de
adivinanza de ciertos caracteres y/o numeros, frecuencia de
uso de distintos tipos de caracteres especiales, probabilidad de
posiciones de caracteres o dgitos, entre otros [1, 8, 9, 10, 4].
Creemos que las recomendaciones de estas propuestas pueden
aportar positivamente en la construccion de niveles de complejidad de contrasenas que sean al menos difciles de vulnerar.
En base a las recomendaciones recopiladas creamos tres
niveles de complejidad de contrasenas:
A. Contrasenas de Nivel de Complejidad Bajo
Consideramos contrasenas de nivel de complejidad bajo,
a aquellas contrasenas que son faciles de recordar, y que
comunmente utilizan los usuarios. Estas contrasenas (en varios
estudios) son consideradas como debiles, ya que han sido vulneradas en varios robos; algunos de ellos, bastante publicitados
[8, 9]. Son contrasenas reutilizables, predecibles, faciles de
usar, faciles de adivinar y romper, con baja sofisticacion [8] o
que se utilizan con gran frecuencia [9]. Las caractersticas de
esta categora de contrasenas son:
a.
Estan basadas en informacion personal, por ejemplo:

nombres, fechas de boda o nacimiento, o cualquier
palabra facil de recordar que tenga relacion con la
parte emocional / afectiva de los usuarios [2, 10].
b.
Estan relacionadas con la demografa de los usuarios

o con el lugar en que residen [10].
c.
Responden a reglas simples de generacion de

contrasenas, tales como: Juliet03 para marzo,
Juliet04 para abril, y as sucesivamente [5].
B. Contrasenas de Nivel de Complejidad Medio

Consisten en una evolucion de las contrasenas de nivel de
complejidad bajo. El usuario incrementa la complejidad de su
contrasena, manteniendo la misma contrasena de nivel bajo
pero suplantado los caracteres originales por caracteres especiales o similares o simplemente agregando faltas ortograficas
[10]. Las caractersticas de este tipo de contrasenas son:
a.
Contrasenas basadas en diccionario o nombres comunes con transformaciones de uso comun. Por ejemplo: sustitucion de la letra s por $ , @ en lugar
de la letra a , dgitos por letras, entre otros [10].
b.
Contrasenas basadas en la union de palabras de diccionario, donde el usuario agrega cierto nivel de transformacion. Por ejemplo, la palabra full y la palabra
love formara la contrasena: fu111ove o fu11l0ve [8].
c.
Contrasenas en las que intencionalmente son colocadas faltas ortograficas, con el fin de ofrecer cierta
proteccion contra los ataques de diccionario. Por ejemplo: Amhor en lugar de Amor [10].
Aparentemente a este tipo de estrategias se le ha considerado como una tendencia, por ser supuestamente segura . Sin
embargo, Malone y Maher [10] detectaron que JohnTheRipper,
43
Hashcat, y oclHashcat son herramientas que actualmente combinan diccionarios - inteligentes que sustituyen caracteres
alfabeticos de palabras de diccionarios por caracteres especiales y dgitos.
H0 : No existe diferencia en la vulnerabilidad de los distintos niveles de complejidad de contrasenas (Alto, Medio y
Bajo).
C. Contrasenas de Nivel de Complejidad Alto
H1a : El nivel de complejidad de contrasenas bajo es

mas vulnerable que el resto de niveles de complejidad de
contrasenas (Alto y Medio).
Son contrasenas que utilizan alguna tecnica que permite

elevar la seguridad de la contrasena. Las caractersticas de esta
categora de clasificacion se detallan a continuacion:
H1b : El nivel de complejidad de contrasenas medio es

mas vulnerable que el resto de niveles de complejidad de
contrasenas (Alto y Bajo).
a.
Contrasenas que no estan presentes en el diccionario

real [1].
b.
Contrasenas aleatorias formadas por un hash de letras,

caracteres especiales y numeros [9].
c.
Contrasenas consideradas seguras y simples que los

usuarios elaboran o eligen a partir de colecciones
aleatorias de caracteres [1].
d.
Contrasenas que son elaboradas mediante tecnicas

de memoria, o fichas mnemotecnicas, que ayudan a
recordar como descodificar su contrasena [10]. Por
ejemplo, utilizar las primeras letras de una frase (que
no debe ser bien conocida): An apple a day keeps the
doctor away se obtiene la contrasena: Aaadktda; o de
My dogs first name is Rex, se obtiene la contrasena:
MdfniR [5].
Estas tecnicas ayudan al usuario con la elaboracion de

contrasenas que podra ser mas seguras, debido a que podran
tomar mas tiempo al atacante para llegar a vulnerarla. Considerando ese intervalo de tiempo como el justo y necesario
como para realizar el cambio de contrasena [4].
IV.
E XPERIMENTAL
D ISE NO
El diseno experimental planteado para el experimento

siguio las guas para la presentacion de reportes experimentales
de Ingeniera de Software propuestas por Jedlischka y Pfahl
[16].
A. Objetivo, Preguntas de Investigacion e Hipotesis del Experimento
El objetivo de la investigacion es analizar la vulnerabilidad
de los niveles de complejidad de contrasenas planteados en la
seccion III, a traves de la instanciacion de un experimento
controlado.
Como gua y orientacion para alcanzar el objetivo de esta
investigacion, fueron planteadas las siguientes preguntas de
investigacion:
R01:
Son mas vulnerables las contrasenas de nivel de

complejidad Bajo en relacion a sus similares?
R02:
Que niveles de complejidad de contrasenas son usadas con mas frecuencia durante los ataques en tiempo
real?
R03:
Que tipos de atacantes son mas frecuentes?
R04:
Cual es la procedencia de los atacantes?
Las hipotesis experimentales planteadas son las siguientes:
H1c : El nivel de complejidad de contrasenas alto es mas

vulnerable que el resto de niveles de complejidad de contrasenas (Medio y Bajo).
Cabe recalcar que este experimento es de caracter confirmatorio y se podra asumir que las contrasenas de nivel alto
seran mas difciles de vulnerar que las contrasenas de nivel
medio, y que estas a su vez estas son mas difciles de vulnerar
que las contrasenas de nivel bajo [1, 8, 9, 10, 4]. Por lo tanto,
para este estudio se preve utilizar una prueba de hipotesis de
una cola.
B. Variable Dependiente
La variable dependiente estudiada es la vulnerabilidad de
los niveles de complejidad de las contrasenas indicados en
la seccion III. No existe una metrica ampliamente aceptada
para medir esta variable. En la literatura [1, 8, 9, 10, 4] se
utilizan con frecuencia las metricas: Porcentaje (%) de ataques
exitosos y el tiempo que se tarda un atacante en obtener un
ataque exitoso. En el contexto del presente experimento, nos
ha parecido adecuado operacionalizar la vulnerabilidad como
el porcentaje (%) de intentos exitosos (se traten de adivinanzas
aisladas, ataques de diccionario, ataques de fuerza bruta, etc.)
sobre el total de intentos realizados durante el experimento.
C. Factor
El factor que servira para comparar la seguridad de las
contrasenas es el nivel de seguridad y tiene tres niveles: Alto,
Medio, Bajo, tal y como se deriva de la seccion III.
D. Seleccion de Sujetos
Para la seleccion de sujetos, no se utilizo muestreo sobre
una poblacion conocida, sino que utilizaremos como sujetos a
cualquier tipo de atacante que acceda a nuestra infraestructura
experimental. Esta forma de proceder, evita varios problemas
practicos. Por un lado, no es facil localizar sujetos con la
pericia suficiente para atacar contrasenas, y por otro lado,
formar sujetos para este experimento hara que el ataque fuese
tambien construyente sobre la formacion impartida, y no sobre
el nivel de complejidad de las contrasenas en s mismas.
Es por ello que seleccionar a los atacantes provenientes del
internet, asegura la representatividad de los ataques y convierte
la validez externa del experimento.
E. Asignacion de los sujetos a factores
La asignacion de sujetos a los factores ha sido realizada
mediante una asignacion al azar; es decir, por cada vez que
un atacante intenta acceder a la infraestructura, se le asigna
aleatoriamente un nivel de complejidad de contrasenas. Es por
44
ello que el tamano de cada grupo esta dado por el numero de

atacantes que aparezcan durante el experimento. Al finalizar
el experimento se podra tener una idea clara del tamano de
cada grupo asignado al nivel de complejidad de contrasena
correspondiente (Alto, Medio, Bajo).
F. Objeto Experimental
En la Tabla I, se describen contrasenas elaboradas de
acuerdo a los parametros descritos en cada uno de los niveles
complejidad indicados en la seccion III. Cabe recalcar que a
mas de dichos parametros, para la formacion de estas contrasenas, se utilizo los resultados encontrados en la literatura
[1, 8, 9, 10, 4]:
Ingles
Espanol
TABLE I.
No.
1
2
3
4
5
6
7
8
9
Alto
13ILPSSG@F
7TC@S@MBS5
5@GIG2MW@D
&DTME*HP13
13G/GF*G/G
5@*BCIS*@5
13ILPSSG@F
7TC@S@MBS5
5@GIG2MW@D
Medio
S0c4Cer3
F!0.w4er
L0.vE 12
Ma!!f0.y
Ze4.us12
MaDr!d.4
Fut4b0!1
F!O.r4es
Am.0r 12
Bajo
Soccer1
Flower2
Love123
Malfoy2
Zeus123
Madrid2
Futbol1
Flores2
Amor123
C ONTRASE NAS
POR NIVELES DE COMPLEJIDAD .
Cada columna de la Tabla I representa un nivel de complejidad detallado en la seccion III y cada fila se encuentra
relacionada entre s. Por ejemplo, en la fila 1, encontramos
la contrasena de nivel de complejidad bajo que se refiere
a un deporte comunmente conocido: Soccer1. Esta misma
palabra fue elevada a una complejidad de nivel medio, donde se
incluyeron ciertas transformaciones (ej. la letra o sustituida
por 0): S0c4Cer3. Finalmente, esta contrasena fue elevada a
un nivel de complejidad alto, utilizando una frase recordatoria, y extrayendo las letras iniciales de cada palabra (ej.
ficha nemotecnica del usuario): [I] [L]ove [P]laying [S]occer,
[S]coring [G]oals [A]nd [F]aults: 13ILPSSG@F. Para el uso
y posicion de dgitos y caracteres especiales nos basamos en
las probabilidades del estudio de Weir et al. [7].
Las filas 1 a 6 son contrasenas que se encuentran en el
idioma Ingles. Las filas 7 a 9 son sus similares en Espanol de
las filas 1 al 3.
G. Tarea Experimental
La tarea experimental consiste en la realizacion de ataques
con el proposito de vulnerar el conjunto de contrasenas de
distintos niveles de complejidad propuestos. Consideramos
que los sujetos experimentales (atacantes) son competentes
para llevar a cabo la tarea experimental; es decir, tienen el
conocimiento necesario para formular un ataque a las contrasenas propuestas, hasta llegar a vulnerarlas. Cada sesion
realizada para perpetrar un ataque queda en manos de los
atacantes, sin que haya posibilidad alguna de limitacion o
control.
H. Instrumentacion
La instrumentacion del experimento es relativamente simple. Consiste en la utilizacion de un u nico Honeypot de
mediana interaccion. Este Honeypot se encuentra conectado
a la red del CEDIA en la Universidad de las Fuerzas Armadas
ESPE, emulando las vulnerabilidades de un sistema, con el
fin de atraer, capturar y analizar los ataques ciberneticos

perpetrados hacia las contrasenas [4]. No obstante, para que
la instrumentacion tenga un nivel experimental, el honeypot fue modificado hasta obtener la capacidad automatica
de aleatorizacion de niveles de complejidad de contrasenas
(Alto, Medio y Bajo). Esta caracterstica, permite cumplir con
los requerimientos necesarios para ejecutar un experimento
controlado, y cumplir con las teoras experimentales de Fisher
[16].
En la Figura 1 se muestra la configuracion interna del
honeypot modificado. Basicamente consta de tres logs, donde
se almacenan los ataques para cada nivel de complejidad
de contrasenas (Ver subseccion IV-F). El procedimiento de
asignacion aleatoria es el siguiente: cuando un atacante trata
de vulnerar el honeypot por primera vez, e ste le asigna
aleatoriamente un nivel de complejidad de contrasena, el cual
se mantiene durante toda la vida del ataque, es decir, si
el atacante vuelve a intentar ingresar al honeypot en varias
instancias, el atacante recibe el mismo nivel de complejidad
de contrasena asignado en la primera vez. Adicionalmente,
el honeypot permite soportar ataques de herramientas como:
diccionarios, ataques de fuerza bruta, entre otros.
Fig. 1.
Configuracion del Honeypot Experimental
I. Procedimiento de Medicion
Durante cada sesion de ataques, el honeyPot almacena
la informacion generada en varios logs. El honeypot posee
un log por cada nivel de complejidad de contrasena, a fin
poder obtener una mejor organizacion de los resultados. La
informacion obtenida para la medicion, esta organizada de
acuerdo a los siguientes parametros: Ip de origen, contrasena
usada, login utilizado, hora de ataque, tiempo de inicio de
sesion, tiempo de finalizacion de la sesion, duracion del ataque,
entre otros.
V.
Y R ESULTADOS DEL E XPERIMENTO

E JECUCI ON
A. Ejecucion del Experimento

El estudio se inicio el da viernes 13 de marzo del 2015 a
las 14:30 (GMT-5) hora de Ecuador, utilizando una IP publica
perteneciente a la red del CEDIA asignada a la Universidad
de las Fuerzas Armadas ESPE. El estudio culmino el da 08
de abril de 2015 a las 14:30 (GMT-5) hora de Ecuador.
Durante el tiempo de ejecucion del estudio, se registro un
total de 407.029 ataques realizados en varias sesiones, de los
45
cuales ninguno fue exitoso. Se verifico la existencia de un

total de 140.036 sesiones provenientes de 579 Ips de distintos
sitios del mundo. Se utilizaron un total de 124.387 contrasenas
distintas durante los ataques utilizando 14 diferentes clientes
SSH (ej. Putty). En la Tabla II se muestra a detalle el numero
de IPs, numero de sesiones y numero de ataques por cada nivel
de complejidad de contrasena propuesto (Alto, Medio, Bajo).
Nivel
BAJO
MEDIO
ALTO
TABLE II.
Numero de Ips
225
139
215
Numero de Sesiones
69.359
13.289
57.388
Numero de Intentos
204.188
35.449
167.334
IP S , S ESIONES E I NTENTOS POR N IVEL DE SEGURIDAD
B. Caracterizacion de la Poblacion
Nivel
BAJO
MEDIO
ALTO
TABLE IV.
Intentos por IP
907,5
255,0
778,3
Sesiones por Ip
308,3
95,6
266,9
Intentos por Sesion

2,9
2,7
2,9
P ROMEDIO DE SESIONES Y ATAQUES DURANTE EL

ESTUDIO
C. Caracterizacion de los ataques

Con referencia a la caracterizacion de los ataques, se
obtuvo que el numero de sesiones iniciadas para los ataques
en cada nivel de complejidad de las contrasenas; el nivel
de complejidad Bajo se lleva el mayor numero numero de
sesiones: 69.359, frente al nivel de complejidad Medio con el
menor numero numero de sesiones: 13.289 sesiones.(Ver Fig.
2).
La poblacion de atacantes fue obtenida a partir de los logs

del honeypot. Esta poblacion se la pudo desglosar en ataques
provenientes de: China (72.7%) y Hong Kong (12,3%); siendo
estos dos lugares, los orgenes de donde se produjeron el mayor
numero de ataques. Adicionalmente, se identifico a un (15%)
de ataques pertenecientes a pases de Europa y America.
En la Tabla III se muestra a detalle la procedencia de las
IPs que generaron el mayor numero de ataques al honeyPot.
Como se menciono anteriormente, en su mayora son IPs
de China, con la particularidad que gran cantidad de IPs
representan a la empresa HEETHAI LIMITED cuyas redes son:
103.41.124/25 y 103.41.125/25. Se investigo acerca de esta
empresa y se logro determinar que el punto de origen de los
ataques del malware denominado Massive DDoS Brute-Force
Campaign Targets Linux Rootkits XOR.DDoS. Este malware
fue detectado por FireEye en Septiembre del 2014 [17]. En
lo que respecta a la existencia de ataques provenientes de
Ecuador, determinamos que la IP: 186.68.45.170 es de origen
de la ciudad de Guayaquil - Ecuador, desde la cual se realizo
02 ataques al honeyPot.
No.
Ip
1 103.41.124.189
2 103.41.124.123
3 103.41.124.153
Ataques Procedencia
5917
China
4635
China
4382
China
43.255.190.188
4321
Hong Kong
103.41.125.17
3341
China
TABLE III.
Empresa registro
HEETHAI LIMITED
HEETHAI LIMITED
HEETHAI LIMITED
SEXinSEX
(Shimizu
Hang Road)
HEETHAI LIMITED
Fig. 2.
Sesiones iniciadas en cada nivel de complejidad de contrasenas
Este fenomeno sucede de manera similar con la cantidad de ataques inyectados en cada nivel de complejidad de
contrasenas. Por ejemplo, en la Fig. 3 se muestra que el
numero de ataques para los distintos niveles de complejidad
de las contrasenas, el nivel de complejidad Bajo lleva el
mayor numero numero de ataques: 204.188, frente al nivel
de complejidad Medio que lleva el menor numero numero de
ataques: 35.449.
P ROCEDENCIA DE IP S CON MAYOR N UMERO

DE ATAQUES
En referencia al promedio de sesiones y ataques, estos

fueron distribuidos de acuerdo a los niveles de complejidad de
contrasenas propuestos. Los resultados mostrados en la Tabla
IV, se evidencia que las contrasenas de nivel de complejidad de
contrasenas bajo tuvieron un promedio de 907,5 ataques por
IP, mientras que los niveles de complejidad de contrasenas
medio y alto tuvieron un promedio de 255 y 778,3 ataques
por IP respectivamente. Por otro lado, se evidencio que las
contrasenas de nivel de complejidad bajo mantuvieron un
promedio de 308,3 sesiones por IP, mientras que los niveles de
complejidad de contrasenas medio y alto tuvieron un promedio
de 95,6 y 266,9 ataques por IP respectivamente. Lo importante
de estos resultados, es la evidencia que en cualquier nivel de
complejidad de contrasenas, siempre existe un promedio entre
2,7 - 2,9 ataques por cada sesion. Lo que ayudo al atacante a
enmascarar sus ataques para no ser detectado por el numero
considerable de intentos continuos durante una u nica sesion.
Fig. 3.
Ataques realizados en cada nivel de complejidad de contrasenas
Adicionalmente, estos ataques fueron analizados en funcion

del tiempo. En la Fig. 4 se muestra la tendencia de los
ataques al HoneyPot durante el tiempo de ejecucion del estudio
46
emprico. Se observo que el 30 de marzo del 2015 (33.405

ataques), 20 de marzo del 2015 (33.141) y 07 de abril del
2015 (29.814 ataques) fueron los das en que el Honeypot
recibio el mayor numero de ataques. Sin embargo, existe un
fenomeno extrano luego de las fechas indicadas. Existe una
baja sustancial de ataques, es decir que posterior al pico
de ataques, existe un lapso de tiempo donde los ataques
disminuyen drasticamente. Por ejemplo, el da posterior al
da de mayor numero de ataques: 31 de marzo del 2015, se
registraron alrededor de 4.002 ataques, es decir 29.403 ataques
menos en el lapso de 24 horas.
Fig. 5.
Fig. 4.
por da
Diez contrasenas mas usadas durante el experimento
Tamano
Menos de 7
caracteres
# Contrasenas
39.094
(31,4%)
7 caracteres
15.744
(12,6%)
8 caracteres
31.324
(25,1%)
9 caracteres
12.948
(10,4%)
10 caracteres
11.168
(8,7%)
Mas de 10
caracteres
14.116
(11,3%)
Intentos de vulnerar los niveles de complejidad de las contrasenas

TABLE V.
Ejemplos
wubao (1296), admin (391), 12345
(357), 123456 (348), root (336)
jiamima (1251), default (283),
root123 (262), 1234567 (175), admin01 (158)
password (377), admin123 (260),
P@ssW0rd (234), PASSW0RD
(213), 12345678 (191)
superuser(243), raspberry (193),
123456789 (146), Admin@123
(138), 123qweasd (103)
1234567890 (132), supervisor
(127),
root!@#!@#
(123),
1q2w3e4r5t (97), q1w2e3r4t5
(89)
t0talc0ntr0l4!
(194),
adminpassword (178), administrator
&#$%
(139),
!!*$%
@
(137),
rzx!@!*baizhao (121)
L ONGITUDES DE CONTRASE NAS
D. Caracterizacion de las contrasenas

Con referencia a la caracterizacion de las contrasenas, se
pudo determinar que existio contrasenas que fueron mayormente utilizadas. En la Fig. 5 se muestran las 10 contrasenas
mas utilizadas durante los ataques. Por ejemplo, la palabra
wubao fue la contrasena mas utilizada durante los ataques,
con un total de 1.296 intentos, seguida de la palabra jiamima
con un total de 1.251 intentos. Las demas palabras utilizadas
son contrasenas que tpicamente se han encontrado en otros
estudios [2, 10]. Por ejemplo, 12345 con 448 intentos, password con 334 intentos, admin con 317 intentos. Decidimos
investigar acerca de la procedencia de las palabras wubao
y jiamima, y logramos determinar que estas palabras son
de origen Suajili (Pases Africanos) y Malgache (Pases de
Polinesia) respectivamente.
En la Tabla V, se muestra las diferentes longitudes de
contrasenas utilizadas por los atacantes durante la ejecucion de
nuestro estudio. Se logro determinar que 39.094 contrasenas
contienen menos de 7 caracteres (incluyendo letras, numeros
y caracteres especiales), 31.324 contrasenas contienen 8 caracteres (incluyendo letras, numeros y caracteres especiales).
Siendo las contrasenas de longitud de 10 caracteres (incluido
letras, numeros y caracteres especiales) las que fueron encontradas en menor numero: 11.168 contrasenas.
La contrasena de mayor longitud encontrada es una
contrasena con una longitud de 81 caracteres que incluye
numeros, letras (mayusculas y minusculas) y caracteres
especiales. Esta contrasena fue utilizada en solo un

intento durante un u nico ataque. La contrasena fue:
UqlWX3c1eIaovOLWphShTGXmuUAMq6iu9DrcQqlVUw3
Pirizns4u27w3Ugvb6.:15800:0:99999:7:::. Por otra parte, la
contrasena con menor longitud encontrada fue de 0 (cero)
caracteres que fue utilizada en 243 intentos.
Con el proposito de tener una mejor perspectiva de las
caractersticas de las contrasenas utilizadas durante los ataques
al honeypod, clasificamos ha estas contrasenas de acuerdo
al nivel de complejidad detallado en la seccion III. Sin
embargo, dada la gran cantidad de contrasenas obtenidas, se
decidio obtener una muestra finita para nuestra clasificacion.
La formula utilizada para extraer el tamano de la poblacion se
indica a continuacion:
n=
Z2 p q N
N e2 + Z 2 p q
(1)
El resultado de aplicar esta formula, se obtuvo un tamano

de poblacion de 1.000 contrasenas. Consideramos que este
tamano representa una muestra aceptable para nuestro estudio
de clasificacion de caractersticas de contrasenas. En la Tabla
VI se muestra la clasificacion de la muestra de estudio. Del
resultado se clasificaron: 926 contrasenas como de nivel de
complejidad Bajo, mientras que 76 contrasenas fueron clasificadas como contrasenas de nivel de complejidad Medio.
47
NIVEL DE
COMPLEJIDAD
NIVEL
BAJO (926)
Numero
TITULO
EJEMPLO
Diccionario
Nombres
Personajes
Marcas
Comb. Teclas
Comb. Palabras
Numeros
Comb. palabras de diccionario

Palabras Simples
Letras, numeros y caracteres especiales
Fechas
Palabras extranjeras
NIVEL
MEDIO (76)
Transformaciones simples
ALTO (0)
TABLE VI.
default (283), test (273), power

(227)
calvin (206), alex (116), david (82)
superman 108, batman 73, gandalf
60, cooper 59, merlin 52, barney 51
raspberry 193, dreambox 135, samsung 112, redhat 92, oracle 91
123456789 146 , !qaz2wsx 86, asdfgh 84, qwert 84, qwer1234 83,
1a2b3c4d 81, qazwsx123 79
root123 262, admin123 260,
abc123 172, password123 81,
abc@123 81, 123456abc 78, root!!
159,
superuser 243, rootme 234, adminpassword 178, changeme 108, rootroot 92, sysadmin 92
admin 391, password 377, root
336, toor 195, wsad 184, manager1
14
!! 178, 0 244, ! 215, 111111 168,
666666 160, !#%& 156, !@#$%
148, aaaaaa 141, ) 137
1986-04-12 1, 19-11-1995 1, 198604-12 1, 23-06-1987 1
wubao 1296, jiamima 1251, blahblah 99, PlcmSpIp 57, wvhlyf 49,
abgrtyu 44
P@ssW0rd 234, t0talc0ntr0l4!
194, root!@#!@# 123, p@$$w0rd
114, p@ssword 63, p@ssw0rd123
57, p4ssw0rd 53, p@ssw0rd1
51, p@55w0rd 50, pa$$w0rd 48,
pa55w0rd 48, P2ssw*rdD147 1,
p@sswd 9, r00tr00t 40, @dm1n
45, pru3ba 1, u$3r 1
-
C ARACTERI STICAS CONTRASE NAS

DE ACUERDO A NIVEL
DE COMPLEJIDAD DE CONTRASE NAS
De la clasificacion de contrasenas de nivel de complejidad

Bajo, se determino que la mayora estaban relacionadas con
palabras de diccionario (ej: default con 283 intentos), nombres de personas (ej. calvin con 206 intentos), personajes
de libros/ historietas / tv (ej. superman con 108 intentos),
combinaciones de palabras y numeros simples, palabras de
administrador (ej. s uperuser con 243 intentos), fechas o
combinaciones de teclado (ej. !qaz2wsx con 86 intentos).
Por otra parte, de la clasificacion de contrasenas de nivel
de complejidad Medio, se determino que existio un ataque
de diccionario-inteligente a las contrasenas que comunmente
son utilizadas por los usuarios. Por ejemplo: p@$$w0rd con
114 intentos, p@ssword con 63 intentos, p@ssw0rd123 con
57 intentos, entre otros.
Con respecto al uso de dgitos, se determino que 68.210
contrasenas contenan al menos un dgito. En la Tabla VII
se muestran los dgitos que son mayormente utilizados en las
contrasenas durante los ataques. A breves rasgos, se puede
observar que el dgito 1 fue encontrado en 46.310 contrasenas y
el dgito 2 fue encontrado en 34.636 contrasenas. Siendo estos
dgitos los que son mayormente utilizados en las contrasenas
de ataques. Para el dgitos 7, encontrado en 14.410 contrasenas
y dgito 6, encontrado en 14.611 contrasenas, son los dgitos
que menos utilizados en las contrasenas de ataques.
Finalmente con los caracteres especiales, se establecio
que en 7.083 contrasenas fueron encontrados al menos un
caracter especial. En la Tabla VIII se muestran los caracteres
# Contrasenas
Con el (1)
46310
(37,2%)
Con el (2)
34636
(27,8%)
Con el (3)
26063
(21,0%)
Con el (4)
16148
(13,0%)
Con el (5)
15785
(12,7%)
Con el (6)
14611
(11,7%)
Con el (7)
14410
(11,6%)
Con el (8)
15686
(12,6%)
Con el (9)
18611
(15,0%)
Con el (0)
24817
(20,0%)
TABLE VII.
Ejemplos
1 (140), g1t (2), $1$ (3), a1b2 (14),
1q@WS (1), 123!@ (43)
2 (38), 3230 (1), k23.n (1), post12
(1), lovely02 (1),qwer4321 (14)
3(7), 3edc (8), mui3 (1), my123
(2), vhs123 (2)
94 (2), off4 (3), h2so4 (1), qwn456
(1)
35com 6, 23456 2, tony15 1,
ps1205 1, ecco15 1
6 (20), .369* (1), 61e2b (1), 4+5+6
(1), 6gy7cg (2)
7 (1), 7mp3 (6), 789!@ (1), gch587
(6), eee789 (1)
8 (7), t2518 (2), baby81 (1),
q7w8e9 (1), 1748hi (1)
9 (12), love9 (1), Viper9 (1),
dr149a (1), emil09 (1)
D IFERENTES DI GITOS ENCONTRADOS EN CONTRASE NAS

DE ATAQUE
especiales que mayormente son utilizados en las contrasenas

de ataques. A breves rasgos, se puede observar que el caracter
especial @ fue encontrado en 3.372 contrasenas y el caracter
especial ! fue encontrado en 2.577 contrasenas. Siendo
estos caracteres especiales los utilizados en las contrasenas
de ataques. En tanto, los caracteres especiales (espacio) ,
encontrado en 185 contrasenas y el caracter especial & ,
encontrado en 334 contrasenas, son los caracteres especiales
menos utilizados en contrasenas de ataques.
Numero
# Contrasenas
Con el (@)
3372
(2,7%)
Con el (!)
2577
(2,1%)
Con el (#)
1626
(1,3%)
Con el (.)
1527
(1,2%)
Con el (%)
716
(0,6%)
Con el (*)
551
(0,4%)
Con el (-)
546
(0,4%)
Con el ( )
363
(0,3%)
Con el (&)
334
(0,3%)
185
(0,1%)
Con el ( )
TABLE VIII.
Ejemplos
@ (37), st!@ (3), !A@B (12),
qwe!@ (14), ap@ch3 (4)
! (215), !!2004 (1), !@123455 (3),
password1! (41), k!956?bkf10 (1)
# (12), !@# (48), !#%&( (55),
!@#POI (1), hct!@# (1), c#mming
(28)
. (43), 123. (7), v01.cn (5), w.s.x.e
(2), 123qqq... (2)
!#%& (154), !@#$% (148), 1234%
(30), Abc1234% (3)
!!!** (14), *-*haha (1), *1*1, (5),
:* (10), *root* (1)
- (72), password-123 (1),
- (3), dchilds-good (3), debian-xfs
(1)
(14), ! @ (7), htxg WX (2),
3W0k 3Nd0r (3), 12345&*(6)

+
(2)
&
(6),
!@#$%&
(26),
&&&&&&&& (2)
-* (3), abc 123 (3), c major (2), nne
sanne (1)
D IFERENTES CARACTERES ESPECIALES ENCONTRADAS
EN CONTRASE NAS
DE ATAQUE
E. Resultados
En referencia a la asignacion aleatoria de los niveles de
complejidad de las contrasenas entregada por el honeypot
a cada atacante, consideramos que fue el adecuado. En la
Fig. 6 se muestra que el honeypot realizo una distribucion
aparentemente balanceada entre todos los niveles de complejidad de las contrasenas. Por ejemplo, a 215 IPs que intentaron
atacar al honeypot, se les asigno el nivel de complejidad de
contrasena Alto, a 139 IPs se les asigno el nivel de complejidad
de contrasena Medioy a 225 IPs se les asigno el nivel de
complejidad Bajo.
48
referimos especficamente al ataque del Malware denominado

Massive DDoS Brute-Force Campaign Targets Linux Rootkits
XOR.DDoS. Consideramos que la Universidad de las Fuerzas
Armadas ESPE, as como otras universidades ecuatorianas
conectadas en la misma red (CEDIA), deberan incrementar
su seguridad a nivel de complejidad de contrasenas. Nuestra
preocupacion de fundamenta en el reporte de Paganini [17], en
el cual manifiesta que la Universidad Estatal de Pennsivania
(Penn State) - EEUU fue blanco de dos ataques sofisticados a
sus contrasenas desde China, en donde se vulneraron alrededor
de 18.000 contrasenas de estudiantes.
VII.
D ISCUSI ON
A. Son mas vulnerables las contrasenas de nivel de complejidad Bajo en relacion a sus similares?
Fig. 6. Resultado de la asignacion aleatoria de niveles de complejidad de
contrasenas a sujetos experimentales
Finalmente, en la Tabla IX se muestra el resultado de la

vulnerabilidad de las contrasenas creadas en la subseccion IV-F
para cada nivel de complejidad de contrasena. El resultado
fue sorpresivo, puesto que a pesar de la cantidad considerable
de IPs (579) y numero considerable de ataques (407.029),
no existieron ataques exitosos; es decir, ningun ataque llego
a vulnerar las contrasenas propuestas para cada nivel de
complejidad.
TABLE IX.
Bajo
Medio
Alto
VI.
ATAQUES E XITOSOS Y N O E XITOSOS

Ataques Exitosos
0
0
0
Ataques No exitosos
204.188
35.449
167.334
C ONCLUSIONES Y L ECCIONES A PRENDIDAS
A. Conclusiones
Consideramos inicialmente que la vulnerabilidad de las
contrasenas de nivel de complejidad Bajo propuestas para
este estudio, seran las primeras contrasenas en ser vulneradas. Sin embargo, para nuestra sorpresa, ninguna de las
contrasenas propuestas para todos los niveles de complejidad
fueron vulneradas. Consideramos que probablemente el tiempo
de ejecucion del estudio fue muy corto como para que,
alguna de las contrasenas construidas para este estudio fuera
vulnerada. Creemos que, al considerarse una mayor cantidad
de tiempo, podra llegarse a vulnerar alguna contrasena de
los niveles de complejidad. En otras palabras, considerar a
un tiempo prolongado en una proxima replicacion de este
estudio, permitira que las contrasenas propuestas puedan ser
vulneradas.
Por otro lado, el estudio permitio demostrar que durante los
intentos de ataque hacia nuestras contrasenas propuestas, los
atacantes probablement utilizaron herramientas sofisticadas. La
razon esta atribuida a las palabras de diccionario con trasformaciones especiales utilizadas por diccionarios-inteligentes,
tal como fue indicado por Narayanan y Shmatikov [13] y
Morris & Thompson [12] en sus estudios.
Un hecho que nos llamo la atencion, es el gran numero
de ataques basados en Bots provenientes de China. Nos
Considerandoa los resultados obtenidos en el presente

estudio emprico, aparentemente no seran vulnerables las
contrasenas de nivel de complejidad bajo o contrasenas simples. Sin embargo, consideramos que el tiempo utilizado para
nuestro estudio emprico posiblemente fue muy corto como
para que un atacante pueda quebrantar o descifrar alguna de las
contrasenas. Creemos que es necesario realizar nuevos estudios
empricos, de hecho, realizaremos un experimento posterior
para responder a esta pregunta de investigacion, en base a una
mayor evidencia.
Coincidimos con Ma et al. [18] en que la calidad de las
contrasenas depende del tiempo que le toma a un atacante en
vulnerarla/descifrarla. Es decir, que cuanto mas tarde en ser
vulnerada una contrasena, mejor es su calidad.
B. Que niveles de complejidad de contrasenas son usadas
con mas frecuencia durante los ataques en tiempo real?
De acuerdo a los resultados de nuestro estudio emprico,
las contrasenas de nivel de complejidad Bajo y nivel de complejidad Medio seran las mas usadas. Siendo las contrasenas
de nivel de complejidad Bajo el tipo de contrasenas que
existe en un gran numero dentro de nuestros resultados. De
la muestra de contrasenas establecida, se logro clasificar que
las contrasenas nivel de complejidad Bajo utilizadas para los
ataques eran palabras de: diccionario, nombres de personas,
personajes libros/ historietas/tv, combinaciones entre palabras
de diccionario y numeros simples, palabras de administrador
de sistemas, fechas o combinaciones de teclado, etc.
Tomando como referencia al cuasi-experimento realizado
por Colombini et al. [4], con el proposito de verificar la
vulnerabilidad de sus contrasenas, y en el cual manifiestan que
durante su estudio de 30 das y con la ayuda de dos Honeypots
(uno que contiene contrasenas faciles y otro que contiene
contrasenas complejas), podemos asegurar que vulnerar al
Honeypot que contena las contrasenas difciles, en el tiempo
de estudio propuesto, sera practicamente casi imposible. Sin
embargo, coincidimos con el estudio de Colombini et al. [4]
en sus contrasenas faciles, que la mayora de este tipo de
contrasenas tambien fueron encontradas en los resultados de
nuestro estudio.
C. Que tipos de atacantes son mas frecuentes?
Consideramos que existieron dos tipos de atacantes: Bots
y Humanos. Sin embargo, el mayor numero de ataques fueron
49
provenientes de Bots. Este es el caso del Malware denominado

Massive DDoS Brute-Force Campaign Targets Linux Rootkits
XOR.DDoS.
Tal como indican Pinkas y Sander [19], pudimos establecer
que los atacantes (especialmente los Bots) realizan ataques con
varios intentos de conexion de forma paralela, debido a que
los servidores permiten varios inicios de sesion de usuario lo
que permite esta maniobra de ataque. Es la razon por la que
detectamos ataques a todos los niveles de complejidad en un
promedio de 2,9 ataques por sesion. Esto ayuda al atacante a
eludir la medida del tiempo.
D. Cual es la procedencia de los atacantes?
La mayora de ataques son provenientes de China (72.7 %)
y Hong Kong (12,3 %). El (15%) de ataques restantes se distribuyen entre pases de Europa y America. Con respecto a la
existencia de ataques provenientes de Ecuador, determinamos
que la 186.68.45.170 de la ciudad de Guayaquil, efectuo 2
ataques nuestro Honeypod.
Finalmente, coincidimos con lo senalado por Ma et al. [18]
durante la mesa redonda en la conferencia RSA 2005, en que el
uso de las contrasenas estara con nosotros para siempre, y por
que ello tenemos que continuar con estudios e investigaciones
para hacer de la seguridad de contrasenas mas sencilla de
usar y a la vez eficaz.
AGRADECIMIENTOS
Nuestro agradecimiento al Grupo de Investigacion de Modelos de Produccion de Software (GRIMPSOFT) de la Universidad de las Fuerzas Armadas ESPE, quienes colaboraron
con su infraestructura experimental para la realizacion del
presente experimento. Al Grupo de Investigacion en Ingeniera
de Software Emprica (GRISE) de la Universidad Politecnica
de Madrid por brindarnos el asesoramiento en la contruccion
del honeypot experimental. A la SENESCYT y Armada del
Ecuador por los recursos destinados en la elaboracion del
presente artculo.
R EFERENCES
[1] D. Florencio, C. Herley, and P. C. van Oorschot, An
administrators guide to internet password research, in
Proceedings of the 28th Large Installation System Administration Conference (LISA14)., 2014.
[2] J. Weber, D. Guster, P. Safonov, and M. Schmidt, Weak
password security: An empirical study, Information Security Journal: A Global Perspective, vol. 17, pp. 4554,
2008.
[3] D. Florencio and C. Herley, A large-scale study of
web password habits, in Proceedings of the 16th
International Conference on World Wide Web. New
York, NY, USA: ACM, 2007, pp. 657666. [Online].
Available: http://doi.acm.org/10.1145/1242572.1242661
[4] C. M. Colombini, A. Colella, M. Mattiucci, and A. Castiglione, Cyber threats monitoring: Experimental analysis of malware behavior in cyberspace, in Security
Engineering and Intelligence Informatics, Springer, Ed.,
no. 8128, CD-ARES 2013 Workshops: MoCrySEn and
SeCIHD Regensburg. Springer, 2013, pp. 236252.
[5] J. Yan, A. Blackwell, R. Anderson, and A. Grant,

Password memorability and security: empirical results,
Security & Privacy, IEEE, vol. 2, no. 5, pp. 25 31,
October 2004.
[6] M. DellAmico, P. Michiardi, and Y. Roudier, Password
strength: An empirical analysis, INFOCOM, 2010 Proceedings IEEE, pp. 1 9, March 2010.
[7] M. Weir, S. Aggarwal, M. Collins, and H. Stern, Testing
metrics for password creation policies by attacking
large sets of revealed passwords, in Proceedings
of the 17th ACM Conference on Computer and
Communications Security, ser. CCS 10. New York,
NY, USA: ACM, 2010, pp. 162175. [Online]. Available:
http://doi.acm.org/10.1145/1866307.1866327
[8] E. Spafford, Preventing weak password choices,
Purdue University, Tech. Rep. 91-028, 1991. [Online].
Available: http://docs.lib.purdue.edu/cstech/875
[9] E. H. Spafford, Observing reusable password choices,
Purdue University, Tech. Rep. 92-049, 1992. [Online].
Available: http://docs.lib.purdue.edu/cstech/970
[10] D. Malone and K. Maher, Investigating the distribution
of password choices, CoRR, vol. abs/1104.3722, 2011.
[Online]. Available: http://arxiv.org/abs/1104.3722
[11] Infosec, Honeypots resources, October 2012.
[Online]. Available: http://resources.infosecinstitute.com/
honeypots/
[12] R. Morris and K. Thompson, Password security:
A case history, Commun. ACM, vol. 22, no. 11,
pp. 594597, Nov. 1979. [Online]. Available: http:
//doi.acm.org/10.1145/359168.359172
[13] A. Narayanan and V. Shmatikov, Fast dictionary
attacks on passwords using time-space tradeoff, in
Proceedings of the 12th ACM Conference on Computer
and Communications Security, ser. CCS 05. New
York, NY, USA: ACM, 2005, pp. 364372. [Online].
Available: http://doi.acm.org/10.1145/1102120.1102168
[14] T. Wu, A real-world analysis of kerberos password
security, 1989.
[15] J. A. Cazier and B. D. Medlin, Password security: An
empirical investigation into e-commerce passwords and
their crack times, Information Systems Security, vol. 15,
no. 6, pp. 4555, 2006.
[16] A. Jedlitschka and D. Pfahl, Reporting guidelines for
controlled experiments in software engineering, in Empirical Software Engineering, 2005. International Symposium, Nov 2005, pp. 10 pp..
[17] P.
Paganini,
Chinese
hackers
hit
penn
state
university,
18k
people
impacted,
www.cyberdefensemagazine.com, Mayo 2015. [Online].
Available:
http://www.cyberdefensemagazine.com/
chinese-hackers-hit-penn-state-university-18k-people-impacted/
[18] W. Ma, J. Campbell, D. Tran, and D. Kleeman, Password
entropy and password quality, in Network and System
Security (NSS), 2010 4th International Conference on,
Sept 2010, pp. 583587.
[19] B. Pinkas and T. Sander, Securing passwords against
dictionary attacks, in Proceedings of the 9th ACM Conference on Computer and Communications Security, ser.
CCS 02. New York, NY, USA: ACM, 2002, pp. 161
170.
50
Towards a Security Model for Big Data

J. Moreno, D. G. Rosado, I. Caballero, M. Serrano and E. Fernndez-Medina
Abstract Big Data technologies describe a new generation of
technologies and architectures, designed so organizations can
economically extract value from very large volumes of a wide
variety of data by enabling high-velocity capture, discovery,
and/or analysis. This new technology raises new risks due to
more volume and variety of data. Issues related to data security
and privacy are one of the main concern in todays era of big
data. It is necessary to know before of involving in big data,
which are the most important security needs, requirements and
aspects to assure a high security level in our applications,
transactions, data processing and decision management. In this
paper we analyze the most important privacy and security
aspects and requirements found in Big Data and we establish a
security model aligned with security quality factor where the
most relevant security and privacy aspects considered in Big
Data are defined.
Keywords Big Data, Security, Information Model, security
requirements.
I. INTRODUCCION
HE term Big Data refers to large-scale information

management and analysis technologies that exceed the
capability of traditional data processing technologies. Big
Data is differentiated from traditional technologies in three
ways: the amount of data (volume), the rate of data generation
and transmission (velocity), and the types of structured and
unstructured data (variety) [1].
The concept of big data can be framed by one of three
perspectives. The first is a response to the technology
problems associated with storing, securing and analyzing the
ever-increasing volumes of data being gathered by
organizations. This includes a range of technical innovations,
such as new types of database and cloud storage, which
enable forms of analysis that would not previously have been
cost effective. The second perspective focuses on the
commercial value that can be added to organizations through
generating more effective insights from this data by means of
the corresponding analysis. This has emerged through a
combination of better technology and greater willingness by
consumers to share personal information through Internet. The
third perspective considers the wider societal impacts of big
data, particularly the implications for individual privacy, and
the effect on regulation and guidelines for ethical commercial
J. Moreno, Grupo ALARCOS, Universidad de Castilla-La Mancha, Spain,
julio.moreno3@alu.uclm.es
D. G. Rosado, Grupo de Seguridad y Auditora (GSyA), Universidad de
Castilla-La Mancha, Spain, david.grosado@uclm.es
I. Caballero, Grupo ALARCOS, Universidad de Castilla-La Mancha,
Spain, ismael.caballero@uclm.es
M. Serrano, Grupo ALARCOS, Universidad de Castilla-La Mancha,
Spain, manuel.serrano@uclm.es
E. Fernndez-Medina, Grupo de Seguridad y Auditora (GSyA),
Universidad de Castilla-La Mancha, Spain, eduardo.fdezmedina@uclm.es
use of this data [2]. We can see as the security aspects such as
privacy is found to be very important in the proper concept of
big data. In this position paper we are to discuss what is meant
and the corresponding implications about Security when it
comes to deal with big data.
Security is the capability of information systems to resist
accidents or illegal or malicious actions that compromise the
availability, authenticity, integrity and confidentiality of the
data stored or transmitted and of the services that these
networks and systems offer or make accessible, with a specific
level of confidence [3].
Every day, 2.5 quintillion bytes of data are created, and
about the 90% of these data in the world has been created in
the last two years alone. Security and privacy issues are
largely impacted by velocity, volume, and variety of big data,
such as large-scale cloud infrastructures, diversity of data
sources and formats, streaming nature of data acquisition and
high volume inter-cloud migration. The use of large scale
cloud infrastructures, with a diversity of software platforms,
spread across large networks of computers, also increases the
attack surface of the entire system [4].
The relatively less structured and informal nature of many
Big Data approaches is their strength, but it also poses a
problem: if the data involved is sensitive for reasons of
privacy, enterprise security, or regulatory requirement, then
using such approaches may represent a serious security
breach. Database management systems support security
policies that are quite granular, protecting data at both the
coarse and the fine grain level from inappropriate access. Big
Data software generally has no such safeguards. Enterprises
that include any sensitive data in Big Data operations must
ensure that the data itself is secure, and that the same data
security policies that apply to the data when it exists in
databases or files are also enforced in the Big Data context.
Failure to do so can have serious negative consequences [5].
Issues related to data security and privacy are of
paramount concern in todays era of big data. Governmental
agencies, the health care industry, biomedical researchers, and
private businesses invest enormous resources into the
collection, aggregation, and sharing of large amounts of
personal data [6].
Once we have seen that the security and privacy is an
important issue for big data, in this paper we want to define a
security model which captures the most important security
requirements or aspects for big data which cover with the
needs and challenges found for big data.
The rest of the paper is structured in 3 more sections. The
next section, section 2, defines the importance and most
important security aspects found in big data. Section 3
presents a model of security factors for the systems
information and that will help us to define our model of
51
MORENO et al.: Towards a Security Model
security for big data which is presented in Section 4. And,

finally, we close in section 5 with our conclusions and agenda
for future work.
II. SECURITY IN BIG DATA

A. Importance of the Security in Big Data
One of the biggest concerns in our present age revolves
around the security and protection of sensitive information. In
our current era of Big Data, our organizations are collecting,
analyzing, and making decisions based on analysis of massive
amounts of data sets from various sources, and security in this
process is becoming increasingly more important. At the same
time, more and more organizations are being required to
enforce access control and privacy restrictions on these data
sets to meet regulatory requirements such as HIPAA and other
privacy protection laws. Organizations that have not properly
controlled access to their data sets are facing lawsuits,
negative publicity, and regulatory fines [7]. When big data
drives security, the result is a unified, self-evolving approach
and a holistic awareness that discrete, stitched-together
solutions cant begin to achieve. A big data-driven security
model has the following characteristics [8]:
Diverse data sources both internal and external that
multiply in value and create a synergistic learning effect
as new security-related information is added
Automated tools that collect diverse data types and
normalize them so they are usable by analytics engines
Analytics engines capable of processing vast volumes of
fast-changing data in real time
Advanced monitoring systems that continuously examine
high-value systems and resources and make assessments
based on behavior and risk models, not on static threat
signatures
Active controls such as requiring additional user
authentication, blocking data transmissions or facilitating
analysts decision-making when high-risk activity is
detected
Centralized warehouse where all security-related data is
made available for security analysts to query, either as a
unified repository or, more likely, as a cross-indexed
series of data stores
Standardized views into indicators of compromise that
are created in machine-readable form and can be shared
at scale by trusted sources
N-tier infrastructures that create scalability across
vectors such as geography, storage and databases and
have the ability to process large and complex searches
and queries
High degree of integration with security, and riskmanagement tools to facilitate detailed investigations of
potential problems by analysts and to trigger automated
defensive measures such as blocking network traffic,
quarantining systems or requiring additional verification
of user identity.
Privacy protection has become an elusive goal in the big

data era as researchers have shown that linkability threats
can re-identity individuals. Due to the highly personal nature
of data of individuals, the policy framework should lead to
best practices to store and transmit the data. Existing practices
focus on keeping data encrypted at rest and in transit with an
infrastructure to ensure proper authorization and
authentication of entities to get access to the data [9].
B. Security Challenges and opportunities in Big Data
Security and privacy are a big data concern. Security at
each level of architecture is required to preserve data from
attacks at each level. Big data has a big issue of storage,
computation, data mining, analysis, predictions, transactions
and many more and at each point security must be
implemented [10]. Big data security challenges can be
classified into four categories [4]:
1. Infrastructure security
(a) Secure computations in distributed programming
frameworks.
(b) Security best practices for non-relational data stores.
2. Data Privacy
(a) Scalable and composable privacy preserving data
mining and analytics.
(b) Cryptographically enforced data centric security.
(c) Granular access control.
3. Data Management
(a) Secure data storage and transactions logs.
(b) Granular audits.
(c) Data Provenance
4. Integrity and reactive security
(a) End-point input validation/filtering.
(b) Real-Time security monitoring.
One of the key security issues involved with big data
aggregation and analysis is that organizations collect and
process a great deal of sensitive information regarding
customers and employees, as well as intellectual property,
trade secrets and financial information. As organizations look
for identify how to gain value from such information, they are
increasingly seeking to aggregate data from a wider range of
stores and applications to provide more context in order to
increase the value of the data, for example, to provide a
clearer picture of customer preferences in order to better target
them [11, 12].
Data Disposal: Disposing of business documents from
storage systems must also follow certain edicts, such as
ensuring that the files are truly unrecoverable [11].
Authenticity: A request to guarantee data authenticity
usually emerges during legal investigations or
compulsory procedures. The organization must be able to
prove that documents have not been altered [11].
Access Control: What about provisions for controlling
who has access to data stored? Specific data is subject to
strict security measures for access [11].
52
Discovery: Ensuring quick access to business documents

is a priority in discovery situations [11].
Encryption: Data encryption is now integral to todays
business processes as a means of ensuring privacy of
sensitive or protected information. Strong encryption is a
powerful element of data security practices for offering
effective, continuous protection of data [11].
Data at rest protection: The standard for protecting data
at rest is encryption, which guards against attempts to
access data outside established application interfaces
[12].
Administrative data access: Each node has at least one
administrator with full access to its data. As with
encryption we need a boundary or facility to provide
separation of duties between different administrators
[12].
Authentication of applications and nodes: Hadoop can
use Kerberos to authenticate users and add-on services to
the Hadoop cluster. But a rogue client can be inserted
onto the network if a Kerberos ticket is stolen or
duplicated, perhaps using credentials extracted from
virtual image files or snapshots [12].
Audit and logging: If you suspect someone has breached
your cluster, can you detect it? How could you do this?
You need a record of activity. One area which offers a
variety of add-on capabilities is logging [12]. The
system logs significant events, such as object deletion,
for audit purposes [11].
Monitoring, filtering, and blocking: There are no built-in
monitoring tools to look for misuse or block malicious
queries [12].
API security: The APIs for big data clusters need to be
protected from code and command injection, buffer
overflow attacks, and every other web services attack
[12].
Account Monitoring and Control: Manage accounts for
big data users. Require strong passwords, deactivate
inactive accounts, and impose a maximum permitted
number of failed log-in attempts to help stop attacks
from getting access to a cluster [13]
Secure processing: Measures to secure the data within
the analysis infrastructure are needed to mitigate
potential vulnerabilities and to secure against leakage.
These could include disk level encryption and a high
level of network isolation. Big data should be secured in
transit preferably using encryption [14].
III. SECURITY QUALITY FACTORS
Like any other type of quality requirement [15], security
requirements should be based on an underlying quality model
[16]. Security signifies the degree to which valuable assets are
protected from significant threats posed by malicious attackers
[15]. As a quality factor (i.e., attribute, characteristic, or
aspect), security can be decomposed into a hierarchical
taxonomy of underlying quality subfactors [16, 17] as
illustrated in the Fig. 1.
Figure 1. Quality Sub/actors a/the Security Quality Factor.
The security subfactors illustrated in Fig. 1 can be defined

as follows [18]:
Access control is the degree to which the system limits
access to its resources only to its authorized externals
(e.g., human users, programs, processes, devices, or
other systems).
The following are quality subfactors of the access-control
quality subfactor:
Identification is the degree to which the system
identifies (i.e., recognizes) its externals before
interacting with them.
Authentication is the degree to which the system
verifies the claimed identities of its externals before
interacting with them.
Authorization is the degree to which access and usage
privileges of authenticated externals are properly
granted and enforced.
Attack/harm detection is the degree to which attempted
or successful attacks (or their resulting harm) are
detected, recorded, and notified.
Availability protection is the degree to which various
types of DoS attacks are prevented from decreasing the
operational availability of the system.
Integrity is the degree to which components are protected
from intentional and unauthorized corruption. Integrity
includes the following:
Data integrity is the degree to which data
components (whether stored, processed, or
transmitted) are protected from intentional corruption
(e.g., via unauthorized creation, modification,
deletion, or replay).
Hardware integrity is the degree to which hardware
components are protected from intentional corruption
(e.g., via unauthorized addition, modification, or
theft).
Personnel integrity is the degree to which human
(e.g., via bribery or extortion).
53
MORENO et al.: Towards a Security Model
Physical protection is the degree to which the system

protects itself and its components from physical attack.
Privacy is the degree to which unauthorized parties are
prevented from obtaining sensitive information. Privacy
includes the following subfactors:
Anonymity is the degree to which the users identities
are prevented from unauthorized storage or
disclosure.
Confidentiality is the degree to which sensitive
information is not disclosed to unauthorized parties
(e.g., individuals, programs, processes, devices, or
other systems).
Prosecution is the degree to which the system supports
the prosecution of attackers.
Recovery is the degree to which the system recovers after
a successful attack.
Access Control
Security auditing
System adaptation
Recovery
Prosecution
X
X
Encryption
Audit and
logging
Confidentiality
X
X
X
Integrity
Discovery
Secure
processing
Data access
API security
Monitoring and
filtering
Data
management
Anonymity
Confidentiality
Physical protection
Integrity
Authentication
Availability protection
Security
Challenges
Attack/harm detection
Security
Quality
Factors
Authorization
TABLE I. SECURITY CHALLENGES IDENTIFIED BY SECURITY

QUALITY FACTORS.
Nonrepudiation
Nonrepudiation is the degree to which a party to an

interaction (e.g., message, transaction, transmission of
data) is prevented from successfully repudiating (i.e.,
denying) any aspect of the interaction.
security factors what cover some security challenges can be

seen in Table 1.
Authentication
Software integrity is the degree to which software

(e.g., via unauthorized addition, modification,
deletion, or theft).
Immunity is the degree to which the system protects
its software components from infection by
unauthorized malicious programs (i.e., malware such
as computer viruses, worms, Trojan horses, time
bombs, malicious scripts, and spyware). Such
protected software components include complete
programs, partial programs, processes, tasks, and
firmware.
Identification
X
X
X
X
X
Taking into account the results of the table, we can see that
some of the security factors do not cover some security
challenges, and therefore, these factors are not considered in
our security model. Therefore, our security model extracted of
the security quality factors defined in [18] is shown in Fig. 2.
Security auditing is the degree to which security

personnel are enabled to audit the status and use of
security mechanisms by analyzing security-related
events.
System adaptation is the degree to which the system
learns from attacks in order to adapt its security
countermeasures to protect itself from similar attacks in
the future.
IV. SECURITY MODEL FOR BIG DATA
In this section we present our security model that captures
the most appropriate security factors defined by Firesmith [18]
but focused on big data and the challenges and initiatives
presented for this new technology.
Of the most important security challenges found and
described in section II, we analyze if there is any security
factor defined by the Firesmith model that covers it so if this
security factor is implemented on a big data environment, the
challenge or possible solution can be carried out with the
mechanisms and solutions proposed for assuring the fulfilment
of this security factor. So for example, in the Table 1, one of
the challenges is Encryption which is covered by the factors:
Integrity and confidentiality, which is necessary the use of the
encryption to implement this requirement. For the rest of
Figure 2. Security Model for Big Data proposed
This model defines the basic security requirements that we

think most appropriate and interesting to consider in big data
because cover the majority of challenges and needs found that
should be solved in the next years. These factors of our model
can be considered as security requirements to be taken into
account in any big data environment and the implementation
and functionality of each one depend of the system or datasets
to protect, so as the security mechanisms and technologies to
54
be used to implement the security service that it is necessary

to protect to the big data environment.
IV. CONCLUSIONS
Big data implies datasets having larger volumes, wider
range of formats, and different velocities. Therefore, security
in these environments has a higher importance than in
traditional databases. In this paper we have defined a first
security model where the majority of security factors that can
be necessary in big data are identified. This security model
will help us to define an information model where the security
aspects are to be taken into account. This model could be used
in the data provenance, related to ISO 8000-100 and to be
used for exchanging of data with security indications and
preprocessing of secure datasets.
AKNOWLEDGEMENT
This work is partially supported by R&D project
SERENIDAD (PEII11-037-7035) funded by Viceconsejera
de Ciencia y Tecnologa de la Junta de Comunidades de
Castilla- La Mancha (Spain), GEODAS (TIN2012-37493C03-01) and SIGMA-CC (TIN2012-36904), funded by
Ministry of Economy and Competitiveness and the Regional
Development Fund, FEDER.
REFERENCIAS
[1]
[2]
[3]
[4]
[5]
[6]
[7]
[8]
[9]
[10]
[11]
[12]
[13]
[14]
[15]
[16]
[17]
[18]
D. Laney, 3D Data Management: Controlling Data Volume, Velocity

and Variety. . 2001, Stamford, CT: META Group.
D. Nunan and M.D. Domenico, Market research and the ethics of big
data. International Journal of Market Research, 2013. 55(4).
MAP, Methodology for Information Systems Risk Analysis and
Management. 2006.
Cloud Security Alliance, Top Ten Big Data Security and Privacy
Challenges. 2012.
R.L. Villars, C.W. Olofson, and M. Eastwood, Big Data: What It Is and
Why You Should Care. 2011, IDC.
RENCI, Security and Privacy in the Era of Big Data. iRODS, a
Technological Solution to the Challenge of Implementing Security and
Privacy Policies and Procedures, 2013. 1.
K.T. Smith (2013) Big Data Security: The Evolution of Hadoops
Security Model.
S. Curry, E. Kirda, E. Schwartz, W.H. Stewart, and A. Yoran, Big Data
Fuels Intelligence-Driven Security. 2013, RSA.
Cloud Security Alliance, Comment on Big Data and the Future of
Privacy. 2014.
M. Kaushik and A. Jain, Challenges to Big Data Security and Privacy.
International Journal of Computer Science and Information
Technologies (IJCSIT), 2014. 5(3): p. 3042-3043.
C. Tankard, Big data security. Network Security, 2012.
A. Lane, Securing Big Data: Security Recommendations for Hadoop and
NoSQL Environments. 2012.
J. Markey. How to Manage Big Datas Big Security Challenges. 2013;
Available
from:
http://data-informed.com/manage-big-datas-bigsecurity-challenges/.
M. Small, Securing bigdata: The challenges malice, misuse and
mistake. 2013, The British Computer Society.
W.S. Al-Shorafat, Security in Software Engineering Requirement, in
The 8th International Conference for Internet Technology and Secured
Transactions. 2013.
D.G. Firesmith. OPEN Process Framework Website. 2003; Available
from: http://www.donald-firesmith.com.
ISO/IEC 9126-2, Software Engineering - Product Quality - Part 2:
External Metrics 2000.
D.G. Firesmith, Common Concepts Underlying Safety, Security, and
Survivability Engineering, in CMU/SEI-2003-TN-033. 2003.
55
Universidad de la Fuerzas Armadas ESPE. Mauro Silva, Diego Romero, Cristian Bastidas, Walter Fuertes. Mitigacin de
Mitigacin de Ataques DDoS a travs de

Redundancia de Tablas en Base de Datos
Mauro Silva, Diego Romero, Christian Bastidas y Walter Fuertes
E-mail: mesilvaa@hotmail.com, romerodiego@yahoo.es, chrisbastidas81@gmail.com, wmfuertes@espe.edu.ec
Departamento de Ciencias de la Computacin, Universidad de las Fuerzas Armadas ESPE,

Sangolqu, Ecuador
Resumen La cantidad de ataques de tipo Denegacin de
Servicios a las pequeas y medianas empresas, se han triplicado en
el ao 2014, con respecto al ao 2013. El presente estudio es un
aporte a este tipo de empresas para que en lugar de realizar
inversiones econmicas en software de seguridad, modifiquen el
funcionamiento de sus gestores de bases de datos. Para llevarlo a
cabo, en una fase inicial, el experimento se realiz en una sola
mquina. Sin embargo, los resultados no fueron los esperados, pues
las consultas a la BDD no eran eficientes en el tiempo, pues los
recursos eran compartidos por el software utilizado. Luego se
decidi crear un entorno fsico con tres mquinas que tengan la base
de datos redundante, dentro de una red inalmbrica. En esta
topologa se inyectaron ataques para denegar el servicio de manera
distribuida. Luego se realizaron varias pruebas con sus respectivas
mediciones variando el nmero de clientes (i.e. de un cliente a dos
simultneos), comparndose luego los efectos. Los resultados
muestran que al aumentar el nmero de consultas simultneas, el
motor de la base de datos se apodera del procesador y no permite
que se realicen otras tareas. Adems el conector ODBC inserta una
capa intermedia denominada nivel de interfaz de cliente SQL, entre
la aplicacin y el gestor de la base de datos que finalmente termina
siendo bloqueado, manteniendo los servidores en funcionamiento.
Palabras ClaveBalanceo de carga, Denegacin de Servicio,
Denegacin Distribuida de Servicios, Mitigacin.
I. INTRODUCCION
n la actualidad los ataques ya no son solo a grandes sitios

Web o a financieras conocidas en el mercado, sino que
tambin los sitios de pequeas y medianas empresas, se han
vuelto objetivo de este tipo de ataques, los cuales representan un
blanco fcil para los atacantes. De acuerdo con [1] el 40% de los
ataques globales corresponden a algn tipo de ataque de
Denegacin de Servicios (DoS) o Denegacin Distribuida de
Servicios (DDoS), mientras que la mitad del otro 60%, inicia su
intervencin con este tipo de ataques. Con esta tendencia y
previendo una mejora de esta gran familia de ataques, su
mitigacin se vuelve un aspecto muy importante a tomar muy en
cuenta en el desarrollo de los ambientes computacionales de
cualquier empresa.
En el Internet se pueden encontrar numerosos estudios de
cmo actan los ataques a los sistemas computacionales,
especficamente, ataques de tipo DoS o DDoS. A continuacin
algunos ejemplos: El trabajo propuesto por [2] se menciona que
las empresas deben conocer sobre los riesgos a los cuales su
sistema informtico puede estar expuesto y su desconocimiento
puede ocasionar grandes prdidas econmicas y desprestigio. En
una de sus recomendaciones menciona el concienciar a las
personas, administradores y personal acerca del uso de las
diferentes herramientas de red, con la finalidad de tener un factor
tico importante para no caer en un delito informtico. En la
informacin encontrada siempre se menciona una forma de
prevenir, medir, monitorear o detener los ataques. Sin embargo,

no seala ninguna informacin que de la forma en la que se
pueda mitigar el ataque una vez que se haya iniciado, sin
importar si los mecanismos del servidor del sistema detectaron o
no el ataque.
Con respecto a las bases de datos, en [6] se encuentra
informacin relativa a nuevos marcos de trabajos que permiten
modelar transacciones en bases de datos en tiempo real, poniendo
restricciones temporales a las mismas. En [7] donde se permite
identificar como actan los ataques UDP Flood en la saturacin
del ancho de banda. En [8] se mencionan las caractersticas que
tiene la minera de datos, que pueden ser aplicadas para la
deteccin de intrusos. Mientras que en [9] se analizan las
seguridades y los estndares de una base de datos, centralizando
su anlisis en Oracle 11g.
En este artculo se presenta una iniciativa para mitigar un
ataque de tipo DoS o DDoS a un sistema computacional con un
enfoque en el gestor de Base de Datos. Para ello se ha utilizado el
software SQLQueryStress que provoca carga (estrs) a una base
de datos SQL, en la cual se tiene una tabla de datos, con la
caracterstica de que una columna de esa tabla, es de tipo
VARCHAR donde se almacenan palabras o textos. Esta tabla es
almacenada en diferentes Bases de Datos, las cuales son
accedidas desde otra principal. Al efectuar una consulta de un
determinado nombre y apellido sobre esa tabla, es necesario
aadir a la sentencia SQL el comando LIKE, el cual hace que la
respuesta a la consulta se demore ms tiempo [10]. Ahora, si esta
consulta se repite muchas veces, a lo mejor porque ha sido usada
en un ataque DoS, el servidor de Base de Datos va a saturarse y
se va a provocar contencin del servicio. Con este mtodo se
mitiga el ataque, permitiendo que el servidor de base de datos no
colapse y siga en funcionamiento por ms tiempo. Adems,
facilita a los administradores detectar el ataque, implementando
un sistema de alertas cuando el servidor est al lmite de
peticiones que puede atender.
Es importante tener en cuenta que la inversin econmica que
la empresa tiene que hacer para implementar esta solucin, va a
ser inferior al de tener que incrementar dispositivos adicionales a
la infraestructura de sus servidores.
El resto del artculo se ha organizado como sigue: La seccin 2
presenta el marco terico en que sustenta este trabajo. En la
seccin 3 se explica el diseo de la investigacin y la
configuracin del experimento. En la seccin 4 se hace una
evaluacin estadstica de los resultados obtenidos. En la seccin
5 se describen los trabajos relacionados. Finalmente, se
mencionan las conclusiones sobre el trabajo realizado y el trabajo
futuro.
56
SILVA et al.: Mitigacin de ataques DDoS
II. MARCO TERICO
Siempre se ha escuchado de los efectos dainos que tienen los
ataques DoS en los servicios de las empresas y tambin del costo
monetario relativamente alto que implica el poder mitigarlos. En
esta seccin se describen los fundamentos que apalancan esta
investigacin:
A. Sntomas y Signos de Ataques
Los ataques a los sistemas informticos son todas aquellas
acciones que violan un sistema de seguridad computacional,
logrando causar efecto en la confidencialidad, integridad,
disponibilidad o no repudio. Pueden presentar los siguientes
signos verificables: interrupcin, es decir el recurso se vuelve no
disponible; intercepcin, "alguien" no autorizado consigue
acceso a un recurso; modificacin, adems de la intercepcin es
capaz de manipular los datos. Todos estos signos se podran
manifestar con lentitud, desaparicin de archivos y datos o
perifricos funcionando incorrectamente [8].
Pueden presentarse otros signos no identificables u ocultos
(sin la utilizacin de herramientas especiales), tales como: (1)
escaneo de puertos, bsqueda de puertos abiertos y tomarlos de
utilidad; (2) ataques de autenticacin, el atacante suplanta a una
persona que tiene autorizacin; (3) explotacin de errores, los
desarrollos computacionales (sistemas operativos, protocolos,
aplicativos) presentan fallas o agujeros de seguridad; (4) ataques
de denegacin de servicios, consisten en saturar un servidor con
mltiples solicitudes hasta dejarlo fuera de servicio [8].
B. Ataques de Denegacin de Servicios
En trminos de seguridad informtica un ataque de DoS, es un
ataque realizado desde el ciberespacio, provocando que usuarios
legtimos no tengan acceso a un servicio o recurso. La
posibilidad de controlar los recursos y/o servicios de un sistema
ante un ataque DoS se complica, debido a que estos pueden tener
varios orgenes y son: usuarios legtimos (usuarios poco
cuidadosos que colapsan el servicio inconscientemente), usuarios
malintencionados (quienes aprovechan su acceso para causar
problemas) y agentes externos (todos aquellos que no son parte
del sistema que consiguen acceso al mismo) [2].
Los ataque DoS y DDoS tienen una variedad de formas y se
dirigen hacia una variedad de recursos/servicios. Existen
bsicamente tres modos de ataques que son: consumo de
recursos, destruccin o alteracin de la informacin de
configuracin, y destruccin fsica o alteracin de los
componentes de la red [2]. Este tipo de ataque es sencillo de
llevar a cabo y es muy eficaz y letal en las aplicaciones que se
encuentran expuestas al Internet. Sin embargo es indispensable
conocerlas para poder contrarrestar los ataques posibles que se
puedan dar. Entre los principales tipos de ataques DoS se pueden
distinguir:
Ataque de inundacin de buffer (Buffer Overflow).- Este tipo de
ataque DoS es el clsico. Consiste en enviar ms paquetes de las
que el buffer del servicio puede manejar. Llegado al lmite del
buffer, el servidor comienza a no poder responder a las nuevas
peticiones. Saturando el buffer, el atacante impide que peticiones
legtimas sean correctamente contestadas por el servidor [5].
Ataque de inundacin de SYN (SYN Flood).- Este tipo de ataque
sigue siendo el ms habitual [1]. Cuando se inicia una conexin
TCP entre un cliente y el servidor se ejecuta el llamado saludo a
tres bandas [11], durante este saludo normalmente el cliente

enva un mensaje SYN (synchronize) al servidor, este le
responde con un mensaje SYN-ACK (acknowledge) y finalmente
el cliente enva un ACK con lo que la conexin queda
establecida [4].
Durante este proceso de saludo a tres bandas, el servidor
espera durante un tiempo determinado a recibir el ACK final por
parte del cliente, ya que una congestin de trfico podra hacer
que este ACK no llegue al instante. El ataque de inundacin de
SYN consiste en que el atacante enva una gran cantidad de
SYN, sin llegar a completar el saludo a tres bandas con el ACK
final, con lo que el servidor permanece con un gran nmero de
peticiones a medio completar, con lo que no es capaz de atender
las peticiones legtimas.
Ataque Teardrop.- Este explota la manera en la que el
protocolo IP requiere que un paquete demasiado grande para el
siguiente enrutador sea dividido en fragmentos. El paquete una
vez dividido identifica un offset haca el principio del primer
paquete el cual permite que una vez llegan todos los fragmentos
al destino, el paquete original sea reconstruido [4].
Lo que hace el atacante es insertar un valor alterado en el
segundo fragmento (o posterior) causando que el sistema
destinatario no pueda reconstruir el paquete provocando el
consecuente fallo en ese sistema. Este ataque afecta nicamente a
sistemas operativos antiguos [8].
Ataque de inundacin ICMP.- En este caso el atacante enva una
gran cantidad de peticiones ICMP echo request (ping), a las que
el servidor responde con un ICMP echo reply (pong) lo cual
sobrecarga tanto el sistema como la red de la vctima, llegando al
punto de que el objetivo no puede responder a otras peticiones
[4].
Ataque Smurf.- Este es similar al ataque anterior, en este caso el
atacante enva paquetes ICMP echo request (ping) a una IP de
broadcast usando como direccin origen la direccin de la
vctima. El resto de equipos conectados a la red enviarn un
ICMP echo reply a la vctima. En una red de 100 mquinas, por
ejemplo, por cada ICMP echo request (ping) que se enven
simulando ser la vctima (spoofing), la vctima recibir 100
paquetes ICMP echo reply (pong) es decir una inundacin de
ICMP multiplicada por el total de equipos en la red [4]. El
impacto que ocasiona este tipo de ataque es muy alto. Esto
traducido en costos, lo demuestra el anlisis realizado en [20].
C. Bases de Datos
Es un conjunto de programas que permiten la construccin de
una base de datos y de las aplicaciones que las emplean [12].
Est constituida por una instancia de un esquema lgico junto
con las instancias de los datos operativos que dicho esquema
organiza [13].
Caractersticas Generales.- Una base de datos contiene entidades
de informacin que estn relacionadas va organizacin y
asociacin. La arquitectura lgica de una base de datos se define
mediante un esquema que representa las definiciones de las
relaciones entre las entidades de informacin. La arquitectura
fsica de una base de datos depende de la configuracin del
hardware residente. Sin embargo, tanto el esquema (descripcin
lgica) como la organizacin (descripcin fsica) deben
adecuarse para satisfacer los requerimientos funcionales y de
57
comportamiento para el acceso al anlisis y creacin de informes
[14].
de base de datos y los equipos, que constan en las tablas 1 y 2

respectivamente.
TABLA I
SOFTWARE USADO EN EL EXPERIMENTO
Caractersticas de los SGBD.- Un sistema gestor de bases de

datos o SGBD, es el software que permite a los usuarios
procesar, describir, administrar y recuperar los datos
almacenados en una base de datos [15]. En estos Sistemas se
proporciona un conjunto coordinado de programas,
procedimientos y lenguajes que permiten a los distintos usuarios
realizar sus tareas habituales con los datos, garantizando adems
la seguridad de los mismos.
El xito del SGBD reside en mantener la seguridad e
integridad de los datos. Lgicamente tiene que proporcionar
herramientas a los distintos usuarios. Entre las herramientas que
proporciona estn: i) Herramientas para la creacin y
especificacin de los datos, as como la estructura de la base de
datos; ii) Herramientas para administrar y crear la estructura
fsica requerida en las unidades de almacenamiento; iii)
Herramientas para la manipulacin de los datos de las bases de
datos, para aadir, modificar, suprimir o consultar datos; iv)
Herramientas de recuperacin en caso de desastre; v)
Herramientas para la creacin de copias de seguridad; vi)
Herramientas para la gestin de la comunicacin de la base de
datos; vii) Herramientas para la creacin de aplicaciones que
utilicen esquemas externos de los datos; viii) Herramientas de
instalacin de la base de datos; y ix) Herramientas para la
exportacin e importacin de datos [15].
Funciones de los SGBD.- Los SGBD tienen que realizar tres
tipos de funciones para ser considerados vlidos [16][17]:
a. Funcin de descripcin o definicin.- Permite al diseador de
la base de datos crear las estructuras apropiadas para integrar
adecuadamente los datos. Esta funcin es la que permite definir
las tres estructuras de la base de datos, relacionadas con sus tres
esquemas: estructura interna, conceptual y externa. Esta funcin
se realiza mediante el lenguaje de descripcin de datos o DDL,
mediante el cual se definen las estructuras de datos, las
relaciones entre los datos y las reglas que han de cumplir los
datos.
b. Funcin de manipulacin.- Permite modificar y utilizar los
datos de la base de datos. Se realiza mediante el lenguaje de
modificacin de datos o DML. Mediante ese lenguaje se puede:
aadir, eliminar, modificar y buscar datos. Actualmente se suele
distinguir aparte la funcin de buscar datos en la base de datos
(funcin de consulta). Para lo cual se proporciona un lenguaje de
consulta de datos o DQL.
c. Funcin de control.- Mediante esta funcin los
administradores poseen mecanismos para proteger las visiones de
los datos permitidas a cada usuario, adems de proporcionar
elementos de creacin y modificacin de esos usuarios. Se suelen
incluir aqu las tareas de copia de seguridad, carga de ficheros,
auditora, proteccin ante ataques externos, configuracin del
sistema, etc. El lenguaje que implementa esta funcin es el
lenguaje de control de datos o DCL.
III. DISEO DE LA INVESTIGACIN
A. Herramientas
Con el fin de establecer un ambiente de software para la
mitigacin de ataques DoS y llegar a los objetivos planteados en
la hiptesis, se utilizan las herramientas de monitoreo, software
Nombre
1
2
3
4
5
SQL Server 2008 R2

SQLQueryStress
Performance Dashboard
Resource Monitor de Windows
Activity Monitor de SQL Server
TABLA II
EQUIPO USADO EN EL EXPERIMENTO
Nombre
PC1
PC2
PC3
WiFi
Caractersticas
Computador CORE i7, 8Gb RAM, procesador 2.0 MHz, 8
cores, Windows 7
cores, Windows 7
cores, Windows 8.1 Home
Huawei HG530
B. Procedimiento
El siguiente procedimiento ha sido utilizado para la
elaboracin del trabajo propuesto: i) Se escogi una base de
datos con una tabla con una gran cantidad de registros y que
tenga una columna de tipo VARCHAR, sobre la cual se realice la
bsqueda de datos; ii) Se copi la base de datos entre los
diferentes equipos que vayan a intervenir en la prueba con el
objetivo de proveerle redundancia. En este punto se puede
utilizar cualquier estructura de base de datos. As por ejemplo: un
solo equipo con diferentes instancias, cada uno en diferentes
discos duros, cada tabla se la puede particionar, etc.; iii) Se cre
una tabla para que lleve la cuenta de las transacciones que se est
ejecutando en cada equipo cliente; iv) Se crearon Linked Server
en otras palabras, enlaces a bases de datos externas, desde la base
de datos maestro - o balanceador - hacia las bases de datos que
participen; v) Se cre un procedimiento almacenado que actu
como balanceador, es decir, para que realice la distribucin de
las consultas que se ejecutan en diferentes instancias de la base
de datos, dependiendo del nmero de consultas que se encuentre
ejecutando cada servidor cliente. Una explicacin ms detallada
del algoritmo usado, se realiza ms adelante en este artculo.
Luego, en la mquina que sirvi de balanceador se instal el
programa SQLQueryStress [19] (que es una herramienta gratuita
de SQL Server diseada para pruebas de estrs y rendimiento de
las consultas T-SQL y rutinas [18]), con la finalidad de que sea el
generador de transacciones. La Figura 1 muestra la interfaz
grfica de usuario de SQLQueryStress.
Continuando con el procedimiento, en cada una de las
mquinas clientes (es decir, aquellas que tienen la base de datos
instalada), se fij la configuracin de la memoria de la base de
datos en 2 GB, para evitar el reciclaje de memoria por parte de la
base de datos. En la Figura 2 se puede observar un grfico de la
red utilizada en el experimento. Con SQLQueryStress se empez
a generar consultas a la base de datos y se inici la toma de
mediciones de los tiempos que se demora en ejecutar una
consulta en el ambiente generado, con diferentes iteraciones e
hilos. Finalmente, se obtuvieron los tiempos promedios en cada
grupo de interacciones y se analizaron los resultados.
58
PC3
17
PC1
SQLQueryStress
172.16.0.3
.5
.0
16 BDD CLIENTE
2.
Core i7
Windows 8.1
SQL Server 2008 R2
WiFi
BDD BALANCEADOR
Core i7
Windows 7
SQL Server 2008 R2
17
Fig. 1. GUI del SQLQueryStress
Con la finalidad de establecer comparaciones, se tomaron las

medidas de ejecucin con uno y dos servidores de base de datos
cliente, las mismas que se encuentran en las tablas 3 y 4. Para le
ejecucin del experimento se tom una tabla con un milln de
registros y se la copi en cada uno de los servidores clientes, con
sus respectivos ndices.
TABLA III
RESULTADOS DE MEDICIONES EN UN SERVIDOR CLIENTE (PC1)
Total
# Hilos
Promedio (s)
(s)
4
4.59
23.34
8
11.09
55.73
12
17.67
88.80
20
36.50
183.30
30
51.75
262.10
TABLA IV
RESULTADOS DE MEDICIONES EN DOS SERVIDORES CLIENTE
Total
# Hilos
Promedio (s)
(s)
4
0.80
6.86
8
2.91
27.52
12
5.30
49.46
20
7.43
68.80
30
25.69
172.90
El algoritmo que se us en este artculo funciona de la

siguiente manera: 1) Cuando es la primera consulta, por defecto
se direcciona a la primera base de datos; 2) Para las siguientes
consultas, se calcula la media del nmero de consultas; 3) Se
aumenta en uno el contador del nmero de consultas; 4) Se
genera una consulta dinmica con el nombre de la base de datos,
su tabla y se la ejecuta; 5) Al terminar la ejecucin, se disminuye
en uno el contador del nmero de consultas.
Un primer experimento se realiz en un solo equipo (es decir,
todo el software en un solo computador). Los resultados no
fueron los esperados, pues conforme se aumentaba el nmero de
tablas, el tiempo de procesamiento tambin aumentaba. Al buscar
una respuesta a este comportamiento, se lleg a la conclusin que
las dos tablas acceden a los mismos sectores del disco duro, lo
que afectaba al rendimiento final del experimento.
En un segundo experimento se cre un entorno fsico con tres
mquinas, cada una de ellas tena instalada la Base de Datos SQL
Server 2008 R2, cada una de ellas cumpla una funcin
especfica: una que servir de balanceador y otras dos como
clientes (procesadoras de las transacciones), todas ellas
dentro de una red WiFi (vase la Fig. 2). En este nuevo
entorno se realizaron las mediciones primero con un solo equipo
y luego con dos equipos, con la finalidad de comparar los
resultados obtenidos.
2.
16
.0
.4
PC2
BDD CLIENTE
Core i7
Windows 2
SQL Server 2008 R2
Fig. 2. Grfico de la red utilizada
IV. EVALUACIN DE RESULTADOS

El procedimiento establecido muestra como el crear servidores
y tablas de bases de datos redundantes junto con el desarrollo
responsable de aplicaciones de software, justifica ser una
solucin efectiva de bajo costo para mitigar los ataques DDoS
sobre las bases de datos. Como se pudo apreciar, el
procedimiento permiti atender rfagas de peticiones
concurrentes mejorando los tiempos de respuesta y garantizando
la continuidad del servicio, evitando de esta manera que se
colapsen los equipos. Adems se ha demostrado un ahorro a las
empresas al evitar la adquisicin de software y hardware
adicional (como balanceadores fsicos) y el colapso de sus
servicios.
Con los datos desplegados de las tablas 3 y 4 que representan
el nmero de peticiones simultneas a la base de datos, se realiz
el anlisis estadstico. La tabla 5, muestra que las peticiones
simultneas tienen una varianza amplia debido a que los
servidores de base de datos realizan un proceso de organizacin
de las consultas llamado el plan de ejecucin, lo que al ir
incrementando el nmero de peticiones se estabiliza.
TABLA V
RESULTADOS ESTADISTICOS
Promedio 1 Servidor
Media
Error Tpico
Mediana
Moda
Desviacin estndar
Varianza de la muestra
Curtosis
Coeficiente de asimetra
Rango
Mnimo
Mximo
Suma
Cuenta
Nivel de confianza (95.0%)
Promedio 2 servidores
24.320
8.687
17.670
N/A
19.424
377.321
-1.219
0.691
47.160
4.590
51.750
121.600
5
24.119
Media
Error Tpico
Mediana
Moda
Desviacin estndar
Varianza de la muestra
Curtosis
Coeficiente de asimetra
Rango
Mnimo
Mximo
Suma
Cuenta
Nivel de confianza
(95.0%)
8.426
4.457
5.300
N/A
9.967
99.347
3.807
1.894
24.890
0.800
25.690
42.130
5
12.376
59
En las figuras 3 y 4 se pueden observar cmo cambia el
promedio de cada grupo de observaciones realizadas con uno y
dos servidores cliente.
60
51,75
Segundos
50
40
36,5
30
20
11,09
4,59
0
0
10
20
30
40
No. De Hilos
30
25,69
25
20
15
10
5
0,8
0
0
2,91
10
7,43
5,3
Hilos
Hilos **2
Hilos **3
(Constante)
0.056
0.139
-0.003
2.534
20
30
Error
Tpico
0.728
0.050
0.001
5.876
Beta
0.030
2.611
-1.687
t
0.077
2.774
-2.920
0.881
Sig.
0.951
0.220
0.210
0.540
TABLAIX
COEFICIENTE DEL MODELO CUBICO (PARA 2 SERVIDORES)
ANOVA
Suma de
Media
gl
F
Sig.
Cuadrados
cuadrtica
Regresin
396.663
3
132.221
181.403
0.055
Residual
0.729
1
0.729
Total
397.392
4
La variable independiente es HILOS.
COEFICIENTES
Coeficientes no
Coeficientes
estandarizados
estandarizados
Fig. 3. Promedio con un servidor
Segundos
TABLA VIII
COEFICIENTE DEL MODELO CUBICO (PARA 1 SERVIDOR)
ANOVA
Suma de
Media
gl
F
Sig.
Cuadrados
cuadrtica
Regresin
1508.382
3
502.794
556.407
0.031
Residual
0.904
1
0.904
Total
1509.286
4
La variable independiente es HILOS.
COEFICIENTES
Coeficientes no
Coeficientes
estandarizados
estandarizados
17,67
10
40
No. de Hilos
Hilos
Hilos **2
Hilos **3
(Constante)
1.963
-0.136
0.003
-5.296
Error
Tpico
0.654
0.045
0.001
2.583
Beta
2.040
-4.960
3.984
t
3.003
-3.011
3.939
-2.050
Sig.
0.205
0.204
0.158
0.289
Fig. 4. Promedio con dos servidores
Las tablas 6 y 7 muestran los valores obtenidos empleando el

Coeficiente de Correlacin de Pearson que sigue un modelo
cbico de los experimentos realizados lo que permite identificar
que al aumentar el nmero de servidores o tablas redundantes el
tiempo de colapso es mucho mayor. Adicionalmente como
implicacin directa, el nmero de usuarios que se puede atender
con dos servidores es casi el triple que con un solo servidor.
R
1.000
R
0.999
En las figuras 5 y 6 se puede observar que los experimentos

realizados siguen un modelo Cbico.
TABLA VI
COEFICIENTE DE CORRELACION DE PEARSON
PARA 1 SERVIDOR
R cuadrado
Error tpico de la
R cuadrado
corregida
estimacin
0.999
0.998
0.951
TABLA VII
COEFICIENTE DE CORRELACION DE PEARSON
PARA 2 SERVIDORES
R cuadrado
Error tpico de la
R cuadrado
corregida
estimacin
0.998
0.993
0.854
Las tablas 8 y 9 muestran los coeficientes de los modelos

cbicos que representan la relacin entre el tamao y el tiempo
utilizando con 1 y 2 servidores.
Fig. 5. Modelo Cbico con 1 servidor
60
Todos los trabajos expuestos, en comparacin con el nuestro

no han sido enfocados en encontrar soluciones a bajo costo,
cuando los ataques DoS y DDos son efectuados en contra de las
bases de datos de las empresas.
VI. CONCLUSIONES Y TRABAJO FUTURO
Fig. 6. Modelo Cbico con 2 servidores
V. TRABAJOS RELACIONADOS
Con el paso del tiempo, las empresas manejan mayor cantidad
de datos, especialmente histricos. Adems necesitan permitir
que mayor cantidad de usuarios accedan a sus servicios de
informacin. El presente estudio se convierte en un gran aporte
para todos los tipos de empresas, ya que se soporta en la idea de
su costo reducido, comparado con los actuales balanceadores
fsicos. Este es un concepto que puede ser ampliado, no slo al
uso de servidores paralelos para la atencin de servicios, sino que
se vale de las caractersticas de las bases de datos, como son los
bloqueos de pginas (que evita el dao de la informacin
compartida por varios usuarios simultneamente), manejando de
esta manera integridad de datos, bloqueando las pginas o tablas,
ocasionando un encolamiento de transacciones.
En este contexto, la comunidad cientfica se viene
preocupando de cmo actuar ante los ataques DoS o DDoS.
Algunos de ellos se expone a continuacin: El trabajo propuesto
por [2], se propone una red de datos con servicios bsicos de voz,
datos y video donde la seguridad no juega un papel importante,
se realiza un test de penetracin para visualizar los resultados del
ataque. En [3] se usa un IDS para detectar intrusiones, pero, por
el problema que presentan por la desactualizacin peridica de la
base de datos de firmas, se evala la eficiencia de un modelo de
deteccin usando mtricas de sensibilidad y especificidad para
entrenar una red neuronal, que usa un algoritmo de aprendizaje,
con el propsito de clasificar el trfico de la red en conexiones
normales y ataques. En [5] se analizan las causas de los ataques
por desbordamiento de pila, junto con algunas estadsticas de que
ocurran en tiempo de compilacin o de ejecucin. Concluye que
un desarrollo responsable de aplicaciones de software es
indispensable para reducir este tipo de ataques. En [7] se
identifica como actan los ataques UDP Flood en la saturacin
del ancho de banda. En relacin con la generacin de varios
ataques y con los mecanismos de mitigacin, en [21] se evalan
diversos ataques reales de redes IP, con el fin de establecer
mecanismos de seguridad para mitigarlos.
El presente estudio tuvo como propsito establecer un

procedimiento para mitigar los ataques DoS y DDoS a bajo
costo, a los servidores de bases de datos, con el fin de evitar el
colapso de los sistemas de informacin de las pequeas y
medianas empresas. Para ello, su enfoque fue la modificacin del
funcionamiento de los gestores de bases de datos. Para llevarlo a
cabo se implement una topologa experimental fsica con tres
mquinas que tengan la base de datos instalada, dentro de una red
inalmbrica. En esta topologa se inyectaron ataques para
denegar el servicio de manera distribuida. Luego se realizaron
varias pruebas con sus respectivas mediciones variando el
nmero de clientes (i.e. de un cliente a dos simultneos),
comparndose luego los efectos. Los resultados muestran que al
aumentar el nmero de consultas simultneas, el motor de la base
de datos se apodera del procesador y no permite que se realicen
otras tareas. El conector ODBC termina siendo bloqueado,
manteniendo los servidores en funcionamiento.
Como trabajo futuro se plantea la realizacin de un algoritmo
de balanceo mejorado, utilizando un anlisis previo, buscando los
umbrales que cada equipo puede atender y creando un registro de
rfagas, lo cual permitir la implementacin de un sistema de
alerta temprana, utilizando las herramientas propias de las bases
de datos y los servicios de correo electrnico.
AGRADECIMIENTOS
Los autores desean a gradecer al programa de maestra en

Gerencia de Sistemas, del Departamento de Ciencias de la
Computacin de la Universidad de las Fuerzas Armadas ESPE de
Sangolqu, Ecuador; y de manera especial al Grupo de
Investigacin de Sistemas Distribuidos, Ciberseguridad y
Contenido. Este trabajo ha sido parcialmente financiado en el
marco del proyecto de investigacin titulado "Plataformas
Computacionales de Entrenamiento, Experimentacin, Gestin y
Mitigacin de Ataques a la Ciberseguridad", Cdigo: ESPE2015-PIC-019.
REFERENCIAS
[1]
Crdova, EnDDoSando, ataques a la moda: tendencias del ayer, de hoy y

de futuro, SIC Revista SIC, www.revistaSIC.es, no. 112, pp. 100-102,
Noviembre 2014
[2]
J. P. Chvez, Simulacin y anlisis de mecanismos de defensa ante los

ataques de denegacin de servicios (DoS) en redes de rea local
convergentes, M.S. Tesis, Escuela Politcnica Nacional, Ecuador,
Octubre 2011. http://bibdigital.epn.edu.ec/handle/15000/4282
[3]
E. De la Hoz Franco, E. De la Hoz Correa, A. Ortiz, J. Ortega, Modelo de

deteccin de intrusiones en sistemas de red, realizando seleccin de
caractersticas con FDR y entrenamiento y clasificacin con SOM,
Revista INGE CUC, vol. 8, no 1, pp. 85-116, Octubre
2012.http://revistascientificas.cuc.edu.co/index.php/ingecuc/article/view/2
25
[4]
D. Muoz, Monitoreo e Identificacin de Ataques a Redes, M.S. Tesis,

Universidad Catlica Santiago de Guayaquil, Ecuador, Abril
2014.Available: http://repositorio.ucsg.edu.ec/handle/123456789/1926
[5]
D. Flores, El Futuro de los Ataques por Desbordamiento de Pila, M.S.

Tesis, Escuela Politcnica Nacional, ISSN: 2333-972, 2012.Available:
http://www.jourlib.org/paper/2522102#.VQB0KI10zIU
61
[6]
C. Buckle, J. Urriza, D. Barry, L. Schorb, Framework para modelado de

transacciones en sistemas de bases de datos de tiempo real, XVIII
Congreso Argentino de Ciencias de la Computacin, Revista INGE CUC,
vol.
8,
no
1,
pp.
85-116,
Octubre
2013.Available:
http://hdl.handle.net/10915/31636
[7]
W. Fuertes, F. Rodas y D. Toscano. Evaluacin de ataques UPD Flood

utilizando escenarios virtuales como plataforma experimental. Biblat
Bibliografa Latinoamericana, http://biblat.unam.mx/es, no 31, pp. 37-53,
Diciembre
2011,
ISSN
0121-1129.
Available:
http://dialnet.unirioja.es/servlet/ejemplar?codigo=302198.
[8]
D. Vallejo, G. Tenelanda, Minera de datos aplicada en deteccin de

intrusos, M.S. Tesis, Universidad de San Buenaventura, 2012. Available:
http://hdl.handle.net/10819/503
[9]
G. Cifuentes, Anlisis de seguridad en base de datos: Aplicacin Oracle

versin 11G, M.S. Tesis, Universidad de las Fuerzas Armadas ESPE Maestra en Evaluacin y Auditora de Sistemas, Enero 2014. Available:
http://repositorio.espe.edu.ec/handle/21000/8373
[10] MSDN, A point of software, Mejorar el rendimiento de QUERIES en

SQL
Server,
Enero
2007.
[Online].
Available:
http://blogs.msdn.com/b/apinedo/archive/2007/01/24/mejorar-elrendimiento-de-queries-en-sql-server.aspx
[11] Todo es seguro, TCP Split Handshake, Junio 2010. [Online]. Available:
http://todoesseguro.blogspot.com/2010/06/tcp-split-handshake.html
[12] M. Tamer zsu, P. Valduriez. Principles of Distributed Database Systems
Computer Science. Springer Science & Business Media, 2011. ISBN:
1441988343, 9781441988348
[13]
M. Talvera, C. Alvea. Control de Balanceo de Carga de Servidores de

Red. XXXV Jornadas de Automtica, Septiembre 2014, Valencia, Espaa,
no. 1, pp. 478-483. Available: http://www.ja2014.upv.es/wpcontent/uploads/papers/paper_67.pdf
[14]
O. Pons. Introduccin a las Bases de Datos: El Modelo Relacional.

Editorial Paraninfo, 2005. ISBN: 8497323963, 9788497323963
[15] L. Greiner, Bases de Datos, Universidad de Belgrano, Argentina, Agosto

2014.
Available:
http://repositorio.ub.edu.ar:8080/xmlui/handle/123456789/3134
[16] M. Nevado. Introduccin a Las Bases de Datos Relacionales. Editorial
Visin Libros. ISBN: 8499836178, 9788499836171
[17] C. Coronel, S. Morris, P. Rob. Bases de Datos, Diseo, Implementacin y
Administracin. Cengage Learning Editores, 2011. ISBN: 6074816182,
9786074816181
[18]
A. de la Rosa, Administracin de Sistemas Informticos. [Online].

Available:
www.juntadeandalucia.es/averroes/fpintado/spip/IMG/pdf/Unidad_2.pdf
[19] SQLQueryStress.
[Online].
http://www.datamanipulation.net/sqlquerystress/
Available:
[20] Second Annual Cost of Cyber Crime Study, Ponemon Institute, Agosto
2011.
[Online].
Available:
http://www.hpenterprisesecurity.com/collateral/report/2011_Cost_of_Cybe
r_Crime_Study_August.pdf
optimizacin en las metodologas del sistema SAF. Realiz la

consultora con la GIZ de Alemania para automatizar el clculo
de la tasa de deforestacin del pas. En el 2014 realiza la
unificacin y optimizacin de las bases de datos del sistema de
trmite judicial.
Diego Romero Vsconez naci en
Baos, Tungurahua, en 1970. Recibi
su ttulo de Ingeniero en Sistemas en la
Escuela Politcnica Nacional en Quito,
Ecuador. Actualmente trabaja en la
CNT-EP (Corporacin Nacional de
Comunicaciones), como Arquitecto de
TI. Actualmente se encuentra cursando
la Maestra de Gerencia de Sistemas en
la Universidad de Las Fuerzas Armadas
ESPE en Sangolqu, Ecuador.
Christian Bastidas Espinosa naci en
Quito, Ecuador, en 1981 graduado en el
ao de 1999 de educacin primaria, en
2006 termina la titulacin superior
como ingeniero en sistemas y en la
actualidad est cursando una Maestra
en Gerencia de Sistemas en la
Universidad de Las Fuerzas Armadas
ESPE en Sangolqu, Ecuador. En la
actualidad se desempea como Analista
de mediacin de Facturacin de la
CNTEP.
Walter Fuertes Daz, es profesor
investigador del Departamento de
Ciencias de la Computacin de la
Universidad de las Fuerzas Armadas
ESPE de Ecuador. Es Ingeniero de
Sistemas, Master en Informtica
mencin Redes y obtuvo el grado de
Doctor en la Universidad Autnoma de
Madrid Espaa. Sus intereses de
investigacin son: Ciberseguridad,
Sistemas distribuidos, video-juegos,
procesamiento digital de imgenes.
[21] W. Fuertes, P. Zapata, L. Ayala y M. Meja. Plataforma de

Experimentacin de Ataques Reales a Redes IP Utilizando Tecnologas de
Virtualizacin, Memorias del Tercer Congreso de Software Libre
CONASOL-2010. Talara, Per, diciembre 2010.
BIOGRAFA
Mauro Silva naci en la ciudad de
Quito, en 1972. Recibi el ttulo de
Ingeniero Informtico en la Universidad
Central del Ecuador. A partir del 1999
trabaj en una empresa de servicios
petroleros como programador y control
en el departamento de QA-QC.
Realizando programacin de obra y
animaciones por computador en la
empresa Construction Interface Services
en Carolina del Norte. El 2009 ingresa a
trabajar en el Ministerio del Ambiente como Responsable del
Sistema de Control Forestal mejorando procesos y realizando
62
Evaluacin de Ataques a las Aplicaciones Web tipo Inyeccin SQL a Ciegas

utilizando Escenarios Virtuales como Plataforma Experimental
Santiago Hidalgo, Diego Jaramillo, Vctor Olalla, Becket Toapanta, Walter Fuertes
Departamento de Ciencias de la computacin, Universidad de las Fuerzas Armadas, Sangolqu, Ecuador
E-mail: samricardos@gmail.com, diegojaramillom1982@gmail.com, victor.olalla@epn.edu.ec,
becketivan@gmail.com, wmfuertes@espe.edu.ec
Resumen.- Los ataques a ciegas por Inyeccin SQL a las
aplicaciones Web, tambin conocidos como Blind SQL Injection
Attacks, tienen el propsito de obtener acceso sin restricciones a
la base de datos empresariales para conseguir informacin
potencialmente sensible. Ante este problema, el presente estudio
ha evaluado diversas herramientas de software tiles para la
generacin de ataques y justipreciar cmo afectan al rendimiento
de los servidores para conseguir acceso a la base de datos. Las
herramientas probadas fueron Absinthe, BSQL Hacker y The
Mole, que funcionan sobre las plataformas Windows y Linux
respectivamente. Luego, se dise e implement un entorno
virtual de red como plataforma experimental, con segmentacin
LAN que impide el acceso interno al servidor Web. Adems, se
desarroll un aplicativo utilizando el framework CodeIgniter
para PHP, sobre un servidor Apache y se conect a una BDD
Microsoft SQL 2008. A continuacin se modific la lgica de
programacin y se utiliz la clase llamada Active Record como
parte de la mitigacin, donde se evidenci que ninguna de las
herramientas logr vulnerar la base de datos. Finalmente se
midi la carga sobre el procesador, la memoria y la red para
determinar cul de estas herramientas es ms contundente al
ejecutar un ataque en estas condiciones.
Palabras Clave: Ataques de seguridad, Virtualizacin, Sql
Injection, Absinthe, BSQL Hacker, The Mole.
I. INTRODUCCION
Los sistemas computacionales y las redes de informacin se
encuentran continuamente expuestos a ataques informticos los
cuales pueden comprometer la continuidad del negocio. Este
tipo de ataques pueden dejar inoperativos los recursos
informticos perjudicando a los negocios y a sus clientes que
dependen en alto grado de la tecnologa.
Para proteger y mitigar estas amenazas perpetradas a las
seguridades de las redes y sistemas computacionales, es
necesario identificar las vulnerabilidades existentes en los
equipos tecnolgicos de las empresas y conocer los posibles
tipos de ataques a los que pueden ser vctimas. Para manejar
esta situacin se propone realizar un laboratorio virtualizado
donde se pueda ejecutar ataques de Inyeccin SQL y evaluar su
impacto en el rendimiento de los recursos computacionales
(memoria, procesador, red). Esta alternativa permite reducir
costos y principalmente minimizar el riesgo de saturar la red y
los equipos computacionales de los ambientes de produccin.
En este contexto, la comunidad cientfica ha investigado e
implementado sistemas que mitigan este tipo de ataques. Sobre
este tema se puede mencionar los trabajos propuestos por
Tajpour et al. [1] Halfond et al. [2], Kindy et al.[3] y Das et al.
[4] quienes presentan el estado del arte de los tipos de ataques
de inyeccin SQL, vulnerabilidades y tcnicas de prevencin
con scripts automatizados y ejemplos prcticos. Por su parte,
Patel et al. [5] presentan el problema de la fuga de informacin
ocasionado por los ataques de inyeccin SQL junto con

mecanismos de proteccin, implementando scripts de ataque y
mitigacin. Shin et al. [6] propone un enfoque para facilitar la
identificacin de las vulnerabilidades de ataque de inyeccin
SQL a travs de pruebas automatizadas basadas en el anlisis
esttico. Mitropoulos et al. [7] presenta una metodologa de
prevencin de ataques de inyeccin SQL mediante la
colocacin de un controlador entre la aplicacin y el sistema de
gestin de base de datos. Sun et al. [8] exponen un nuevo
modelo de ataque de inyeccin SQL y construyeron un
repositorio de tipos de ataques de inyeccin SQL mediante la
recopilacin de informacin de diversas fuentes de Internet que
est disponible para el pblico en general. Cecchini et al. [9]
realizaron pruebas utilizando herramientas profesionales de la
plataforma AMPA con el objetivo de probar la efectividad de
las mismas. Para el efecto utilizaron los aplicativos
SQLInjector, SQLInstAillator, AMPAnasia consiguiendo
acceder a la BDD exitosamente, remarcando la importancia de
asegurar la entrada de datos en las aplicaciones Web. Pundlik
et al. [10] propone un Sistema de manejo de inyeccin SQL
que acta como middleware entre el usuario y la base de datos.
Kaushik y Ojha [11] plantean un marco de trabajo que permite
controlar todas la IP visitadas y restringirlas. Si la IP es
restringida los contenidos tambin lo sern, esto se logra
mediante la ejecucin de comandos de actualizacin SQL,
adems almacenar en logs la informacin sobre el intento de
ataque perpetrado. Premveer et al. [12] hacen un estudio sobre
la deteccin de vulnerabilidades de ataques de inyeccin SQL
en diferentes tipos de dominios, utilizando las herramientas
Nets Parker, Webcruiser, Sqlmap y Havij. En el trabajo
propuesto por Sadeghian [13] con base en las investigaciones
realizadas por OWASP (Open Web Application Security
Project), seala que un atacante con un buen conocimiento del
lenguaje SQL puede cambiar el aspecto de las consultas SQL
de una manera que un firewall no puede detectarlos. As
mismo, Natarajan sobre seguridad y privacidad de las
aplicaciones Web, propone un algoritmo de seguridad de SQLIF. El algoritmo generado se ha integrado en el entorno de
ejecucin, mientras que la aplicacin se ha hecho a travs de
Java [14]. Xi-zhong [15] explica cmo realizar la interfaz de
operacin visual, y aadir la funcin de cdigo para efectuar
ataques SQL. No obstante, a pesar de todos estos esfuerzos, se
siguen reportando en la empresa ataques a las aplicaciones
Web.
Entre las principales contribuciones de esta investigacin
cabe mencionar: i) la evaluacin de diversas herramientas para
ataques a ciegas de inyeccin SQL utilizando tecnologas de
virtualizacin; ii) mitigar los ataques de inyeccin SQL
optimizando la lgica de programacin en base al marco de
trabajo CodeIgniter; y iii) un anlisis sistmico del estado del
arte sobre ataques de inyeccin SQL.
1
63
HIDALGO et al.: Ataques tipo inyeccin SQL
El resto del artculo ha sido organizado de la siguiente

manera: La seccin 2 presenta el marco conceptual que
fundamenta esta investigacin. En la seccin 3 se describe el
entorno en el que se desarrollaron los ataques, la configuracin
de la topologa de pruebas y las herramientas utilizadas. La
seccin 4 analiza y evala los resultados. En la seccin 5 se
describe una investigacin sistmica del estado del arte. En la
seccin 6, se muestran las conclusiones sobre la base de los
resultados obtenidos y se delimita el trabajo futuro.
II. FUNDAMENTO TERICO
De acuerdo con la gua de Seguridad para Tecnologas de
Virtualizacin, del Instituto Nacional de Estndares y
Tecnologa (NIST) la virtualizacin podra reducir el impacto
de costos de inversin de hardware, costos de mantenimiento,
costo y tiempo de experimentacin y sobre todo reducira el
riesgo del colapso de la red en produccin [16]. En el contexto
de esta investigacin, se formula la implementacin de un
entorno virtual de seguridad utilizando mquinas virtuales [17].
C. Ataques Blind SQL Injection

Un ataque de inyeccin SQL se produce cuando un atacante
intenta cambiar la lgica, la semntica o sintaxis de una
sentencia SQL, que es legtima, mediante la insercin de nuevo
comando SQL o palabras clave. Esta definicin incluye, pero
no se limita, a los ataques basados en tautologas, inyectando
declaraciones
adicionales,
explotando
parmetros,
procedimientos
almacenados,
errores
excesivamente
descriptivos, mensajes, codificaciones alternativas y lmites de
longitud. [20] [21] [22].
Ataques a ciegas, significa conseguir que los comandos se
ejecuten sin la posibilidad de ver ninguno de los resultados. La
in-habilitacin de la muestra de los resultados del ataque se
produce por el tratamiento total de los cdigos de error y la
imposibilidad de modificar, ninguna informacin de la base de
datos. A pesar de que un atacante no pueda ver los datos
extrados directamente de la base de datos es ms probable que
al cambiar los datos que se estn enviando como parmetros se
puedan realizar inferencias sobre ellos en funcin de los
cambios que se obtienen.
El objetivo del atacante es detectar esos cambios para poder
deducir cul ha sido la informacin extrada en funcin de los
resultados. La forma ms fcil de automatizar esta tcnica es
usar un vector de ataque basado en lgica binaria, es decir,
Verdadero y Falso [23]. En este apartado nos vamos a centrar
en las tcnicas de inferencia ciega basada en inyeccin de
comandos SQL.
Fig. 1. Interrelacin de los elementos del proyecto

A. Virtualizacin
Se puede definir como la utilizacin de los recursos
hardware de una computadora fsica llamada anfitrin donde se
lleva a cabo la virtualizacin y la puesta en funcionamiento de
mquinas virtuales que ofrecen una interfaz en la maquina
anfitriona, mediante la cual se interacta con el sistema
operativo de la mquina virtual. La virtualizacin es la forma
de particionar lgicamente un equipo fsico en una o varias
mquinas virtuales, para compartir recursos de hardware, como
CPU, memoria, disco duro y dispositivos de entrada y salida
[18]. Esto permite hacer que un recurso fsico, como un
servidor, aparezca como si fuera varios recursos lgicos a la
vez.
B. Escenario Virtual de Red
Se puede definir como una agrupacin de equipos virtuales
(tanto sistemas finales como elementos de red, enrutadores y
conmutadores) conectados entre s en una determinada
topologa de red montada sobre uno o varios equipos fsicos, el
cual emula un sistema equivalente y cuyo entorno deber ser
percibido como si fuera real [19]. El escenario virtual de red
encapsula un conjunto de aplicaciones dentro de una red lgica,
que permite configurar los servicios de red de manera realista.
En esta investigacin, se ha utilizado este concepto porque la
virtualizacin es una tecnologa potencial para reproducir una
topologa de red real.
El Parmetro Vulnerable se localiza en el cdigo de la

aplicacin que no est realizando una correcta comprobacin
de los parmetros de entrada a la aplicacin, para componer las
consultas a la base de datos. En las conferencias de Blackhat
USA del 2004, se present el trabajo Blind SQL Injection
Automation Techniques mediante herramientas como
bsqueda de palabra clave, firmas MD5, motores de diferencia
textual, Absinthe, bsql-hacker-master, pangoln, entre otras.
III. CONFIGURACIN DEL EXPERIMENTO
A. Herramientas
Para la realizacin del experimento, se dise e implement
una topologa de prueba en la que se utilizaron herramientas de
cdigo abierto y de libre distribucin; algunas de ellas se
describen a continuacin:
a) Sistema de virtualizacin: Como plataforma de
virtualizacin se utiliz Virtual Box [24] sobre Windows 7. Su
objetivo fue configurar mltiples computadoras virtuales
interconectadas entre s, implementado un escenario virtual de
red.
b) Firewall: Como firewall se utiliz el que viene
incorporado en la distribucin Centos. Su objetivo fue
disponer de un cortafuego que permiti establecer seguridades
y proteger una red de accesos ilcitos, redirigir paquetes hacia
mquinas de la red interna, otorgar accesos solo desde sitios
conocidos, etc.
c) Web Server: Se configur Apache2 [25] sobre la
versin estndar de Ubuntu Server. Su objetivo fue servir
pginas Web solicitadas por equipos cliente mediante el uso
de navegadores Web.
2
64
d) Base de Datos: Como servidor de base de datos de

utiliz Microsoft SQL Server 2008 R2 [26] sobre un servidor
con Windows Server 2008. Su objetivo fue atender la gestin
de consultas a la base de datos.
e) Herramientas para el ataque SQL Injection: Como
herramientas para la generacin de ataques SQL Injection se
utiliz Absinthe[27], BSQL Hacker [28] y The Mole[29]. Las
dos primeras funcionaron sobre plataformas Windows, y la
ltima, sobre cualquier distribucin de Linux.
B. Topologa experimental propuesta
La generacin de ataques mediante SQL Injection y su
mecanismo de mitigacin requirieron de la creacin de una
infraestructura de red similar a la utilizada por cualquier red en
produccin. Es as que en el diseo e implementacin de la
topologa de prueba se requiri de un enrutador que posibilit
la salida a Internet, un computador con Windows7 y un equipo
anfitrin de Virtualizacin que permiti crear los diferentes
componentes de la implementacin, convirtindola en una
plataforma hbrida, tal como se muestra en la Fig. 2.
Fig. 2. Topologa Experimental hbrida

C. Implementacin de la Plataforma Experimental
Los ataques se ejecutaron en el equipo anfitrin Virtual
box, bajo Windows7 de 64bits, con procesador Core I5,
memoria 4Gb y almacenamiento 500 Gb. En las mquinas
virtuales se instal Centos 6 habilitando el firewall, Ubuntu
Server 12.04 como Web Server, Windows Server 2008 con
Microsoft SQL 2008 como servidor de base de datos y
Windows 7 como estaciones de trabajo.
que conecta al equipo anfitrin tanto hacia el Internet como a

las mquinas virtuales.
D. Generacin de Ataques
La generacin de ataques SQL Injection se realiz
ejecutando los programas Absinthe y BSQL Hacker en una
mquina virtual con Windows 7 desde la LAN, en un primer
caso (interno), y en una estacin de trabajo con Windows desde
la WAN, para un segundo caso (externo). Adems, se realiz
un tercer caso ejecutando The Mole en una mquina virtual con
Ubuntu desde la LAN. Para todos estos ataques fue necesario
la creacin de un usuario en el aplicativo y el acceso a la
direccin URL de la mquina vctima (Web Server).
A continuacin se desarroll una aplicacin de logn
utilizando el framework Codeigniter para desarrollo de
aplicaciones en el lenguaje de programacin PHP, que utiliza el
patrn MVC (Modelo-Vista-Controlador), el cual permite
separar la lgica de la aplicacin (vase Fig. 3). Luego se
conect con la BBD Microsoft SQL Server 2008 R2 desde un
servidor Apache y se ejecutaron las ataques sobre una
aplicacin de logn. Para la experimentacin se disearon 2
interfaces, la pantalla de logn y la del registro de usuarios. En
la pantalla de logn se implement el ingreso de los campos de
usuario y contrasea. En el momento que el usuario enva los
datos para su validacin se realiza una consulta a la BDD
concatenando los datos enviados en una sentencia SQL. El
proceso dentro de la aplicacin es llamar a una funcin del
modelo la cual recibe los parmetros enviados a travs del
mtodo get, los concatena con una sentencia SQL, y si el
resultado de la consulta es un nico registro la funcin
devuelve VERDADERO, caso contrario devuelve FALSO.
En esta primera instancia se inyectaron ataques con las
herramientas sealadas, logrando su objetivo. Luego se cambi
la lgica de programacin donde, se modific la funcin del
modelo y en vez de concatenar los parmetros recibidos se
utiliz la clase llamada Active Record para generar consultas
seguras ya que los parmetros son escapados automticamente
por el framework. Como resultado ninguna de las herramientas
logr vulnerar la base de datos. Como complemento, se evalu
la carga sobre el procesador, la memoria y el desempeo de la
red para determinar cul herramienta fue ms eficiente al
ejecutar un ataque en estas condiciones.
Para la implementacin del entorno virtual de red, se instal

Windows 7 de 64 bits sobre el equipo anfitrin, se configur el
acceso a Internet y a continuacin se procedi a la instalacin
de Virtual Box. Se cre la primera mquina virtual con
Centos6 con tres interfaces virtuales de red, una en modo
Bridge y las dos restantes en modo Host-Only. Se activ el
firewall para administrar el trfico entrante y saliente. Se cre
una segunda mquina virtual con Ubuntu 12.04 con una
interfaz de red en modo Host-only, sobre la cual se instal el
servidor Web con Apache.
A continuacin se cre la tercera mquina virtual con
Windows Server 2008 con una interfaz de red. Aqu se instal
el manejador de base de datos SQL Server 2008 donde se aloj
la base de datos que fue el objetivo del ataque. Finalmente se
cre la mquina virtual con Windows7 y una sola interfaz de
red que permiti hacer los ataques de SQL Injection. Cabe
aclarar que el enrutador de la Fig. 2 fue un dispositivo fsico
Fig. 3. Flujograma de la aplicacin de Logn

3
65
IV. EVALUACIN DE RESULTADOS EXPERIMENTALES

Durante el monitoreo de la carga generada por las diversas
herramientas utilizadas para inyectar ataques de inyeccin
SQL, se tomaron algunos clculos generados de cada una de
ellas. El ataque fue generado desde la red LAN de la
organizacin. Los resultados que se muestran a continuacin
miden el consumo de CPU, el consumo de la memoria y el
desempeo de la red. Estas lecturas fueron realizadas cada
segundo durante el lapso de 3 minutos, utilizando el monitor
del sistema y el comando vmstat de Linux.
A. Ataque a ciegas por SQL Inyeccin con Absinthe
Para generar este ataque a ciegas por inyeccin SQL se
utiliz como herramienta Absinthe, utilitario de cdigo abierto,
que automatiza el proceso de descarga del esquema y del
contenido de la base de datos.
La Fig. 4 muestra el consumo de CPU durante la utilizacin
de la herramienta. El tiempo aproximado para conseguir acceso
a la base fue de 8 segundos, para listar los nombres de la base
de datos fueron 18 segundos y para listar las tablas de la base
seleccionada fueron 25 segundos, tomando un tiempo total de
51 segundos. El consumo mximo del CPU fue de 33% durante
un segundo.
Fig. 6. Cantidad de uso de la red para Absinthe

B. Ataque a ciegas por SQL Inyeccin con BSQL Hacker
Para hacer este ataque a ciegas por inyeccin SQL se utiliz
como herramienta BSQL Hacker, utilitario de cdigo abierto
que permiti mediante el uso de plantillas parametrizar el tipo
de ataque. Esta herramienta utiliza el mtodo llamado TimeBased blind SQL Injection para el proceso de inyeccin SQL.
La Fig. 7 muestra el consumo del CPU durante la
utilizacin de la herramienta. El tiempo aproximado para
conseguir acceso a la base fue de 36 segundos, para listar los
nombres de la base de datos fueron 16 segundos y para listar
las tablas de la base seleccionada fueron 12 segundos, tomando
un tiempo total de 64 segundos. El consumo mximo del CPU
fue de 38% durante 36 segundos.
Fig. 4. Porcentaje de uso del CPU para Absinthe

La Fig. 5 muestra el consumo de la memoria durante la
utilizacin de la herramienta. El consumo aumenta un mximo
de 3,3% durante todo el proceso.
Fig. 7. Porcentaje de uso del CPU para BSQL

La Fig. 8 muestra el consumo de la memoria durante la
utilizacin de la herramienta. El consumo aumento un mximo
de 13,3% durante el proceso de obtencin de credenciales de
acceso.
Fig. 5. Porcentaje de uso de la memoria para Absinthe

La Fig. 6 muestra la cantidad de bytes enviados y recibidos
por el servidor Web, siendo el mximo uso de la red 41 KB/s
en el proceso de listar las tablas de la base de datos.
Fig. 8. Porcentaje de uso de la memoria para BSQL

4
66
La Fig. 9 muestra la cantidad de bytes enviados y recibidos

por el servidor Web, siendo el mximo rendimiento de la red
de 200 KB/s durante todo el proceso del ataque.
La Fig. 12 muestra la cantidad de bytes enviados y

recibidos por el servidor Web, siendo el mximo rendimiento
de la red 250 KB/s en el proceso de listar las tablas de la base
de datos.
Fig. 9. Desempeo de la red para BSQL

Fig. 12. Desempeo de la red para The Mole
C. Ataque a ciegas por SQL Injection con The Mole
Para la generacin de este ataque a ciegas por inyeccin
SQL se utiliz como herramienta The Mole, utilitario de
cdigo abierto escrito en lenguaje Phyton, que automatiz el
proceso de extraccin de informacin de la base de datos. La
Fig. 10 muestra el consumo del CPU durante la utilizacin de
la herramienta. El tiempo aproximado para conseguir acceso a
la base fue de 6 segundos, para listar los nombres de la base de
datos fueron 12 segundos y para listar las tablas de la base
seleccionada fueron 22 segundos, tomando un tiempo total de
40 segundos. El consumo mximo del CPU fue de 35% durante
22 segundos.
D. Anlisis Comparativo de las Herramientas

Luego de analizar el comportamiento de las tres
herramientas, se procedi a determinar la que mayor riesgo e
impacto genera a la red de una organizacin, conforme al
siguiente detalle:
a)
Comparacin del consumo del CPU: Se observ

que BSQL fue la herramienta que en mayor porcentaje
consumi CPU, durante el proceso de acceso a la base de
datos. The Mole obtuvo un consumo similar en el proceso
de listar las tablas de la base. Absinthe mantuvo un
comportamiento constante con pequeos picos durante su
ejecucin. En la Figura 13, se puede ver el consumo de
CPU de las herramientas.
Fig. 10. Porcentaje de uso del CPU para The Mole

La Fig. 11 ilustra el consumo de la memoria durante la
utilizacin de la herramienta. El consumo se mantuvo
constante durante todo el proceso.
Fig. 13. Comparacin de consumo de CPU

b)
c)
Fig. 11. Porcentaje de uso de la memoria para The Mole
Comparacin del uso de red: Al analizar el

consumo de la red se observ que la herramienta The
Mole fue la que mayor desempeo de la red,
principalmente durante la obtencin de las tablas de la
base. BSQL tuvo un consumo similar a The Mole, sin
embargo Absinthe mantuvo un consumo tres veces menor
que las herramientas antes mencionadas.
Comparacin del consumo de la memoria: Se
observ que la herramienta que mayor consumo
corresponde a BSQL durante el proceso de acceso a la
base. Absinthe y The Mole conservaron un consumo
constante durante todo el proceso, siendo Absinthe la que
menor consumo realiz. En la Figura 14, se puede ver el
consumo de memoria de las herramientas.
5
67
Fig. 14. Comparacin de consumo de memoria

E. Discusin
Uno de los ataques que ms se est utilizando para extraer
remotamente informacin de sistemas informticos es el Blind
SQL Injection. Mediante las inyecciones de cdigo SQL es
posible realizar la extraccin de datos del objetivo y acceder a
los propios sistemas.
Para protegerse de los ataques Blind SQL Injection es
fundamental modificar el mtodo de envo de las variables de
GET a POST. La diferencia entre los mtodos GET y POST
radica en la forma de enviar los datos a la pgina, mientras que
el mtodo GET enva los datos usando la URL, el mtodo
POST los enva de forma que no se puede verlos (i.e. pues
residen en segundo plano o estn "ocultos" al usuario).
Los Frameworks de desarrollo mantienen funciones que
permiten limpiar los campos de entrada de una interfaz Web.
En este experimento, la lgica de programacin del
CodeIgniter fue modificado implementando la clase Active
Record [22], lo que impidi la obtencin de informacin de la
base por cualquiera de las herramientas utilizadas.
V. TRABAJOS RELACIONADOS
Durante la investigacin se han encontrado una cantidad
significativa de estudios en relacin ataques por Inyeccin
SQL. A continuacin se expone algunas de ellas: Los trabajos
propuestos por Tajpour et al. [1], Halfond et al. [2], Kindy et al.
[3] clasifican los ataques de inyeccin SQL en dos tipos: por la
intencin del atacante y por el tipo de ataque. Dentro de la
categora del tipo de ataque, se encuentran aquellos realizados
por Inferencia, que se caracterizan porque los intrusos cambian
el comportamiento de una base de datos o aplicacin. Los
ataques de inferencia se clasifican a su vez en dos tipos:
Ataques de sincronizacin y a ciegas. El ataque de
sincronizacin por su parte, permite al atacante recolectar
informacin de una base de datos observando los retrasos de
tiempo en las respuestas de la base de datos. El ataque de
inyeccin a ciegas inserta o "inyecta" cdigo SQL invasor
dentro del cdigo SQL programado, a fin de alterar el
funcionamiento normal del programa y lograr as que se
ejecute la porcin de cdigo "invasor" incrustado, en la base de
datos. Justamente este tipo de ataque fue analizado en la
presente investigacin.
Pundlik et al. [10] proponen un Sistema de manejo de
inyeccin SQL que acta como middleware entre el usuario y
la base de datos orientado a mejorar la seguridad de las
mismas contra robos a travs del mejoramiento de los
mecanismos de deteccin y recuperacin de ataques SQL
Injection. Comparado con nuestra investigacin, nosotros

hemos desarrollado el sistema en PHP al cual se ha optimizado
la lgica de programacin y se ha utilizado la clase llamada
Active Record, logrando bloquear los ataques de SQL
Injection generadas por diferentes herramientas.
Kaushik y Ojha [11] plantean un framework que permite
controlar todas la IP visitadas y restringirlas. Si la IP es
restringida los contenidos tambin lo sern, esto se logra
mediante la ejecucin de comandos de actualizacin SQL,
adems almacena en logs la informacin sobre el intento de
ataque perpetrado. Para la prevencin propone una deteccin
adecuada que permita obtener la alerta oportuna y reconocer el
ataque. Las sentencias SQL fueron construidas a travs de una
tcnica de cifrado con analizador de SQL. En nuestra
investigacin en cambio, se busca establecer un mecanismo
que permite verificar las consultas SQL orientada mejorar la
seguridad de las bases de datos.
Premveer et al. [12] hace un estudio sobre la deteccin de
vulnerabilidades de ataques de SQL Injection en diferentes
tipos de dominios, utilizando las herramientas Nets Parker,
Webcruiser, Sqlmap y Havij. Luego evalan varias
herramientas
que permite probar y explotar las
vulnerabilidades de las bases de datos a los ataque mediante
SQL Injection. En nuestra investigacin se hace una evaluacin
de varias herramientas para generar un ataque de SQL
Injection. Pero adems, mediante programacin desarrollamos
un mecanismo que permite bloquear e incrementar la seguridad
de la bases de datos frente a ese tipo de ataques.
El estudio realizado por A. Sadeghian sobre la base de las
investigaciones realizadas por OWASP, seala que el ataque
inyeccin SQL tiene las vulnerabilidades ms altas en la Web.
Adems indica que un atacante con un buen conocimiento del
lenguaje SQL puede cambiar el aspecto de las consultas SQL
de una manera que el firewall no puede detectarlos. Por ello, en
este estudio se describe la naturaleza del ataque de inyeccin
SQL. Luego los autores analizaron las tcnicas de evasin de
deteccin de inyeccin SQL actuales y cmo se podran eludir
los filtros de deteccin. Tambin proponen una combinacin de
soluciones que ayuda a mitigar el riesgo de ataque de inyeccin
SQL. [13].
En el trabajo propuesto por K. Natarajan se realiza la
investigacin sobre Injection SQL libre (SQL-IF), algoritmo de
seguridad para detectar y prevenir ataques de inyeccin SQL
(SQLIAs). Aqu se mencionan varios mtodos de deteccin en
conflicto contra el algoritmo de seguridad de SQL-IF
propuesto. Se presenta el algoritmo de seguridad de SQL-IF y
la lgica del cdigo generado. Su evaluacin demuestra que el
algoritmo funciona de manera eficiente para detectar los
ataques SQL Injection [14]. En este mismo contexto, W, Xizhong1 et al., analizan la teora SQLInjection de forma manual,
en la cual explica cmo realizar la interfaz de operacin visual
aadiendo una funcin de proteccin automtica. Esto permite
conseguir una comprensin ms profunda sobre la seguridad de
la base de datos en una red comn utilizando software [15].
Chora et al., propone un nuevo mtodo para la deteccin
SQLIA que est basado en un algoritmo gentico para
determinar consultas anmalas de orgenes externos mediante
un escenario experimental virtual que describe los resultados
obtenidos. [31].
Sun et al. [32] plantea una metodologa de prevencin de
ataques de inyeccin SQL mediante un controlador entre la
aplicacin y el sistema de base de datos. Este fue desarrollado
en java y acta como un filtro que valida las sentencias SQL.
6
68
Comparado con el nuestro, la clase Active Record realiza la

misma funcin, sin embargo esta verificacin se realiza antes
de la ejecucin de la sentencia SQL.
El presente estudio se enfoc en la evaluacin de ataques
Blind SQL Injection, utilizando como plataforma de
experimentacin un entorno virtual de red. Esta plataforma
permiti identificar cmo actan dichos ataques al tratar de
tener un acceso no autorizado a la base de datos. Durante la
investigacin, se evaluaron algunas herramientas de software
libre como Absinthe, BSQL Hacker y The Mole, sobre
plataformas Windows, y Linux. Luego se dise y desarroll
una aplicacin utilizando el framework CodeIgniter para
programar en PHP. Para validar esta investigacin se modific
la lgica de programacin utilizando active record, sobre la
mquina host. Adems se evalu del consumo del procesador,
la memoria y el desempeo de la red, para determinar cul de
herramienta es la ms contundente al ejecutar el ataque. Los
resultados obtenidos muestran que la implementacin de la
clase active record en el CodeIgniter detienen el ataque
producido por las herramientas utilizadas.
Como trabajo futuro se plantea realizar el ataque SQL
Injection utilizando los scripts de explotacin Sqlmap, Havij y
SQL Ninja, con el fin de determinar cul script es el que ms
impacto genera a las bases de datos de los usuarios.
AGRADECIMIENTOS

Computacin de la Universidad de las Fuerzas Armadas ESPE
de Sangolqu, Ecuador; y de manera especial al Grupo de
Computacionales de Entrenamiento, Experimentacin, Gestin
y Mitigacin de Ataques a la Ciberseguridad", Cdigo: ESPE2015-PIC-019.
REFERENCIAS BIBLIOGRFICAS
[1] A. Tajpour, S. Ibrahim, M. Masrom "SQL Injection Detection and
[2]
[3]
[4]
[5]
[6]
[7]
[8]
Prevention Techniques" International Journal of Advancements in

Computing Technology Vol 3, No. 7, Agosto 2011.
W. Halfond, J. Viegas, A. Orso "A Classification of SQL Injection
Attacks and Countermeasures" College of Computing Georgia Institute.
D. Kindy, K. Pathan "A survey on Sql injection: vulnerabilities, attacks
and prevention techniques" Department of Computer Science,
International Islamic University Malaysia.
D. Das, U. Sharma, D.K. Bhattacharyya. "An Approach to Detection of
SQL Injection Attack Based on Dynamic Query Matching" Department
of Computer Science & Engineering, ISSN:0975 - 8887, Vol 1 No. 25.
N. Patel, F. Mohammed, S. Soni. "SQL Injection Attacks: Techniques
and Protection Mechanisms" International Journal on Computer Science
and Engineering (IJCSE),:ISSN : 0975-3397.Vol. 3 No. 1 Enero 2011.
Y. Shin, L. Williams, T. Xie. "SQLUnitGen: SQL Injection Testing
Using Static and Dynamic Analysis" Department of Computer Science,
North Carolina State University, Raleigh.
D. Mitropoulos, D. Spinellis "Countering SQL Injection Attacks with a
Database Driver" 11th Panhellenic Conference on Informatics, PCI
2007, Vol B, pginas 105115, Atenas, Mayo 2007.
S. Sun, T. Wei, S. Liu, S. Lau "Classification of SQL Injection Attacks"
Electrical and Computer Engineering, University of British Columbia.
[9] S. Cecchini, D. Gan. The AMP Attacker: a suite of tools for exploiting
SQL injection vulnerabilities in Web Applications School of

Computing & Mathematical Sciences, University of Greenwich, 2012.
[10] S. Pundlik, R. Kumar, B. Gaikwad, A. Aadhale, V. Waghmare.
SQLIJHS: SQL Injection Attack Handling System International
Journal of Engineering Research & Technology, ISSN: 2278-0181, 2013
[11] M. Kaushik, G. Ojha. Attack Penetration System for SQL Injection
International Journal of Advanced Computer Research, ISSN: 22497277, vol. 4, num 2, pp 724, Junio 2014.
[12] Premveer, A.Srivastava, A Jain. Vulnerability Detection For Sql
Injection Attacks: An Experimental Survey International Journal of
Engineering Research & Technology, ISSN: 2278-0181, vol 2, 2013.
[13] A. Sadeghian, M. Zamani, & Ibrahim, S. (2013, September). SQL
Injection Is Still Alive: A Study on SQL Injection Signature Evasion
Techniques. In Informatics and Creative Multimedia (ICICM), 2013
International Conference on (pp. 265-268). IEEE.
[14] K. Natarajan, &S. Subramani, Generation of Sql-injection Free Secure
Algorithm to Detect and Prevent Sql-Injection Attacks. Procedia
Technology, 4, 790-796; 2012.
[15] W, Xi-zhong1. H, Jun-qiang1 Zhou. C, Fang Zhou1 ) The Attack and
Defense Strategy of SQL Injection in Web Applications (1.HLJ
Province Electronic & Information Products Supervision Inspection
Institute Harbin 150090;2.College of Computer Science and Technology
of Harbin Engineering University Harbin 150001;2011-09.
[16] W. Fuertes, J. de Vergara, and F. Meneses, Educational platform using
virtualization technologies: Teaching-learning applications and research
uses cases, in Proc. II ACE Seminar: Knowledge Construction in
Online Collaborative Communities, Albuquerque, NM USA.
[17] K. Scarfone, S. M, and P. Hoffman, Guide to Security for Full
Virtualization Technologies. DIANE Publishing, 2010, of the National
Institute of Standards and Technology, Gaithersburg, MD.
[18] F. Galn, D. Fernndez, W. Fuertes, M. Gmez and J. E. Lpez de
Vergara. Scenario-based virtual network infrastructure management in
research and educational test beds with VNUML. Annals of
Telecommunications, Vol. 64, No. 5, pp. 305-323, May 2009
[19] W. Fuertes and J. E. Lpez de Vergara. An emulation of VoD services
using virtual network environments. In Proc.GI/ITG Workshop on
Overlay and Network Virtualization, KasselGermany, March 2009
[20] C. Anley. Advanced sql Injection in sql server applications. Disponible
en http://www.nextgenss.com/papers/advanced sql Injection.pdf.
[21] C. Anley. advanced SQL Injection. www.nextgenss.com/papers/more
advanced sql Injection.pdf, White Paper.
[22] C. Cerrudo. Manipulating microsoft sql server using sql Injection.
Disponible en: http://www.appsecinc.com/presentations/Manipulating
SQL Server Using SQL Injection.pdf, White Paper
[23] J. Cebrin, A. Guzman, P. Laguna and A. Bailn. Ataques a BB. DD.,
SQL Injection, Universidad Obrera de Catalunya, Espaa. 2011. BSQL
Hacker Disponible:https://github.com/portcullislabs/bsql-hacker.
[24] Virtualbox, home page: https://www.virtualbox.org/wiki/Downloads.
[25] Apache web page: http: //apache. org/. ltima comprobacin, 03/2015.
[26] Mundy, Joy, and Warren Thornthwaite. The Microsoft Data Warehouse
Toolkit: With SQL Server 2008 R2 and the Microsoft Business
Intelligence Toolset. John Wiley & Sons, 2011.
[27] Talukder, Asoke K., et al. "Security-aware Software Development Life
Cycle (SaSDLC)-Processes and tools." Wireless and Optical
Communications Networks, International Conference on. IEEE, 2009.
[28] Clarke, Justin, ed. SQL injection attacks and defense. Elsevier, 2012.
[29] Kar, Debabrata, and Suvasini Panigrahi. "Prevention of SQL Injection
attack using query transformation and hashing." Advance Computing
Conference (IACC), 2013 IEEE 3rd International. IEEE, 2013.
[30] Chora, Micha, and Rafa Kozik. "Real-Time Analysis of Nonstationary and Complex Network Related Data for Injection Attempts
Detection." Soft Computing in Industrial Applications. Springer
International Publishing, 2014. 257-264.
[31] M. Chora, R. Kozik, D. Puchalski, & Houbowicz, W. (2013, January).
Correlation approach for SQL injection attacks detection. In
International Joint Conference CISIS12-ICEUTE 12-SOCO 12
Special Sessions
[32] S. Sun, T. Wei, S. Liu, S. Lau "Classification of SQL Injection Attacks"
Electrical and Computer Engineering, University of British Columbia.
7
69
MONOCLE Extensible open-source forensic

tool applied to cloud storage cases
J. Rodrguez-Canseco, J. M. de Fuentes, L. Gonzlez-Manzano, A. Ribagorda
Abstract Current forensic tools highly depend on the analyst

awareness of evidences in order to retrieve them by means of a
proactive search methodology. This paper presents MONOCLE,
an open-source extensible framework for automated forensic
analysis. MONOCLE provides automation over the forensic
procedure by means of user-created plugins, reducing the
complexity of evidence retrieval in targets machine hard disk
and memory. The software makes use of external tools such as
the Volatility Framework in order to provide extended
functionality to the executed plugins. To show the applicability of
the proposal, in this paper MONOCLE is applied to two userside cloud storage scenarios: iCloud and Box. Results show that
MONOCLE is able to retrieve relevant information regarding
end-users systems and cloud services interaction in the client
machine.
Keywords Computer forensics, analysis, memory forensics,
software tools.
I. INTRODUCTION
COMPUTER forensics has proved to be a key factor for
criminal investigations and law enforcement, as IT devices are
increasingly more present in our society [1]. Such procedures
are of high importance not only in the elucidation of
traditional criminal cases where new technologies are present
as a helper tool for criminals to operate, but also in modern
crimes where IT devices are the main platform (e.g. illegal
distribution of copyrighted material or online fraud) [2].
In order to conduct such investigations law enforcers make
use of a huge variety of forensic tools for the collection of
evidences. This is of particular interest because most best
forensic practices are standardized, so they can be done in an
algorithmic way (e.g. evidence integrity maintenance,
evidence classification or data carving). For example, Spanish
UNE 71506 describes a forensic analysis methodology [3]. It
is thus interesting to automate the collection of such elements
in order to speed up the whole process.
Most of the current forensic analysis tools (especially
privative ones, such as EnCase [4]) provide an interactive
interface to analyse the target system. By doing so the analyst
is able to perform a proactive analysis to find where relevant
information regarding the conducted case can be found. At the
same time, an overview of the overall system state is provided.
This can help the analyst to find new sources of information
J. Rodrguez-Canseco, J. M. de Fuentes, L. Gonzlez-Manzano and A.
Ribagorda are with the Computer Security Lab (COSEC) of University
Carlos III of Madrid (Spain).
E-mail: {jorrodri, jfuentes, lgmanzan, arturo}@inf.uc3m.es
that he might not have appreciated at a first glance.

There is, however, a disadvantage within this paradigm,
namely the fact that the user has to manually select which
elements to categorize as evidences. Whether this can be
useful when conducting a non-deterministic case in which the
procedure to retrieve the evidences or their nature are not
clear, it is a tedious process when facing some cases in which
the traces to be found are quite standardized (e.g. traces
regarding the installation of a well-known program).
Although some tools provide a way to extend and
automatize user-defined procedures by means of scripts (e.g.
[5], [6]), this is not straightforward. Furthermore, it usually
implies buying a license for specialized programs. These
issues together with the fact that technologies are becoming
more complex as time goes by has also revealed some new
challenges for forensic analysis tools, being cloud forensics a
relevant one.
Cloud services are becoming popular among companies
and end users. The main reason is that a cloud environment
allows the use of hybrid hardware and systems in order to set
up virtual structures, which can be created, modified and
destroyed on users demand. Cloud systems are traditionally
structured into three main categories depending on the service
model they provide, namely Software as a Service (SaaS),
Platform as a Service (PaaS) and Infrastructure as a Service
(IaaS) [7].
Such structures include a brand new set of problems for
law enforcers in order to conduct the analysis [8], which range
from the geographical dispersion found within cloud service
infrastructure (i.e. resulting in different jurisdictional issues)
to the fact that physical machines might hold data from
different individuals, (i.e. resulting into potential privacy and
confidentiality problems). Several approaches have been
tested as to overcome such issues [9]. There are differences
however in the complexity involved within the analysis for
each of the aforementioned services (SaaS, PaaS and IaaS).
More specifically, cloud storage services based on a SaaS
model present one of the most interesting targets for forensic
analysis as the number of users and the amount of data in such
platforms is increasing [10]. They also do provide a promising
window for forensic analysts due to the fact that they tend to
leave high numbers of data remnants in end users machines
[11]. Such end users access these services by means of
personal computers or mobile devices, which do not present
the issues existing in cloud forensics.
This context would make useful the existence of an open
source tool able to conduct forensic procedures applying
automated scripts. The existence of such software would avoid
organizations and individuals affording the expensive licenses
70
RODRGUEZ-CANSECO et al.: MONOCLE
of commercial forensic tools.

This paper presents MONOCLE, an open source
framework for forensic analysis implementing an extensible
script-driven system. The software targets relevant sources of
information on IT systems, such as volatile memory dumps
and disk images. This framework is used afterwards to study a
pair of user-side cloud scenarios in different platforms,
namely iCloud [12] and Box [13]. This implies that several
modules will be created both to test the effectiveness of the
framework when targeting those scenarios and to study the
scenarios as such.
The structure of this paper is as follows: Section II present
a summary of related work in the scope of forensic analysis
tools and user-side cloud forensics. Section III introduces the
necessary background knowledge to understand user-side
cloud scenarios. Section IV presents the forensic analysis
framework and its workflow at a high level. Section V depicts
and describes the detailed design of the framework. In Section
VI the application of the proposed framework to a user-side
cloud scenario is presented. Section VII compares
MONOCLE against existing tools. Finally, conclusions and
future work is outlined in Section VIII.
II. RELATED WORK
Previous research contributions have addressed cloud
forensics and their peculiarities regarding traditional forensics
problems, such as jurisdictional issues and privacy concerns.
Most of this literature focuses on the study of the open
problems and possible improvements in cloud structures rather
than in the actual forensic analysis of cloud systems within the
current architectures. Zawoad et al. [9], and Shah et al. [14]
discuss the different problems inherent to cloud systems
regarding digital forensics. Almulla et al. propose different
approaches to provide forensics friendly cloud services [15],
but such solutions require cloud service providers to adopt
them and do not solve the problem in the short term scope.
The increasing number of users of the SaaS cloud
architectures in which data storage is offered as a service has
motivated the research on this specific area. Quick et al. [16]
provide an extensive listing of traces left on client machines
by different cloud storage platforms, such as Dropbox [11],
Google Drive [17] Microsoft SkyDrive [18] or ownCloud
[19], found by means of different forensic tools. Such studies
reveal the utility of client-side forensics in which they call
Storage as a Service (StaaS) platforms.
A. On software tools
Most commercial tools provide a wide set of procedures in
order to recover data evidences, such as data carving [20] and
memory data analysis [21]. These tools are implemented
following an approach which requires the user interaction to
retrieve items considered as evidences. This is done in order
to allow the required flexibility when conducting forensic
investigations (i.e. as there are a broad number of
interpretations an analyst might give to an evidence element
depending on the context of the conducted case).
Such tools can be classified in several ways depending on

their nature, e.g. being commercial software or freeware.
Commercial software tools are usually more complete than
their free counterparts, and thus include a broader set of
features.
Among commercial tools, some of the most relevant ones
due to the amount of provided features are EnCase Forensics
[4] by Guidance Software, FTK (Forensic ToolKit) [22], from
AccessData, or Pro Discover [23], from the ARC group of
NY. Another interesting software due its relationship with the
context discussed in the present paper is IEF (Internet
Evidence Finder) [24], from Magnetic Forensics, as it
performs forensic analysis of internet services.
On the other hand, open source tools have a more limited
scope in terms of analysis targets and capabilities. There are
however several powerful tools to perform forensic analysis,
such as The Sleuth Kit [25], by Brian Carrier (disk image
analysis), the Volatility Framework [26], by Volatility
Foundation (memory analysis) or Simsongs Bulk Extractor
[27] (disk data carving).
III. CLOUD FORENSICS
Cloud computing can be divided in two different parts,
namely the front end, that is based on a clients computer and
the back end, which consists of one or multiple computers,
servers and data storages [28]. Moreover, cloud servers may
be used by huge amount of users or entities and the
appropriate management has to be provided. Likewise, servers
or data storages can be spread all over the world and their
management has to be carried out according to laws
established in their particular location as well as guaranteeing
availability even when failures occur.
CLIENT-SIDE
MONOCLE
SERVER-SIDE
Cloud System
Figure 1. MONOCLE in the cloud infrastructure
Cloud systems are a popular choice due to their fast

resource allocation and elasticity capabilities. They use hybrid
hardware and virtualization to reduce overall costs [29].
Although this versatility is quite useful for companies, in
terms of computer forensics the nature of the cloud
environment makes difficult forensic analysis using traditional
procedures. Besides, forensic analysis in cloud servers may
become a burden due to their location and the amount of
possible clients together with applicable laws.
As aforementioned, given that cloud forensics is hard to
analyze from the back end (server-side) point of view,
71
MONOCLE addresses computer forensics from the front end

(client-side) perspective (see Figure 1). Data stored and
managed in the cloud is accessed by clients, e.g. a browser or
desktop application.
A. User-side cloud forensics
Cloud storage platforms usually provide two different ways
to access their services. The first one is the access by means of
a web application using a web browser. Such application
allows the user to remotely interact with stored data within the
server. In addition to the web browser, most of cloud storage
service providers have a synchronization client program which
updates data on the server side based on changes performed at
client-side.
This interaction from the client-side exposes a series of
evidences, which can be potentially meaningful for
investigators. Three different levels of relationship between
the user and the cloud service can be defined as to quantify the
amount of potential evidences to be found during the analysis:
Access the cloud service through a web browser. Data

remnants are found mainly within the web browser
history and RAM memory.
Access the service through a cloud sync program. Data
remnants are related to the installation and operations of
the synchronization program.
Different sets of artifacts can be elicited for each of the

levels described. Such artifacts analysis provides a source of
potential evidences. The relation amongst different artifacts
will likely reveal meaningful information to the conducted
investigation.
Regarding what can be found in memory, one of the most
relevant evidences to carve are the URLs associated to the
web interface of the cloud services. Memory-mapped
structures such as registry keys are also valuable as they might
contain data regarding to the web browser (e.g. URLs recently
typed and temporal files downloaded or visualized within the
browser).
The analysis of the disk image provides more information
than memory analysis. Temporal files are stored in each web
browser folders. All registry hives are usually present. The
most interesting refers to traces left by a newly installed
program which are easy to identify. In this context, the
installation folder of the program, the different registry keys,
which have been modified by the software, and all data the
tool is syncing with the cloud service are potential sources of
information. System logs are also valuable as they provide a
way to track changes within the system.
Once searched evidences to look for are stated, tools
provided by MONOCLE can be applied to retrieve the
specific elements for each case.
IV. SYSTEM OVERVIEW

A. Goals
In this section the main goals pursued in MONOCLEs
design are described.
The main objective of the present paper is the creation of a
utility framework (MONOCLE) for the development of
automated analysis on third party target machines. Many of
the current tools (recall Section II) in the forensic analysis
field are either commercial software, or present a limited
scope in terms of evidence sources. In this respect, the
proposed tool would target main evidence sources present on
IT devices, e.g. namely volatile memory dumps and disk
images.
In addition to that, most of tools do provide a proactive
(interactive) search paradigm. This stands for the fact of the
tool carving data in different areas, and presenting it to the
analyst so as for him to select elements to categorize as
evidence. This is a time-consuming process when facing data
retrieval of well-known elements, such as program installation
data or web access history. By contrast, MONOCLE provides
a script-based analysis procedure. This implies that the
analyst, targeting specific well-known elements, can code
several modules. Such plugins can be reused in further
investigations with minimum effort, speeding up the analysis
process and reducing the analyst manual workload. In this
respect, it is necessary for the tool to be extensible as to adapt
new needs of the analyst. Besides, MONOCLE detects and
loads seamessly new scan plugins (i.e. scripts) without
incuring into extra efforts to the user.
Due to this need of extensibility, the proposed software
includes several utility tools which can be used in order to
speed up the creation of plugins. Such utilities include
automatic
evidence
management,
RAM
memory
reconstruction, registry hives parsing, and visual timeline
representation of results.
Finally, the implementation of a GUI for the easy of use
and the release of the tool under an open source license are
also current objectives.
B. High level functionality
The framework is intended to run user-created plugins,
which will perform different analysis over the evidence
sources. Although the user can create its own plugins, there is
the possibility of download plugins created by other users.
Monocle loads evidence sources from different data dumps.
In its curret version MONOCLE process raw format RAM
memory dumps and disk images. Once the user has selected
an evidence source, it is necessary to state wether it is a Disk
image or a memory dump. Plugins differ depending on the
type of the source. Available plugins can be choosen by the
user in order to execute them over the selected evidence
source.
A different process occurs in order for the framework to
access each type of evidence source. Disk images are mounted
using system-specific commands. This process is performed in
read-only mode so as to preserve data integrity. Memory
72
dump images are treated as regular files, being the user plugin
the one choosing how to interact with them.
Apart from functionalities provided by each user plugin,
the framework performs, without the requirement of user
interaction, some of the standardized tasks common to any
digital crime scene investigation phase (e.g. integrity checking
and secure storage of evidences) [30]. To do so an evidence
manager has been developed and integrated in MONOCLE.
This manager provides digital-feasible documentation of the
evidence (e.g. retrieving data such as evidence location within
the digital container or metadata) and evidence data recovery.
Such recovery includes a copy of the evidence element (if
possible) on a local directory within the analyst machine, as
well as optional comments made by the analyst. Besides,
evidence integrity is achieved by means of automatic
computing of both MD5 and SHA1 checksums over the
evidence element.
MONOCLE provides additional tools which can be used
during the scripts. Such tools are integrated within a simple
interface as to simplify their usage. For this first version of the
software, only one auxiliary tool for each target type will be
implemented.
Regarding memory-targeted modules, the Volatility
Framework is applied to analyse such evidence dumps. The
integration of this system within the present framework allows
plugins to use the whole Volatility functionality over a
simplified interface. Results coming from Volatility scripts are
returned to the user script as a data array set. Regarding disktargeted scripts, Windows registry analyzer is one of the most
useful tools. This allows the user plugin to be able to extract
information from the Windows registry, which is one of the
most interesting elements to analyze in Windows systems
[31]. Python Registry library by Will Ballenthin [32] is
applied in MONOCLE to provide such functionality.
SECURE
EVIDENCE
CORE
TRIGGER
EVIDENCE
MANAGER
SUMMARY
GENERATION
USER
PLUGINS
VOLATILITY
FRAMEWORK
Yes
End?
REGISTRY
ANALYZER
EVIDENCE
SOURCE
No
Figure 2. MONOCLE workflow
Regarding the execution of the framework, plugins are

executed once the user has selected both the plugin to run and
the evidence digital container to analyze (e.g. either a disk
image or a memory dump). Subsequently, the framework
starts working in order to execute the chosen plugin. Figure 2
depicts the general workflow of the framework when
executing a user module.
The framework prepares the analysis environment in order
to start the plugin (1) (e.g. evidence secure mounting and
parameter parsing). Once the user plugin is executing, there
are two possible ways interact with the evidence source,

namely to accessing directly the evidence source (2), or
making use of one of the built-in tools (3) through the
framework interface (e.g. the Volatility Framework). This
process can be repeated as many times as needed (4) until the
analysis finishes. Finally (5) the evidence manager acts over
each single evidence, providing integrity checking, local
allocation and indexing such evidence to present a summary
of the analysis.
V. SOFTWARE DESIGN
Applied technology has to be carefully considered because
it affects the internals of the system as well as framework
scripts by applying a set of constraints over the plugin
development procedure. The Python programming language
has been chosen due to its versatility and cross-platform
attributes. Python provides an effective fast-prototyping
approach useful for further plugin development. MONOCLE
has been coded using JetBrains PyCharm [33] development
environment as to help in the organizing of the overall project.
Regarding the functionality defined in the previous section,
Figure 3 depicts MONOCLE components. The tool is divided
into four components with well-defined functionality each.
The main framework functionality is located in the Core
component. This part of the system does not depend on the
user modules employed. The Core component is in charge of
loading the user modules to be executed within the
framework, as well as the utility classes the user module can
make use of. The SetupHandler component registers different
analysis parameters, which can be parsed either by means of
the GUI or through command line execution. It is also
responsible for setting up MONOCLEs required starting
environment. The wrapper component within the core creates
an abstraction layer for plugins and manages evidence data
extracted by the modules. The loading procedure differs
regarding target type of the module to load (i.e. either a
memory dump or a disk image). Report management and
evidence management data are parsed to the XMLParser
component to generate summaries.
The MemoryModule and HDModule are two different
interfaces, used to load the user plugin. The main difference
between them stands for the auxiliary tools to load. Whether a
memory-targeted plugin (i.e. making use of the
MemoryModule interface) is able to use the Volatility
Framework by means of the VolActor component, a disktargeted plugin is only able to load the registry module by
means of the RegistryActor component. Both module
interfaces will create an EvidenceManager to process found
evidences along plugins execution.
Volatility Framework features are accessed through the
VolActor component, which is in charge of loading and
automatically configuring the Volatility Framework into the
Monocle Framework. This component can be loaded on
demand by a plugin during its execution, and it provides
auxiliary functions with methods to call the different Volatility
73
System
Additional
Components
Core
GUI
Timeline_module
SetupHandler
MemoryModule
Monocle
GUI
Loads
Loads
Wrapper
VolActor
EvidenceManager
Loads
GuiModuleHandler
HDModule
XMLParser
User
Plugins
Loads
Registry
Actor
Loads
Async. Interacts
Plugin
Figure 3. MONOCLE High level decomposition diagram
Plugins included in the Volatility installation framework.

Memory type identification is performed if unknown. The
RegistryActor works similarly with the Python Registry
plugin, providing commodity methods as to retrieve data from
memory hives.
Users have freedom to code the plugin as desired. The only
requirements is to include MONOCLEs libraries in the plugin
code and inherit from either a HDModule or a MemoryModule
to use specific module tools (e.g. VolActor, RegistryActor,
EvidenceManager).
VI. EVALUATION
This section first compares the features provided by
existing well-known tools with the ones provided by
MONOCLE (Section A). Secondly, Secondly, MONOCLE is
applied in a pair of cloud scenarios, namely, iCloud and Box.
Lastly, a performance evaluation in regard to both previous
scenarios is presented (Section B). Lastly, a performance
evaluation in regard to both previous scenarios (Section C).
A. Goals analysis comparison
This comparison is performed according to the different
features stated in the pursued objectives (Section IV.a):
Privative Software. Whether the software is a free-to-use

tool or a commercial one. MONOCLE is an open-source
(free of charge) software.
GUI Interface Available. Whether the interaction with
the tool can be performed by means of a graphical user
interface or not. Our framework provides a GUI, namely
by MonocleGUI component (see Section V).
Target. Whether the tool targets memory dumps or disk
images as evidences sources. MONOCLE targets both
memory dumps and disk images in RAW format.
Interactivity / Proactive analysis. Whether the tool
allows the analyst to operate over the results and to

perform different analysis over the image in a nondeterministic way. This is the opposite of a scripting
deterministic analysis where the tool has a predefined set
of operations. MONOCLE focuses in script-based
analysis.
Scripting Capability. Whether the tool has the capability
of execute user-defined scripts, which perform different
analysis or procedures sequentially without user
interaction. MONOCLE is script driven.
Extensibility. Whether the original functionality of the
system can be enhanced by means of tools provided by
the system itself. MONOCLEs scripting-based nature
provides extensibility to the framework.
Extensibility type. How extensibility is performed within
the given application if the application allows for an
extensible behavior. MONOCLE provides extensibility as
it allows to include new plugins on the fly.
There are hybrid combinations of such features depending

on the tool. Table 3 depicts the analyses.
EnCase Forensic, developed by Guidance Software [4],
provides a broad number of utilities, such as data carving, and
automatic generation of reports. EnCase also counts with its
own scripting language in order to automate different tasks
and extend its functionality depending on the analyst needs.
EnCase is however a commercial software. Another
interesting yet similar tool is FTK [22] by AccessData. This
tool provides similar functionality as EnCase and it allows
visualization of data in real time, multiple source image
detection and automatic password recovery from a big set of
applications, among others. Like EnCase, FTK is a non-free
application.
74
Internet Evidence Finder (IEF), by Magnetic Forensics, is a

specialized tool focused on the discoverage of data remnants
of Internet services, such as email, web navigation and cloudbased storage. Alhough quite complete, this is yet another
commercial tool.
Regarding open-source forensic software, The Volatility
Framework is another interesting tool. It provides memory
forensics services off the shelf, such as open connections
enumeration and running processes carving. Although
Volatility was initially a framework to perform analysis over
memory dumps on Windows machines, contributions from the
open source community allows now Volatility to target also
some versions of Linux and Mac OSX. Volatility also offers a
plugin-oriented execution model, allowing its extensibility
with new functionalities by means of user scripts written in
Python. However, Volatility Framework scope does not
involve disk images analysis and a different tool should be
used in this regard, e.g. Sleuth Kit [25] is one of the most
popular ones.
The Sleuth Kit (TSK) consists of a set of tools for forensic
investigations over disk images. TSK is an open-source
project whose functionality can be used by means of a library
or executed as a standalone application. A GUI for TSK is
provided by Autopsy [34] project, by Basis Technology. It is
however focused only on disk images, not being able to relate
memory artifacts to the conducted investigation.
When coming to analyze each of these tools, differences
between commercial software and open-source projects are
quite noticeable in terms of scope. Whether commercial
software usually targets more than one evidence source (e.g.
RAM memory and disk artifacts), open source projects usually
target a single source because resources are more limited.
Additionally, MONOCLE provides better low level
analysis of the results, as found evidences can be
automatically classified and processed. If the applied plugin
already exists, the analyst can execute it without dealing with
low level details. This saves time and effort in the
investigation process. Besides, MONOCLE provides users the
ability to easily create new plugins if needed.
B. Application to cloud scenarios

MONOCLE is flexible enough to perform a wide variety of
types of analysis. It depends on the user module being
executed. In the present context, it is used in a user-side cloud
scenario namely in iCloud [12] and in Box [13] cloud storage
services. The objective is to analyze the interaction with the
storage services by analizing disk and memory dumps of
clients machine.
1) Definition of the scenarios
Two different cloud platforms are evaluated to prove the
suitability of the framework for the cloud-based scenario,
namely iCloud, by Apple Inc. and the cloud service of Box.
Two different modules are developed for each scenario, one
focused on RAM memory and another one focus of disk
remnants. The objective of the investigation is to prove the
interaction between the user and the cloud service, and to
retrieve as much information as possible (i.e. downloads,
visits, hosted files).
The preparation of these analyses follows a similar
approach to the one proposed by Quick et al. [11], [17], [18].
Both analyses are conducted under a Windows 7 x64 system
emulated through a VMWare Virtual Machine. No additional
software is installed except for the web browser (i.e. namely
Internet Explorer 11) which is used to test the web clients of
the different platforms and the installation of the platform
third party client on each case. Accounts for the different
platforms are created outside the virtual machines, limiting the
interaction of the user to a single connection to the service in
order to either view the files or download and install the client.
From each virtual machine, the RAM memory and the virtual
hard disk are analyzed as raw dumps.
2) Identification of the traces
Traces to be found in both scenarios involve several
different elements, ranging from URLs with specific formats
(e.g. all Box cloud services URLs have a fixed starting pattern
of the form app.box.com) to SQLite databases and
configuration files containing information for each specific
platform.
Cloud-related traces are particularly noticeable when using
Table 1. Comparision of different tools regarding their usability and extensibility features.
75
a synchronization program. Installation fingerprint can be

found in the Registry, Windows Logs and other control
elements present on a Windows system. Such installation also
involves the creation of the synchronization folder, which
potentially contains elements residing in the cloud storage
platform.
The implementation of MONOCLEs scripts to recover
evidences requires, it is necessary to take into account all
traces and to specify them in the plugin in order for
MONOCLE to find them. The complete set of traces found for
both scenarios is described in Appendix I.
3) Implementation of the plugins
Memory analysis can be performed either by means of the
Volatility Framework or by manually carving files contained
in the memory dump. The chosen approach depends on the
existence or not of a running web browser process. If a web
process exists, it is possible to acquire the reconstructed
allocated memory of such process applying Volatilitys
MemDump plugin. It allows the reconstruction of the
fragmented memory belonging to the process in a
continuously allocated dump. Search of URLs can be then
performed over this reconstructed memory space. In case the
process cannot be found, the whole memory dump has to be
carved as to find those URLs.
Volatility also provides a way to retrieve Internet Explorer
history if the process was running when the memory was
acquired (i.e. namely IEHistory plugin). Finally, registry keys
mapped into memory are extracted using the hivescan, hivelist
and printkey modules.
Regarding the analysis of the disk drive, Monocle
automatically tries to mount the targeted disk. Once it is
mounted, the plugin starts running and marks as evidences
chosen files, folders and elements through the
EvidenceManager. This module translates paths to the local
equivalent within the disk. All evidences retrieved in this way
can either be manually labeled by the user, or automatically be
classified by the EvidenceManager. Moreover, the
EvidenceManager
automatically
calculates
integrity
checksums for all found evidence elements, and stores them in
a secure folder within the host system.
Registry keys can be easily parsed and analyzed by means
of the Python-Registry library integrated within the
framework. MONOCLE implements an interface to such
library to provide the user with straightforward functions able
to retrieve the Registry keys by just specifying the path to the
registry hive and the desired key (or sub-keys) to extract.
C. Performance evaluation
Concerning previous scenarios (iCloud and Box), the
overhead caused by MONOCLE is measured. Specifically,
time measurements from states of the execution are studied.
MONOCLE execution workflow is divided in three main
phases, (recall Figure 2). The first phase (wrapper pre-setup)
consists of setting up MONOCLEs environment and
mounting the evidence digital containers. The second phase
(module execution) is the execution of the plugin. In the last
phase (wrapper post-setup) the EvidenceManager processes

evidences found in the second phase and presents the results to
the user.
Table 2 shows times for plugins described in Section VI.B.
to analyse disk and memory for Box and iCloud. Modules use
MONOCLE tools to retrieve evidences. In addition, a Box
memory plugin not using Volatility was created to show
Volatilitys overhead during execution.
Table 2. MONOCLE execution time decomposition
Results show that executed plugins leverage overall

running time, which implies MONOCLEs overhead is almost
neglectable regarding execution times. This overhead is more
noticeable for disk modules, 57,3% and 15,6% of the overall
time for Box and iCloud respectively. Memory-targeted
modules reconstruct the memory address space of the machine
(if using Volatility) and perform a complete scan of the
memory dump. Such operational charge results in higher
module execution time than for disk modules. MONOCLEs
overhead is thus small in memory modules, being 1,8% for
Box module running Volatility and 0,6% for the one not using
Volatility. MONOCLEs overhead on iCloud memory module
is 1,25%. Disk-targeted plugins overhead seems higher than
memory ones. This fact is because disk plugins neither
perform data carving nor have to search the entire digital
container.
Significant differences exist between times of the module
execution phase, as this stage depends directly on executed the
plugin. It is interesting to notice the overhead of using
Volatility on a memory targeted plugin, e.g. Box plugin not
using Volatility is 8 times quicker than the version using
Volatility to reconstruct the memory space.
VII. CONCLUSIONS AND FUTURE WORK
In this paper MONOCLE, a framework for forensic
analysis on a plugin-based execution model is presented. This
framework is intended to provide fast prototyping of efficient
forensic analysis over well-known structures by the use of
plugins. Its functionality is apply to evaluate user-side cloud
storage scenarios in two particular cases, namely iCloud and
Box. This evaluation has additionally proved the importance
of such remnants regarding cloud-based storage, as several
traces relating the user and the platform are to be found in the
client machine.
Our proposed tool is on its very first development stage.
There are thus several improvements to be apply. The
76
inclusion of the TSK Framework within MONOCLE, so as to

provide all the functionality available in such open source tool
is a future enhancement. The disk carving capabilities of TSK
and the automated evidence mounting of corrupted images are
features of interest concerning the improvement of disk
images plugins. The processing of proprietary and compressed
evidence sources is currently out of the scope of this tool
regarding its first version. Support for different formats is a
future objective for MONOCLE. The inclusion of pluginsharing capabilities of the framework by creating a centralized
knowledge base where plugins can be uploaded and
downloaded by different users is another matter to address in
the future. This would reduce time and effort and facilitate
collaboration among different analysts. Being this a new
approach to forensic analysis, reliability tests and error rate
analysis shall be performed for further court usage.
REFERENCES
[1]
[2]
L. Ericsson, More than 50 Billion Connected

Devices,
www.ericsson.com/res/docs/whitepapers/wp-50billions.pdf, no. February, 2011.
A. Guinchard, Cybercrime: The Transformation of
Crime in the Information Age, Information,
Communication & Society, vol. 11, no. 7. pp. 1030
1032, 2008.
investigatinos in cloud computing environments,

Syst. Approaches to Digit. Forensic Eng., 2011.
[9]
S. Zawoad and R. Hasan, Cloud Forensics: A MetaStudy of Challenges, Approaches, and Open
Problems, arXiv Prepr. arXiv1302.6312, pp. 115,
2013.
[10]
D. J. Abadi, Data Management in the Cloud:

Limitations and Opportunities, Bull. IEEE Comput.
Soc. Tech. Commitee Data Eng., pp. 110, 2009.
[11]
D. Quick and K. K. R. Choo, Dropbox analysis: Data

remnants on user machines, Digit. Investig., vol. 10,
no. 1, pp. 318, 2013.
[12]
Apple Inc., iCloud. Accessed 04/20/2015 at

https://www.icloud.com.,
iCloud.
Accessed
04/20/2015 at https://www.icloud.com. .
[13]
Box, Box Cloud.

https://app.box.com.
[14]
J. J. Shah and L. G. Malik, Cloud Forensics: Issues

and Challenges, 2013 6th Int. Conf. Emerg. Trends
Eng. Technol., pp. 138139, 2013.
[15]
S. Almulla, Y. Iraqi, and A. Jones, Cloud forensics:

A research perspective, in 2013 9th International
Conference
on
Innovations
in
Information
Technology, IIT 2013, 2013, pp. 6671.
Accessed
20/04/2015
at
[3]
AENOR. UNE 71506. Accessed 06/09/2015 at

http://www.aenor.es/aenor/normas/normas/fichanorma
.asp?tipo=N&codigo=N0051414#.VXcbfmCkaQw. .
[4]
G. Software, Encase Forensic v7. Accessed

03/17/2015,
at
https://www.guidancesoftware.com/products/Pages/en
case-forensic/overview.aspx,
https://www.guidancesoftware.com/products/Pages/en
case-forensic/overview.aspx. .
[16]
D. Quick, B. Martini, and K.-K. R. Choo, Cloud

Storage Forensics. 2014.
[17]
D. Quick and K. K. R. Choo, Google drive: Forensic

analysis of data remnants, J. Netw. Comput. Appl.,
vol. 40, pp. 179193, 2014.
[5]
EnCase
EnScript
programming.
Accessed
06/09/2015
at
https://www.guidancesoftware.com/training/Pages/cou
rses/classroom/EnCase-EnScriptProgramming.aspx.
[18]
D. Quick and K. K. R. Choo, Digital droplets:

Microsoft SkyDrive forensic data remnants, Futur.
Gener. Comput. Syst., vol. 29, no. 6, pp. 13781394,
2013.
[19]
[6]
The Sleuth Kit pipeline system. Accessed 06/09/2015

at http://www.sleuthkit.org/sleuthkit/framework.php.
B. Martini and K. K. R. Choo, Cloud storage

forensics: OwnCloud as a case study, Digit. Investig.,
vol. 10, no. 4, pp. 287299, 2013.
[7]
W.-T. Tsai, X. Sun, and J. Balasooriya, ServiceOriented Cloud Computing Architecture, 2010
Seventh Int. Conf. Inf. Technol. New Gener., pp. 684
689, 2010.
[20]
A. Pal and N. Memon, The evolution of file carving,

IEEE Signal Process. Mag., vol. 26, no. 2, pp. 5971,
2009.
[21]
R. B. van Baar, W. Alink, and A. R. van Ballegooij,

Forensic memory analysis: Files mapped in
[8]
D. Birk and C. Wegener, Technical issues of forensic
77
memory, Digit. Investig., vol. 5, no. SUPPL., 2008.
https://www.jetbrains.com/pycharm/.
[22]
Access Data, FTK. Accessed 12/05/2015

http://accessdata.com/solutions/digitalforensics/forensic-toolkit-ftk/capabilities.
at
[23]
The ARC group of NY, Pro Discover. Accessed

21/05/2015
at
http://www.arcgroupny.com/products/prodiscoverforensic-edition/.
[24]
Magnet Forensics, Internet Evidence Finder.

Accessed
21/05/2015
at
http://www.magnetforensics.com/mfsoftware/internetevidence-finder/.
[25]
B. Carrier, The Sleuth kit. Accessed 05/04/2015 at

http://www.sleuthkit.org/sleuthkit/.
[26]
Volatility Foundation, Volatility Framework.

Accessed
12/05/2015
at
http://www.volatilityfoundation.org/#!releases/compo
nent_71401.
[27]
Bulk
Extractor.
Accessed
21/05/2015
https://github.com/simsong/bulk_extractor.
[28]
Y. Jadeja and K. Modi, Cloud computing - Concepts,

architecture and challenges, 2012 Int. Conf. Comput.
Electron. Electr. Technol. ICCEET 2012, pp. 877
880, 2012.
[29]
P. Mell and T. Grance, The NIST Definition of

Cloud Computing Recommendations of the National
Institute of Standards and Technology, Natl. Inst.
Stand. Technol. Inf. Technol. Lab., vol. 145, p. 7,
2011.
[30]
B. Carrier and E. Spafford, Getting physical with the

digital investigation process, Int. J. Digit. Evid., vol.
2, no. 2, pp. 120, 2003.
[31]
K. Alghafli, A. Jones, and T. Martin, Forensic

Analysis of the Windows 7 Registry., J. Digit. , p.
17, 2010.
[32]
W.
Ballenthin,
Python-Registry.
Accessed
04/10/2015
at
http://www.williballenthin.com/registry/,
http://www.williballenthin.com/registry/,
2014.
[Online].
Available:
http://www.williballenthin.com/registry/.
[33]
JetBrains,
PyCharm.
Accessed
16/05/2015
at
at
[34]
Basis Technology, Autopsy Project, accessed

12/05/2015
at
http://www.basistech.com/digitalforensics/autopsy/.
APPENDIX I
This appendix presents evidences discovered

MONOCLEs plugins described in Section VI.C.
by
A. Data remnants in Box cloud storage

Box cloud services provide storage capabilities within the
cloud. Users can use the service by registering with an email
account. This section presents traces left on clients machines
memory and disk when accessing Box services.
Box cloud services URLs have a fixed starting pattern of
the form app.box.com. The existence of this sole URL in the
web browser memory address is not enough to state that there
is a relationship between the user and the platform. This URL
can also be found in the registry hives storing the recent
visited URL. The extraction of them can be done by means of
the Volatility Framework too, as it includes a plugin to
retrieve registry hives mapped into memory. Registry keys can
be accessed more easily from the disk as their location is well
known..
Box URLs are however meaningful by their sole
composition. The structure of Box web cloud service
organizes all files previewed with a URL of the form
app.box.com/files/0/f/0/1/f_[ID], where ID is a numerical
value assigned by Box to the stored files. This identifier
allows referencing such files within the memory dump.
Further analysis shows that the file metadata stored within
the platform is sent to the browser in the form of a JSON
structure. This structure has several meaningful fields such as
the file ID and the file owner ID. Most relevant fields are
depicted in Table 2.
The analysis of disk artifacts comprehend hosted disk files
(i.e. images, text files...) as well as registry hives and temporal
cached elements.
Study of memory artifacts already unveiled some traces
present in the disk too. As part of files metadata, it is
interesting to look at the image tag, which represents the name
of the temporal file cached in the web browser temporal
folder. By looking for such name in the aforementioned
location, files metadata and the files themselves are found.
The registry hives are also a potential source of information
here. Some of them are of particular interest, such as
SOFTWARE\Box\BoxSync\InstallID, which specifies the
identification number assigned by the system to the sync
program when it was installed in the machine, SOFTWARE\
Box\BoxSync\InstallID\InstallPath, which specifies the path
of the Box Sync installation files within the system. NTUSER\
Software\Microsoft Internet Explorer\TypedURLs, containing
URLs typed by the user in Internet Explorer and NTUSER\
Software\Microsoft\WindowsNT\CurrentVersion\AppCompat
Flags\CompatibilityAssistantPersisted, which contains a list of
78
files names downloaded from the browser.

In case the sync program is installed within the browser,
the installation path (i.e. by default ProgramFiles\Box\Box
Sync) contains installation information. Specific elements of
the user configuration are located under \Users\[user]
\AppData\Local\BoxSync folder. This folder contains Boxs
own logs and SQLite databases with the synced files. Besides,
Box Sync folder is available too (i.e. by default under
\Users\[user]\Box Sync path.), containing all the synced files.
the iCloud sync program., NTUSER/Software/Microsoft/

InternetExplorer/ TypedURLs containing URLs typed by the
user in Internet Explorer, and NTUSER/ Software/ Microsoft/
WindowsNT/CurrentVersion/AppCompatFlags/Compatibility
Assistant/ Persisted. which contains a list of files names
downloaded from the browse.
Table 4. iCloud metadata remnants
In case the sync program is installed within the browser,

the installation path (i.e. by default being \Program Files
(x86)\Common Files\Apple\Internet Services) contains
installation information. The synchronization program also
makes use of the AppData (under [user]/AppData/Local/Apple
Inc/iCloudDrive/) folder in order to store configuration
parameters and other useful information. It is of particular
interest the existence of SQLite databases. They are used to
provide different parameters regarding the user account, such
as account details or the synchronzed files within the cloud
server, e.g. images or text files. Finally, the acquisition of the
synchronization
folder
(by
default
located
at
Users\[user]\iCloudDrive) presents synced files with the cloud
platform at the moment of the disk dump acquisition.
Table 3. Box metadata remnants
B. Data Remnants in iCloud cloud storage

Data can be extracted from the web browser process
memory address, this finding mapped files or URLs of the
iCloud service. Following the same approach as in Box,
though being more complex, an authorization token is
requested for each single file. These tokens are invalidated
after a certain amount of time, and are given to iCloud web
API through HTTP. The requests to iCloud web also contain a
set of attributes as parameters. Most important attributes are
defined on Table 3.
Similar to Box, the registry is checked to find relevant keys
of the disk image. Most meaningful ones are SOFTWARE/
Classes/AppID/iCloudServices.EXE which specifies the
identification number assigned by the system to iCloud client
program when it was installed in the machine, SOFTWARE/
Classes/ iCloudServices.AccountInfo., providing additional
mapping of other iCloud-related registry keys within the
registry, SOFTWARE/Classes/Wow6432Node/AppID/iCloud
Services.EXE, being an alternative way to find the AppID of
79
Actividad de Diseo en el proceso de migracin

de caractersticas de Seguridad al Cloud
L. Mrquez, D. G. Rosado, H. Mouratidis, D. Mellado and E. Fernndez-Medina
Abstract La importancia de Cloud Computing se est
incrementando enormemente y recibe una gran atencin por parte
de la comunidad cientfica. El Cloud Computing ofrece un amplio
conjunto de beneficios, pero tambin supone un gran reto desde el
punto de vista de la seguridad, siendo la seguridad el principal
freno para su completo xito. La migracin de sistemas heredados
a la nube nos devuelve la esperanza de que podamos retomar el
control sobre la seguridad pobremente integrada en los sistemas
heredados o que no haba sido incorporada en el diseo inicial de
los mismos. El proceso denominado SMiLe2Cloud pretende
resolver el problema de la migracin con seguridad a la nube de
sistemas de informacin heredados. El presente artculo pretende
exponer un caso prctico sobre el diseo de la migracin de las
caractersticas de seguridad de una aplicacin heredada a
proveedores Cloud utilizando para ello el proceso denominado
SMiLe2Cloud.
Keywords Cloud, seguridad, migracin, diseo, CSA.
I.
INTRODUCCION
NO de los principales desafos es la definicin de Cloud

Computing. Basado en la Cloud Security Alliance [1],
Cloud Computing puede ser definido como: "un modelo para
proporcionar acceso ubicuo, conveniente y bajo demanda a un
conjunto de recursos de computacin configurable (p. ej., redes,
servidores, almacenamiento, aplicaciones y servicios).
El nivel de importancia detrs de Cloud Computing se puede
leer en el reciente informe publicado por la Comisin Europea
titulado "Unleashing the Potential of Cloud Computing in
Europe" [2]. En este informe se lleva a cabo una previsin del
posible impacto del Cloud Computing que puede resultar en
una ganancia de ms de 2,5 millones de nuevos puestos de
trabajo, y un estmulo anual de 160 billones de euros al
Producto Interior Bruto de la Unin Europea (sobre el 1%) para
el ao 2020.
Cloud Computing permite reducir el coste mejorando la
utilizacin de los recursos, reduciendo los costes de
administracin y de infraestructuras y permitiendo ciclos de
desarrollo ms rpidos [3].
Luis Mrquez, Spanish National Authority for Markets and Competition
(CNMC), Madrid, 28004, Spain, luis.marquez@cnmc.es
David G. Rosado, GSyA Research Group, Department of Information
Systems and Technologies, University of Castilla-La Mancha, Ciudad Real,
13071, Spain, david.grosado@uclm.es
Haralambos Mouratidis, Secure and Dependable Software Systems
(SenSe), University of Brighton, Brighton, BN2 4GJ, UK,
H.Mouratidis@brighton.ac.uk
Daniel Mellado, Spanish Tax Agency, Madrid, 28046, Spain,
damefe@esdebian.org
Eduardo Fernndez-Medina, GSyA Research Group, Department of
Information Systems and Technologies, University of Castilla-La Mancha,
Ciudad Real, 13071, Spain, eduardo.fdezmedina@uclm.es
La esencia de la migracin de sistemas heredados es el

movimiento de un sistema existente a una nueva plataforma
manteniendo la funcionalidad del sistema heredado causando el
mnimo impacto al sistema operacional existente [4]. La
migracin de sistemas heredados es un procedimiento muy caro
que tiene un riesgo de fallo muy elevado. Por ello antes de
tomar la decisin de migrar, se debe hacer un estudio intensivo
para cuantificar los riesgos y los beneficios que justifiquen la
migracin del sistema heredado [5, 6].
Segn una encuesta llevada a cabo por PwC en el informe
"The Future of IT Outsourcing and Cloud Computing" [7] el 62
% de los encuestados consideran la seguridad como la principal
preocupacin que los usuarios tienen en cuenta cuando mueven
sus datos y aplicaciones al Cloud. Cloud Computing no
introduce nuevos conceptos de seguridad que no se hayan
estudiado previamente. La preocupacin en la migracin al
Cloud es que la implementacin de las medidas de seguridad
depende de un tercero. Esta prdida de control enfatiza la
necesidad de transparencia por parte de los proveedores Cloud
[8]. Sin embargo, en algunos casos los proveedores Cloud
pueden ofrecer una mejor seguridad que una pequea
organizacin pueda lograr por s misma.
El proceso denominado SMiLe2Cloud [9, 10] pretende
resolver el problema de la migracin con seguridad a la nube de
sistemas de informacin heredados. El proceso SMiLe2Cloud
consta de cinco actividades (extraccin, anlisis, diseo,
despliegue y evaluacin) dirigidas por 16 dominios de
seguridad definidos por Cloud Security Alliance (en adelante
CSA) en su Cloud Control Matrix v3 (en adelante CCM) [11].
El presente artculo pretende exponer un caso prctico sobre
el diseo de la migracin de las caractersticas de seguridad de
una aplicacin heredada a proveedores de Cloud utilizando para
ello el proceso denominado SMiLe2Cloud. La estructura del
artculo es como sigue: el captulo II explica los distintos
estndares de seguridad que CSA propone para el Cloud
Computing, el captulo III explica el proceso SMiLe2Cloud de
migracin de caractersticas de seguridad de una aplicacin
heredada al Cloud, el captulo IV presenta el caso de estudio, el
captulo V expone la actividad de diseo de la migracin de las
caractersticas de seguridad y por ltimo en el captulo VI se
exponen las conclusiones y el trabajo futuro.
II. INCUBADORA DE ESTNDARES DE SEGURIDAD CLOUD
Al igual que con todas las normas de sistemas de gestin,
ISO/IEC 27001 [12] ha sido escrita de tal manera que se pueda
aplicar a cualquier organizacin, grande o pequea, en todas las
industrias. Sin embargo, se considera que existen requisitos
especiales especficos para Cloud Computing que o bien no
80
MRQUEZ et al.: Actividad de Diseo
estn cubiertos o que necesitan ser cubiertos con mayor

precisin.
CSA ha identificado dichas carencias en el entorno de las TI
(Tecnologas de la Informacin) que estn inhibiendo la
contratacin de servicios seguros y confiables en la nube por
parte del mercado. Los clientes no disponen de una va sencilla
y barata para evaluar y comparar la capacidad de proteccin de
datos y la portabilidad de sus proveedores (de servicios en la
nube). Este problema se acenta por la dimensin internacional
de los servicios en la nube, que genera barreras para la adopcin
de dichos servicios, traspasando fronteras nacionales.
CSA se posiciona como una incubadora de estndares de
seguridad en Cloud, de forma que los proyectos de
investigacin utilizan metodologas giles para la rpida
produccin de resultados.
Por un lado CSA ha desarrollado un conjunto de guas de
seguridad agrupadas en el documento Guas de Seguridad de
reas Crticas en Cloud Computing que ya va por su tercera
versin [1]. Este trabajo es un conjunto de las mejores prcticas
de seguridad que CSA ha reunido en los dominios involucrados
en el gobierno y las operaciones en Cloud.
Por otro lado CSA, unido a la British Standards Institution
(en adelante BSI) est desarrollando un esquema de
certificacin de terceros para la seguridad en la nube llamada
certificacin STAR [13]. El plan incorpora los requisitos de la
norma ISO 27001 y un ndice de madurez para indicar cmo de
bien la organizacin est cumpliendo con los requisitos
especficos de la nube y tambin para impulsar los esfuerzos de
optimizacin mediante la auditora de las capacidades y las
complejidades de las organizaciones tambin.
El esquema de certificacin STAR se basa en la Matriz de
Controles para la Nube (CCM) [11], que proporciona un
conjunto adicional de controles para los proveedores de
servicios Cloud. CCM est diseado especficamente para
proporcionar los principios fundamentales de seguridad para
guiar a los proveedores de Cloud y para ayudar a los clientes a
evaluar el riesgo general de seguridad de un proveedor de la
nube. Los controles definidos en CCM estn agrupados en 16
dominios: seguridad de aplicaciones e interfaces, cumplimiento
y aseguramiento de las auditoras, gestin de la continuidad del
negocio y resiliencia operacional, control de cambios y gestin
de la configuracin, seguridad de los datos y gestin del ciclo
de vida de la informacin, seguridad del centro de datos, gestin
de claves y cifrado, gobierno y gestin del riesgo, recursos
humanos, gestin de identidades y accesos, seguridad de la
infraestructura y virtualizacin, interoperabilidad y
portabilidad, seguridad mvil anti-malware, gestin de
incidentes de seguridad, gestin de la cadena de suministro,
transparencia y responsabilidad y gestin de vulnerabilidades y
amenazas. Para el desarrollo de CCM, CSA se ha basado en
estndares existentes como la ISO 27001/27002 [12, 14],
ISACA COBIT [15], PCI [16] y NIST [17].
III. SMILE2CLOUD: PROCESO DE MIGRACIN DE

CARACTERSTICAS DE SEGURIDAD DE UNA APLICACIN
HEREDADA
El proceso SMiLe2Cloud [9] consta de cinco actividades
(extraccin, anlisis, diseo, despliegue y evaluacin) dirigidas
por los 16 dominios de seguridad definidos por CSA en CCM
v3 [11] (ver Fig. 1). La actividad de extraccin est enfocada al
uso de la ingeniera inversa para extraer aspectos de seguridad
desde el LIS (Legacy Information System) a un modelo de
seguridad (SMiLe model) definido para nuestro proceso de
migracin. La segunda actividad es el anlisis de los requisitos
de seguridad (SecR), que est basada en la extensin de la
metodologa Secure Tropos [18] para el Cloud. La actividad de
diseo est enfocada en la seleccin del modelo de servicio, el
modelo de implementacin y realizar la seleccin del proveedor
Cloud basndose en el estndar STAR [13]. La actividad de
despliegue est enfocada al despliegue de la especificacin
basada en un repositorio de patrones de migracin al Cloud y
en realizar la implementacin del sistema. La quinta actividad
es la evaluacin donde se verifica y valida el modelo de
seguridad migrado y se capturan nuevos aspectos de seguridad
que se quieren incorporar dentro de un nuevo ciclo del proceso
y se analizan las mejoras y cambios propuestos para nuestro
sistema Cloud.
Figura 1. Proceso SMiLe2Cloud
A continuacin se describe en detalle la actividad de diseo,

que es el principal objetivo del artculo, pero antes, se describe
de forma breve, las dos actividades previas al diseo para poner
en contexto al lector.
A. Actividad de extraccin y actividad de anlisis
La extraccin es la actividad en la que los requisitos del
sistema heredado son obtenidos a partir del propio cdigo del
sistema heredado y de la documentacin del mismo. Se trata de
un proceso de ingeniera inversa. Este proceso es realizado con
la ayuda de herramientas que faciliten las tareas y pasos que el
analista debe realizar para identificar los diferentes requisitos y
81
controles de seguridad existentes en el sistema origen. Esta

actividad produce como salida los requisitos del sistema,
especificados segn el modelo SMiLe (objetivos, actores,
planes, recursos y restricciones).
La actividad de anlisis es la que se definen los requisitos de
seguridad a implementar alineados con los diferentes dominios
de seguridad propuestos por CSA en el CCM v3. En un primer
paso se definen los requisitos de seguridad partiendo de los
requisitos del sistema definidos en la actividad anterior. En un
segundo paso se alinean estos requisitos de seguridad con los
controles definidos en CCM v3. La salida de esta actividad es
la especificacin de los requisitos de seguridad del sistema
alineados con los dominios del CSA, que servir como entrada
para la siguiente actividad, la actividad de diseo.
B. Actividad de diseo
La actividad de diseo est enfocada en la seleccin del
modelo de servicio, del modelo de implementacin y en la toma
de decisin en la seleccin del proveedor Cloud basndose en
la certificacin STAR. Como entrada se cuenta con la
especificacin de los requisitos de seguridad obtenidos en la
actividad anterior. Esta especificacin de requisitos est
alineada con CCM v3, de forma que se dispone de la lista de
controles que debe cumplir nuestro proveedor Cloud para
alcanzar el nivel de seguridad requerido.
En la Fig. 2 se muestra las tareas y pasos de la actividad de
diseo del proceso Smile2Cloud utilizando la notacin SPEM.
La actividad de diseo consta de dos tareas, Identificacin del
modelo de implementacin y modelo de servicio y Seleccin
del proveedor Cloud. Para cada una de estas tareas, se muestra
los roles o implicados en esta tarea, como pueden ser los
ingenieros en seguridad o especialista Cloud, as como los
artefactos de entrada y de salida para cada tarea. Se definirn
los pasos de los que consta cada tarea as como las posibles
guas, plantillas, tcnicas o herramientas que se han usado en la
aplicacin de dicha tarea.
As, para la primera tarea de Identificacin del modelo de
implementacin y modelo de servicio, se tiene como
implicados o intervinientes a los ingenieros de seguridad, a los
ingenieros de requisitos, a los especialistas Cloud y al
arquitecto de sistemas. La nica entrada para esta tarea es el
artefacto de salida de la actividad anterior (actividad de
anlisis), y es la especificacin de los requisitos de seguridad
alineados con los dominios CSA, que se ha generado en la
actividad de anlisis. Las salidas que genera esta tarea son el
modelo de implementacin seleccionado y el modelo de
servicio, que sern entradas para la siguiente tarea. Los pasos
de que consta esta tarea son dos: identificar el modelo de
implementacin, e identificar el modelo de servicio partiendo
de la especificacin de requisitos de seguridad del sistema. Se
tiene el CCM como plantilla para ayudar a la seleccin de
proveedores y controles, y una herramienta que ser
desarrollado como soporte a esta actividad y al proceso
completo.
Activity {kind = Iteration}: Smile2CLoud Design

TaskUse: Identification of Deployment and Service Model
ProcessPerformer {kind: primary}
RoleUse: Security Engineering {kind: in}
RoleUse: Designer {kind: in}
RoleUse: Cloud Specialist {kind: in}
RoleUse: System architect {kind: in}
WorkDefinitionParameter {kind: in}
WorkProductUse: Specification of System Security
Requirements align with CSA domains
(security constraints, security objects,
security mechanism threats, attacks)
WorkDefinitionParameter {kind: out}
WorkProductUse: Deployment model
WorkProductUse: Service model
Steps
Step: Identify Deployment model
Step: Identify Service model
Guidance
Guidance {kind: Guideline}: CSA Cloud Controls
Matrix (CCM)
Guidance {kind: Tool}: Smile2Cloud tool
TaskUse: Selection of Cloud Provider
ProcessPerformer {kind: primary}
RoleUse: Security Engineering {kind: in}
RoleUse: Designer {kind: in}
RoleUse: Cloud Specialist {kind: in}
RoleUse: System architect {kind: in}
RoleUse: System Expert {kind: in}
WorkDefinitionParameter {kind: in}
WorkProductUse: Deployment model
WorkProductUse: Service model
WorkDefinitionParameter {kind: out}
WorkProductUse: Cloud provider
WorkProductUse: CSA security controls
Steps
Step: Identify cloud providers
Step: Analysis of best cloud provider using FODA
analysis
Guidance
Guidance {kind: Template}: CSA Security, Trust &
Assurance Registry (STAR)
Guidance {kind: Tool}: Smile2Cloud tool
Guidance {kind: Practice}: Brainstorming
Figura 2. Descripcin de la Actividad de diseo en SPEM.
La segunda tarea de esta actividad es Seleccin del

proveedor cloud. En esta tarea los implicados o roles que
deben involucrarse son el ingeniero de seguridad, el diseador
y arquitecto de sistemas y el especialista cloud. Como artefactos
de entrada se tiene a los dos generados en la tarea previa, el
modelo de implementacin y el modelo de servicio. Los
artefactos de salida sern dos: el proveedor cloud seleccionado
ms apropiado que cumple con los requisitos de seguridad del
sistema, y la lista de posibles controles de seguridad que los
proveedores debern proporcionar. Las guas o plantillas a usar
son el registro STAR y la herramienta Smile2Cloud como
soporte a la actividad.
La Fig. 3 muestra la representacin grfica de las principales
tareas junto con los artefactos de entrada y salida usando la
notacin grfica de SPEM 2.0.
82
Modelo
de
Servicio
Modelo de
Implementacin
Proveedor Cloud
Requisitos de Seguridad del

Sistema alineados con CSA
Seleccin del
proveedor Cloud
Identificacin del
modelo de
implementacin y
modelo de servicio
Controles
Seguridad CSA
CSA STAR
Herramienta
SMiLe2Cloud
Figura 3. Actividad de diseo.
A continuacin, se describe en detalle cada una de esas

tareas de que consta la actividad de diseo, explicando cul es
el principal objetivo de cada tarea y los artefactos generados por
cada una de ellas.
1) Identificacin del modelo de implementacin y modelo
de servicio
Esta tarea se centra en la identificacin del modelo de
implementacin y de servicio al que se quiere migrar,
dependiendo de las necesidades del cliente, del cumplimiento
de los requisitos, de los recursos disponibles, etc. Para ello,
siguiendo la distincin que hace el NIST (National Institute of
Standards and Technology) [19], se tienen tres modelos de
servicio en Cloud y cuatro modelos de implementacin para
Cloud.
Los modelos de implementacin se describen a
continuacin:
Cloud Pblica: La infraestructura Cloud est a
disposicin del pblico en general o a disposicin de un
grupo industrial grande y es propiedad de una
organizacin que comercializa servicios Cloud.
Cloud Privada: La infraestructura Cloud es operada
nicamente por una sola organizacin. Puede ser
gestionada por la organizacin o por un tercero y puede
estar ubicada en las instalaciones o fuera de ellas.
Cloud Comunitaria: La infraestructura Cloud es
compartida por varias organizaciones y da soporte a una
comunidad
especfica
que
ha
compartido
preocupaciones (por ejemplo, misin, requisitos de
seguridad, poltica o consideraciones de cumplimiento
legal). Puede ser gestionada por las organizaciones o
por un tercero, y puede estar ubicada en las instalaciones
o fuera de ellas.
Cloud Hbrida: La infraestructura Cloud es una
composicin de dos o ms Clouds (privada, comunitaria
o pblica) que siguen siendo entidades nicas pero estn
unidas por tecnologa estandarizada o propietaria que
permite la portabilidad de datos y de la aplicacin (por
ejemplo, proliferacin de Clouds para balanceo de carga
entre Clouds).
Los modelos de servicio se describen a continuacin:
Cloud Software as a Service (SaaS): La capacidad
proporcionada al usuario es el uso de las aplicaciones
del proveedor que se ejecutan en una infraestructura
Cloud. Las aplicaciones son accesibles desde diferentes
dispositivos cliente a travs de una interfaz de cliente
ligero como un navegador web (por ejemplo, correo

electrnico basado en web). El usuario no gestiona ni
controla la infraestructura Cloud subyacente que
incluye la red, los servidores, los sistemas operativos, el
almacenamiento o incluso capacidades de aplicaciones
individuales, con la posible excepcin de la limitacin
de parmetros de configuracin de aplicaciones
especficas de usuario.
Cloud Platform as a Service (PaaS): La capacidad
proporcionada al usuario es el despliegue en la
infraestructura Cloud de aplicaciones creadas o
adquiridas por el usuario con lenguajes y herramientas
de programacin soportados por el proveedor. El
usuario no gestiona ni controla la infraestructura
subyacente que incluye la red, los servidores, los
sistemas operativos o el almacenamiento, pero tiene
control sobre las aplicaciones desplegadas y
posiblemente sobre las configuraciones del entorno de
alojamiento de las aplicaciones.
Cloud Infrastructure as a Service (IaaS): La capacidad
proporcionada al usuario es la provisin de
procesamiento, almacenamiento, interconexin de red y
otros recursos de computacin fundamentales donde el
usuario es capaz de instalar y ejecutar software
arbitrario que puede incluir sistemas operativos y
aplicaciones. El usuario no gestiona ni controla la
infraestructura Cloud subyacente, pero tiene el control
de los sistemas operativos, el almacenamiento, las
aplicaciones desplegadas y, posiblemente, control
limitado sobre determinados componentes de red (por
ejemplo, firewalls de host).
El resultado de esta tarea es la identificacin del modelo de
implementacin y de servicio Cloud seleccionando el ms
apropiado y que encaja mejor con las caractersticas de nuestro
sistema heredado, de los recursos disponibles y del nivel de
seguridad que se quiera conseguir en el nuevo sistema cloud
migrado. Para ello se alinea con CCM para obtener la
informacin necesaria de qu modelo de implementacin y qu
modelo de servicio cubre mejor nuestras necesidades de
seguridad.
2) Seleccin del proveedor Cloud
Una vez que se selecciona el modelo de implementacin y
el modelo de servicio, y se dispone de los requisitos de
seguridad del sistema (SecR) alineados con los dominios CSA,
se puede seleccionar el proveedor Cloud que mejor encaja con
las necesidades de seguridad de acuerdo al estndar STAR. El
estndar STAR proporciona, para cada proveedor Cloud, la lista
de controles que implementa de entre los definidos en la matriz
CCM v3.
De esta forma, al disponer de la lista de controles necesarios
para cubrir los requisitos de seguridad definidos en la actividad
de anlisis, y disponer tambin la lista de proveedores Cloud
que cumplen con dichos controles, se puede identificar la lista
de proveedores Cloud que cumplen con los requisitos de
seguridad.
Una vez obtenida la lista de proveedores Cloud que cumplen
83
los requisitos de seguridad se selecciona uno u otro en funcin

de otras variables como pueden ser el coste, las tecnologas a
implementar, etc. Para ello se realizar un anlisis DAFO.
El anlisis DAFO es una herramienta de gestin que facilita
el proceso de planeacin estratgica, proporcionando la
informacin necesaria para la implementacin de acciones y
medidas correctivas, y para el desarrollo de proyectos de
mejora. El nombre DAFO, responde a los cuatro elementos que
se evalan en el desarrollo del anlisis: las debilidades,
amenazas, fortalezas y oportunidades.
Para desarrollar la matriz DAFO ser necesario seleccionar
las fortalezas, oportunidades, amenazas y debilidades que
mayor impacto puedan ocasionar sobre la organizacin. En la
caracterizacin de dichos elementos se consideran los factores
econmicos, tcnicos, etc. Para su desarrollo, se recomienda la
creacin de un taller de expertos y desarrollar la tcnica
denominada tormenta de ideas (brainstorming).
La salida de esta tarea ser el proveedor cloud ms apropiado
y que mejor encaje con los requisitos y controles de seguridad
que ser necesario implementar en el sistema destino, junto con
la lista de controles de seguridad necesarios que cubren los
requisitos de seguridad analizados y especificado en la
actividad anterior, la actividad de anlisis. La herramienta
SMiLe2Cloud gua en el proceso de diseo.
IV. CASO DE EJEMPLO SICILIA
Para demostrar la aplicabilidad de la solucin propuesta,
para la actividad de diseo del proceso SMiLe2Cloud, se
emplea un caso de estudio basado en la migracin del sistema
SICILIA de la Comisin Nacional de los Mercados y la
Competencia (CNMC).
Desde octubre de 2013, la CNMC es la nueva autoridad
espaola para la regulacin del cumplimiento de la ley de
competencia as como la regulacin de algunos otros sectores
como las comunicaciones electrnicas, audio visual, energa,
postal, aeroportuario y ferroviario. La autoridad ha sido creada
para asegurar la competitividad y el buen funcionamiento de
dichos mercados. En el campo de la energa, los objetivos son
asegurar, preservar y promover el correcto funcionamiento, la
transparencia y crear un mercado energtico competitivo. Para
alcanzar dichos objetivos la CNMC tiene una larga serie de
herramientas. Una de estas herramientas es SICILIA.
SICILIA gestiona el sistema de liquidacin de retribucin
regulada de las instalaciones de generacin de energa elctrica
con tecnologas que aprovechan energas primarias renovables,
cogeneracin y residuos. Este sistema aplica a un total de
63.878 instalaciones.
La Fig. 4 muestra la arquitectura fsica del sistema:
Figura 4. Arquitectura fsica de SICILIA
Como puede apreciarse en la imagen el sistema se basa en

una arquitectura de tres capas (Servidor web, servidor de
aplicaciones y servidor de bases de datos) respaldndose en dos
Centros de Procesos de Datos (CPD principal y CPD de
respaldo).
V. APLICACIN DE LA ACTIVIDAD DE DISEO DE

SMILE2CLOUD AL CASO DE ESTUDIO
Como se ha comentado anteriormente la actividad de diseo
propuesta en SMiLe2Cloud consta de dos tareas:
Identificacin del modelo de implementacin y del modelo de
servicio y Seleccin del proveedor Cloud
A. Identificacin del modelo de implementacin y modelo de
servicio
1) Identificacin del modelo de implementacin
El NIST distingue entre los siguientes modelos de
implementacin: Cloud pblica, Cloud privada, Cloud
comunitaria y Cloud hbrida, como ya se ha mencionado en la
seccin III.B.
La aplicacin SICILIA es una aplicacin de la CNMC. La
CNMC como organismo autnomo no dispone de un Cloud
privado en la actualidad. La CNMC es dependiente del
Ministerio de Economa y Competitividad. ste a su vez es
dependiente de la Administracin General del Estado (en
adelante AGE). Entre los prximos retos de la AGE, en
concreto en el informe CORA [20] propone la creacin de una
Cloud privada que preste servicio a las distintas
administraciones pblicas nacionales. De momento ste es slo
un proyecto, por lo que se descarta el uso de un Cloud privado,
un Cloud comunitario o un Cloud hbrido.
Por ello el nico modelo de implementacin aplicable a
nuestro caso de estudio es el Cloud pblico.
2) Identificacin del modelo de servicio
Como se ha comentado anteriormente, el NIST distingue
entre los siguientes modelos de servicio: Cloud Software as a
Service (SaaS), Cloud Platform as a Service (PaaS) y Cloud
Infrastructure as a Service (IaaS).
En el modelo Cloud Software as a Service (SaaS) el usuario
no gestiona ni controla las aplicaciones individuales
84
disponibles como servicio. El software de SICILIA es un

software muy especfico propiedad de la CNMC por lo que el
modelo SaaS no aplica a nuestro caso de estudio.
En el modelo Cloud Platform as a Service (PaaS) el usuario
no gestiona ni controla la infraestructura subyacente que
incluye la red, los servidores, los sistemas operativos o el
almacenamiento. La CNMC cuenta con personal altamente
cualificado para la gestin de la infraestructura subyacente. Por
ello se considera ms adecuado a nuestro caso de estudio el
modelo Cloud Infrastructure as a Service (IaaS).
El modelo Cloud Infrastructure as a Service (IaaS)
proporciona la provisin de procesamiento, almacenamiento,
interconexin de red y otros recursos de computacin
fundamentales donde el usuario es capaz de instalar y ejecutar
software arbitrario que puede incluir sistemas operativos y
aplicaciones. El usuario no gestiona ni controla la
infraestructura Cloud subyacente, pero tiene el control de los
sistemas operativos, el almacenamiento, las aplicaciones
desplegadas y, posiblemente, control limitado sobre
determinados componentes de red.
B. Seleccin del proveedor Cloud
1) Artefactos de entrada
La entrada a la actividad de diseo del proceso
SMiLe2Cloud se basa en la especificacin de requisitos de
seguridad (SecR) alineada con los dominios CSA. Por tanto
como punto de entrada se tiene la lista de los controles definidos
en la Cloud Control Matrix v3 que son aplicables al caso de
estudio. En la TABLA I se realiza un resumen del nmero de
controles que son aplicables agrupados por dominio. En la
primera columna se listan los 16 dominios definidos en CCM
v3. En la segunda columna se indica el nmero de controles de
estos dominios que son aplicables al caso de estudio, la
aplicacin SICILIA. La tercera columna muestra el nmero
total de controles definidos en CCM v3 para cada dominio.
TABLA I. CONJUNTO DE CONTROLES APLICABLES AL CASO DE
ESTUDIO.
Dominio
Controles
Controles
SICILIA
CCMv3
Seguridad de Aplicaciones e Interfaces
4
4
Cumplimiento y aseguramiento de las
2
3
Auditoras
Gestin de la Continuidad del Negocio y
8
12
Resiliencia Operacional
Control de Cambios y Gestin de la
3
5
Configuracin
Seguridad de los Datos y Gestin del
6
8
Ciclo de Vida de la Informacin
Seguridad del Centro de Datos
6
9
Gestin de Claves y Cifrado
2
4
Gobierno y Gestin del Riesgo
7
12
Recursos Humanos
7
12
Gestin de Identidades y Accesos
8
13
Seguridad de la Infraestructura y
7
12
Virtualizacin
Interoperabilidad y Portabilidad
0
5
Seguridad mvil Anti-Malware
0
20
Gestin de incidentes de seguridad,
3
5
Localizacin de evidencias electrnicas,
Investigaciones forenses en la nube
Gestin de la cadena de suministro,
3
9
Transparencia y Responsabilidad
Gestin de vulnerabilidades y amenazas
1
3
A modo de ejemplo la TABLA II detalla los controles del

dominio Seguridad de los Datos y Gestin del Ciclo de Vida
de la Informacin. En la primera columna se muestra la lista
de controles y en la segunda columna se muestra si es aplicable
en SICILIA.
TABLA II. CONTROLES DEL DOMINIO SEGURIDAD DE LOS DATOS
Y GESTIN DEL CLICLO DE VIDA DE LA INFORMACIN.
Seguridad de los Datos y Gestin del Ciclo Aplicable a SICILIA
de Vida de la Informacin.
Clasificacin
SI
Inventario de Datos / Flujos
NO
Transacciones de Comercio Electrnico
NO
Poltica de seguridad de manejo y etiquetado
SI
Fugas de Informacin
SI
Datos en entornos no de produccin
SI
Propiedad/Servicio de los Datos
SI
Desechado Seguro
SI
Segn la matriz CCM el control Inventario de Datos /

Flujos no es aplicable al caso de ejemplo puesto que se ha
seleccionado previamente el modelo de servicio IaaS y este
control no es aplicable a IaaS.
Por otro lado el control Transacciones de Comercio
Electrnico no es aplicable a nuestro caso de estudio porque
SICILIA no realiza transacciones de comercio electrnico.
Los dems controles del dominio Seguridad de los Datos y
Gestin del Ciclo de Vida de la Informacin s son aplicables
a nuestro caso de estudio.
2) Seleccin del proveedor Cloud
Una vez que se ha seleccionado el modelo de
implementacin y el modelo de servicio, y se tienen los
requisitos de seguridad del sistema (SecR) alineados con los
dominios CSA, se puede seleccionar el proveedor Cloud que
mejor encaja con las necesidades de seguridad de acuerdo al
estndar STAR.
La certificacin STAR indica el grado de cumplimiento de
los proveedores Cloud respecto a los controles definidos en la
matriz CCM. De esta forma se puede identificar los
proveedores Cloud que garantizan el cumplimiento de las
necesidades del sistema.
Est siendo desarrollada la herramienta SMiLe2Cloud para
facilitar este proceso. Esta herramienta contiene una base de
datos con los distintos proveedores Cloud y el grado de
cumplimiento para cada uno de ellos. De esta forma se puede
obtener automticamente la lista de proveedores que encajan
con las necesidades.
En este punto es importante destacar que sera aconsejable
que el estndar STAR ofreciese en un formato abierto (Open
Data) toda la informacin de la que dispone, de forma que
cualquier modificacin sea fcilmente integrable en
aplicaciones de terceros como puede ser la herramienta
SMiLe2Cloud.
Este caso de estudio se basa slo en dos de los principales
proveedores cloud. Segn el informe Top 100 Cloud Services
Providers: 2014 Edition [21] elaborado por el portal
talkincloud.com destaca a AWS de Amazon como a Azure de
Microsoft como los lderes destacados del tipo IaaS. Entre
85
ambos tienen ms del 55 % de la cuota de mercado, contando

Amazon AWS con un 33% y Microsoft Azure con un 23%.
La TABLA III muestra el grado de cumplimiento de dichos
proveedores con el dominio puesto como ejemplo
anteriormente Seguridad de los Datos y Gestin del Ciclo de
Vida de la Informacin:
TABLA III. GRADO DE CUMPLIMIENTO DE LOS PROVEEDORES.
Seguridad de los Datos y
AWS
Azure
Gestin del Ciclo de Vida de la
Informacin.
Clasificacin
SI
SI
Inventario de Datos / Flujos
No aplicable
No aplicable
Transacciones de Comercio
No aplicable
No aplicable
Electrnico
Poltica de seguridad de manejo
SI
SI
y etiquetado
Fugas de Informacin
SI
SI
Datos en entornos no de
SI
SI
produccin
Propiedad/Servicio de los Datos
SI
SI
Desechado Seguro
SI
SI
Figura 5. Anlisis DAFO tecnologa Microsoft Azure
Este mismo estudio se ha realizado para todos y cada uno de

los controles definidos en la actividad de anlisis.
Se obtiene como conclusin que ambos proveedores Cloud
son adecuados para la gestin de la seguridad. Para escoger
entre uno u otro proveedor Cloud se ha llevado a cabo por un
lado un estudio de costes de ambos proveedores Cloud y por
otro lado un anlisis DAFO.
Para el estudio de costes se ha tenido en cuenta la
infraestructura fsica de la aplicacin SICILIA que puede verse
en la Fig. 3 y que se detalla en la TABLA IV:
TABLA IV. INFRAESTRUCTURA FSICA DE SICILIA.
Infraestructura
Cantidad
Servidores web
3
Servidores aplicaciones
3
Servidores bases de datos
3
Almacenamiento en cabina
1 TB
Backup
1 TB
VPN
1
Para simplificar todos los servidores se han escogido con la

siguiente configuracin: Linux como sistema operativo, 8
ncleos, 15 GB de memoria RAM y SSD.
La TABLA V muestra la comparativa de costes entre
Microsoft Azure y Amazon AWS.
TABLA V. COMPARATIVA DE COSTOS.
Infraestructura
Azure
Servidores
1.755,26
Almacenamiento
91,87
Backup
201,07
VPN
152,74
2.200,94
Total
AWS
2.045,47
107,6
40,9
96,9
2.290,87
Complementario al estudio de costes se realiza un anlisis

DAFO de ambos proveedores Cloud en relacin a nuestro caso
de estudio.
La Fig. 5 muestra el anlisis DAFO de Microsoft Azure en
relacin a SICILIA, y la Fig. 6 muestra el anlisis DAFO de
Amazon AWS en relacin a SICILIA.
Figura 6. Anlisis DAFO tecnologa Amazon AWS
El Cloud Microsoft Azure ofrece un precio ms ventajoso en

nuestro caso de estudio. Al ser la diferencia tan pequea (no
llega al 4%) se har uso del anlisis DAFO para tomar la
decisin sobre qu infraestructura elegir.
Si se tiene en cuenta el anlisis DAFO es importante destacar
que tanto Microsoft Azure como Amazon AWS estn
ampliamente implantados en el mercado (ms del 55% de la
cuota de mercado como se indicaba anteriormente). Amazon
AWS (33%) supera a Microsoft (23%) pero este ltimo ha
tenido un crecimiento superior segn el informe Top 100
Cloud Services Providers: 2014 Edition [21] elaborado por el
portal talkincloud.com.
Debido a que ambos proveedores Cloud tienen un coste
similar y una amplia implantacin en el mercado, lo que
verdaderamente determina escoger un proveedor Cloud u otro
en el caso de estudio es el tipo de tecnologas empleadas en
SICILIA. En SICILIA no se utilizan tecnologas Microsoft. Por
tanto se considera ms conveniente el Cloud Amazon AWS.
VI. CONCLUSIONES
En este trabajo se ha explicado la actividad de diseo en el
proceso de migracin de caractersticas de Seguridad de los
86
sistemas heredados al Cloud. Esta actividad es parte del proceso

SMiLe2Cloud que propone la migracin de las caractersticas
de seguridad basndose en estndares y metodologas
ampliamente aceptadas por el mercado.
La actividad de diseo se ha aplicado al caso de estudio de
migracin de la aplicacin SICILIA al Cloud. En concreto se
ha aplicado con la migracin a dos de los principales
proveedores Cloud del mercado, Amazon AWS y Microsoft
Azure.
Como trabajo futuro es destacable continuar con el proceso
de migracin de la aplicacin SICILIA al Cloud. Quedan
pendientes la definicin de la actividad de Despliegue y la
actividad de Evaluacin. En la actividad de Despliegue se han
de definir un conjunto de patrones que ayuden con la migracin.
En la actividad de Evaluacin se han de definir una serie de
mtricas para verificar que todo el proceso se ha llevado con
xito.
[17] NIST. National Institute of Standards and Technology. 2015; Available

from: http://gsi.nist.gov/global/index.cfm/L1-1.
[18] Mouratidis, H. and P. Giorgini, Secure Tropos: A Security-oriented
Extension of the Tropos Methodology. International Journal of Software
Engineering and Knowledge Engineering, 2007. 17(2): p. 285-309.
[19] NIST, The NIST Definition of Cloud Computing, P. Mell and T. Grance,
Editors. 2009, National Institute of Standards and Technology.
[20] CORA, Informe de progreso de la comisin para la reforma de las
administraciones pblicas. 2015.
[21] TalkinCloud, 2014 Talkin' Cloud 100: Top Cloud Service Providers,
Aggregators and Brokers. 2014.
AGRADECIMIENTOS
Este trabajo es parte de los siguientes proyectos:
SERENIDAD (PEII11-037-7035) financiado por la
Viceconsejera de Ciencia y Tecnologa de la Junta de
Comunidades de Castilla- La Mancha (Espaa) y FEDER, y
SIGMA-CC (TIN2012-36904) financiado por el Ministerio de
Economa y Competitividad (Espaa).
REFERENCIAS
[1]
[2]
[3]
[4]
[5]
[6]
[7]
[8]
[9]
[10]
[11]
[12]
[13]
[14]
[15]
[16]
Cloud Security Alliance, Security Guidance for Critical Areas of Focus in

Cloud Computing V3.0. 2011.
European Commission, Unleashing the Potential of Cloud Computing in
Europe. 2012, Communication from the commission to the European
Parliament, the council, the European economic and social Committee
and the Committee of the regions.
Kushwah, V.S. and A. Saxena, A Security approach for Data Migration
in Cloud Computing. International Journal of Scientific and Research
Publications, 2013. 3(5).
Wu, B., et al. Legacy system migration: A legacy data migration engine.
in Proceedings of the 17th International Database Conference
(DATASEM97). 1997.
Bisbal, J., et al., Legacy Information Systems: Issues and Directions.
IEEE Softw., 1999. 16(5): p. 103-111.
Bisbal, J., et al., A survey of research into legacy system migration.
Technique report, 1997.
PwC, The Future of IT Outsourcing and Cloud Computing. 2011.
Ahronovitz, M., et al., Cloud computing use cases white paper. 2010.
Mrquez Alcaiz, L., et al., Hacia un Proceso de Migracion de la
Seguridad de Sistemas heredados al Cloud, in XIII Reunin Espaola
sobre Criptologa y Seguridad de la Informacin (RECSI 2014). 2014:
Alicante. p. 191-196.
Mrquez, L., et al. A Framework for Secure Migration Processes of
Legacy Systems to the Cloud. in Advanced Information Systems
Engineering Workshops. 2015. Springer.
Cloud Security Alliance. CLOUD CONTROLS MATRIX V3.0.1. 2014;
Available
from:
https://cloudsecurityalliance.org/download/cloudcontrols-matrix-v3-0-1/.
ISO/IEC 27001, Information technology Security techniques
Information security management systems Requirements. 2013.
Cloud Security Alliance. CSA Security, Trust & Assurance Registry
(STAR). 2014; Available from: https://cloudsecurityalliance.org/star/.
ISO/IEC 27002, Information technology Security techniques Code
of practice for information security controls. 2013.
ISACA, COBIT5-A Business Framework for the Governance and
Management of Enterprise IT. 2012.
PCI, Data Security Standard, v3.1, in Requirements and Security
Assessment Procedures. 2015.
87
Cloud Privacy Guard (CPG): Security and

Privacy on Data Storage in Public Clouds
V. H. G. Moia and M. A. A. Henriques
Abstract Cloud data storage is an interesting service that
offers several advantages for users. However, the risks involved
in the outsourcing of data storage can be a barrier to the
adoption of this model by those concerned with privacy.
Cryptography is being used as a solution to overcome such risks
and gain the trust of users who want more security for their data.
Still, several cloud service providers that offer cryptography
services do not fulfill some security requirements essential in a
secure and reliable service, raising questions about the effective
security obtained. In this paper, we propose a cryptography
system to overcome the most common security risks in cloud data
storage and show how it can satisfy some important security
requirements that will be presented and discussed.
Keywords
cryptography.
Cloud
computing,
security,
privacy,
I. INTRODUCTION
EVER before the security and privacy of users have

been so valuable. Recent news about attacks and
threats surrounding users on the Internet made them more
concerned about the lack of control on the data stored in
public clouds [1]. In a public cloud infrastructure, the cloud
service provider (CSP) is the one responsible for managing
user's data, which means that customer data is out of user's
control. They do not know where their data is located, if the
CSP is learning something about it, if there is any
modification on it and so on. Users have to trust the CSPs.
However, cloud data storage is becoming popular because it is
an interesting choice for remote data storage and brings some
advantages for users, as they can have access to their data
from anywhere at any time. They can avoid costs of building
and maintaining a storage infrastructure, pay only for what
they use and avoid the troubles related to backups.
Some CSPs realized the potential risks about users privacy
and started offering cryptography options on the data storage
to minimize user's concern. However, not all of these CSPs
provide a real privacy model where only users can have access
to their owned data. Besides, other factors can increase or
decrease the security of a system, and must be considered in
order to create a secure and reliable model, where users can
get the desired privacy and security.
In this scenario, we will present some problems related to
the security and privacy of users when storing their data on
public clouds, and propose a new cryptography application to
V. H. G. Moia, University of Campinas (UNICAMP), Campinas, So

Paulo, Brazil, vhgmoia@dca.fee.unicamp.br.
M. A. A. Henriques, University of Campinas (UNICAMP), Campinas,
So Paulo, Brazil, marco@dca.fee.unicamp.br.
mitigate them. More important than describing an application

to solve these problems is to point out how we approach each
of them. We also show how easy to use is our application,
decreasing the burden on users. Some requirements
indispensable for a secure and reliable cloud system are
presented besides a discussion about how some CSPs build
their applications.
II. PROBLEMS ON DATA STORAGE
Storing data on a cloud in plain text file could be harmful
for users privacy. There are several risks associated with the
cloud environment and in this section we will list some of
those related to data storage [2] [3].
When users send their data to be stored, they do not know
where it will be located. Some CSPs have their servers spread
around the world, according to their needs and to economic
factors. Therefore, data could be stored in different countries
which may have different laws with respect to privacy. This
could be harmful to users, since their data is in possession of a
third party, the CSP, and government agencies could easily get
user's data from the providers.
Data confidentiality is another important matter since
critical, personal and confidential information could be
obtained from certain files, and used to attack or blackmail
users. If a server is compromised for any reason, all user's data
is vulnerable, as well as his privacy. Another concern related
to confidentiality is the fact that user's data may be monitored
without his knowledge when stored in public clouds. Some
CPSs could learn something from user's files, and do
advertising based on that. The use of data integrity tools is
also an important characteristic as it could detect an
unauthorized modification on data.
Another issue in cloud environment was pointed out by the
Cloud Security Alliance (CSA), specialized in cloud
computing technology and cloud security matters. They listed
the top threats to cloud computing, from which we will cite
only a few that are related to cloud storage. These threats are:
insecure interfaces and APIs, malicious insiders, data loss or
leakage and account or service hijacking. These concerns and
others, more suitable for cloud in general, are better explained
in Ref. [4].
In the system we propose here, we will use cryptographic
techniques to minimize some of these threats. We conceived a
model where only users have access to their keys. However,
the introduction of cryptography usually raises new problems,
such as difficulties on sharing data and usability problems,
which were properly treated as explained below.
88
MOIA et al.: Cloud Privacy Guard
III. PROPOSAL: CLOUD PRIVACY GUARD (CPG)

In this section, we will present the proposed application to
mitigate some security problems on cloud data storage, and
also to address some security requirements. It will be
explained how this applications works, how it manages the
cryptographic keys and how it addresses the security
requirements.
How it works
CPG is an application responsible for adding a security
layer on users data stored in public clouds. It uses
cryptography techniques to prevent unauthorized access to
data. It also allows users to share their private data with
others, through certificates. The main objective of this
application is to be as simple and secure as possible, for use
by all kind of users with minimal cryptography knowledge. It
takes the already used and understood drag and drop model
used by a lot of CSPs, where files are dragged (or copied) to a
folder to be stored in the cloud. When a user wants to send his
data to the cloud, he only has to put his file in a special folder
and the CSP's application will handle and send it to the cloud.
CPG works in a similar way. Users choose a second special
folder, and every file dropped in this folder will be encrypted
and sent to the cloud's folder to be stored in the cloud later.
No one will be able to access the user's files without the
application (and a secret key), since all data presented in the
cloud folder will be encrypted. The file's attributes (name,
creation and modification data, ownership etc.) will be also
encrypted.
Public key infrastructure is a well-established technology
used to solve some security problems with asymmetric
cryptography; however it comes with a high cost. In Brazil, an
alternative for minimizing this cost in educational and
research institutions was the creation of an educational public
key infrastructure called ICPEdu [5]. Students, teachers,
researchers and the staff people that are part of educational
institutions linked to RNP (Brazilian national research and
education network) can get freely ICPEdu certificates. CPG
makes use of this kind of certificates to encrypt files and to
share them among users.
To share files, users need to share the folder containing the
intended files through the conventional CSP interface, and
then put in such folder the certificate of every person that shall
be able to open those files. The application will encrypt the
data with the certificates present on the folder. Removing
access to a shared file from a particular user requires the
removal of this user's certificate from the folder. When new
data is stored in the folder or a file is modified, it will be
encrypted only for those users who still have their certificates
presented on the folder, denying access to this new
information to the user whose certificate was removed.
When CPG is installed and initialized on user's computer, it
requires the creation of a passphrase, used to protect users
cryptographic keys. Then the application creates a pair of
keys (or allow users to select one already existent) and request
users to fill out the configuration settings, which are the cloud
folder path, used to synchronize data between user's computer

and the cloud servers, and the application folder path, used to
define the data to be encrypted. Every time the application
performs a secure task, it requests the user's passphrase, unless
it was supplied some moments ago (there is a time to live for a
keyed passphrase).
The CPG application starts every time the computer
initializes. Users can see it running through the system tray,
with an icon that allows them to interact with it. They can
close the application or even change the configuration options.
CPG can be integrated with any kind of CSP that works
with a special folder to synchronize data. Examples of CSPs
supported by this application are Google Drive, Dropbox,
Microsoft OneDrive and ownCloud.
The working process is better explained in Fig. 1. In this
figure, a user named Alice wants to store her data in the cloud.
She first initializes CPG and provides her passphrase (steps 1
and 2). Then, she stores a file in the application folder (step 3),
activating CPG, which will start encrypting it using user's
certificate (step 4). In step 5, the encrypted file will be stored
in the cloud folder. Step 6 is performed by the CSP
application, responsible for the synchronization process
between user's computer and CSP's servers. Steps 7 and 8 are
related to data that need to be downloaded and decrypted on a
device that is different from the one CPG was used to store
such data.
Figure 1. Storing data securely in the cloud
CPG Specifications
The proposed CPG application was developed in Java
language and combines asymmetric and symmetric
cryptography taking advantage of each technique. It uses RSA
as asymmetric algorithm with a key size of 2048 bits, and
AES as symmetric algorithm, with a key size of 256 bits. It
also uses SHA-256 as a hash function, used to perform
integrity checks on data when needed.
Key management
CPG creates a random and unique symmetric key for each
file, a 256-bit size key which is used to encrypt user's data.
Each user has a RSA 2048-bit key pair (public and private
keys), used to encrypt/decrypted symmetric key files. The
89
public key is stored in plain text in a certificate and the private

key stored in cipher text, encrypted with a symmetric key
derived from user's passphrase.
When a file has to be encrypted, a new and random
symmetric key is generated and used to encrypt it. After this
process, this file encryption key is encrypted with user's public
key (Fig. 2). To decrypt the file, the users need to provide his
passphrase, with is supplied to derive the symmetric key used
to decrypt user's private key, which is needed to decrypt the
file encryption key and finally open the encrypted file (Fig. 3).
which consider six possible states that a key undergoes during

its life, as presented in Fig. 4.
Figure 4. Key states and transitions (Adaptation of Figure [6]).
Figure 2. CPG keys generation
Figure 3. CPG keys Recovery
IV. SECURITY REQUIREMENTS

In this section, we discuss some cloud data storage security
requirements and explain how they are addressed by the
proposed application.
A. Cryptographic key life cycle control
NIST (National Institute of Standards and Technology)
provide some recommendations about keys that should be
adopted by all cryptography systems. These recommendations
are important for the system security in a long term period,
and are related to the management of cryptographic keys,
cryptoperiods and the states that a key undergoes during its
life.
Cryptoperiod is defined by NIST [6] as the time span
during which the use of a key is allowed, and it is based on
factors like the estimated effective lifetime of the key
algorithm, type and purpose of a key. Another
recommendation is about the states of cryptographic keys,
These states change according to specific events, such as

the expiration of a cryptoperiod or the detection of a
compromised key. More details about cryptoperiods, the states
and all the possible transitions on a key in its life cycle can be
seen in Ref. [6].
The right management of keys is important for the security
of a system, since the whole security stands on them. This
recommendation may not seem so important in the beginning,
but some time later a system that did not followed this advice
could be compromised and have user's data leaked.
The key life cycle is an important issue and must be
addressed carefully. The CPG application deals specifically
with the cryptoperiod of each user's key pair outsourcing it to
the PKI responsible for the certificates: ICPEdu. This PKI will
control and limit the validity period of each key pair.
However, the symmetric keys receive a different treatment.
Every time a file is modified, a new key file will be generated
to encrypt the modified file, avoiding the access to new
versions of it by users that are no longer allowed to see its
contents.
The key state management is also done by CPG, since all
encrypted files use new keys, and when a file suffers a
modification, its previous encryption key is no longer used
and deleted. A new key is generated and used to encrypt the
file new version.
B. Security with Deduplication
Deduplication is a technique used to eliminate redundant
data in a storage system, in order to save space. Instead of
storing multiple copies of data, it creates links of it and only
stores a single copy [7]. Some CSPs adopt this technology in
their servers; however there are some concerns in the way they
implement it, especially because it could generate
vulnerability, and not only an economic advantage. There are
two ways to perform deduplication: target-based and sourcebased. The target-based approach is characterized by the
unawareness of the client about the deduplication process,
since it occurs only on the CSP. The main objective of this
approach is to save disk space, and the process only starts after
users send their data to the cloud.
In the source-based approach, the deduplication process
occurs on the client side, before the data is sent to the cloud.
The client application is responsible for verifying the
90
existence of a file in cloud servers before sending it. They

usually send just a small piece of information related to that
file (a file's hash, for example) and compare to what is stored.
The advantage of this approach is that, besides space, it also
saves bandwidth, as the data is never sent to the cloud if a
copy already exists there. The CSP just creates a link of that
data in the user's area. The data is only sent if there is no copy
of it already stored.
Another characteristic of deduplication process is related to
the search space used to look for equal data. There are two
ways to make this search: single-user and cross-user. The
single-user is related to the search using only the space
belonging to a particular user, while the cross-user is based on
the entire storage infrastructure, considering all users
accounts. When a user makes a request to the CSP for storing
some data on their server and the CSP searches only in this
user's account for redundant data, it is a single-user
deduplication. However, if the CSP looks for redundant data
in all users accounts, it is a cross-user deduplication. The
latter method is more efficient considering the amount of disk
space saved, since a group of users is more likely to have the
same file. As a drawback, the cross-user mode is more
vulnerable to a security attack, as pointed out by Harnik et al.
[7].
This attack is known as the identifying files attack.
Providers that implement the source-based approach combined
with cross-user deduplication are the ones vulnerable to it. To
understand the attack, consider an attacker who wants to know
if some user in a chosen cloud has a given file. First, he sends
the intended file to the cloud and keeps monitoring the
network to check if his file will be uploaded to the cloud. If
so, it means that no one has this file stored in the cloud.
Otherwise, the file will not be sent and the attacker can
conclude that there is an equal file already stored.
As the proposed application will be integrated with CSPs
and we have no control of their working process, especially
about the deduplication, this technology cannot be allowed, in
order to preserve user's privacy and avoid attacks such as the
one described above. However, in cases where CSPs wants to
use deduplication, the target-based approach should be used
with some technique to decrease the impact of cryptography
on the files' similarity. This will save disk space and protect
users privacy.
Attacks like tampering and sniffing are no longer

possible. However, this level only provides secrecy
in the communication channel. Data will be
encrypted as it enters in the tunnel and is sent to the
CSP, but will be decrypted as it leaves the tunnel in
the CSP, being stored in plain text file. Fig. 5 and 6
illustrate the process of storing and recovering data
from the cloud, respectively. Data stored in plain text
file gives the CSP access to user's data, making it
possible to use it to improve search mechanisms or
for advertising purposes. Besides, the deduplication
process could be done easily. In this level, the
process of sending and receiving data require four
cryptographic operations (client encryption, server
decryption, server encryption and client decryption).
However, there is no overhead for users related to
key management, since there is no cryptography of
data at rest. The entire process is transparent to the
user.
Figure 5. Data is sent to the cloud through an encrypted channel
C. High level of secrecy

The levels of secrecy are related to the way cryptography is
used. We classify these levels according to the amount of
privacy they provide:
Level 1 - Communication channel encryption
(CCE): This level is characterized by the use of
cryptography only in the communication channel
between the user and the CSP. Technologies like
TLS (Transport Layer Security) are usually used to
provide security. It creates a tunnel between user's
application and the CSP, and all data transmitted
between them go through this tunnel encrypted.
Figure 6. Data is recovered from the cloud through an encrypted channel
Level 2 - CCE and server-side encryption: In this

level, cryptography of data at rest (data stored) is
performed by the CSPs. They are responsible for
performing all cryptographic operations on users
data and also for taking care of key management. The
protection of the communication channel is required,
since there is no meaning in sending data from user's
device to the CSP in plain text file to encrypt it later.
In a basic scenario (Fig. 7), all data is sent in a secure
way (using protocols like TLS) to the cloud, which is
91
responsible for generating a secret key to encrypt

user's data, before storing it on the servers. This
secret key is wrapped by a public key and stored
along with the data it relates to. In the recovery
process (Fig. 8), the CSP uses the corresponding
private key to decrypt the secret key and then opens
the data. After the decryption process is finished, the
data is sent back to the user through a secure channel.
As in Level 1, the CSPs also have access to user's
data, since they manage all cryptographic keys. They
are still able to improve search mechanisms or do
advertising, and also to use deduplication techniques
to save disk space. Sending and receiving data
require six cryptographic operations: Four, as in
Level 1, plus two additional required by the
encryption and decryption of data when it enters and
leaves the CSP. As a way to keep all keys safe, some
CSPs encrypt the secret key (or private key) using a
key derived from user's password, which makes a key
recovery process harder than usual. Level 2 also
takes all the necessary overhead related to key
management, eliminating this burden from users.
Figure 7. Storing data in the cloud
outsourced and more trusted applications, like PGP

or the CPG proposed here. In this level, users no
longer need a secure communication channel to
transmit their data to the cloud, as data leave users'
devices encrypted. The CSPs are not capable to do
any processing with the data and deduplication can
no longer be done, unless some specific measures are
taken, like encrypting the data using its own hash as a
key. In this case, identical files will remain identical
after encryption, since the key used in the process is
the same (the file's hash). The user's password can
also be used to encrypt his secret key (or private
key), but it is important to use a different password
from the one used in the authentication process, as
the CSP could know it somehow (storing user's
password in plain text, for example). This level is
safer for users but it will be no longer possible to
recover a lost password, as the user will be the only
one knowing it. Losing his password means losing all
encrypted data, because no one can recover it, and
this might be a burden for some users. In this level,
sending and receiving data requires less
cryptographic operations than in the other levels.
Only two operations are required: data encryption (on
client side) before data is sent, and decryption (also
on client side) after downloading it. However, the
main obstacle in the adoption of this level is the
overhead that is placed on the users due to the
cryptographic key management. This is an important
concern, since the whole security stands on the keys.
Fig. 9 illustrates the basic scenario of Level 3 while
storing data on the cloud. For each file, a secret key
is generated and used to encrypt it. After this process,
this key is wrapped by user's public key, and sent
along with the file to the cloud. Fig. 10 covers the
recovery process, where the encrypted file and the
secret key are downloaded. First, the secret key is
decrypted using user's private key, and then the
resulting key is used to decrypt the file.
Figure 8. Recovering data from the cloud
Level 3 - Client-side encryption: This level

corresponds to the cryptographic operations being
performed on client-side. Before sending data to the
cloud, users encrypt it and send to be stored in the
cloud. There are applications provided by some CSPs
to do this, but some users may prefer to use
Figure 9. Storing encrypted data in the cloud
92
The separation of passwords requirement aims to separate

users authentication password from the one used to encrypt
users keys. There will be two passwords, one used on the
authentication process, and another, used to encrypt users
keys, unknown by CSPs and used only on users devices.
The CPG application uses this concept of two passwords,
since it is more concerned about user's privacy. In this system,
the user is the only one who knows the passphrase needed to
give access to the securely stored data.
E. File attributes encryption
Figure 10. Recovering and decrypting data from the cloud
Based on the above description, we can conclude that Level

3 is the one with best privacy preserving features, when
compared to the other ones, since all the cryptographic
operations are performed on user's device. The key
management is also done by users, which could be a drawback
because it creates an overhead for them. The proposed CPG
application works in user's device using Level 3 concepts and
manages all the cryptography keys for its user. He only needs
to remember a passphrase, which is used to give him access to
all other keys. The public and private keys are stored in the
cloud in a special folder: the public key is stored in plain text
(certificate) while the private key in cipher text. This allows
users to access their data anywhere and through different
devices, requiring only the correct passphrase.
D. Separation of Passwords
When users loose or forget their passwords, they can use a
common feature provided by most Internet services that
requires an authentication process to recover the passwords.
With this feature, users must prove to the server that they are
who they claim to be, and then the server send them their
password or allow the creation of another one. It is a good
practice to store user's password in coded form (a hash, for
instance) and calculate a new code during the authentication
phase to compare with the stored value every time users try to
log in a system. By choosing the password recovery, the
server can erase the old one and replaces it by the new value
provided.
However, in cryptographic storage environments, when
users look for services that provide security and privacy, this
technique will not be a good solution. In this scenario, if the
CSP is able to restore user's password, it means that the CSP
can find a way to access users data. But if it does not have
this ability and a user forgets or loses his password, it will not
be possible to decrypt the files anymore and all his data will
be lost.
Besides taking out the burden of users when they forget
their passwords, the key recover feature could also be useful
for some specific scenarios. For instance, the key recover will
be very useful when a company wants to recover data in
possession of ex-employees, who got fired or are not available
to give access to their data stored securely.
The encryption of file attributes is an important service, but

receives less attention from users and from CSPs that often do
not implement it because it may have a complex management.
This service is about hiding some attributes, especially
filenames, which are related to the file content and could help
an attacker to choose his target, if stored in plain text.
Applying cryptography to the files attributes could improve
the security and privacy and add a barrier to attackers, who
will have a hard time to figure out which file is important and
worth stealing.
CPG meets this requirement encrypting the file attributes,
like timestamps, size, group, owners and filenames, in order to
protect user's privacy.
F. Source and executable code signatures
An important issue about developing secure software is to
make it available for community analysis. Most CSPs that
provide cryptography services do not have their codes
available for review, which could raise suspicions about their
software. The security community has an important role
checking if the software really does what its creator claims.
Besides, it is a good way to improve the software, detecting
potential vulnerabilities in the project.
However, sometimes the running code is not the same one
available for review. For this reason, it is necessary to have
ways to prove that the running code is the same one generated
by the code revised. Code signing is a technique that could be
used to this end. This way, users can verify the software
before installing it, making sure they are using the version
published and revised by the community, which is probably
the safest one available.
The CPG application has its source code opened to the
community for reviews. This practice helps the detection of
possible flaws and opens space for some improvements. Code
signing technique is used to allow users verify the authenticity
of the application installed in their devices.
G. Multi-factor authentication
This technique is about combining more than one
authentication method to verify someone's identity. The
methods used with this purpose are usually based on
something the user know (password), something he has
(cryptographic device) or something he is (biometric
characteristics, like fingerprints, iris, voice etc.). Lee et al. [8]
describe two factor authentication system using the usual
login/password and mobile phones. The login/password is the
more well-known and accepted method to authenticate users,
93
since it does not require extra equipment, and users are

already familiar with it. However, with the increasing
popularity of mobile phones, methods using them as a second
factor are getting more common.
The multi-factor authentication could also be implemented
in the cloud storage environment, since it adds an extra
authentication phase to the system. Even applying the best
cryptography algorithms and the biggest keys possible, all
security of a system will fall down if an attacker could get
user's password, compromising all users data. Current CSPs
that offer cryptographic systems derive a symmetric key
from user's password and use such key to encrypt/decrypt
user's private key (or master key). This makes the user
credentials the weakest point on the system. Getting user's
credentials are not a hard task these days, where users have a
lot of different identities on the Internet. Every single service
that requires an identity (a new login/password) makes users
create and manage a new identity. With so many pair of
login/password, users start using passwords easier to
remember and also to attack. Malwares and social engineering
are other ways to get user's password successfully.
It is intended to extend the security level of CPG
application through the use of multi-factor authentication
technique. The application uses one factor (a passphrase) to
give users access to their public key. Two factor
authentication would improve the security of the whole
system, since in the current implementation, if an attacker gets
user's passphrase, he gets all user's data. With another
authentication factor, like a smart card or mobile phone,
accessing user's private key would require more than just a
passphrase; it would require the second factor: the possession
of a smart card or mobile phone.
However, as two factor authentication requires extra
hardware (smart card requires a special reader), extra software
and increases cost, this feature is an option that users can
activate or not when installing the application, according to
their security needs.
V. RELATED WORK
The use of cryptographic applications to protect user's data
in the cloud has been proposed in the literature and even in
commercial solutions. In the literature we can find solutions
using recent cryptographic techniques, like broadcast
encryption [9], deniable cryptography [10], Attribute-based
Encryption [11], searchable encrypted data scheme [12] and
re-encryption scheme [13]. However, these solutions are not
practical and still need some development until they can be
used for practical purposes. However, some papers prefer to
stick with classical solutions and proposed models using just
RSA and AES, as those proposed in refs. [14] and [15]. These
proposals can be classified as Level 3, where all data is first
encrypted and then sent to the cloud, but the authors do not
describe how they manage users keys and how to address the
security requirements discussed in this paper.
The CPG application was conceived based on some ideas
from the literature. However, we also took into consideration
the features of commercial solutions that have been used by a
lot of people and are well accepted. Some of these solutions

will be detailed later in this paper and each one has a different
level of secrecy and has focused on solving some of the
requirements described here. However, none of them fits all
the characteristics desired on a Level 3 cryptographic solution.
OneDrive (Microsoft) [16] and Google Drive [17] are cloud
service providers which can be classified as Level 1, using
only protection on the communication channel with TLS
(Transport Layer Security). Users have the option to recover
their password whenever necessary and can share their data.
ownCloud [18] is an open source project where users can
build their own clouds. There is a cryptographic application
called Encryption App responsible for the cryptographic
operations performed on users data, which is and optional
feature. ownCloud's Encryption App could be classified as
Level 2, since all cryptographic operations occur at serverside. Users can enable or not the recovery password feature,
and in case they lose their passwords, the system administrator
can recover them. However, enabling this service means
sharing user's data with the system administrator, because all
data encrypted with user's public key will also be encrypted
with the administrator's public key. The communication
channel is also protected by the TLS technology and data can
be shared with other users. Deduplication is not supported
[19].
SpiderOak [20] is a cryptography CSP solution classified as
Level 3, since all the operations occur on client's side. In this
solution a master key is used to wrap all the keys used to
encrypt users data. This master key is then encrypted with a
key derived from user's password, using a PBKDF2 (Password
Based Key Derivation Function) algorithm [21]. The system
also encrypts user's filenames. Users are not allowed to
recover their passwords, but they can share their data with
others (paid version). SpiderOak claims to use deduplication
on single-user mode and target-based approach.
Wuala [22] [23] is a CSP similar to SpiderOak. The main
differences are the use of a pair of cryptographic keys
(asymmetric cryptography) instead of a masker key
(symmetric cryptography) and the deduplication process is
cross-user mode. There is no free version.
Cyphertite [24] is also similar to SpiderOak; however it
does not use filenames cryptography and is an open source
project.
Credeon [25] and Boxcryptor [26] are cryptographic
applications intended to be integrated with an existing CSP,
like Google Drive, Microsoft OneDrive and so on, and they
are responsible only to provide cryptographic services. They
can be classified as Level 3, because all the cryptographic
operations are performed on client's side. The differences
between these two services are: Credeon uses only symmetric
encryption, does not allow password recovery or filenames
encryption and is not an open source project, while
Boxcryptor uses asymmetric encryption, allows password
recovery and filenames encryption and is an open source
project. PBKDF2 technology is used in both applications to
derive a key from user's password to encrypt user's keys.
94
However, none of them allow deduplication, since all the keys

used to encrypt user's files are random and unique.
VI. CONCLUSIONS
In this paper we presented some problems related to the
security and privacy of users who store data in public clouds.
We proposed a new cryptography application to mitigate some
of these problems and to fulfill some requirements that are
indispensable for a secure and reliable cryptography system.
Furthermore, we showed how such application could be used
and how it meets the requirements discussed. Current
cryptographic solutions adopted by some cloud providers were
presented and compared, showing that most of them do not
offer the necessary level of security to guarantee user's
privacy. Despite all security features adopted by them, some
problems still remain. In the CPG solution presented in this
paper, we proposed to solve or mitigate some of these
problems, as presented above. However, CPG does not
provide the storage infrastructure for users to store their data,
but a software that could be integrated with any CSP that
satisfies some requirements. Besides this flexibility, CPG uses
certificates to mitigate some security problems and to enable
the sharing of data. This is a project concerned about being
transparent to users, through initiatives like open source code
and code signing. Furthermore, the project is compromised to
leverage the security and improve privacy for all kinds of
users, being them experts or not. As a future work, we plan to
improve the features of CPG, especially with the
implementation of two factor authentication, and also make
CPG even easier and more transparent for any user who wants
to take advantage of cloud storage, but without the fear of
giving up on his privacy.
ACKNOWLEDGMENTS
This work was partially supported by CNPq (153392/2014-2).
REFERENCES
[1] Top Threats Working Group. (2013). The Notorious Nine Cloud
Computing Top Threats in 2013.Cloud Security Alliance.
[2] Z. Xiao, Y. Xiao. (2013). Security and Privacy in Cloud Computing.
IEEE Communications Surveys & Tutorials, 15(2):843-859.
[3] Fernandes, Diogo AB, et al. (2014). Security issues in cloud
environments: a survey. International Journal of Information
Security, 13(2): 113-170.
[4] D. Hubbard, M. Sutton. (2010). Top threats to cloud computing
v1.0. Cloud Security Alliance.
[5] ICPEdu. http://www.rnp.br/servicos/servicos-avancados/icpedu.
Accessed 2015 Jun 15.
[6] E. Barker, W. Barker, W. B. W. P. M. S. (2006). Recommendation
for key management part 1: General (revised). In NIST special
publication. Citeseer.
[7] D. Harnik, B. P. and Shulman-Peleg, A. (2010). Side channels in
cloud services: Deduplication in cloud storage. Security & Privacy,
IEEE, 8(6):4047.
[8] S. Lee, I. Ong, H. L. H. L. (2010). Two factor authentication for
cloud computing. Journal of information and communication
convergence engineering, 8(4):427432.
[9] Kumbhare, A., Simmhan, Y., and Prasanna, V. (2012). Cryptonite:
A secure and performant data repository on public clouds. In
Cloud Computing (CLOUD), 2012 IEEE 5th International
Conference on, pages 510517.
[10] Gasti, P., Ateniese, G., and Blanton, M. (2010). Deniable cloud
storage: Sharing files via public-key deniability. In Proceedings of
the 9th Annual ACM Workshop on Privacy in the Electronic
Society, WPES 10, pages 3142, New York, NY, USA. ACM.
[11] Kamara, S. and Lauter, K. (2010). Cryptographic cloud storage. In
Proceedings of the 14th International Conference on Financial
Cryptography and Data Security, FC10, pages 136149.
Springer-Verlag, Berlin, Heidelberg.
[12] Phuong, T., Omote, K., Luyen, N., and Thuc, N. (2012).
Improvement of multi-user searchable encrypted data scheme. In
Internet Technology And Secured Transactions, 2012 International
Conference for, pages 396401.
[13] Xu, L., Wu, X., and Zhang, X. (2012). Cl-pre: a certificateless
proxy re-encryption scheme for secure data sharing with public
cloud. In Proceedings of the 7th ACM Symposium on Information,
Computer and Communications Security, pages 8788. ACM.
[14] Kalpana, P. and Singaraju, S. (2012). Data security in cloud
computing using rsa algorithm. IJRCCT, 1(4):143146.
[15] PADMAJA, N. and KODURU, P. (2013). Providing data security
in cloud computing using public key cryptography. IJESR, 4(01).
[16] Microsoft OneDrive. https://onedrive.live.com/about/pt-br/.
[17] Google drive: Viso geral das conexes SSL.
https://support.google.com/a/answer/100181?hl=pt-BR. Accessed
2015 Jun 15.
[18] Schiessle, B. Owncloud: Introduction to the new ownCloud
encryption app. http://blog.schiessle.org/2013/05/28/introductionto-the-new-owncloud-encryption-app/. Accessed 2015 Jun 15.
[19] Deduplication on ownCloud: Frequently asked questions.
https://owncloud.org/faq/deduplication. Accessed 2015 Jun 15.
[20] SpiderOak: Engineering. The details behind what we do.
https://spideroak.com/engineering_matters. Accessed 2015 Jun 15.
[21] Password-based cryptography specification: Version 2.0.
https://www.ietf.org/rfc/rfc2898.txt. Accessed 2015 Jun 15.
[22] D. Grolimund, L. Meisser, S. S. and Wattenhofer, R. Cryptree: A
folder tree structure for cryptographic file system.
http://dcg.ethz.ch/publications/srds06.pdf. Accessed 2015 Jun 15.
[23] Meisser, L. Wuala blog. wualas encryption for dummies.
https://www.wuala.com/blog/2011/04/wualas-encryption-fordummies.html. Accessed 2015 Jun 15.
[24] Cyphertite. https://www.cyphertite.com/papers/WP_Crypto.pdf.
[25] Credeon. http://psg.hitachi-solutions.com/credeon/cloud-dataprotection-overview. Accessed 2015 Jun 15.
[26] Boxcryptor: Technical overview.
https://www.boxcryptor.com/en/technical-overview. Accessed
2015 Jun 15.
Vitor Hugo Galhardo Moia received the Engineering
degree in Computer Engineering from Centro Regional
Universitrio de Esprito Santo do Pinhal - UNIPINHAL,
Esprito Santo do Pinhal, Brazil, in 2013, and is a master
degree student in security and privacy on cloud computing at
School of Electrical and Computer Engineering, University
of Campinas (Unicamp), Campinas, Brazil. His current research interest is
techniques to provide security and privacy in data storage on cloud
computing.
Prof. Marco A. A. Henriques got an Electrical Engineering
degree from Juiz de Fora Federal University (Brazil - 1986),
a Master of Science in Electrical Engineering from Chiba
University (Japan - 1990) and a PhD degree in Computer
Science also from Chiba University (Japan - 1993). He
worked as an Associate Professor at the Department of
Information Engineering, Shinshu University, Japan, for three years before
joining the School of Electrical and Computer Engineering, University of
Campinas (Unicamp), So Paulo, Brazil, where he is now the Head of the
Department of Computer Engineering and Industrial Automation. Besides his
academic activities, he was appointed two times as the Unicamp's IT General
Coordinator and Computing Center Head. Prof. Marco is presently teaching in
both undergraduate and graduate levels and advising undergraduate, master
and doctorate students in the area of Computer Engineering, with emphasis on
information security.
95
A Post-Quantum Set of Compact Asymmetric

Protocols using a General Linear Group
P. Hecht
Abstract This paper presents an original and unified set of
compact asymmetric and arbitrated protocols developed with the
same general linear group. As a computational secure one way
function we use the generalized symmetric decomposition
problem. By unified we mean that all protocols share the same
algebraic structure and by compact that they use only single
precision modular arithmetic that can be ported into low
capabilities platforms like 8 and 16 bit processors. They are
arbitrated since they use a trusted third party (TTP), but this
feature needs not be a drawback. The appealing feature of this
approach is that for this kind of non-commutative algebraic
primitives and one way functions, there are no known sub
exponential time complexity or quantum algorithm attacks as
with traditional commutative fields. Our chosen structure was a
Hill matrix group; specifically order eight square matrices with 8
bit elements under Z251 arithmetic; because it can be fitted into
smartcards, cell phones, USB cryptographic keys and similar
devices. The module was selected as it is the greatest prime fitting
into 8 bits. We present asymmetric protocols including key
exchange, key transport, ciphering, digital signature and ZKP
authentication. As it will be proven, their simplicity does not
affect the cryptographic security level which is conjectured to be
around 64 bits. We believe that the protocols could be a good
choice for low performance environments without sacrificing
security.
Keywords
post-quantum
cryptography,
asymmetric
cryptography, non-commutative cryptography, cryptographic
protocols, general linear groups, algebra.
I. INTRODUCCIN
radicionalmente los protocolos asimtricos tienen sustento

en problemas complejos extrados de campos numricos o
algebraicos de naturaleza conmutativa. Hoy da las primitivas
de mayor difusin estn vinculadas al problema de la
factorizacin de enteros o al problema del logaritmo discreto
[1]. Una desventaja reside en que se conocen ataques de
complejidad subexponencial para muchos de ellos [1] (incluso
puede que existan mtodos de resolucin en tiempo
polinmico para algunos) y futuros ataques eficientes a travs
de algoritmos cunticos [2], de modo que hay motivos para
desconfiar de los mismos.
Para resolver estas limitaciones y reemplazar a la
criptografa convencional, ha surgido en aos recientes un
inters creciente en la aplicacin de lgebra no conmutativa
[3][4][5], una de las lneas de investigacin en lo que hoy da
se conoce como criptografa post-cuntica [6]. Con este
objetivo, se desarrollaron sistemas de criptografa asimtrica
usando monoides, anillos, grupos, semigrupos, cuasigrupos y
neocampos de distinta naturaleza, destacndose grupos de
Thompson [7], grupos de trenzas [8][9], grupos policclicos
[10], grupos nilpotentes [11] y anillos de polinomios
matriciales [12]. Recientemente se ha aplicado criptografa no

conmutativa a pruebas de conocimiento cero [13] y uso del
grupo general lineal al igual que en el presente trabajo [14].
Hay que enfatizar que la mayora usa, de una forma u otra,
bibliotecas de precisin extendida que complica su aplicacin
en plataformas de baja capacidad computacional. Sin
embargo, este aspecto ha sido tenido en cuenta y corregido
gracias al desarrollo de protocolos compactos por parte del
autor [12][13][14].
El objetivo del presente trabajo es desarrollar un conjunto
original e integrado de protocolos arbitrados asimtricos y
compactos por medio de una estructura algebraica no
conmutativa comn a todos. Se aclara que el presente trabajo
no es una recopilacin de protocolos ya conocidos, se trata de
una solucin novedosa que se presenta por primera vez. Este
objetivo se encuadra en el marco del desarrollo de la
criptografa post-cuntica. El conjunto es integrado por
compartir un nico ncleo algebraico y resulta compacto
porque los protocolos operan exclusivamente con aritmtica
de precisin simple y plataformas de bajo porte (procesadores
de 8 o 16 bits). Se elige la aritmtica Z251 por basarse en el
mximo primo representable en 8 bits. Por incorporar una
TPC (Tercer Parte de Confianza), se los considera arbitrados.
A modo de ejemplo en este trabajo se usan matrices de orden
8 y que devienen en protocolos cuya seguridad computacional
es de 64 bits, aunque esta seguridad computacional es
paramtrica y ajustable a necesidad del usuario,
II. BASES ESTRUCTURALES
Definimos como bases estructurales al conjunto de
definiciones, funciones y algoritmos que sirven de
fundamento comn a los sucesivos protocolos asimtricos que
se desarrollan en secciones sucesivas.
ESPACIOS M8 y P8
El espacio no conmutativo elegido para este trabajo es el

grupo general lineal GL(8,Z251) tambin conocido en
criptografa como el grupo de matrices de Hill. El mdulo
251 es el mayor primo representable en 8 bits. El espacio
GL(8, Z251) se define como M8. La eleccin del orden 8
obedece a que ofrece una aceptable solucin de compromiso
entre requerimientos de memoria, complejidad computacional
y seguridad criptogrfica, tal como se describe ms adelante.
Para obtener matrices aleatorias M R M 8 se procede a
generar 64 enteros al azar y uniformemente distribuidos
(simbolizado R ) en Z251 y se acepta si su determinante
96
HECHT et al.: A Post-Quantum Set
Det(M) no fuese nulo. Dado que el mdulo es primo, el hecho

que la matriz no sea singular, asegura su inversibilidad.
Basndonos en dicho argumento, las matrices as generadas
sern aleatorias y uniformemente distribuidas en el espacio
M8.
Todo grupo no conmutativo posee subgrupos que s lo son.
Para los grupos matriciales existe una condicin necesaria y
suficiente que expresa que dos matrices no singulares a y b
conmutan (a.b=b.a) si comparten una misma base ortonormal
[15][16], es decir poseen la misma matriz de autovectores.
Esta condicin puede ser explotada para generar matrices
aleatorias de Hill orden n (mdulo p) que conmutan usando el
algoritmo del Tabla 1. En este trabajo se referir como P8 al
subgrupo conmutativo de M8 que haya sido generado a partir
de una determinada matriz P de autovectores. Queda claro que
P8 M 8 GL (8, Z 251 ) .
Para obtener matrices privadas A R P8 se emplea una
TPC quien procede primero a elegir y luego publicar una
matriz P al azar en M8 y que oficiar de matriz de
autovectores. Para obtener matrices diagonales D al azar, se
busca al azar un vector de autovalores uniformemente
distribuido en Z251 con valores diferentes de a pares y no nulos
= (1 8). En base a ese vector se genera la matriz
diagonal D. Para obtener potencias en P8, se define
(arbitrariamente) una cota superior z. Ese entero debe brindar
suficiente seguridad para combinaciones aleatorias de dos
2
potencias ( m, n ) R [2, z ] sin afectar sensiblemente el tiempo

de cmputo de las potencias. Una opcin razonable sera usar
z=1024. Respecto al orden multiplicativo de las matrices M
generadas al azar en GL (8, Z 251 ) podemos acotar que es un
divisor del mximo omax p n 1 2518 1 , el que sera su
orden si su polinomio caracterstico fuese primitivo mdulo p
[17] y que la mayora de los rdenes son divisores grandes.
Por ese motivo no es de esperar hallar ciclos multiplicativos
cortos [18].
FUNCIN TRAMPA DE UNA VA
En estructuras algebraicas no conmutativas se definen

ciertas operaciones computacionalmente complejas que son
aprovechadas como funciones trampa de una va para el
desarrollo de criptosistemas asimtricos [1]. Entre ellos se
ubican el problema de la bsqueda del elemento conjugador
(CSP) aunque en este caso se han registrado recientes ataques
algebraicos exitosos [19][20][21], el problema de la
descomposicin (DP), el problema de la descomposicin
simtrica (SD) y el problema de la descomposicin simtrica
generalizada (GSDP) [22][23][24], aqu citados en grado de
complejidad computacional creciente. Estos problemas
representan a su manera una instancia algebraica del problema
del logaritmo discreto generalizado (GDLP) [1].
Dado que es (potencialmente) posible atacar el problema
CSP en el grupo de matrices de Hill a travs sistemas
diofnticos lineales, se ha optado por hacer uso del problema
GSDP para el cual no existe solucin eficiente. Aqu se

presenta el problema GSDP:
Sea G un grupo no conmutativo y S un subgrupo abeliano:
dados ( x, y )G G, S G , (m, n) Z ,
hallar z S tal que y z m x z n
Cabe destacar que al da de la fecha y a pesar de los

recientes ataques lineales diseados contra esquemas
algebraicos, no queda claro que se puedan atacar variantes del
problema CSP como el GSDP por medio de dichas tcnicas
publicadas. Por eso y al momento actual, conjeturamos,
aunque no demostramos, que el nico ataque disponible es el
de fuerza bruta por exploracin sistemtica del espacio de
elementos Por eso incluimos al problema GSDP como
instancia de la clase de complejidad temporal NP [1].
ALGORITMO PARA EL CMPUTO DE MATRICES INVERSAS
Para invertir matrices no singulares en M8, se puede usar el

algoritmo que se presenta en el Tabla 1.
A-1 (mod p) = A-1 Det[A] Det -1[A] (mod p)
Tabla1. Algoritmo de inversin de Matrices de Hill de orden n y mdulo p.
La alternativa rpida para calcularla es obtener A-1 es la inversa no modular de
A. Det[A] es el valor del determinante no modular de la matriz A (un nmero
entero) y Det -1[A] es el valor de la inversa modular del determinante. Los
clculos no modulares proceden como es habitual en lgebra lineal, lo que
acelera el resultado final. La reduccin modular de la matriz se aplica como
ltimo paso despus de efectuar los productos escalares.
III. PROTOCOLO DE INTERCAMBIO DE CLAVES

Este protocolo implementa una versin generalizada de
Diffie-Hellman[1]. En el ejemplo, las entidades A: Alice y
B: Bob, generan sin compartir secretos, una misma clave de
sesin aleatoria. Aqu suponemos que Alice inicia el
intercambio.
1. PREPARACIN
PARMETROS
TPC
(Tercer Parte de
Confianza)
Claves Privadas
ALICE
BOB
define y publica P R M 8
define y publica G R M 8
DA 1 8
DB 1 8
(todos y 0)
(todos y 0)
DA R M 8
A PDA P
DB R M 8
B PDB P 1
Tabla2. Definiciones de los elementos de preparacin pblicos y privados

para el intercambio DH generalizado.
2. ALICE PREPARA SU TESTIGO

2
( k1 , k 2 ) R [2, z ]
97
Elige
y luego enva a BOB
TA A G A
k1
k2
3. BOB elige ( r1 , r2 ) R [2, z ]
TB B TA B
r1
3. BOB PREPARA SU TESTIGO

2
Elige ( r1 , r2 ) R [2, z ] y luego enva a ALICE
TB B r1 G B r2
4. ALICE calcula
5. BOB calcula
4. ALICE calcula K A A 1 TB A
k
5. BOB calcula K B B TA B
r1
k2
S A k1 TB A k2
A k1 ( B r1 TA B r2 ) A k2
A k1 B r1 ( Ak1 K Ak2 ) B r2 A k2
( A k1 Ak1 ) B r1 K B r2 ( Ak2 A k2 )
B r1 ( Ak1 G Ak2 ) B r2
B r1 K B r2
B r1 TA B r2
Observar que en ningn momento se comprometen las

claves privadas, a menos que se resuelva GSDP.
KB
Observar que en ningn momento se comprometen las
claves privadas, a menos que se resuelva GSDP.
IV. PROTOCOLO DE TRANSPORTE DE CLAVES
Este protocolo implementa una versin generalizada del
protocolo Baumslag [24]. En el ejemplo, A: Alice quiere
transmitir a B: Bob una clave secreta K. Como en todos los
protocolos expuestos, se asumen las definiciones y
convenciones adoptadas en la seccin previa.
V. PROTOCOLO DE CIFRADO
Este protocolo implementa una versin generalizada del
protocolo ElGamal [1]. En el ejemplo, A: Alice cifra un
mensaje M destinado a B: Bob. Como en todos los protocolos
expuestos, se asumen las definiciones y convenciones
adoptadas previamente:
1. PREPARACIN
PARMETROS
ALICE
BOB
TPC
(Tercer Parte de
Confianza)
define y publica :
1. PREPARACIN
Claves Privadas
ALICE
BOB
K M8
DA 1 8
DB 1 8
(todos y 0)
(todos y 0)
DA R M 8
DB R M 8
A PDA P 1
B PDB P 1
2. ALICE elige ( k1 , k 2 ) R [2, z ] y luego genera y enva a
TA Ak1 K Ak2
( m, n) R [2, z ]
; mn
DA 1 8
DB 1 8
(todos y 0)
(todos y 0)
DA R M 8
DB R M 8
A PDA P 1
B PDB P 1
Claves Pblicas
A Am G An
B B m G B n
Mensaje
M M 8
Matriz aleatoria
de sesin
(secreta)
K R P8
Claves Privadas

para el transporte de claves.
BOB
K B r1 S B r2
( B r1 B r1 ) K ( B r2 B r2 ) , donde
Ak1 ( B r1 G B r2 ) Ak2
Clave secreta a
transportar
S A k1 TB B k2
K B r1 S B r2
r2
K A Ak1 TB Ak2
TPC
(Tercer Parte de
Confianza)
y luego enva a ALICE
r2
6. VALIDACIN
6. VALIDACIN
Ambos han generado la misma clave de sesin.
PARMETROS

para el cifrado ElGamal generalizado.
98
2. CIFRADO (ALICE a BOB)
msg0,1
Mensaje
C ( y1 , y2 )
y1 K mG K n
y2 M ( K m B K n )
Este cifrado puede ser enviado por canal inseguro a BOB.
3. DESCIFRADO (BOB)
M y2 ( B m y1 B n ) 1

para que ALICE pueda generar la firma digital de un mensaje arbitrario.
Obsrvese que las matrices A, L y H(msg) pertenecen todas al mismo
subgrupo conmutativo.
2. GENERACIN DE LA FIRMA DIGITAL (ALICE)

Alice genera su firma F y la distribuye pblicamente junto
al mensaje msg que le dio origen.
M ( K m B K n )( B m y1 B n ) 1
M ( K m B m )G ( B n K n )( B m y1 B n ) 1
M ( B m ( K mG K n ) B n )( B m y1 B n ) 1
F A n L1 H (msg ) A m
3. VERIFICACIN DE LA FIRMA DIGITAL
M ( B m y1 B n )( B m y1 B n ) 1
M
Como es habitual para esta clase de cifrador, la matriz de
sesin K debe ser modificada para cada mensaje M. Observar
que en ningn momento se comprometen las claves privadas
ni la matriz de sesin K, a menos que se resuelva GSDP.
PROTOCOLO DE FIRMA DIGITAL
Cualquier entidad que comparta los elementos pblicos

puede verificar la firma generada, si recalcula por su cuenta el
hashing del mensaje en claro H rec ( msg ) y luego lo compara
con el derivado de la operacin:
H rec (msg ) FA '

( A n L1 H (msg ) A m )( Am L An )
Para concretar este protocolo de firma digital se requiere

convenir una funcin pblica y criptogrficamente segura de
digesto [1] (hashing) que transforme irreversiblemente una
cadena binaria finita msg0,1 en una matriz H(msg) del
H (msg ) ( A n L1 A m )( Am L An )
H (msg )
grupo conmutativo P8. Para ello se comienza con una funcin

digesto que genera matrices diagonales del espacio M8 a partir
de una cadena binaria msg. Esa matriz se transforma
linealmente en otra del subgrupo P8=P.M8.P-1. Es necesario
que la matriz secreta y aleatoria L sea de uso nico.
1. PREPARACIN
PARMETROS
TPC
(Tercer Parte de
Confianza)
ALICE
define y publica :
la funcin H (msg ) R P8
; m n
DA 1 8
(m, n) R [2, z]
Clave Privada
(todos y 0)
DA R M 8
A PDA P 1
Matriz auxiliar
(privada)
Elemento pblico
Funcin digesto
(pblica)
L R P8
A Am L An
H ( m sg )
Observar que en ningn momento se compromete la clave

privada A, a menos que se resuelva GSDP.
PROTOCOLO
DE
AUTENTICACIN
CONOCIMIENTO CERO (ZKP)
DE
En un protocolo de autenticacin de conocimiento cero

intervienen dos entidades [1][25]. La primera es la que quiere
autenticarse (por ejemplo A: Alice, la pretendiente) ante una
segunda entidad que verifica la identidad del pretendiente (por
ejemplo B: Bob, el verificador). La idea central es la
autenticacin por la demostracin emprica de estar en
conocimiento de un secreto personal del cual no se revela el
menor detalle. La estructura ms difundida de un protocolo
interactivo de conocimiento cero consiste en tres pasos
encadenados, cada uno de los cuales representa una
comunicacin pblica a travs de un canal inseguro: un
Testigo generado por A, un Desafo propuesto por B y la
Respuesta de A. El verificador controla la consistencia entre
Testigo-Desafo-Respuesta y decide si acepta o rechaza el
intercambio. Estos tres pasos se repiten tantas veces como
considere necesarios el verificador hasta terminar aceptando la
supuesta identidad del pretendiente o rechazando dicha
pretensin.
Todos los detalles de la fundamentacin terica de este
protocolo, particularmente el cumplimiento de las propiedades
de integridad, solidez y de conocimiento cero, se deben
consultar en [13].
99
de simplificacin lo demuestra:
1. PREPARACIN
PARMETROS
B-m R B-n =
=
=
=
ALICE y BOB
TPC
(Tercer Parte de
Confianza)
define y publica :
( m, n) R [2, z ]
; mn
DA , DB 1 8 , ( 1 8 )
(todos y 0)
Claves privadas del

Pretendiente (A) y
Verificador (B)
DA , DB R M 8
A PDA P 1 , B PDB P 1
Claves pblicas del

Pretendiente y
Verificador
(GA , GB ) ( Am G An , Bm G Bn )
Tabla6. Definicin de los elementos de preparacin pblicos y privados del

Pretendiente (ALICE) y Verificador (BOB).
2. TESTIGO (ALICE)
Alice elige un entero secreto
calcula y enva a Bob el testigo
k R [2, z] , k (m, n)
S A GB A
k
luego
3. DESAFO (BOB)
Bob elige
b R [0,1]
y:
Si b=0 define
H R M 8 y genera Q B m H B n
Si b=1 genera
Q B m S GA B n
4. RESPUESTA (ALICE)
R S mQ S n
Si b=1 genera y enva
R A k Q A n
5. VERIFICACION (BOB)
Si b=0 controla si
S m R S n Q
Si b=1 controla si
B m R B n GB G
GB G
Si el pretendiente fuese deshonesto (Eve) y el verificador

honesto, el protocolo falla aproximadamente la mitad de las
rondas de autenticacin. Supongamos que el pretendiente Eve
no posee el secreto A. O bien resuelve el problema GSDP con
la clave pblica de Alice o inventa matrices al azar:
Caso b=0 (p=0.5)
Eve inventa una matriz testigo al azar *S R M8 y se limita
a seguir el protocolo. Bob termina validando la respuesta
R=*S-m Q *S-n.
Caso b=1 (p=0.5)
Eve inventa una clave privada *A R P8 al azar. Luego
computa *S = *Ak GB *A-m y *R=*A-k Q *A-n. Dado que:
B-m *R B-n =
= B-m *A-k Q *A-n B-n =
= B-m *A-k Bm S GA Bn *A-nB-n =
= B-m *A-k Bm *Ak GB *A-m Am G An Bn *A-n B-n =
=(B-m Bm)(*A-k *Ak) GB (*A-m Am) G (An *A-n)( Bn B-n)=
= GB (*A-m Am) G (An *A-n) distinto de GB G
Las simplificaciones finales no se concretan (resaltadas en

color). En conclusin el verificador honesto (Bob) va a
rechazar el intento del sustituto (Eve) con probabilidad 0.5 en
cada ronda.
SEGURIDAD DE LOS PROTOCOLOS
Finalmente Bob enva el par (Q, b) a Alice como desafo.
Si b=0 genera y enva
B-m A-k Q A-n B-n = B-m A-k Bm S GA Bn A-n B-n =

B-m A-k Bm Ak GB A-m Am G An Bn A-n B-n =
(B-m Bm)( A-k Ak) GB (A-m Am) G (An A-n)( Bn B-n) =
Bob decide iterar los pasos 2 a 5 r-veces y si en los

controles se cumplen las igualdades, termina aceptando la
identidad de Alice con probabilidad p 1 ( 1 2 )
Observar que durante el protocolo ni Alice ni Bob llegan a
revelar informacin secreta alguna a entidades externas al
Orculo. En el caso b=0, resulta Sm R Sn = (Sm S- m) Q (S- n
Sn) = Q y la verificacin no dependera del conocimiento de
la clave privada de Alice si un atacante inventase una *S. En
cambio, si b=1 la verificacin slo se cumple si el
pretendiente conoce de la clave privada de Alice. La cadena
r
El grupo de las matrices enteras (mdulo 251) y de orden

ocho M(8, Z251), posee un cardinal de 25164 10153.579.
El subgrupo de matrices de Hill, es decir de las matrices
invertibles, tiene el cardinal del grupo general lineal
M8=GL(8, Z251) [26] y que es:
25164(1-1/251)(11/2512)(11/2513)(11/2514)(1-1/2515)
(11/2516)(11/2517)(11/2518) 10153.177
Comparando ambos nmeros, se observa que la
probabilidad de elegir al azar una matriz en M(8, Z251) que sea
singular es p 0.004. A pesar de ser baja, hay que tenerla en
cuenta. Por eso, cada vez que en el protocolo se genere una
matriz al azar, si su determinante fuese nulo, se la debe volver
a generar otra. Una vez que el determinante sea estrictamente
positivo, su inversa modular queda garantizada.
Para quebrar el protocolo se hace necesario deducir la clave
privada de la entidad atacada. Dado que cada clave privada
depende de la generacin de una matriz diagonal orden ocho
de elementos diferentes y no nulos, se puede computar que el
cardinal del subgrupo conmutativo es:
|P8 | = 249.248.247.246.245.244.243.242 =
= 13190481178699144320 1019 264
Resulta impracticable la exploracin sistemtica de ese
100
espacio con los recursos computacionales vigentes. Si a esto le

sumamos que la resolucin del problema GSDP es segn lo
conjeturado y antes expuesto de complejidad temporal NP,
podemos deducir una seguridad criptogrfica mnima de 64
bits para estos protocolos asimtricos aqu presentados.
Si se dispone de una mayor capacidad computacional, se
puede expandir la dimensin del grupo matricial con notables
incrementos en su seguridad. Por ejemplo, operando en P16 la
seguridad del protocolo sube a 127 bits. Como es razonable
hay que buscar una solucin de compromiso que brinde la
mayor seguridad posible con los recursos (limitados)
disponibles.
CONCLUSIONES
Hemos desarrollado y compilado un paquete original,
integrado y compacto de protocolos arbitrados asimtricos
empleando lgebra no conmutativa, lo que se enmarca dentro
del rea de la criptografa post-cuntica. Es integrado porque
todos los protocolos comparten un mismo ncleo en comn, lo
que ilustra la flexibilidad del empleo del lgebra no
conmutativa. Lo atractivo de estas soluciones es que no estn
basadas en la dificultad de la resolucin de ciertos problemas
que operan en estructuras conmutativas como la factorizacin
de enteros (IFT) o el logaritmo discreto (DL) y para los cuales
ya existen ataques de complejidad subexponencial en el
tiempo. Los definimos como compactos por poder ser
operados en plataformas computacionalmente pobres, es decir
que no requieren bibliotecas de precisin extendida y que
puedan resolverse cmodamente usando aritmtica entera de
16 bits, todo ello sin resignar seguridad criptogrfica que aqu
resulta ser de 64 bits.
REFERENCIAS
[1]
A. Menezes, P. van Oorschot and S.Vanstone, Handbook of Applied

Cryptography, CRC Press, 1997.
[2] P. Shor, Polynomial-time algorithms for prime factorization and
discrete logarithms on a quantum computer, SIAM J. Comput., no. 5,
pp. 1484-1509, 1997.
[3] S. Paeng, D. Kwon, K. Ha and J. Kim, Improved public-key
cryptosystem using finite non-abelian groups, Cryptology ePrint
archive, Report 2001/066, 2001.
[4] J. Birget, S. Magliveras and M. Sramka, On public-key cryptosystems
based on combinatorial group theory, Cryptology ePrint archive report
2005/070, 2005.
[5] M. Gonzlez Vasco, C. Martinez and R. Steinwandt, Towards a
uniform description of several group based cryptographic primitives,
Designs, Codes and Cryptography, no. 33, pp. 215-226, 2004.
[6] P. Barreto, Introduo criptografia ps-quntica, Minicursos do XIII
Simpsio Brasileiro em Segurana da Informao e de Sistemas
Computacionais SBSeg 2013, Cap 2, 2013.
[7] V. Shpilrain, A. Ushakov, Thompson's group and public-key
cryptography, Preprint arXiv/math.gr, no. 0505487 , 2005.
[8] K. Mahlburg, An overview of braid group cryptography,
www.math.wisc.edu/~boston/mahlburg.pdf, 2004.
[9] E. Lee, Braid groups in cryptography, IEICE Trans. Fund., vol. E87A, no.5, pp. 986-992, 2004.
[10] B. Eick and D. Kahrobaei, Polycyclic groups: a new platform for
cryptography, Preprint arXiv/math.gr, no. 0411077, 2004.
[11] A. Mahalanobis, The Diffie-Hellman key exchange protocol and nonabelian nilpotent groups, Preprint arXiv/math.gr, no. 0602282v3, 2007.
[12] P. Hecht, Un modelo compacto de criptografa asimtrica empleando

anillos no conmutativos, Actas del V Congreso Iberoamericano de
Seguridad Informtica CIBSI09, pp. 188-201, 2009.
[13] P. Hecht, A Zero-Knowledge authentication protocol using non
commutative groups Hecht, J. P. Actas del VI Congreso
Iberoamericano de Seguridad Informtica CIBSI11, pp. 96-102 (2011)
[14] P. Hecht, Criptografa no conmutativa usando un grupo general lineal
de orden primo de Mersenne, P. Hecht, Actas del VII Congreso
Iberoamericano de Seguridad Informtica CIBSI13, pp, 147-153 (2013)
[15] T. Beth et al,, Encyclopedia of Mathematics and its Applications, Vol
69: Design Theory, 2nd. Ed, Cambridge University Press, 1999
[16] R. Horn, C. Johnson, Matrix Analysis, Cambridge University Press,
1985
[17] R. Lidl and H. Niederreiter, Finite Fields, Cambridge University Press,
Cambridge, 1997.
[18] J. B. Friedlander, C. Pomerance, and I. E. Shparlinski, Period of the
power generator and small values of Carmichael's function, Math.
Comp., 70 (2001), 1591.1605. .Corrigendum.Math.Comp., 71 (2002),
1803.1806.
[19] A. D. Myasnikov, A. Ushakov, Cryptanalysis of matrix conjugation
schemes, https://eprint.iacr.org/2012/694.pdf, 2012.
[20] B. Tsaban, Polynomial time solutions of computational problems in noncommutative algebraic crypto, http://arxiv.org/abs/1210.8114v2, 2012
[21] A. A. Kamal, A. M. Youssef, Cryptanalysis of Alvarez et al. Key
Exchange Scheme, Information Sciences, 223, 317,321, 2013
[22] S. Magliveras, D. Stinson and T. van Trung, New approaches to
designing public key cryptosystems using one-way functions and
trapdoors in finite groups, Technical Report CORR, pp. 2000-2049,
2000.
[23] V. Shpilrain and G. Zapata, Combinatorial group theory and public-key
[24] L. Gerritzen et al (Editors), Algebraic Methods in Cryptography,
Contemporary Mathematics, AMS, Vol. 418, 2006
[25] J. Mikucki, Zero knowledge proofs: a survey, Tech Rep Rochester
Institute of Technology, http://www.cs.rit.edu/jjm7570/crypto/ZKP.dvi,
1999.
[26] J. Overbey, W. Traves and J. Wojdylo, On the key space of the Hill
Cipher, Cryptologia, vol. 29, no.1, pp. 5972, 2005.
Pedro Hecht (M2012) naci en Buenos Aires,

Argentina. Se gradu como Licenciado en Anlisis
de Sistemas (ESIO-DIGID) y como Doctor de la
Universidad de Buenos Aires (UBA).
Actualmente es Profesor Titular de Criptografa
I y II de la Maestra en Seguridad Informtica
dependiente de las Facultades de Cs. Econmicas,
Cs. Exactas y Naturales y de Ingeniera de la
Universidad de Buenos Aires (UBA) e idntico
cargo en la Facultad de Ingeniera del Ejrcito (EST-IUE). Adems es el
Coordinador Acadmico de la citada Maestra (UBA), Profesor titular de
Biofsica (UBA), Director de proyectos e investigador en modelos
matemticos de UBACyT y Director titular de EUDEBA. Es miembro de
Criptored, IEEE Argentina, ACM SIGCSE, ACM SIGITE y otras. rea de
inters: lgebra no conmutativa aplicada a la criptografa.
101
Modelizacin lineal de generadores de

secuencias basados en decimacin
S. D. Cardell and Amparo Fster-Sabater
Abstract Entre los generadores de secuencia basados en
decimacin se encuentra el generador auto-shrinking, un
generador criptogrfico no lineal de secuencia binaria que se
utiliza principalmente en aplicaciones de cifrado en flujo para
proteccin de la informacin. En este trabajo, la secuencia de
salida de dicho generador, llamada secuencia auto-shrunken, se
puede obtener como una de las secuencias de salida de un modelo
lineal basado en autmatas celulares. Estos autmatas son
lineales, uniformes, nulos y usan la ley 60 como funcin de
transicin. La linealidad de estas estructuras puede aprovecharse
ventajosamente para llevar a cabo un criptoanlisis del
generador auto-shrinking.
Abstract the self-shrinking generator was created to be used
in stream cipher applications in order to protect secret
information. It is a non-linear cryptographic sequence generator,
whose output sequence, the self-shrunken sequence, has good
cryptographic properties, such as, large period and linear
complexity. However, this sequence can be obtained as the output
sequence of linear models based on uniform cellular automata. In
this work, we present a family of null, uniform, linear cellular
automata that generate this sequence. The linearity of these
structures can be used for future attacks and cryptanalysis.
Keywords generador auto-shrinking, secuencia auto-shrunken, autmata celular, ley 60, cifrado en flujo, criptografa.
Keywords auto-shrinking generator, auto-shrunken sequence, cellular automata, rule 60, stream cipher, cryptography.
I. INTRODUCCIN
En los cripto-sistemas de clave secreta, se utiliza la misma
clave tanto para cifrar como para descifrar un mensaje [1]. De
este modo, el intercambio de claves entre ambas partes
implicadas en la comunicacin juega un papel primordial.
Nuestro trabajo se centra en los cifradores en flujo, que a da
de hoy son los ms rpidos entre todos los procedimientos de
cifrado por lo que se utilizan en diferentes aplicaciones
tecnolgicas como, por ejemplo, el algoritmo A5 de uso en
telefona GSM [2], el algoritmo E0 para Bluetooth (las
especicaciones de Bluetooth se pueden ver en [3]) o el
generador J3Gen para identificacin de etiquetas RFID de
bajo coste [4]. Si los mensajes estn escritos en un alfabeto
binario, estos cifradores cifran cada bit de forma individual
[5]. El procedimiento de cifrado se lleva a cabo sumando bit a
bit, a travs de operaciones XOR (la operacin lgica OR
exclusiva), el texto claro con una secuencia cifrante,
generando as el texto cifrado. Se descifra usando el mismo
mtodo, es decir, sumando la misma secuencia cifrante con el
Sara. D. Cardell, Universidade Estadual de Campinas (UNICAMP),
Campinas, Brazil.
Amparo Fster-Sabater, Instituto de Tecnologas Fsicas y de la Informacin,
Consejo Superior de Investigaciones Cientficas (CSIC), Madrid, Spain
texto cifrado recuperando as el texto claro o mensaje original.

Llegados a este punto, la principal tarea es obtener secuencias
cifrantes lo ms aleatorias posibles usando una clave lo ms
corta posible.
Los registros de desplazamiento con realimentacin lineal
(llamados LFSR por sus siglas en ingls correspondientes a
Linear Feedback Shift Register) [6] se utilizan habitualmente
en la generacin de secuencias cifrantes. Los LFSRs con
polinomio caracterstico primitivo [6] generan unas secuencias
llamadas PN-secuencias (Pseudo-Noise sequences) con
buenas propiedades criptogrficas, pero su linealidad las hace
vulnerables frente a ataques criptoanalticos. Las PNsecuencias generadas por estos registros se suelen utilizar
como elementos bsicos para, a partir de ellas, disear otros
generadores ms complejos [7,8].
Por otro lado, se ha demostrado que algunos autmatas
celulares generan exactamente las mismas secuencias que los
LFSRs de longitud mxima [9]. Por tanto, dichos autmatas
celulares pueden ser considerados como generadores
alternativos a los LFSRs. Adems, algunos generadores de
secuencias cifrantes pueden ser modelizados como simples
autmatas celulares lineales [7,8]. En [8], las autoras
mostraron que el generador auto-shrinking puede modelizarse
utilizando un modelo lineal basado en autmatas celulares
que usan nicamente las leyes 90 y 150. En este trabajo,
proponemos utilizar una familia diferente de autmatas que
usan la ley 60 y que modelizan el mismo generador autoshrinking. La longitud de estos nuevos autmatas es
considerablemente menor que la de los autmatas propuestos
en [8].
Este artculo est dividido en cuatro secciones. En la seccin
II ofrecemos algunos conceptos previos necesarios para la
comprensin del resto del trabajo. En la seccin III presentamos las bases tericas de cmo modelizar la secuencia autoshrunken como salida de un autmata celular lineal.
Finalmente, en la seccin IV presentamos unas breves
conclusiones.
II. CONCEPTOS BSICOS
El generador auto-shrinking fue diseado por Meier y
Staffelbach para aplicaciones de cifrado en flujo [10]. Es un
caso simplificado del ya conocido generador shrinking [11],
en el que una PN-secuencia { } generada por un LFSR de
longitud mxima se decima a s misma. La regla de formacin
es bastante sencilla; dados dos bits consecutivos { , +1 }, la
secuencia de salida { } se obtiene:
Si 2 = 1 entonces = 2+1.
Si 2 = 0 entonces 2+1 se descarta.
102
CARDELL et al.: Modelizacin lineal
La secuencia { } se llama secuencia auto-shrunken o

secuencia de salida del generador auto-shrinking. Es esta
secuencia la que se utiliza como secuencia cifrante en el
procedimiento de cifrado en flujo. Si L es la longitud del
LFSR de longitud mxima que genera la PN-secuencia { },
entonces la complejidad lineal de la secuencia autoshrunken cumple la condicin 22 21 ( 2)
[12]. La clave de este generador es el estado inicial del LFSR.
Ejemplo 1: Consideremos el LFSR que tiene como polinomio
caracterstico () = 1 + + 4 2 []. Consideremos
como estado inicial el {0 0 1 0}. La secuencia auto-shrunken
se generara del siguiente modo:
{ }: 0 0 1 0 1 1 1 1 1 0 0 0 1 0 0 1 0 1 0 1 1 1
Por lo tanto, la secuencia auto-shrunken tiene la forma
{ } = {0 0 0 1 1 1 1 0 }, cuyo periodo es T = 8. Puede
comprobarse que el polinomio caracterstico de esta nueva
secuencia es 5 () = (1 + )5 y su complejidad lineal es
= 5.
Un autmata celular (CA) es una estructura compuesta de un
nmero finito de celdas cuyo contenido (binario en este
trabajo) se actualiza siguiendo una ley o funcin de transicin
de variables [13]. El valor de una celda en el instante ,
notada , depende del valor de las celdas vecinas en el
instante 1. En el caso de que estas leyes incluyan
nicamente operaciones XOR, entonces el CA se dice que es
lineal.
Debido a su rapidez y a la aleatoriedad de sus secuencias, los
CAs son una buena base para cifradores en flujo. Adems, su
implementacin en hardware es simple y su estructura regular
posibilita la bsqueda de implementacin eficiente en
software. Diferentes autores han propuesto la construccin de
cifradores en flujo basados en CAs a lo largo de los aos
(vase, por ejemplo, [14, 15]).
Los CAs que vamos a considerar en nuestro caso son lineales,
regulares (todas las celdas siguen la misma ley de transicin),
de frontera nula (celdas con contenido nulo son adyacentes a
las celdas de los extremos) y mono-dimensionales. Para =3,
la ley 60 viene dada por la siguiente relacin:
111
0
110
0
101
1
1
1
100
1
+ 1
011
1
010
1
001
0
000
0
El nmero 01100110 obtenido en la tabla anterior es la

representacin binaria del nmero 60, por ello, la ley es
llamada ley 60.
En la Fig. 1 aparece representado un ejemplo de CA de
longitud 5. Dicho CA es regular y de frontera nula. Como
puede observarse, este CA genera cinco secuencias diferentes
con diferentes periodos.
CAs con los propuestos en [8] y comentamos posibles

aplicaciones.
Recordemos, antes de comenzar, que el polinomio caracterstico de la secuencia auto-shrunken tiene la forma () =
(1 + ) , donde n es la complejidad lineal de la secuencia
(vase la seccin II). A partir de ahora, dado un entero
positivo b, denotamos el polinomio () como () =
(1 + ) .
60
1
1
1
1
1
1
1
1
60
1
0
1
0
1
0
1
0
60
0
1
1
0
0
1
1
0
60
0
0
1
0
0
0
1
0
60
0
0
0
1
1
1
1
0
Figura 1. Autmata celular regular, con frontera nula que empezando en el

estado inicial (1,1,0,0,0) genera la secuencia auto- shrunken del Ejemplo 1.
A. Caracterizacin del CA y sus correspondientes secuencias

Comencemos esta subseccin con un par de lemas necesarios
para probar resultados posteriores. El siguiente lema es un
resultado directo de la aplicacin del binomio de Newton.
Lema 1: Dado un entero positivo n, el polinomio ()
1)
2 [] puede escribirse como 1
( + +1 ).
=0 (
Demostracin: Debido al binomio de Newton, podemos

deducir que:
1
1
1 () = (1 + )
( 1)
=0
Como adems sabemos

tenemos finalmente que:
que
() = (1 + )1 (),
=0
=0
1
1
) = (
) ( + +1 )
() = (1 + ) (
Como consecuencia de este Lema, cabe destacar que, si una

secuencia binaria { } es generada por (), entonces sta
satisface la siguiente relacin de recurrencia lineal
2
1) (
+ = (
+ + ++1 ) + +1
III. MODELIZACIN
=0
En esta seccin vamos a introducir la estructura de CAs que

generan la secuencia auto-shrunken, luego comparamos estos
para todo valor no negativo de .
(1)
103
Lema 2: Dada una secuencia binaria { } con polinomio

caracterstico ()(1 + ) 2 []. Entonces () genera la
secuencia { + +1 }.
Demostracin: Asumamos que () =

=0 2 [] es
un polinomio de grado , con 2 y = 1.
El polinomio ()(1 + ) puede definirse del modo siguiente
+1 )
()(1 + ) =
. Entonces la secuencia { }
=0 ( +
cumple la siguiente relacin de recurrencia lineal:
1
++1 = (+ + ++1 ) + +
=0
para todo valor no negativo de . Si reagrupamos trminos

tenemos que
1
(++1 + + ) = (+ + ++1 )
=0
y, por lo tanto, () genera { + +1 }.

A continuacin, introducimos un resultado que nos caracteriza
el polinomio caracterstico de las diferentes secuencias
generadas por el autmata.
Teorema 1: Sea { } una secuencia binaria con polinomio
caracterstico (). Entonces, el polinomio caracterstico de
la secuencia { + +1 } es 1 ().
Demostracin:
Para
empezar,
tenemos
() =
1 ()(1 + ). Segn el Lema 2, 1 () genera { +
+1 }, pero falta comprobar que no existe otro polinomio de
menor grado que la genere.
Supongamos que existe un entero < 1, tal que ()
genera la secuencia { + +1 }. Entonces tenemos que
1
(++1 + + ) = ( ) (+ + ++1 )
=0
Teorema 2: Dada la secuencia auto-shrunken { } con

polinomio caracterstico (), existe un CA uniforme, nulo,
de longitud , que utiliza exclusivamente la ley 60 y que
genera dicha secuencia.
Demostracin: Asumamos que la secuencia auto-shrunken
{ } aparece en ltimo lugar en el CA. Segn la regla de
formacin de la ley 60, la penltima secuencia del CA ser la
secuencia { + +1 }. Adems, por el Teorema 1, sabemos
que el polinomio caracterstico de esta secuencia es 1 ().
Si llamamos = + +1, entonces la secuencia { +
+1 } ser la antepenltima secuencia generada en el CA y su
polinomio caracterstico ser 2 (). Seguimos con el
mismo procedimiento hasta que en el paso simo
obtenemos una secuencia cuyo polinomio caracterstico es
1 (). Esta secuencia tendra que ser la secuencia todo ceros
o la secuencia todo unos. Sin embargo, no puede ser la
secuencia todo ceros, puesto que (segn la ley 60), la
secuencia previa tendra que ser la secuencia todo unos o
todo ceros por lo que su polinomio caracterstico no sera
2 (). Por lo tanto, existe un CA de longitud , que es la
complejidad lineal, que genera la secuencia auto-shrunken en
ltimo lugar.
Ejemplo 2: En el Ejemplo 1, generbamos una secuencia

auto-shrunken a travs del polinomio primitivo () = 1 +
+ 4 2 []. El polinomio caracterstico de esta
secuencia es 5 () = (1 + )5 2 [], y por lo tanto
existir un CA de longitud 5 que genere esa secuencia. En la
Fig. 1, podemos observar un ejemplo de este tipo de autmata.
Vemos que la secuencia auto-shrunken se genera en ltimo
lugar. Tambin se puede observar como el resto de secuencias
estn generadas por los polinomios 4 (), 3 (), 2 () y
1 () respectivamente. La primera secuencia, la secuencia de
1s, ser la generada por 1 (). Adems, podemos ver como
los periodos de estas secuencias van desde 8, el periodo de la
secuencia auto-shrunken, hasta 1, pasando por los valores del
periodo 4 y 2.
Lema 3: Sea { } una secuencia binaria con periodo 2 ,
entonces la secuencia { + +1 } tiene periodo 2 o 2+1 .
o lo que es lo mismo
1
++1 = ( ) (+ + ++1 ) + + ,
=0
para todo valor no negativo de .

Segn la expresin (1), la secuencia { } est generada por
+1 (), con + 1 < , lo que es imposible, puesto que
() es el polinomio caracterstico de dicha secuencia.
Como consecuencia de los resultados anteriores, podemos
introducir el siguiente teorema que nos proporciona la
longitud del CA que genera la secuencia auto-shrunken.
Demostracin: Si { } tiene periodo 2 , entonces 2 + = ,

para todo valor no negativo de . Tenemos que 2 + 2+1 =
0 + 1 y entonces el periodo de { + +1 } divide a 2 .
Asumamos que este periodo es 2 con < 1, esto es,
+ +1 = 2+ + 2++1. Si computamos algunos bits
de la secuencia { } tenemos que:
2+1 = 0 + 1 + 2
2 +2 = 0 + 2 + 2
2+11 = 0 + 21 + 2
2+1 = 0 + 2 + 2 = 0
104
Tenemos que 2+1 = 0 y entonces el periodo de { } divide

2+1 con + 1 < , lo que es una contradiccin. Como
consecuencia de esta contradiccin, el periodo de { + +1 }
debe ser 2 2+1 .
Bsicamente, lo que este ltimo lema prueba es que las
secuencias del CA tienen periodos 2 , 0 1.
A continuacin, proporcionamos un lema que nos ayuda a
probar el Teorema 3, el cual ilustra el nmero de secuencias
con periodo 2 , para cada valor de .
Lema 4: El polinomio 2 () genera todas las secuencias con
periodo 2 , con 0 .
Demostracin: Sea { } una secuencia binaria con periodo
2 , con 0 . Esto quiere decir que 2 + = para
todo valor no negativo de . Por otro lado, tenemos que
2 = 22 = 2 + 2 + + 2 =0 y, por lo tanto,
2+ = , para todo valor no negativo de . As,
2 () genera la secuencia { }.
Teorema 3: Dada la secuencia auto-shrunken, el CA que la
genera usando exclusivamente la ley 60, tiene:
Una secuencia de periodo 1, que ser la secuencia de
unos.
21 secuencias de periodo 2 , para 1 2.
22 secuencias de periodo 21 .
Demostracin: Los dos primeros puntos del Teorema pueden
deducirse de los resultados anteriores.
El nmero de secuencias de periodo 21 , entre las que se
incluye la secuencia auto-shrunken, vendr dado por:
2
22 1
( 21 + 1) = (
+ 1) = 22
21
=1
Por ejemplo, en la Fig. 1, observamos que el CA genera cinco

secuencias. La secuencia de 1s cuyo periodo es uno. Adems,
tenemos una secuencia de periodo 2, dos secuencias de
periodo 4 y una sola secuencia de periodo 8 que coincide, en
este caso particular, con la secuencia auto-shrunken.
B. Comparacin entre autmatas celulares
Para poder comparar estos autmatas con los obtenidos en la
referencia [8], vamos a recordar primero las reglas de
formacin de las leyes 150 y 90.
Ley 150
1
1
= 1
+ 1 + +1
111
1
110
0
101
0
100
1
011
0
010
1
001
1
000
0
El nmero 10010110 obtenido en la tabla anterior es la

representacin binaria del nmero 150, de ah que la ley reciba
el nombre de ley 150.
Ley 90
1
1
= 1
+ +1
111
0
110
1
101
0
100
1
011
1
010
0
001
1
000
0
Asimismo el nmero 01011010 obtenido en la tabla anterior

es la representacin binaria del nmero 90, lo que justifica el
nombre de esta ley.
Es decir, la ley 150 consiste en la suma de tres bits mientras
que la ley 90 consiste simplemente en la suma de dos. Si
observamos los CA generados en este trabajo y los generados
en [8], podemos concluir que ambos tipos de generadores
tienen buenas propiedades analticas a nivel de simplicidad
numrica y facilidad de implementacin.
Como hemos observado en el Teorema 3 nuestros autmatas
tienen una estructura bien definida, generando siempre la
misma cantidad de secuencias con el mismo periodo que se
tratar siempre de una potencia de 2. Por otro lado, los
autmatas propuestos en [8] utilizaban siempre la ley 90 en los
extremos y la ley 150 en el resto de celdas, lo que
proporcionaba una simetra en la generacin de secuencias. En
ambos casos los autmatas son de frontera nula.
La principal ventaja de los CA propuestos en este trabajo por
comparacin con los utilizados en [8], es su longitud que
coincide con la complejidad lineal n y, por lo tanto, cumple la
desigualdad 22 21 ( 2). En este caso vemos
que la longitud es siempre menor que 21 , la longitud de los
CA generados en [8].
Por ejemplo, para modelizar la secuencia auto-shrunken del
Ejemplo 1, hemos necesitado un CA de longitud 5 (ver Fig. 1).
Sin embargo, para modelizar esta misma secuencia con los
CAs que usaban las leyes 90 y 150, necesitaramos un CA de
longitud 8 (ver Fig. 2). Esta diferencia resulta ms notoria a
medida que aumenta la longitud del LFSR.
90 150 150 150 150 150 150 90

1
1
1
0
1
0
0
0
1
1
0
0
1
1
0
0
1
0
1
1
0
0
1
0
0
0
0
0
1
1
1
1
0
0
0
1
0
1
1
1
0
0
1
1
0
0
1
1
0
1
0
0
1
1
0
1
1
1
1
0
0
0
0
0
Figura 2. Autmata celular hbrido (diferentes leyes para diferentes celdas)
con frontera nula que genera la secuencia auto- shrunken del Ejemplo 1.
105
Por otro lado, la ley 90 implica una sola operacin XOR entre
dos bits de un mismo estado para obtener un nuevo bit en el
estado siguiente, como suceda con la ley 60. Sin embargo, la
ley 150 necesita realizar dos operaciones XOR, implicando
tres bits para obtener un nuevo bit. Como consecuencia, esta
operaciones, la utilizacin de autmatas que incluyan
nicamente la ley 60, nos evita tener que realizar una cantidad
superior de operaciones XOR lo que tiene su importancia a
nivel de implementacin hardware con puertas lgicas.
C. Aplicaciones criptogrficas
Si n es la complejidad lineal de la secuencia auto-shrunken,
entonces interceptando 2 bits, podemos recuperar el
polinomio caracterstico del LFSR que genera la secuencia por
medio del algoritmo de Berlekamp-Massey [16].
Por otro lado, sabemos que existe un CA cuya longitud es la
complejidad lineal n y que la primera secuencia que se obtiene
es siempre la secuencia de 1s. Por todo esto, basta conocer
1 bits de la secuencia auto-shrunken para recuperar el
estado inicial del CA y as, la secuencia completa. Vale la
pena destacar, que esta cantidad es la mitad del nmero de bits
necesarios para aplicar el algoritmo de Berlekamp-Massey y
reconstruir la secuencia completa. Luego este procedimiento
de linealizacin basado en autmatas celulares permite un
criptoanlisis que reduce a la mitad la cantidad de secuencia
interceptada.
Para nuestro Ejemplo 1, bastara con interceptar cuatro bits de
la secuencia auto-shrunken para poder recuperar el estado
inicial del CA y as poder generar la totalmente la secuencia
(vase Fig. 3).
60
1
60
1
60
0
1
60
0
0
1
60
0
0
0
1
D. Ley 102
Recordemos que la regla de formacin de la ley 102 es la
siguiente:
Ley 102
1
= 1 + +1
101
1
100
0
011
0
010
1
001
1
102
0
0
1
0
0
0
1
0
102
0
1
1
0
0
1
1
0
102
1
0
1
0
1
0
1
0
102
1
1
1
1
1
1
1
1
IV. CONCLUSIONES
La idea sera explotar las propiedades de las secuencias que

nos ofrece el autmata para recuperar la secuencia interceptando el mnimo nmero de bits posible.
110
1
102
0
0
0
1
1
1
1
0
Figura 4. Autmata celular regular, con frontera nula que genera la

secuencia auto- shrunken del Ejemplo 1.
Figura 3. Cantidad de bits interceptados necesaria para recuperar el estado

inicial del CA.
111
0
Si comparamos esta ley con la ley 60, introducida en la

Seccin II, podemos observar que ambas leyes son simtricas.
Por lo tanto, es posible adaptar todos los resultados obtenidos
en esta seccin a esta nueva ley.
As pues, es fcil comprobar que existe un autmata celular
lineal nulo y uniforme con longitud (la complejidad lineal
de la secuencia) que genera la propia secuencia auto-shrunken.
Adems este autmata generar exactamente las mismas
secuencias que el autmata que slo utilizaba la ley 60, pero
dichas secuencias aparecern en orden inverso.
Por ejemplo, en la Fig. 4, podemos observar un autmata que
usa la ley 102 y que genera la secuencia auto-shrunken del
Ejemplo 1. Ntese que las secuencias obtenidas son las
mismas que las del autmata de la Fig. 1, pero representadas
en orden inverso.
El esquema de formacin de estas secuencias siempre es el
mismo: la ltima columna corresponde a la secuencia todo
unos, luego una secuencia de periodo 2 (la secuencia
010101 o la secuencia 101010), a continuacin dos
secuencias de periodo 4, cuatro secuencias de periodo 8 y as
sucesivamente hasta llegar a 23 secuencias de periodo 22 .
000
0
Cuya denominacin obedece a la representacin binaria

011001110 del nmero 102.
El generador auto-shrinking fue concebido y diseado

como un generador de secuencias cifrantes no lineal. Sin
embargo, este generador puede ser modelizado en trminos de
CAs usando la ley 60. Estos CAs tienen como longitud la
complejidad lineal de la secuencia auto-shrunken. Adems,
entre las secuencias generadas por los CAs, obtenemos otras
secuencias con distintas complejidades lineales y distintas
propiedades. El conocimiento de todas estas propiedades,
puede propiciar un criptoanlisis sobre este generador
poniendo as en riesgo la informacin cifrada.
La extensin natural de este trabajo es la generalizacin de
esta modelizacin a otras secuencias criptogrficas, por
ejemplo, a) las secuencias generadas por el generador
shrinking o por el generador generalized auto-shrinking como
ejemplos de generadores de secuencia cifrante basados en
decimacin o b) las llamadas interleaved sequences puesto
que presentan unas propiedades estructurales muy parecidas a
las de los generadores basados en decimacin irregular de
secuencias.
106
AGRADECIMIENTOS
Este trabajo ha sido financiado parcialmente por el
proyecto S2013/ICE-3095-CIBERDINE-CM de la Comunidad
de Madrid y por el proyecto TIN2014-55325-C2-1-R del
Ministerio de Ciencia e Innovacin de Espaa. El trabajo de la
primera autora ha sido tambin financiado por una beca
postdoctoral de la Generalitat Valenciana con nmero de
referencia APOSTD/2013/081 y por FAPESP con nmero de
proceso 2015/07246-0.
REFERENCIAS
[1] A. J. Menezes, P. C. van Oorschot, S. A. Vanstone, Handbook of
Applied Cryptography, CRC Press, Boca Raton, FL, 1996.
[2] GSM, Global Systems for Mobile Communications,
http://cryptome.org/gsm-a512.htm.
[3] Bluetooth, Specications of the Bluetooth system,
http://www.bluetooth.com.
[4] A. Peinado, J. Munilla, y A. Fster-Sabater, EPCGen2
Pseudorandom Number Generators: Analysis of J3Gen, Sensors,
vol. 14, no. 4, pp. 65006515, 2014.
[5] C. Paar, J. Pelzl, Understanding Cryptography, Springer, Berlin,
2010.
[6] S. W. Golomb, Shift Register-Sequences, Aegean Park Press,
Laguna Hill, California, 1982.
[7] A. Fster-Sabater, P. Caballero-Gil, Linear solutions for
cryptographic nonlinear sequence generators, Physics Letters A, vol.
369, pp. 432437, 2007.
[8] A. Fster-Sabater, M. E. Pazo-Robles, P. Caballero-Gil, A
simple linearization of the self-shrinking generator by means of
cellular automata, Neural Networks, vol. 23, no. 3, pp. 461464,
2010.
[9] K. Cattell, J. C. Muzio, One-dimensional linear hybrid cellular
automata, IEEE Transactions on Computer-Aided Design, vol. 15,
no. 3, pp. 325335, 1996
[10] W. Meier, O. Staffelbach, The self-shrinking generator, in: C.
Cachin, J. Camenisch (Eds.), Advances in Cryptology
EUROCRYPT 1994, vol. 950, Springer-Verlag, pp. 205214, 1994.
[11] D. Coppersmith, H. Krawczyk, Y. Mansour, The shrinking
generator, in: Advances in Cryptology CRYPTO 93, vol. 773,
Springer-Verlag, pp. 2339, 1993.
[12] S. R. Blackburn, The linear complexity of the self-shrinking
generator, IEEE Transactions on Information Theory, vol. 45, no. 6,
pp; 20732077, 1999.
[13] S. Wolfram, Cellular automata as simple self-organizing
system, Caltrech preprint CALT 68938.
[14] Sourav Das, Dipanwita RoyChowdhury. Car30: A new scalable
stream cipher with rule 30. Cryptography and Communications, vol.
5, no. 2, pp. 137162, 2013.
[15] J. Jose, S. Das, D. RoyChowdhury, Inapplicability of fault
attacks against trivium on a cellular automata based stream cipher,
in: 11th International Conference on Cellular Automata for Research
and Industry, ACRI 2014, vol. 875 of Lecture Notes in Computer
Science, Springer-Verlag , pp 427436, 2014.
[16] J. L. Massey, Shift-register synthesis and BCH decoding,
IEEE Transactions on Information Theory, vol. 15, no. 1, pp 122
127, 1969.
Sara D. Cardell received her Ph.D. degree from the

University of Alicante, Spain, in 2012. From 2013 until
2015, she was a postdoctoral researcher at the University of
Alicante. She is recently joined the coding theory research
group at the University of Campinas, Brazil. Her research
interests include poset metrics, Fq-linear codes, SPC codes,
stream ciphers and cryptanalysis.
Amparo Fster-Sabater received the B.S. and Ph.D.

degrees in physics from Universidad Complutense, Madrid,
Spain, in 1980 and 1985, respectively. Since 1988, she has
been with the Spanish Higher Council for Scientific
Research (C.S.I.C.) in the Institute of Physical and
Information Technologies (ITEFI) at the Information
Processing and Coding Department. She is the author of
many articles in reputed international journals of
mathematical and engineering sciences, conference papers
and several books. Her current research interests include
cryptanalysis, stream ciphers and pseudorandom sequences.
107
Halve-and-add in type II genus 2 curves

over binary fields
Ricard Garra, Josep M. Miret, Jordi Pujolàs
Dept. de Matemàtica
Universitat de Lleida, Spain
Email: {garra, miret, jpujolas}@matematica.udl.cat
AbstractWe give a method to compute multiples kD of a

divisor in the Jacobian variety of a genus 2 curve in characteristic
2 based on halving algorithms. Our method is competitive
compared to the classic algorithms based on double-and-add, and
also compared to analogous for other curves over binary fields.
We present explicit halving formulae for each possible divisor
class for type II curves (those with h(x) = x), detailing all the
process to obtain them. We improve the fastest known formulae
for some divisor classes in the studied type of curves.
I. I NTRODUCTION
In the context of cryptography based on the discrete logarithm problem, the basic operation is the computation of scalar
multiples of the group elements. The most used method for
this is based on doubling and adding (the algorithm of doubleand-add), which uses the binary representation of the scalar.
In elliptic curve cryptography over binary fields, Knudsen
[8] and Schroeppel [11] proposed an alternative method which
replaces the doubling of points for halvings. This method,
called halve-and-add, happens to be equal or more efficient
than the double-and-add (see a detailed study of Fong, Hankerson, Lopez and Menezes in [6]).
For curves of genus 2 over binary fields, the alternative to
the double-and-add algorithm becomes more interesting since
the Cantor algorithm [3] for doubling divisors is less efficient
than the equivalent for elliptic curves. Some halve-and-add
algorithms on divisors in genus 2 curves could be found in
[1], [2], [7], [9].
II. P RELIMINARIES
The objective of this paper is the efficient computation of
multiples kD of divisors D in Jacobians of genus 2 curves
over finite fields of even characteristic, for arbitrary integer
values of k. We survey doubling and halving algorithms in
these scenarios, and present efficient algorithms for computing
the halving of a divisor of a type II curve.
For us q = 2m for some natural number m, C is a genus 2
curve over Fq with one point at infinity P|Fq , and therefore
C has an imaginary model:
C : y 2 + h(x)y = f (x),
where f (x) = f5 x5 + f4 x4 + + f0 Fq [x], deg(f ) 5,
and h(x) = h2 x2 + h1 x + h0 Fq [x], h(x) 6= 0.
The elements in the group Jac(C)(Fq ) are degree 0 divisor

classes modulo principal divisors, represented in Mumford
coordinates

u(x), v(x) .
For a reduced representative of weight two P1 + P2 2P
these are (x2 + u1 x + u0 , v1 x + v0 ), and for weight one representatives P1 P the Mumford coordinates are (x + u0 , v0 ).
The coefficients u1 , u0 , v1 , v0 belong to Fq , and the second
coordinate interpolates the coordinates (xi , yi ) of the points
Pi C in the support. Notice that x1 , x2 may lie in Fq2 .
The first coordinate of the divisors of order 2 in Jac(C)(Fq )
consists of factors of h(x). In fact the rank of the 2-torsion
subgroup Jac(C)(Fq )[2] (also called the 2-rank) follows the
distribution
factorization type of h(x)
[0]
[1]
[2]
[12 ]
[1, 1]
2-rank
0
1
1
1
2
where [0] means h(x) is a constant; [1], [2] mean h(x) is an

irreducible polynomial of degree 1 or 2; [12 ] means h(x) is the
square of a linear factor and [1, 1] means h(x) is the product
of 2 different factors of degree 1.
Regarding the cryptographic suitability of these curves,
appropriate Jacobians should have a large prime in their
cardinality, and a small cofactor is tolerated. This keeps DLP
strong enough for cryptographic applications.
Here we are going to use what are known as type II curves,
which are curves with h2 = 0, h1 6= 0.
The possible curve isomorphisms between genus 2 curves
are given by x =
x + and y = y + x
2 +
x + , where
both and are nonzero, after which the equation is divided
by 2 to get the coefficient of y 2 back to 1. Using and ,
we can force h(x) = x. Moreover, and allow us to remove
f4 and f1 . Finally, we restrict f2 F2 using [2]. Then, up
to isomorphisms, every curve of this type over a binary field,
can be represented by an equation of the form [4]:
y 2 + xy = x5 + f3 x3 + f2 x2 + f0 , f2 F2 .
108
GARRA et al.: Halve-and-add in type II
Since the Jacobian of such a curve has order 2 n, where n

is an odd number, if and only if f2 = 1 ([2, Corollary 1]),
these are the curves weare going to use. These have only one
divisor of order 2: (x, f0 )).
If D1 and D10 are the 2 pre-images of D2 so that 2D
1 =
2D10 = D2 , then D1 D10 = D10 D1 = (x, f0 )).
Therefore, D2 and only one of its pre-images have odd order.
Our algorithms return the divisor of odd order, since it is the
only one that can be halved again. This creates different cases
depending on the form of the divisor D2 .
III. H ALVING
We want to find D1 such that 2D1 = D2 , where D2 =
(u2 (x), v2 (x)) = (x2 + u21 x + u20 , v21 x + v20 ) and D1 =
(u1 (x), v1 (x)) = (x2 + u11 x + u10 , v11 x + v10 ). Following
Kitamura, Katagi and Takagi [7], if one undoes the reduction
step in the doubling algorithm, one is lead to an equality
between coordinates of unreduced divisors. For 2D1 these
are ((x2 + u11 x + u10 )2 , s3 x3 + s2 x2 + s1 x + s0 ) for certain
unknowns si .
The unreduced divisor (u02 (x), v20 (x)) corresponding to D2
is obtained using an auxiliary polynomial k(x) = k1 x + k0 ,
and has coordinates
2
2 (x)+v2 (x)
+ h(x)k(x) + k(x)2 u2 (x),
u02 (x) = f (x)+h(x)v
u2 (x)
0
v2 (x) = v2 (x) + h(x) + k(x)u2 (x) mod u1 (x).
Then we have to equate u02 (x) with u1 (x)2 = x4 +u211 x2 +u210

term by term. The coefficient for x4 in u02 (x) is k12 , so we need
to make u02 (x) monic. The rest of the equations, coefficient
by coefficient, are:
u21 k12 + 1 = 0,
(1)
k12 u20 + k02 + u21 + k1 = u211 k12 ,
(2)
u21 k02 + u221 + k0 + u20 + f3 = 0,
(3)
2
u321 + k02 u20 + v21
+ u21 f3 + v21 + 1 = u210 k12 .
(4)
By solving this system we can find the first component of the

halved divisor D1 .
Another way to find the halved divisor is using the algorithms given by Birkner [1], which were improved in [2] by
Birkner and Theriault.
A. Divisors with weight 2 (general case)
In the general case, both divisors D1 and D2 are of weight
2, with u21 6= 0. We start computing k1 from (1):
q
k11 = u21 .
k1 = u1
21 ,
Note that to compute the inverse of k1 , we do not need an
inversion since
u21 k1 +
k11
1
k1
q
= u21 k1 = u21 u1
21
= 0,
= u21 .
We also have the following relations, which will be useful to

simplify equations:
k12 = u1
21 ,
k12 = u21 .
From (3), we want to obtain k0 . A quadratic equation x2 +

x + c = 0 over a binary field has solution if and only if
Trace(c) = 0, and it can be solved taking the half trace (HT)
of c (see [6]). This will give us one of the solutions; the other
can be obtained by just adding 1 to the first solution.
Additionally, this gives us a condition to know whether
a divisor can be halved or not depending on this equation
having a solution. We are going to need later (see [2, Theorem
2]).
We need a change in order to convert (3) from the
form ax2 + x + c = 0 to y 2 + y + d = 0. We consider
y = ax, then d = ac. We find y = HT(d), and then x = ay .
The other solution is then y 0 = y+1, and therefore x0 = ay + a1 .
In order to find k0 from (3), we have a = u21 , c = u221 +
u20 + f3 . If we denote by t1 the solution of the quadratic
equation after the change of variable:
t1 = HT(u21 (u221 + u20 + f3 )),
1
then, k0 would be ut21
= t1 u1
21 , but we do not directly need
the value of k0 in our equations, only k0 k11 . Instead, we take
an auxiliary t2 = t1 k1 :
1
2 1
t2 = k0 k11 = t1 u1
21 k1 = t1 k1 k1 = t1 k1 .
From (2) we can obtain u11 . Recall that k12 = u21 . If we

start dividing by k12 , then we have:
u211
u11
= u20 + k11 + (k0 k11 )2 + u21 k12

1
2
2
=u
q20 + k1 + t2 + u21 ,
=
u20 + k11 + t2 + u21 .
Now we are going to use some equations from [2, Algorithm

2]. There they take the half trace of a different value, which
we call t01 . Equating our equation for u11 with theirs, we can
find the equivalence between t1 and t01 . Their equation is:
u11 =
t01 k1 +
f3 .
If we equate it with our u11 , divide both sides by k1 and

rearrange we have:
q
p
t01 = t1 + k11 (u21 + k11 + u20 + f3 ).
p
Then we can take their equation for u10 , and substitute t01
above to obtain u10 :
u10
q
p
= v20 + u20 ( t01 k1 + k11 )
= v20 + u20 (k1 t1 + u21 +

u20 + f3 )
= v20 + u20 (t2 + u21 + f3 ) + u20 .
109
At this point, we have to check if the solution we found for

t1 is the correct one. We want to obtain a divisor that can be
halved again. If D1 is to be halved again, it must meet the
following requirement:
Trace(u11 (u211 + u10 + f3 )) = 0.
If the trace is 1, we have to use the other solution of the
quadratic equation, so we need to correct the values we have
found. In that case, the new values are:
t1
t2
u11
u10
= t1 + 1,
= t2 + k1 ,
= u11 + k1 ,
= u10 + k1 u20 .
Finally, we obtain v11 by taking the x coefficient of v20 (x) [7,

Algorithm 3]. We use the auxiliary variable s = t1 + v21 + 1.
Note that k0 u21 = t1 and k12 = u21 :
v11
v11
v11
= u11 (k11 + k1 u11 + k12 t1 ) + k1 (u20 + u10 ) + s,

= k1 (u11 (k12 + u11 + k1 t1 ) + u20 + u10 ) + s,
= k1 (u11 (u21 + u11 + t2 ) + u20 + u10 ) + s.
We obtain v10 from [1, Equation 14]:

v10 =
p
p
k1 u10 + f0 .
We show the complete algorithm, using auxiliary variables to

avoid recalculations. The cost of each step is included, taking
into account the number of field inversions (I), multiplications
(M), square roots (SR), squares (SQ), trace
(TR)
and half
trace (HT). We assume that the values of f3 , f0 are
precomputed, once for each curve.
Algorithm 1 Halving for a curve of the form f (x) = x5 +
f3 x3 + x2 + f0 , h(x) = x (case A)
2
Input: The divisor
D
2 = (x + u21 + u20 , v21 x + v20 ) and
the values f3 , f0
Output: The divisor D1 = (x2 + u11 + u10 , v11 x + v10 ) =
1
2 D2
q
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
1
u1
u1
. 1I, 1SR
21 = u21 , k1 =
21
1
k1 = u21 , t0 = u20
. 2 SR
t1 = HT(u21 (u221 + u20 + f3 ))
. 1M, 1SQ, 1HT
t2 = k1 t1 q
. 1M
u11 = t0 + k11 + t2 + u21
. 1SR
. 1M, 1SR
u10 = v20 + t0 (t2 + u21 + f3 ) + u20
if Tr(u11 (u211 + u10 + f3 )) = 1 then . 1M, 1SQ, 1TR
t1 = t01 + 1, t2 = t02 + k1
u11 = u011 + k1 , u10 = u010 + k1 t0
. 1M
t2 = u11 (u21 + u11 + t2 ) + u20 + u10
. 1M
v11 = k
t
+
t
+
v
+
1
. 1M
1
2
1
21
. 1M, 1SR
v10 = k1 u10 + f0
return (x2 + u11 + u10 , v11 x + v10 )
. 1I, 7-8M, 6SR, 2SQ, 1TR, 1HT
Algorithm 1 is comparable to [2], costing only 2 square

roots more than theirs. If we choose the defining polynomial
for the field F2m to be an irreducible trinomial with suitable
conditions (see [10]), the square root operation can be very
efficient, even as efficient as a square, hence the difference of
costs is very small.
B. Divisors of weight 2 and u21 = 0
In the case that the divisor to be halved has weight 2 and
u21 = 0, D2 = (x2 +u20 , v21 x+v20 ), the two possible halved
divisors are:
of weight 1 (D1 = (x + u10 , v10 )),
0
2
of weight 2, but with u10 = 0, D1 = (x + u11 x, v11 x +
v10 ).
If we write D2 as ((x + u20 )2 , v21 x + v20 ), we

can easily see that this divisor represents the point
P = ( u20 , v21 u20 + v20 ) twice. The halved divisor

of weight 1 represents the same point but only once:
D1 = (x + u20 , v21 u20 + v20 ).

The halved divisor of weight 2 can be written as
D10 =
D1 + W = (x(x + u11 ), v11 x + v10 ), where
W = (x, f0 ) is the divisor of order 2. We just showed one
solution for the first polynomial, so we already know one of
the 2 points represented
by D10 . The other is given by x = 0,
so it is Q = (0, f0 ).
Using the interpolating polynomial,
and substituting
f0 . The other
x = 0, x = u11 , we
find
v
=
10
equation
is v11 u20
+
f
=
v
u
+
v20 . Therefore
0
21
20
v21 u20 +v20 + f0
v11 =
.
u20
Below we show the algorithm for this case. The trace
condition to know if a divisor of weight 1 can be halved again
is Trace(f2 + u20 (u220 + f3 )) = 0.
f3 x3 + x2 + f0 , h(x) = x (Case B)
Input: The divisor D2 = (x2 + u20 , v21 x + v20 ), f0

Output: The divisor D1 = (x2 + u11 , v11 x + v10 ) = 12 D2 , or
D1 = (x + u10 , v10 ) = 21 D2
1: u10 = u20
. 1SR
2: t0 = v21 u10 + v20
. 1M
3: if Tr(u10 (u20 + f3 )) = 1 then
. 1M, 1TR
4:
v10 = t0
5:
return (x + u10 , v10 )
6: t1 = u1
. 1I
10
7: v10 = f0
8: v11 = (t0 + v10 )t1
. 1M
9: return (x2 + u10 , v11 x + v10 )
. 0-1I, 2-3M, 1SR, 1TR
Algorithm 2 improves the given one for this class of divisors
in [2, Algorithm 4], costing 1 multiplication less in the case
110
GARRA et al.: Halve-and-add in type II
that the halved divisor has the form D1 = (x2 + u11 , v11 x +
v10 ).
C. Divisors of weight 1
We now consider the special case that D2 has weight 1. In
this case, the halved divisor D1 always has weight 2. Here we
have D2 = (x + u20 , v20 ) and D1 = (x2 + u11 x + u10 , v11 x +
v10 ). In this case the coefficient for x4 is 1 for both equations
when equating u02 (x) = u1 (x)2 . The rest of the equations are:
u420
k12 + u20 = 0,
(5)
k12 u20 + u220 + k1 + f3 = u211 ,
(6)
u320 + k02 + u20 f3 + k0 + 1 = 0,
(7)
From (5), k1 =
k02 u20
u220 f3
+ u20 + v20 =
u210 .
(8)
u20 . If we substitute in (6), we obtain:

u11 =
k1 + f3 .
We use the half trace to solve the quadratic equation (7):
In this section we look at the double-and-add and halveand-add methods over a finite additive group G.
We find u10 from (8), taking square root:
+ u20
+k1
+ v20
+ v20
A. Double-and-add
= u10 ,
= u10 .
In order to simplify this expression, we are going to use again

a formula from [2, Algorithm 3]. Equating the formulae for
u10 , we can find the equivalence between our k0 and their k00 :
k00 = u20 (f3 + u220 + k1 ) + k02 .
If we then substitute the value of k00 in their equation, we get
the following result:
u10
u10
Algorithm 3 improves the one given in [2, Algorithm 3],

by reducing the cost in 1 multiplication, 1 square root in
some cases (0.5 in average), but with 1 square more, but
taking into account that the cost of a square is much less
than of a multiplication, this is a non-negligible improvement.
In addition to that, our algorithm does not need any additional
operation when correcting the values in the case the trace
condition is 1, and so the execution time is constant (assuming
that the cost of an addition is negligible).
IV. S CALAR MULTIPLICATION
k0 = HT(u20 (u220 + f3 ) + 1).
u220 +
+k0 u20
u20 f3
u20 ( f3 + u20 ) +k0 k1

f3 x3 + x2 + f0 , h(x) = x (Case C)
Input: The divisor D2 = (x + u20 , v20 )
Output: The divisor D1 = (x2 + u11 + u10 , v11 x + v10 ) =
1
2 D2
1: k1 = u20
. 1SR
2: t0 = k1 + f3 , u11 = t0
. 1SR
3: k0 = HT(u20 (u220 + f3 ) + 1)
.
1M,
1SQ,
1HT
. 1M, 1SR
4: t1 = v20 + k0 u20 , u10 = t1
5: if Tr(u11 (t0 + u10 + f3 )) = 1 then
. 1M, 1TR
6:
k0 = k00 + 1, u10 = u010 + k1
7: v11 = k1 (u20 + u11 ) + k0 + 1
. 1M
8: v10 = t + k1 u10
. 1M
9: return (x2 + u11 x + u10 , v11 x + v10 )
. 5M, 3SR, 1SQ, 1TR, 1HT
p
= v20 + u20 (u320 + k02 + u20 f3 + 1),
= v20 + u20 k0 .
Note that we used (7) to simplify the expression. Finally, we

use again the formula to obtain v1 (x) from [7]:
v11 = k1 (u20 + u11 ) + k0 + 1,
v10 = v20 + u20 k0 + k1 u10 .
Here we show the algorithm for the last case, with the cost of
each step, using temporal variables when necessary to avoid
recalculation:
Let n be the order of the group G. Given an element D G

and an integer k, 0 k < n, in order to compute kD, we need
the binary representation of k. The amount of 1s expected in
the binary representation of k is t/2, where
t = blog2 nc + 1.
The average time for the calculation of kP is
(t/2)A + tB,
where A is the time spent in one addition and B the time of
one doubling.
An alternative to improve this times is based on a different
representation of k, called Non-Adjacent Form [12]:
NAF(k) =
`1
X
ki 2i ,
ki {0, 1, 1},
i=0
which has the property that no two consecutive coefficients ki

are non-zero. This form is generalized to the Non-Adjacent
Form with width , NAF (k), in which every not null ki
satisfies that:
1
ki is odd and |ki | < 2
,
in every sequence of digits, at most one of any
consecutive digits is non-zero.
111
We note that N AF2 (k) = N AF (k), that the ki D can be

precalculated and that the computation time of kD is inversely
proportional to .
B. Halve-and-add
To calculate kD through halvings instead of doubling, it is
needed a different representation of the scalar k. Lets take t =
blog2 nc + 1 and k 0 = 2t k (mod n), where n = #Jac(C)(Fq )
If the NAF representation ok k 0 is
NAF (k 0 ) =
t
X
ki0 2i ,
|ki | < 21 ,
D2 = (x2 + u20 , v21 x + v20 ) and D2 = (x + u20 , v20 ) improve

the best known halving formulae.
Table I summarises the cost of each case, comparing them
to the algorithms given in [2], which are the fastest for this
type of curves. We note however, that our algorithm for the
general case is only marginally slower:
TABLE I
COMPARING HALVING ALGORITHM COSTS
Weight 2 divisor,
u21 6= 0
Weight 2 divisor,
u21 = 0
i=0
then
Weight 1 divisor
k=
t
X
i=0
0
kti
2i
(mod n) =
k0
k00
+ + t1 + kt0
t
2
2
(mod n).
Therefore we obtain the following representation of kD in

terms of bisections:
k0
k0
kD = 0t D + + t1 D + kt0 D.
2
2
We give now the algorithm to compute kD through halvings.
Algorithm 4 Halve-and-add.
Input: An element D G, an integer k and
Pt the 0 NAF
representation with width of k 0 = 2t k = i=0 kti
2i
Output: The element kD.
1. Compute Di = iD, for i {1, 3, 5, . . . , 21 1}
2. D0 O
3. For i from 0 to t do
3.1 D0 D0 /2
3.2 If ki0 > 0 then D0 D0 + Dki0
3.2 If ki0 < 0 then D0 D0 Dki0
4. Return(D0 )
In our case the bisections D0 /2 of the step 3.1 are obtained
through the equations from the former section.
Regarding the complexity of the Algorithm 4, it is worth
noting that in the bisection part, the extraction of the square
roots is not the most expensive in terms of computation, as
computing a square root through the method described in [6]
and [5, pg. 228], is half the cost of a multiplication on the
base field. It can also be found in [6] a careful study about
the cost of using the NAF representation.
On the other side, Solinas in [12] shows that the -adic
methods are better than the bisection in the more specific
context of the Koblitz curves.
This work
1I, 7-8M, 6SR
2SQ, 1TR, 1HT
0-1I, 2-3M
1SR, 1TR
5M, 3SR, 1SQ
1TR, 1HT
BT algorithms
1I, 7-8M, 4SR
2SQ, 1TR, 1HT
0-1I, 2-4M
1SR, 1TR
6M, 3-4 SR
1TR, 1HT
Acknowledgements. Research of the authors was supported

in part by grants MTM2013-46949-P (Spanish Ministerio de
Economa y Competitividad) and 2014SGR-1666 (Generalitat
de Catalunya).
R EFERENCES
[1] P. Birkner, Efficient Divisor Class Halving on Genus Two Curves,
Selected Areas in Cryptography, LNCS 4356,317-326, 2007.
[2] P. Birkner and N. Theriault, Faster halvings in genus 2, Selected Areas
in Cryptography, LNCS 5381, 1-17, 2009.
[3] D. Cantor, Computing in the Jacobian of a Hyperelliptic Curve, Mathematics of Computation 48, 95-101, 1987.
[4] Y. Choie and E. Jeong, Isomorphism Classes of Hyperelliptic Curves of
Genus 2 Over F2n , Cryptology ePrint Archive, 2003/213.
[5] H. Cohen, G. Frey, R. Avanzi, C. Doche, T. Lange, K. Nguyen and F.
Vercauteren: Handbook of elliptic and hyperelliptic curve cryptography.
Discrete Mathematics and its Applications (Boca Raton). Chapman &
Hall/CRC, Boca Raton, 2005.
[6] K. Fong, D. Hankerson, J. Lopez, and A. Menezes, Field Inversion and
Point Halving Revisited, IEEE Transactions on Computers, vol. 53, no.
8, 1047-1059, 2004.
[7] I. Kitamura, M. Katagi and T. Takagi, A complete divisor class halving
algorithm for hyperelliptic curve cryptosystems of genus two, Information security and privacy, LNCS 3574, 146-157, 2005.
[8] E. W. Knudsen, Elliptic Scalar Multiplication using Point Halving, in K.
Y. Lam, E. Okamoto and C. Xing (Eds.): ASIACRYPT99, LNCS 1716,
135-149, 1999.
[9] J. Miret, R. Moreno, J. Pujolàs and A. Rio, Halving for the 2-Sylow
subgroup of genus 2 curves over binary fields, Finite Fields Appl, 15,
569-579, 2009.
[10] F. Rodrguez-Henrquez, G. Morales-Luna and J. Lopez, Lowcomplexity bit-parallel square root computation over GF (2m ) for all
trinomials, IEEE Transactions on Computers, vol. 57, no. 4, 472-480,
2008.
[11] R. Schroeppel, Elliptic Curve Point Halving Wins Big, Second Midwest
Arithmetical Geometry in Cryptography Workshop, 2000.
[12] J. Solinas, Efficient Arithmetic on Koblitz curves, Designs, Codes and
Cryptography, 19, 195-249, 2000.
V. C ONCLUSIONS
In this work, we provided explicit halving formulae for each
possible divisor class for type II curves of the form y 2 + xy =
x5 + fx x3 + x2 + f0 in characteristic 2. To the best of our
knowledge, our halving algorithms for divisors of the form
112
Zero-Knowledge Proof Authentication using Left Self

Distributive Systems: a Post-Quantum Approach
P. Hecht
AbstractThis paper presents an original and theoretical
approach to zero-knowledge authentication, using left selfdistributive (LD) algebraic systems like Laver tables. The reason
for using Laver tables is that their combinatorial properties seem
quite complicated and, as cited, involve necessarily fast growing
functions. Post-Quantum cryptography explores solutions whose
security do not rely over traditional numeric fields one way trap
functions based on integer factorization or discrete logarithm
problems. The paper shows at first the method, after that it states
as a theorem that the authentication protocol complies with a
zero-knowledge proof and finally proves it. No attempt or effort
has been made to develop a practical instance and the paper
focus only the theoretical aspect of the question. Despite this, we
sketch the potential use of Laver tables.
Keywords post-quantum cryptography. zero-knowledge
proofs, ZKP, non-commutative cryptography, cryptographic
protocols, left-self distributivity. Laver tables, LD-systems.
I. INTRODUCCIN
n aos recientes ha surgido gran inters en la aplicacin

de lgebra no conmutativa (NCAS) a los protocolos
criptogrficos debido a las ventajas que ofrece en cuanto a
seguridad computacional y sencillez de cmputos. Esta es una
de las lneas de desarrollo de protocolos post cunticos.
[1][2][3][4][5][6]. Entre ellos, se ha aplicado NCAS a las
pruebas de conocimiento cero.
Una prueba de conocimiento cero (ZKP) [7][8][9][10] es
una prueba que demuestra que un hecho es verdadero sin
revelar ninguna otra caracterstica del mismo. Lo nico que se
expone es la propia veracidad del hecho, sin que se revele
ningn otro dato vinculado. La principal aplicacin que se ha
hallado para las mismas fue el desarrollo de protocolos de
autenticacin. As surge el protocolo de autenticacin de FiatShamir [7], quien resulta ser la base de todos los esquemas
modernos de autenticacin ZKP [11]. Tambin en nuestro
caso, nos hemos inspirado en este clsico modelo.
II. OBJETIVO DEL TRABAJO
En el presente trabajo se propone una variante del

protocolo de Fiat-Shamir basada en un sistema algebraico
simple que no es conmutativo ni asociativo. La potencial
ventaja del empleo de estas estructuras con poca simetra
interna es que ofrecen nuevas funciones trampa de una va
para las cuales no se conocen y probablemente no existan
soluciones polinmicas eficientes [6][12]. Cabe sealar que el
hecho de usar estructuras de esta clase no garantiza que los
problemas planteados no tengan solucin, de hecho hay
instancias de estructuras no conmutativas en las cuales
problemas como el de bsqueda del elemento conjugador

(CSP) o bsqueda del elemento de descomposicin (DP) o de
descomposicin simtrica simple (SDP) o generalizada
(GSDP) se atacan en forma eficiente [13][14][15]. Por
mayores detalles respecto a estas funciones trampa de una va,
referirse al trabajo de Magliveras [1] y a los de Shpilrain
[6][12]. Lo cierto es que en general, cuanto menor la simetra
interna, ms dificultosa la bsqueda de elementos destacados
que representen instancias del clsico problema del logaritmo
discreto generalizado (GDLP) en estructuras finitas [9].
III. BASES ESTRUCTURALES
Las estructuras no asociativas aqu propuestas son los LDsistemas (o LD-magmas, LD-grupoides) [6]. Un ejemplo de
estructuras algebraicas que cumplen con la propiedad auto
distributiva por izquierda (LD), son las tablas Laver [16][17].
Dichas estructuras ofrecen inters porque sus propiedades
combinatorias parecen ser extremadamente complejas,
involucrando funciones de crecimiento super exponencial [6].
Las tablas Laver son sucesiones de estructuras finitas
[18][19] representables como ( An ,*) , tal que:
An 1, 2,3,..., 2n
* LD : x *( y * z ) ( x * y ) *( x * z )
(1)
condicin inicial : x *1 x 1(mod 2n )

A medida que n crece, el cardinal |An| lo hace en forma
exponencial y si dicho n fuese suficientemente grande, se
puede plantear un nuevo problema complejo equivalente a
GDLP [6] y que se plantea como
Problema (*- bsqueda )

Sea An un LD magma y
(2)
dados ( x, y ) An , hallar z An
tal que x z * y o x y * z
Introducimos como ejemplo las tres primeras tablas Laver.

A0
1
1
1
A1
A2
1
2
2
3
4
4
2
3
4
4
Cuadro1. Definiciones de las primeras tres Tablas Laver generadas bajo la ley
autodistributiva LD. Por ejemplo, observar que se cumple 3*(2*1) =
113
HECHT et al.: Zero-Knowledge

(3*2)*(3*1) = 4 y que no se cumple la propiedad asociativa 3*(2*1)
(3*2)*1 = 1.
La construccin de tablas Laver de orden elevado dista de

ser trivial por ser recursiva [16][17] y obviamente puede
constituir una limitacin su mero almacenamiento en
memoria. La mayor tabla computada e informada por la
bibliografa es A28 [20]. Sin embargo, an con tablas
moderadas como A28 su cardinalidad hace que el problema *bsqueda no sea simple de resolver [6].
En este trabajo no se pretende resolver eficientemente la
construccin y empleo de tablas Laver de gran tamao,
digamos A64. Para hacerlo se requiere desarrollar un algoritmo
no recursivo que permita computar en tiempo polinmico el
valor x*y para cualquier par de elementos x,y de dicho
conjunto. Eso debera poder cumplirse sin que la memoria se
transforme en un recurso limitante. Es posible que no exista
ese algoritmo, tal como ocurre con funciones que no son
recursivas primitivas (FRP) como la funcin de Ackermann
[21].
Lo que se pretende es desarrollar, desde el punto de vista
terico, un protocolo original de autenticacin ZKP basada en
una estructura no asociativa y distributiva por izquierda como
las tablas Laver. En la medida que se avance en el cmputo
eficaz de estas tablas, se concretar una instancia operativa del
protocolo. Sin embargo, se podra usar cualquier estructura
equivalente a un LD-Sistema [6]. Por ejemplo, se demuestra
en teora de trenzas que si se define la operacin a*b como el
cruce de la trenza b por encima de la trenza a, entonces el
movimiento de la clase Reidemeister III es invariante si y slo
si la operacin (*) posee auto distribucin izquierda [17].
IV. PROTOCOLO LD-SISTEMA
Queda claro que un pretendiente quiere convencer a un
verificador de su identidad, sin aportar la ms mnima
informacin acerca de un secreto personal que le pertenece y
lo identifica. Como es habitual, sea ALICE el pretendiente y
BOB el verificador.
1. INICIALIZACIN
Se define (An, *), un LD-sistema para el cual el
problema *-bsqueda sea suficientemente complejo. La
clave pblica de ALICE es un par (p, p) de elementos en
An que cumplen que p=s*p donde s, otro elemento en
An, se mantiene en secreto como la clave privada
2. ITERACIN
Los siguientes pasos se repiten t-veces a criterio de BOB.
a.ALICE elige al azar r en An. Luego enva a BOB el par
testigo (x, x), donde x=r*p y x=r*p
b. BOB elige al azar un bit al azar e={0, 1} y se lo manda
como desafo a ALICE.
c. Si e=0 ALICE responde y=r.
Si e=1 ALICE responde y=r*s
d. BOB verifica:
1) Si e=0 rechaza si xy*p o si xy*p

2) Si e=1 rechaza si xy*x
Si BOB completa t-iteraciones sin rechazos, acepta la
identidad de ALICE. La probabilidad de aceptar la
identidad de un impostor (dotado de suerte suficiente) es
p(falso+) 2-t.
3. VALIDEZ DE LA VERIFICACIN
a.Si e=0 se cumple x=y*p=r*p y x=y*p=r*p
b. Si e=1 se cumple x=y*x=(r*s)*(r*p)=r*(s*p)=r*p
Observar que el caso a. no requiere que el pretendiente use
su clave privada.
TEOREMA 1. El protocolo LD-SISTEMA constituye un
protocolo de autenticacin de conocimiento cero.
DEMOSTRACIN. Se puede demostrar que el protocolo
LD-SISTEMA cumple con las propiedades de Integridad
(Completeness), Solidez (Soundness) y Conocimiento Cero
(Zero-knowledge), lo que demuestra el Teorema 1 [9][10].
Integridad: Supongamos que el pretendiente posee el
secreto s. Entonces siempre puede aportar las respuestas
correctas y=r o y=r*s a pedido del verificador. Por lo tanto,
un verificador honesto va a completar las t-iteraciones y
terminar aceptando la identidad del pretendiente con
probabilidad 1..
Solidez: Supongamos que el pretendiente no posea el
secreto s. Entonces, durante cada iteracin, slo puede proveer
la respuesta y correcta si recibi el desafo e=0. Por lo tanto
un verificador honesto rechazar dicha sesin con
probabilidad p=1/2. Esto implica que la probabilidad de no ser
descubierto en t-iteraciones es p=2-t.
Conocimiento Cero: Para demostrar que el protocolo
propuesto posee la propiedad de prueba de conocimiento cero
(ZKP), es condicin necesaria y suficiente la existencia de un
protocolo simulador [9][10], es decir uno que genere
sesiones apcrifas (en desconocimiento del secreto del
pretendiente) pero que sean indistinguibles de las vlidas y
autnticas.
Debe quedar en claro que en el presente protocolo, la nica
informacin revelada en cada iteracin es (x , x) (en el paso
2.a.) y ya sea y=r o y=r*s (en el paso 2.c.). En ningn
momento se compromete ni parcial ni totalmente el secreto s,
siempre y cuando se cumplan las restricciones indicadas en la
inicializacin.
Las sesiones (iteraciones) pueden ser simuladas eligiendo
en cada iteracin un r diferente pero cuidadosamente elegido
tal que x=r*p reemplace a p en el testigo Luego se calculan
x=r*p y x=r*x como par testigo. Cualquiera sea el desafo e
recibido, se responde con y=r. Se puede observar que para
e=0 el verificador comprueba las igualdades: x=y*p, x=y*x,
y para e=1 comprueba tambin x=y*x. Se desprende que
este nuevo protocolo genera sesiones indistinguibles de las
legtimas para cualquier observador externo que monitoree al
114
trfico. Sin embargo, si alguien pretendiese impersonar al

pretendiente legtimo con este simulador, el verificador
descubrira el fraude cuando elija e=1, dado que si responde
y=r en vez de responder y=r*s, el verificador notara que el
p legtimo ha sido consistentemente reemplazado por x,
primer parte del testigo.
Hay que advertir que ubicar un r para el simulador no es
tarea compleja siempre y cuando p1, dado que en las LD
estructuras, todos los valores no unitarios se repiten [16][17].
Por ejemplo, sea An=A2, p=3 y s=2. As resulta p=2*3=3
como clave pblica. El simulador ubica, por ejemplo, r=4 tal
que genera x=4*3=3 el que reemplaza a p y as
sucesivamente en nuevas sesiones. Ntese que en esta clase de
sistemas, la operacin (*) no es biunvoca ya que r*x=r*p no
implica que x=p. Como ejemplo, observar que en la Tabla A2
2*1=2*3 y obviamente 13. Por ese motivo, la operacin (*)
no posee operacin inversa.
Resulta interesante considerar porqu el verificador permite
con su desafo e=0 que la respuesta pueda ser correctamente
respondida incluso en desconocimiento de la clave privada (s)
en vez de exigir que el pretendiente use siempre su clave
privada repitiendo el desafo e=1. Lo que ocurre es que si el
pretendiente supiese que el verificador slo emite desafos
e=1, tiene una estrategia que le permite concretar un fraude de
identidad. Para ello, en el Paso 2.a., se calculan los testigos
x=r*p y x=r*x tal como se expuso en el protocolo
simulador. Tambin aqu el pretendiente responde
invariablemente y=r. Para la verificacin x=y*x se obtiene
x=r*x, lo que obviamente es consistente con el testigo
recibido. Ese es motivo por el cual el verificador alterna
aleatoriamente e=0 y e=1, ya que si e=0 fracasara este
intento de fraude porque una parte de la verificacin (muy
probablemente) no se cumpla ya que en general
x=y*p=r*pr*x.
V. CUESTIONES ABIERTAS
Hay ciertas preguntas que se deben responder antes de
plantear aplicaciones concretas del presente protocolo. Debe
quedar en claro que a la fecha el autor se limita a formularlas
pero que no tiene las respuestas definitivas.
- Si la construccin de las tablas Laver no es trivial por

motivos de requerimiento extenso de memoria, Cmo
impacta esta limitacin sobre su potencial uso en plataformas
de escaso porte? No cabe duda que la ausencia de
construcciones no iterativas de las tablas obliga a emplear
almacenamientos que pueden llegar a limitar seriamente las
potenciales plataformas de aplicacin.
CONCLUSIONES
Se ha desarrollado un protocolo de autenticacin de
conocimiento cero aplicando sistemas algebraicos auto
distributivos por izquierda. Particularmente se apela al uso de
tablas Laver, aunque cualquier LD-sistema puede servir,
siempre que el problema *-bsqueda sea suficientemente
complejo de resolver computacionalmente. Lo atractivo de
esta clase de soluciones es que no estn basadas en la
dificultad de la resolucin de ciertos problemas que operan en
estructuras conmutativas como la factorizacin de enteros (IF)
o el logaritmo discreto (DL) y para los cuales ya existen
ataques de complejidad subexponencial en el tiempo [9].
Empleando NCAS, estamos en un terreno virgen para el
desarrollo de protocolos novedosos, con nuevas funciones
trampa de una va [9] y que en general emplean escasos
recursos computacionales en implementaciones concretas
[11][22][23] lo que, en principio y salvando lo discutido en el
punto previo, las habilitan para plataformas de porte reducido.
REFERENCIAS
[1]
[2]
[3]
[4]
[5]
[6]
- Cul es la complejidad computacional de las propiedades

combinatorias de las tablas Laver? Determinar este nivel de
complejidad es fundamental para garantizar la seguridad del
protocolo. Se supone que esa complejidad es alta pero falta
una demostracin al respecto.
[7]
- El problema de la (*-bsqueda) posee soluciones

mltiples en cada tabla Laver. Cul es el impacto de esta
multiplicidad sobre la complejidad arriba mencionada?
Seguramente habr que considerar el uso de las regiones
menos redundantes dentro de las tablas a fin de dificultar los
ataques estadsticos al protocolo, pero esto tambin debe ser
demostrado.
[10]
[8]
[9]
[11]
[12]
[13]
S. Magliveras, D. Stinson and T. van Trung, New approaches to

designing public key cryptosystems using one-way functions and
trapdoors in finite groups, Technical Report CORR, pp. 2000-2049,
2000.
S. Paeng, K. Ha, J. Kim, S. Chee and C. Park, New public-key
cryptosystem using finite non-abelian groups, Crypto 2001, (ed). J.
Kilian, Springer Verlag, pp. 470-485, 2001.
S. Paeng, D. Kwon, K. Ha and J. Kim, Improved public-key
cryptosystem using finite non-abelian groups, Cryptology ePrint
archive, Report 2001/066, 2001.
M. Gonzlez Vasco, C. Martinez and R. Steinwandt, Towards a
uniform description of several group based cryptographic primitives,
Designs, Codes and Cryptography, no. 33, pp. 215-226, 2004.
J. Birget, S. Magliveras and M. Sramka, On public-key cryptosystems
based on combinatorial group theory, Cryptology ePrint archive report
2005/070, 2005.
L. Gerritzen et al (Editors), Multiple authors, Algebraic Methods in
Cryptography, Contemporary Mathematics, AMS, Vol. 418, 2006
U. Feige, A. Fiat and A. Shamir, Zero Knowledge proofs of identity,
Proceedings 19 anual ACM symposium on theory of computing, pp.
210-217, 1987.
L. Guillou and J. Quisquater, A practical zero-knowledge protocol
fitted to security microprocessor minimizing both transmission and
memory, Advances in Cryptology, Eurocrypt88, pp.123-128, 1988.
A. Menezes, P. van Oorschot and S.Vanstone,Handbook of Applied
Cryptography, CRC Press, 1997.
G. Simari, A primer on zero knowledge protocols, Universidad
Nacional del Sur, vol. 6, no. 27, pp. 1-12, 2002.
P. Hecht, A Zero-Knowledge authentication protocol using non
commutative groups Hecht, J. P. Actas del VI Congreso
Iberoamericano de Seguridad Informtica CIBSI11, pp. 96-102 (2011)
V. Shpilrain and G. Zapata, Combinatorial group theory and public-key
A. D. Myasnikov, A. Ushakov, Cryptanalysis of matrix conjugation
schemes, https://eprint.iacr.org/2012/694.pdf, 2012.
115
HECHT et al.: Zero-Knowledge
[14] B. Tsaban, Polynomial time solutions of computational problems in

moncommutative-algebraic crypto, http://arxiv.org/abs/1210.8114v2,
2012
[15] A. A. Kamal, A. M. Youssef, Cryptanalisis of Alvarez et al. Key
Exchange Scheme, Information Sciences, 223, 317,321, 2013
[16] P. Dehornoy, Free augmented LD-systems, arXiv:math/0507196v1
[math.GR] 10 Jul 2005
[17] P. Dehornoy, V. Lebed, Two and three cocycles for Laver tables,
arXiv:1401.2345v2 [math.KT] 3 Feb 2014
[18] T. W. Judson, Abstract algebra: theory and applications, Virginia
Commonwealth University, 2nd Ed., 1997
[19] J. A. Beachy, W. D. Blair, Abstract Algebra, Waveland, 3rd Ed, 2006
[20] J. Moore et al, What is the largest Laver table which has been
computed?,
MathOverflow,http://mathoverflow.net/questions/57980/
what-is-the-largest-laver-table-which-has-been-computed, 9 Mar 2011
[21] Weisstein, Eric W. "Ackermann Function." From MathWorld--A
Wolfram Web Resource, 2015, http://mathworld.wolfram.com/
AckermannFunction.html
[22] P. Hecht, Un modelo compacto de criptografa asimtrica empleando
anillos no conmutativos, Actas del V Congreso Iberoamericano de
Seguridad Informtica CIBSI09, pp. 188-201, 2009.
[23] P. Hecht, Criptografa no conmutativa usando un grupo general lineal
de orden primo de Mersenne, P. Hecht, Actas del VII Congreso
Iberoamericano de Seguridad Informtica CIBSI13, pp, 147-153 (2013)
Pedro Hecht (M2012) naci en Buenos Aires,
Argentina. Se gradu como Licenciado en Anlisis
de Sistemas (ESIO-DIGID) y como Doctor de la
Universidad de Buenos Aires (UBA).
Actualmente es Profesor Titular de Criptografa
I y II de la Maestra en Seguridad Informtica
dependiente de las Facultades de Cs. Econmicas,
Cs. Exactas y Naturales y de Ingeniera de la
Universidad de Buenos Aires (UBA) e idntico
cargo en la Facultad de Ingeniera del Ejrcito (EST-IUE). Adems es el
Coordinador Acadmico de la citada Maestra (UBA), Profesor titular de
Biofsica (UBA), Director de proyectos e investigador en modelos
matemticos de UBACyT y Director titular de EUDEBA. Es miembro de
Criptored, IEEE Argentina, ACM SIGCSE, ACM SIGITE y otras. rea de
inters: lgebra no conmutativa aplicada a la criptografa.
116
Proceso Agil para la realizacin de Anlisis y Gestin de

Riesgos sobre la ISO27001 orientado a las PYMES
A. Santos-Olmo, L. E. Snchez, E. lvarez, M. Huerta, E. Fernandez-Medina
development of SMEs. However, these companies require ISMS
adapted to their special features, which would be optimized from
the aspect of the resources needed to deploy and maintain them.
This article presents a proposed method to develop a simplified
risk analysis, which is valid for SMEs, and framed within the
methodology of safety management in small and medium-sized
enterprises (MARISMA). This model is being applied directly to
real cases, achieving a steady improvement in its implementation.
para la evolucin de las PYMES. Sin embargo, este tipo de
compaas requiere de SGSIs adaptados a sus especiales
caractersticas, y que estn optimizados desde el punto de vista de
los recursos necesarios para implantarlos y mantenerlos. En este
artculo se presenta el mtodo propuesto para realizar un anlisis
de riesgos simplificado, que sea vlido para las PYMES, y
enmarcado dentro de la metodologa de gestin de la seguridad
en las pequeas y medianas empresas (MARISMA). Este modelo
est siendo aplicado directamente a casos reales, consiguiendo as
una constante mejora en su aplicacin.
Keyword Cybersecurity, Information Security Management

Systems, ISMS, Risk Analysis, SMEs, ISO27001, ISO27005.
Seguridad de la Informacin, SGSI, Analisis de Riesgos, PYMES,
ISO27001, ISO27005.
I. INTRODUCCIN
Estudios realizados han demostrado que para que las
empresas puedan utilizar las tecnologas de la informacin y
las comunicaciones con garantas es necesario disponer de
guas, mtricas y herramientas que les permitan conocer en
cada momento su nivel de seguridad y las vulnerabilidades
que an no han sido cubiertas [1-3]. El problema de conocer
los riesgos a los que estn sometidos sus principales activos se

E. lvarez, Fundacin In-Nova, Toledo, Espaa, Ealvarez@in-nova.org
M. Huerta, Universidad Politcnica Salesiana, Proyecto Prometeo de la
SENESCYT, Ecuador, mhuerta@ieee.org
acenta especialmente en el caso de las pequeas y medianas

empresas, que cuentan con la limitacin adicional de no tener
recursos humanos y econmicos suficientes para realizar una
adecuada gestin [4, 5].
Pero con la llegada de Internet, para las empresas es cada
vez ms crtico implantar controles de seguridad que les
permitan conocer y controlar los riesgos a los que pueden estar
sometidas [6, 7]. Gran parte de este cambio de mentalidad en
las empresas tiene su origen en el cambio social producido por
Internet y la rapidez en el intercambio de informacin, que ha
dado lugar a que las empresas empiecen a tomar conciencia
del valor que tiene la informacin para sus organizaciones y se
preocupen de proteger sus datos. De esta forma, las empresas
ya han tomado conciencia de que la informacin y los
procesos que apoyan los sistemas y las redes son sus activos
ms importantes [6, 7]. Estos activos estn sometidos a riesgos
de una gran variedad, que pueden afectar de forma crtica a la
empresa. As, la importancia de la seguridad en los sistemas
de informacin viene avalada por numerosos trabajos [8-15],
por citar slo algunos.
Algunos autores [16, 17] sugieren la realizacin de un
anlisis de riesgos como parte fundamental en la PYME, ya
que deben tener en cuenta que el valor y la sancin de los
datos robados o filtrados en una pequea organizacin es el
mismo que para una grande, y por tanto debe tener controlado
el valor y los riesgos a los que esos activos estn sometidos
[18]. Otros autores [19] proponen la necesidad de desarrollar
un nuevo modelo de anlisis de riesgos (AR) pero
orientndolo directamente a las PYMES, considerando que el
uso de tcnicas de anlisis y gestin de riesgos, as como el
papel de terceros, es necesario para poder garantizar la
seguridad del sistema de informacin de las PYMES [20].
Aunque la investigacin realizada se centra inicialmente en las
PYMES los resultados podran aplicarse en otros sectores
como el de salud [21-24], o nuevas tecnologas como el cloud
computing [25].
Estudios centrados en la evaluacin de riesgos [26-28],
realizados sobre organizaciones en Europa y los EE.UU
revelan que las PYMES se caracterizan por la falta de la
dedicacin necesaria a la seguridad de TI, debido
principalmente a la asignacin de responsabilidades a personal
sin la debida formacin. As mismo, la mayora de las
organizaciones carecen de polticas de seguridad y sistemas de
evaluacin del riesgo, llegando al caso en que el 73% de los
encuestados de PYMES de UK dijo realizar en su casa la
evaluacin de riesgos. Menos del 10% de los encuestados
afirm usar una herramienta de anlisis de riesgos, y ninguno
utiliz una gua de referencia como poda ser la
ISO/IEC27001 [29, 30]. Esto, junto con la escasa proporcin
117
Santos-Olmo et. al.: Proceso gil sobre ISO27001
de organizaciones que realmente emplea especialistas en

seguridad, plantea dudas sobre la manera exhaustiva o eficaz
en que pueden haberse realizado dichos anlisis.
Al analizar las causas por las que no se haba realizado el
anlisis de riesgos se lleg a la conclusin de que dado que el
anlisis de riesgos es a menudo complejo y requiere
conocimientos especializados [31], y que una evaluacin de la
situacin actual requiere de herramientas de anlisis de riesgo
[32] comerciales, las cuales no son fciles de usar sin
conocimientos tcnicos adecuados, es evidente que muchas
PYMES no estn preparadas para evaluarse los riesgos a s
mismas. Aunque algunas PYMES ya haban tomado la
determinacin de externalizar dicho servicio, en general la
mayora no haba realizado dicha evaluacin por la falta de
concienciacin de su importancia.
Otros autores sugieren que no es suficiente con aplicar un
enfoque basado en anlisis y gestin de riesgos [33] sino que,
adems de identificar y eliminar riesgos, tambin esta
actividad se ha de realizar de manera eficiente, ahorrando
dinero, consecuencia directa de una correcta gestin de la
seguridad [34].
Otro de los aspectos que se est estudiando para su
aplicacin a los modelos de gestin de la seguridad y su
madurez es el control de los costes asociados a la gestin de la
seguridad, ya que estos pueden influir en el dimensionamiento
del modelo de gestin de la seguridad. De esta forma, Mercuri
[35] se propone asociar como parte fundamental del desarrollo
de los SGSI los anlisis de costebeneficio (CBA) en la fase
del anlisis de riesgos.
Como tal, una de las cuestiones derivadas de las
conclusiones es la necesidad de obtener nuevas metodologas
y modelos de anlisis y gestin del riesgo que permitan
adaptarse a las PYMES, con el objetivo de eliminar (o al
menos reducir) los inconvenientes y ayudar a estas sociedades
a evaluar los riesgos a los que sus activos estn expuestos y a
establecer los controles de seguridad adecuados [36].
Muchos autores consideran que el punto central de los
SGSI debe ser el anlisis de riesgos. Entre ellas se puede
destacar la propuesta de Barrientos [37] y UE CORAS (IST
200025031) [38, 39]. La propuesta de Barrientos [37] est
basada en llevar a cabo un anlisis relativo a la seguridad
informtica para identificar el grado de vulnerabilidad y
determinar los aspectos de mejora a ser llevados a cabo en la
organizacin con el objeto de reducir el riesgo. Por otro lado,
UE CORAS (IST200025031) [38, 39] est desarrollando un
marco para el anlisis de riesgos de seguridad que utiliza
UML2, AS/NZS 4360, ISO/IEC27001, RMODP6, UP7 y
XML8.
Siegel [33] seala que los modelos de seguridad
informtica que se centran exclusivamente en modelos de
eliminacin de riesgos no son suficientes, y por otro lado
Garigue [34] remarca que actualmente los gerentes no desean
saber slo qu se ha realizado para mitigar los riesgos,
tambin se debe poder dar a conocer eficazmente que se ha
realizado esta tarea y si se ha conseguido ahorrar dinero.
Sneza realiza un estudio sobre las PYMES considerando
los resultados del anlisis de riesgos como clave para
garantizar que las polticas y procedimientos son realmente

necesarios, llegando a la conclusin de que las PYMES deben
guiarse por el riesgo de prdidas de activos derivado del
anlisis de riesgos. Se debe persuadir a los propietarios de las
PYMES de emprender un escenario formal basado en el
anlisis de riesgos y la proteccin de los activos de
informacin. Los recientes hallazgos de la seguridad de la
informacin han puesto de manifiesto una fuerte correlacin
entre el proceso formal de evaluacin de riesgos y los gastos
de la seguridad de la informacin [40].
Se debe tener en cuenta que el anlisis de riesgos es un
proceso costoso que no se puede repetir cada vez que se
realiza una modificacin. Por eso es importante desarrollar
metodologas especficas que permitan mantener los
resultados del anlisis de riesgos. El proyecto de la UE Coras
[38, 39] hace de este mantenimiento del anlisis de riesgos el
punto principal de su modelo.
Las principales conclusiones obtenidas es que los modelos
de anlisis y gestin del riesgo son fundamentales para los
SGSIs, pero no existen metodologas que se adecuen al caso
de las PYMES, y las existentes se muestran ineficientes para
este tipo de compaa.
Por lo tanto, y considerando que las PYMES representan
una gran mayora de empresas tanto a nivel nacional como
internacional y son muy importantes para el tejido empresarial
de cualquier pas, creemos que avanzar en la investigacin
para mejorar los procesos de anlisis y gestin del riesgo para
este tipo de empresas puede generar importantes aportaciones.
Esto puede contribuir a mejorar no slo la seguridad de las
PYMES, sino tambin su nivel de competitividad. Por este
motivo, a los largo de los ltimos aos hemos trabajado en
elaborar un proceso simplificado que permita analizar y
gestionar el riesgo de seguridad en las PYMES [41-44], y
adems hemos construido una herramienta que automatiza
completamente la metodologa [45], y lo hemos aplicado en
casos reales [46], lo que nos ha permitido validar tanto la
metodologa como la herramienta.
Toda la metodologa de Anlisis de Riesgos desarrollada, y
en especial las partes relacionadas con los controles, han sido
aplicadas sobre la norma ISO/IEC27001 y en especial sobre el
Anexo A de esta que define los controles que deben cumplirse.
Por lo tanto, y aunque esta metodologa nace para poder
extenderse a otros estndares internacionales, actualmente solo
se ha validado su funcionamiento sobre el estndar
internacional de la ISO/IEC27001.
El artculo contina en la Seccin 2 describiendo
brevemente las metodologas y modelos para el anlisis y la
gestin del riesgo de la seguridad y su tendencia actual. En la
Seccin 3 se introduce brevemente nuestra propuesta de
metodologa para el anlisis y la gestin del riesgo de la
seguridad orientada hacia las PYMES. En la Seccin 4 se
introduce la herramienta que da soporte al proceso. En la
Seccin 5 se muestran algunos resultados obtenidos al aplicar
el proceso sobre un caso real. Finalmente, en la Seccin 6
concluimos indicando cul ser el trabajo que desarrollaremos
en el futuro.
118
II. ESTADO DEL ARTE

Con el propsito de reducir las carencias mostradas en el
apartado anterior y reducir las prdidas que stas ocasionan,
han aparecido un gran nmero de procesos, marcos de trabajo
y mtodos para la gestin del riesgo cuya necesidad de uso
para proteger de forma eficaz los activos de una compaa est
siendo cada vez ms reconocida y considerada por las
organizaciones, pero que como se ha mostrado son ineficientes
para el caso de las PYMES.
En relacin con los estndares ms destacados se ha
podido constatar que la mayor parte de ellos han intentado
incorporar procesos para el anlisis y la gestin del riesgo,
pero que son muy difciles de implementar y requieren una
inversin demasiado alta que la mayora de las PYMES no
pueden asumir [47].
Entre las principales propuestas para el anlisis y gestin
del riesgo podemos destacar MAGERIT [48], OCTAVE [49]
o CRAMM [50]. A pesar de ello, la gestin de la seguridad no
puede limitarse al anlisis y la gestin del riesgo [33], sino que
adems de identificar y eliminar riesgos se ha de realizar de
manera eficiente, obteniendo la compaa grandes ahorros de
costes como consecuencia directa de una mejor gestin de la
seguridad [34]. Gracias al anlisis de riesgos se podrn
identificar los activos y conocer el nivel de seguridad que se
debe aplicar. Los expertos tambin han propuesto
recientemente realizar un anlisis de riesgos para poder alinear
las estrategias de la empresa y de la seguridad [51], ya que
esto hace que la empresa pase de tomar una posicin reactiva
ante la seguridad a una proactiva.
Por otro lado, algunos de los principales estndares de
gestin de la seguridad, han intentado incorporar dentro de sus
procesos el anlisis y la gestin del riesgo:
ISO/IEC27005 [52]: Establece las directrices para
la gestin del riesgo en la seguridad de la
informacin. Apoya los conceptos generales
especificados en la norma ISO/IEC27001 [30] y
est diseada para ayudar a la aplicacin
satisfactoria de la seguridad de la informacin
basada en un enfoque de gestin de riesgos. El
conocimiento de los conceptos, modelos, procesos
y trminos descritos en la norma ISO/IEC27001
[30] e ISO/IEC27002 [53] es importante para un
completo entendimiento de la norma ISO/IEC
27005 [52], que es aplicable a organizaciones que
tienen la intencin de gestionar los riesgos que
puedan comprometer la organizacin de la
seguridad de la informacin [54, 55]. Su
publicacin revisa y retira las normas ISO/IEC TR
133353 [56] y ISO/IEC TR 133354 [57].
ISO/IEC21827/SSECMM [58, 59]: El modelo de

capacidad y madurez en la ingeniera de seguridad
de sistemas describe las caractersticas esenciales
de los procesos que deben existir en una
organizacin para asegurar una buena seguridad en
los sistemas, incluyendo en las fases previas un
proceso orientado al riesgo, con 4 subprocesos:
SSE-PA02 (Determinar el impacto), SSE-PA03
(Identificar los riesgos de seguridad), SSE-PA04
(Identificar las amenazas), SSE-PA05 (Identificar

las vulnerabilidades).
ISO/IEC 15443 [60, 61]: Clasifica los mtodos

existentes dependiendo del nivel de seguridad y de
la fase del aseguramiento. La evaluacin del
aseguramiento se divide en proceso, producto y
ambiente, mientras que las fases del anlisis del
riesgo
son
diseo/implementacin,
integracin/verificacin, rplica, transicin y
operacin. Las fases del anlisis del riesgo para
CC
[62]
son
diseo/implementacin,
integracin/verificacin, transicin y operacin.
ISO/IEC2000/ITIL [63, 64]: ITIL ofrece un

elemento para una correcta gestin de riesgos: el
conocimiento actualizado y detallado de todos los
activos de la organizacin y de las relaciones,
pesos y dependencias entre ellos. Dicho
conocimiento ITIL lo administra desde el proceso
de gestin de la configuracin de soporte al
servicio, y mediante el uso de la herramienta
bsica sobre la que se construye una aproximacin
coherente a la gestin eficiente de las TI, la
CMDB (Configuration Management Database). El
disponer del repositorio actualizado de activos que
representa la CMDB facilita la realizacin del
anlisis de riesgos en la fase de planificacin del
SGSI, que se utilizar como elemento de
ponderacin de los controles a implantar y cuya
permanente actualizacin resultar incluso ms
relevante una vez el SGSI se encuentre implantado
y funcionando.
COBIT [65]: Es una metodologa para el adecuado

control de los proyectos de tecnologa, los flujos
de informacin y los riesgos que implica la falta de
controles adecuados. Incluye un proceso orientado
a evaluar los riesgos, en el dominio PO9. Este
proceso se centra principalmente en los criterios de
confidencialidad, integridad y disponibilidad, y de
forma secundara en criterios de efectividad,
eficiencia, cumplimiento y confiabilidad. Por
ltimo este proceso involucra a diversos recursos
del TIC (RRHH, Sistemas de Informacin,
Tecnologa, Instalaciones y Datos).
Por otro lado, existe un pequeo conjunto de herramientas

de anlisis de riesgos. Actualmente las ms utilizada para el
anlisis de riesgos es PILAR, basada en Magerit v3 [48]. Otras
herramientas utilizadas son la propuesta por ENISA, que
incluye un sistema de comparativas, OCTAVES y Octave
Automated Tool, que implementan la metodologa de
evaluacin de riesgos OCTAVE [49], CRAMM 5.2 y
COBRA, etc.
El principal problema de estos procesos y herramientas es
su complejidad para aplicarlos en el caso de las PYMES, ya
que han sido concebidos para grandes empresas [66-69]. Se
justifica en repetidas ocasiones que la aplicacin de este tipo
de procesos para las PYMES es difcil y costosa. Adems, las
organizaciones, incluso las grandes, tienden ms a adoptar
grupos de procesos relacionados como un conjunto que a tratar
119
los procesos de forma independiente [70].

Por lo tanto, y como conclusin de este apartado, se puede
decir que es pertinente y oportuno abordar el problema de
desarrollar un nuevo proceso para el anlisis y gestin del
riesgo de la seguridad para los sistemas de informacin en las
PYMES, as como una herramienta que soporte este proceso,
tomando como base la problemtica a que este tipo de
compaas se enfrenta y que ha llevado a continuos fracasos
en los intentos de implantacin en este tipo de empresas. Para
ello se tomarn como base algunas de las normas y
documentos tanto nacionales como internacionales ms
adecuados, como las guas para la gestin de seguridad
ISO/IEC 13335 [56, 57, 71] y la metodologa de anlisis y
gestin de riesgos Magerit [48].
III. MARISMA-AGR
Para solucionar los problemas detectados en el anlisis y
gestin del riesgo, se ha realizado un proceso orientado a las
PYMES y enfocado a reducir los costes de generacin y
mantenimiento del proceso de anlisis y gestin del riesgo
denominado MARISMA-AGR. Este proceso se ha obtenido
mediante la aplicacin del mtodo de investigacin en accin
y se ha enmarcado dentro de una metodologa (MARISMA)
que acomete todos los aspectos relacionados con la gestin de
la seguridad [21, 72].
Esta metodologa asocia el anlisis y la gestin del riesgo a
los controles necesarios para la gestin de la seguridad y
consta de dos fases muy importantes:
Fase I: Se establece una estructura de relaciones entre
los diferentes elementos involucrados en el anlisis del
riesgo y los controles necesarios para gestionar la
seguridad. Estas relaciones se establecen mediante el
conocimiento
adquirido
en
las
diferentes
implantaciones, que es almacenado en una estructura
denominada esquema para ser reutilizado con
posterioridad, reduciendo los costes de generacin de
este proceso [73].
Fase II: Mediante la seleccin del esquema ms
adecuado y la identificacin de un pequeo conjunto
de los principales activos se obtiene un detallado mapa
de la situacin actual (anlisis del riesgo) y un plan de
recomendaciones de cmo mejorarlo (gestin del
riesgo).
Este apartado se divide en tres subapartados. En el primero
se vern una serie de definiciones necesarias para entender el
proceso. En el segundo subapartado se analizar la primera
fase del proceso. En el ltimo subapartado se analizar la
segunda fase del subproceso.
A. Definiciones previas.
A continuacin, se describen los principales conceptos,
que intervienen en la metodologa:
Esquema: Estructura formada por los principales
elementos de un SGSI y las relaciones entre ellos, que
puede ser reutilizado por un conjunto de compaas
con caractersticas comunes (mismo sector y tamao)
a partir del conocimiento adquirido con la

implantacin de la metodologa MARISMA y
posteriores refinamientos [74].
o Esquema Base: Esquema inicial obtenido a partir
del conocimiento de expertos en seguridad, que
sirve como base para la elaboracin de otros
esquemas ms especficos que puedan adecuarse
a conjuntos de compaas [73].
SGSI: Parte de un sistema global de gestin que,
basado en el anlisis de riesgos, establece,
implementa, opera, monitoriza, revisa, mantiene y
mejora la seguridad de la informacin. En el caso de la
metodologa MARISMA el SGSI se compone entre
otros de un conjunto de reglamentos que definen la
poltica de seguridad de la compaa, procedimientos,
controles, un sencillo anlisis de riesgo y un cuadro de
mandos que nos permite conocer cmo evoluciona el
sistema (ver Figura 1).
SGSI
Est
formado por
Reglamentos
Est
formado por
Procedimientos
Est
formado por
Controles
Tiene un
Anlisis de
Riesgos
Tiene un
Cuadro de
mandos
Figura 1. Esquema de los componentes de un SGSI.
Anlisis de riesgos: Proceso sistemtico para estimar

la magnitud de los riesgos a que est expuesta una
organizacin [48]. La metodologa MARISMA
incluye un sencillo mtodo para estimar el riesgo a
partir de un conjunto bsico de activos.
o Activo: Recursos del sistema de informacin, o
relacionados con ste, necesarios para que la
organizacin funcione correctamente y alcance
los objetivos propuestos por su direccin.
o Amenaza: Evento que puede desencadenar un
incidente en la organizacin, produciendo daos
materiales o prdidas inmateriales en sus activos.
o Vulnerabilidad: Debilidad o falta de control que
permitira o facilitara que una amenaza actuase
contra un activo del sistema que presenta la
citada debilidad.
o Criterios de riesgo: Criterios que permiten
estimar el grado de exposicin a que una
amenaza se materialice sobre uno o ms activos
causando daos o perjuicios a la organizacin.
120
B. MARISMA-AGR Actividad 1: Anlisis de riesgos como

parte de un Esquema.
El principal objetivo de esta actividad es seleccionar los
elementos necesarios para poder realizar, en actividades
posteriores de la metodologa, un anlisis de riesgos bsico y
de bajo coste sobre los activos que componen el sistema de
informacin de la compaa que se adapte a los requerimientos
de las PYMES.
Esta actividad est basada en el principio de que los
elementos que participan en un anlisis de riesgos y sus
relaciones tienen un alto grado de coincidencia cuando se
aplican en PYMES que tienen caractersticas parecidas
(mismo sector y mismo tamao), por lo que se pueden
establecer dichas relaciones a priori eliminando el coste de
tener que analizarlas una por una mediante una labor de
consultora en cada caso. Aun cuando existan diferencias entre
unas y otras, stas son irrelevantes con respecto a la
configuracin final del SGSI obtenido para el caso de las
PYMES, dado que este tipo de empresas priorizan el coste a
obtener un resultado con un alto grado de precisin.
Aunque el anlisis de riesgos es una de las partes
fundamentales en la norma ISO/IEC27001 [30] y se encuentra
descrita en detalle en el estndar ISO/IEC27005 [52], el
principal objetivo del anlisis de riesgos incluido en la
metodologa desarrollada es que sea lo menos costoso posible,
utilizando una serie de tcnicas y matrices predefinidas,
aunque obteniendo un resultado con la suficiente calidad.
Entradas: Como entrada se recibir el conocimiento
del grupo de expertos del dominio de seguridad
(GED) obtenido durante el proceso de implantacin de
SGSIs, as como un conjunto de controles para la
gestin de seguridad que se encuentran almacenados
en el repositorio de esquemas y un conjunto de
elementos
(tipos
de
activos,
amenazas,
vulnerabilidades y criterios de riesgo) necesarios para
elaboracin del anlisis de riesgos (en el esquema base
desarrollado la seleccin de estos elementos se ha
basado en el contenido de la metodologa de anlisis
de riesgos Magerit y del estndar ISO/IEC27005
[52]).
Tareas: El subproceso estar formado por ocho tareas:

i) seleccin de tipos de activos; ii) seleccin de
amenazas; iii) seleccin de vulnerabilidades; iv)
seleccin de criterios de riesgo; v) establecimiento de
relaciones entre tipos de activos y vulnerabilidades;
vi) establecimiento de relaciones entre amenazas y
vulnerabilidades; vii) establecimiento de relaciones
entre amenazas y controles; viii) establecimiento de
relaciones entre tipos de activos, vulnerabilidades y
criterios de riesgo. Las cuatro primeras tareas son
independientes y permiten seleccionar los elementos
de entrada. Las otras cuatro tareas se ocupan de
establecer las relaciones existentes entre las familias
de elementos de las tareas: i) T1.3.1 Seleccin de
tipos de activos; ii) T1.3.2 - Seleccin de amenazas;
iii) T1.3.3 Seleccin de vulnerabilidades; iv) T1.3.4
Seleccin de criterios de riesgo.
Estas relaciones se establecen a partir del
conocimiento del grupo de expertos del dominio
(GED) y de los continuos refinamientos obtenidos de
la implantacin de la metodologa. En las siguientes
subsecciones se detallarn estas tareas.
Lista de
C. Riesgo
Lista de
Amenazas
Lista de
Vulnerabilid.
Lista de
Activos
Conocimiento de
expertos en seguridad
Entrada
sP1 GEGS A1.3
Entregable
T1.3.1
SubLista
T. Activos
Seleccin de Tipos de Activos
Tarea
Repositorio
Flujo Informacin
T1.3.2
Seleccin de Amenazas
SubLista
Amenazas
Flujo Proceso
SubLista
Vulnerabil.
T1.3.3
Seleccin de Vulnerabilidades
SubLista
C.Riesgo
T1.3.4
Seleccin de
Criterios de Riesgo
TA+V
Asociacin
TA-V
T1.3.5
Repositorio de
Esquemas
Am+V
Establecimiento de relaciones entre

tipos de activos-vulnerabilidades
Asociacin
Am-V
T1.3.6
Am+C

amenazas-vulnerabilidades
Asociacin
Am-C
Entradas
Tareas
Salidas
T1.3.7
amenazas-controles
GEGS A1.3
Repositorio de
Esquemas
T1.3.1
T1.3.5
2 Parte
del Esquema
Conocimiento
de expertos
en seguridad
Metodologa
de anlisis
de riesgos
T1.3.8
T1.3.2
Ac+V+CR
T1.3.6
T1.3.3
T1.3.7
T1.3.4
T1.3.8
3 Parte
del Esquema
Establecimiento de relaciones entre T.Activosvulnerabilidades-criterios de riesgo
Repositorio de
Esquemas
Asociacin
Ac-V-CR C: Controles
TA: Tipos de Activos
Am: Amenazas
V: Vulnerabilidades
CR: Criterios de Riesgo.

consistir en un subconjunto de los elementos de
entrada y las relaciones establecidas entre ellos, los
cuales se almacenarn en el repositorio de esquemas y
que se corresponden con la tercera parte de los
121
intencionados, personal. Para el esquema actual se han

definido un conjunto de 51 amenazas asociadas a 6
tipos de amenazas.
elementos de los que se compondr el esquema que se

quiere generar.
En la Figura 3 se pueden ver las tareas de la actividad de
forma mucho ms detallada, mostrando cmo interactan stas
con el repositorio de esquemas encargado de contener los
elementos que conforman los diferentes esquemas del sistema.
No existen entregables entre las diferentes tareas, ya que el
resultado de cada tarea es almacenado en el repositorio, para
que pueda ser utilizado por otras tareas.
A continuacin, se analizarn uno por uno los diferentes

elementos (tipos de activos, amenazas, vulnerabilidades,
impactos y riesgo y matrices de asociacin) de los que se
compone el anlisis de riesgos propuesto en la nueva
metodologa y los valores que estos elementos pueden tomar.
Tarea T1.3.1 Seleccin de tipos de activos: Se ocupa

de seleccionar el conjunto de tipos de activos que
formarn parte del esquema que se est construyendo.
Los tipos de activos se utilizarn posteriormente para
diversas tareas: i) agrupar los activos del sistema de
informacin; ii) se relacionarn con otros elementos
del anlisis de riesgos para facilitar la automatizacin
del mismo.
El conjunto de tipos de activos ser seleccionado
en base a las metodologas, normas, etc que se
determinen como entradas de la tarea y al
conocimiento adquirido por el grupo de expertos del
domino (GED) a lo largo de la implantacin.
La seleccin del conjunto de tipos de activos que
conforma el esquema base est basado en la
metodologa de anlisis de riesgos Magerit v3.0 [48] y
en el estndar ISO/IEC27005 [52]. Para el esquema
actual se ha definido un conjunto de 23 tipos de
activos.
Tarea T1.3.2 Seleccin de amenazas: Se ocupa de

seleccionar el conjunto de amenazas que formarn
parte del esquema que se est construyendo. Una
amenaza se define como un evento que puede
desencadenar un incidente en la organizacin,
produciendo daos materiales o prdidas inmateriales
en sus activos [48]. Estas amenazas se relacionarn en
tareas posteriores con otros elementos del anlisis de
riesgos, con el objetivo de poder automatizar y reducir
los costes a la hora de evaluar el riesgo al que estn
sometidos los activos de un sistema de informacin.
El conjunto de amenazas ser seleccionado en
base a las metodologas, normas, etc que se
La seleccin del conjunto de amenazas que
conforma el esquema base est basada en la
metodologa de anlisis de riesgos Magerit [48] y en el
estndar ISO/IEC27005 [52]. Estas amenazas estn
agrupadas en un conjunto de categoras: naturales,
accidentales, ataques intencionados, errores no
Tarea T1.3.3 Seleccin de vulnerabilidades: Se

ocupa de seleccionar el conjunto de vulnerabilidades
que formarn parte del esquema que se est
construyendo. Una vulnerabilidad se define como una
debilidad o falta de control que permitira o facilitara
que una amenaza actuase contra un activo del sistema
que presenta la citada debilidad [48]. Estas
vulnerabilidades se relacionarn en tareas posteriores
con otros elementos del anlisis de riesgos, con el
objetivo de poder automatizar y reducir los costes a la
hora de evaluar el riesgo al que estn sometidos los
activos de un sistema de informacin.
El conjunto de vulnerabilidades ser seleccionado
en base a las metodologas, normas, etc, que se
La seleccin del conjunto de vulnerabilidades que
conforma el esquema base est basada en la
estndar ISO/IEC27005 [52]. Para el esquema actual
se han definido un conjunto de 48 vulnerabilidades.
Tarea T1.3.4 Seleccin de criterios de riesgo: Se

ocupa de seleccionar el conjunto de criterios de riesgo
que formarn parte del esquema que se est
construyendo. Los criterios de riesgo se definen como
aquellos criterios que permiten estimar el grado de
exposicin a que una amenaza se materialice sobre
uno o ms activos causando daos o perjuicios a la
organizacin. Estos criterios de riesgo se relacionarn
en tareas posteriores con otros elementos del anlisis
de riesgos, con el objetivo de poder automatizar y
reducir los costes a la hora de evaluar el riesgo al que
estn sometidos los activos de un sistema de
informacin.
El conjunto de criterios de riesgo ser
seleccionado en base a las metodologas, normas, etc
que se determinen como entradas de la tarea y al
La seleccin del conjunto de criterios de riesgo
que conforma el esquema base est basada en la
estndar ISO/IEC27005 [52], aunque se ha
simplificado ya que el conjunto ofrecido por Magerit
[48] se muestra demasiado complejo para la estructura
sencilla de las PYMES, por lo que para el modelo se
han seleccionado los ms importantes, prescindiendo
del resto (aunque la metodologa puede soportar un
conjunto de criterios de riesgo ms complejo). El
conjunto de criterios de riesgo definidos para el
esquema base est formado por cuatro criterios
122
(confidencialidad,
legalidad).
integridad,
disponibilidad
Tarea T1.3.5 Establecer relaciones entre tipos de

activos y vulnerabilidades: Se ocupa de establecer las
relaciones existentes entre los elementos que
componen el conjunto de tipos de activos y los
elementos que componen el conjunto de
vulnerabilidades para un esquema determinado.
El objetivo principal de este conjunto de
asociaciones es establecer relaciones entre los
elementos del SGSI para poder realizar una evaluacin
del riesgo de bajo coste en la actividad A2.3.
Estas asociaciones se establecen por el grupo de
expertos del dominio (GED) en base al conocimiento
adquirido en diferentes implantaciones del SGSI.
Para el esquema base actual, se han establecido
237 relaciones entre el conjunto de tipos de activos y
el conjunto de vulnerabilidades del esquema, en base
al conocimiento adquirido a lo largo de la
investigacin.
Tarea T1.3.6 Establecer relaciones entre amenazas

y vulnerabilidades: Se ocupa de establecer las
relaciones existentes entre los elementos que
componen el conjunto de amenazas y los elementos
que componen el conjunto de vulnerabilidades para un
esquema determinado.
Para el esquema base actual, se han establecido 79
relaciones entre el conjunto de amenazas y el conjunto
de vulnerabilidades, en base al conocimiento
adquirido a lo largo de la investigacin.
Tarea T1.3.7 Establecer relaciones entre amenazas

y controles: Se ocupa de establecer las relaciones
existentes entre los elementos que componen el
conjunto de amenazas y los elementos que componen
el conjunto de controles para un esquema
determinado.
1014 relaciones entre el conjunto de amenazas y el
conjunto de controles del esquema actual, en base al

conocimiento adquirido a lo largo de la investigacin.
Tarea T1.3.8 Establecer relaciones entre tipos de

activos, vulnerabilidades y criterios de riesgo: Se
ocupa de establecer las relaciones existentes entre los
elementos que componen el conjunto de tipos de
activos, los elementos que componen el conjunto de
vulnerabilidades y los elementos que componen el
conjunto de criterios de riesgo para un esquema
determinado.
elementos del SGSI (ver Figura 4) para poder realizar
una evaluacin del riesgo de bajo coste en la actividad
A2.3.
345 relaciones entre el conjunto de tipos de activos, el
conjunto de vulnerabilidades y el conjunto de criterios
de del esquema actual, en base al conocimiento
adquirido a lo largo de la investigacin.
Anlisis de
riesgos
Requiere de
Activos
Requiere de
Requiere de
Amenazas
Vulnerabilidades
Criterios de
Riesgo
Requiere de
Figura 4. Esquema de los componentes del anlisis de riesgos.
C. MARISMA-AGR Actividad 2: Aplicacin del Anlisis de

Riesgos.
El principal objetivo de esta actividad es establecer una
evaluacin de los riesgos a los que se encuentran sometidos
los principales activos del sistema de informacin de la
compaa sobre la que se quiere implantar el SGSI, as como
proponer un plan al responsable de seguridad (Cl/RS) para
gestionar los riesgos de la forma ms eficiente posible.
Entradas
Esquema
Tareas
GSGS A2.3
T2.3.1
Int
Salidas
InfAct, InfMR, InfPM
T2.3.2
3 Parte
Inf. SGSI
Repositorio de
SGSIs
Activos
del S.I
123

Entradas: Como entrada se recibir: i) un esquema de

los existentes en el repositorio de esquemas, que ser
seleccionado por el consultor de seguridad (CoS) en
base a las caractersticas de la compaa (sector y
tamao de la misma), del que se obtendrn los
elementos necesarios para la realizacin del anlisis de
riesgos (listado de controles, listado tipos de activos,
listado de amenazas, listado de vulnerabilidades,
listado de criterios de riesgo, relaciones entre los tipos
de activos y las vulnerabilidades, relaciones entre las
amenazas y las vulnerabilidades, relaciones entre las
amenazas y los controles y relaciones entre los tipos
de activos, las vulnerabilidades y los criterios de
riesgo); ii) el interlocutor (Int) vlido para la
compaa, el cual se encargar de definir los activos;
iii) un conjunto de activos del sistema de informacin,
lo ms generalistas posible (grano grueso).
Tareas: El subproceso estar formado por dos tareas.
Estas tareas son: i) identificacin de activos; y ii)
generacin de la matriz de riesgos y el plan de mejora.
La tarea T2.3.2 (Generacin de la matriz de riesgos y
del plan de mejora) es dependiente de la T2.3.1
(Identificacin de activos), por lo que no podr
ejecutarse hasta la finalizacin de sta.
consistir en una serie de entregables (InfAct Informe de activos del sistema de informacin, InfMR
- Matriz de riesgos a los que estn sometidos los
activos del sistema de informacin y el InfPM - Plan
de mejora recomendado por la metodologa para
afrontar las mejoras en la gestin de la seguridad del
SGSI) para que el consultor de seguridad (CoS) pueda
analizarlos. La informacin contenida en estos
entregables ser almacenada en el repositorio de
SGSIs para que posteriormente pueda utilizarse en la
generacin de los elementos que componen el SGSI
de la compaa.
En la Figura 6 se pueden ver las tareas de la actividad de

forma mucho ms detallada, mostrando cmo interactan con
el repositorio de SGSIs encargado de contener los elementos
que conforman los SGSIs. Cada tarea generar un entregable
para su anlisis por parte del consultor de seguridad (CoS) y
almacenar la informacin para que sea utilizada
posteriormente en la actividad A2.4 (Generacin del SGSI).
El desarrollo de esta actividad est
propuestos por Stephenson que se centran en
la prueba tcnica y el anlisis de riesgos
referencia la ISO/IEC27002 [53] y en la
anlisis de riesgos Magerit v3 [48].
basado en los
la sinergia entre
tomando como
metodologa de
Estas metodologas suelen producir rechazo en el caso de

las PYMES debido a que stas las perciben como demasiado
complejas, a que requieren un enorme compromiso por parte
de los miembros de la compaa y a que los costes asociados a
los mismos no son aceptados por las compaas. Por ello, la

metodologa MARISMA simplifica el proceso de evaluacin
del riesgo para adecuarlo a las PYMES.
Lista de
Activos del S.I
Int
Esquema
sP2 GSGS A2.3
Entrada
Entregable
T2.3.1
Identificacin de activos
LAct:
Lista de
Activos
Tarea
Repositorio
InfAct
T2.3.2
Check-list
Generacin de la Matriz de Riesgos

y del Plan de Mejora
MR:
Matriz de
Riesgos
Flujo Informacin
Flujo Proceso
PM:
Plan de
Mejora
InfMR, InfPM
Repositorio de
Esquemas
Repositorio de
SGSIs
InfAct, InfMR, InfPM
Las principales bases sobre las que se define esta actividad

son: flexibilidad, simplicidad y eficiencia en costes (humanos
y temporales). Se trata pues de una actividad que pretende
identificar con el menor coste posible los activos de la
compaa y los riesgos asociados, usando para ello los
resultados generados en las actividades anteriores y unos
sencillos algoritmos.
La parte de anlisis de riesgos de la metodologa
desarrollada toma algunos aspectos de Magerit v3 [48] y
algunos aspectos de los anlisis de riesgos clsicos (Figura 7),
pero en todo momento tiende a la simplificacin.
Para que esta actividad funcione de forma coherente se
deben tener en cuenta las condiciones especiales de las
PYMES, en las que los usuarios no suelen tener ni el tiempo ni
los conocimientos adecuados para aplicar de forma eficiente
metodologas de anlisis de riesgos, ni para determinar de
forma adecuada los activos de los sistemas de informacin.
Al igual que en las actividades anteriores, cuando se trata
de PYMES no se busca la opcin ptima sino una opcin
razonablemente buena que permita grandes reducciones de
tiempos a la hora de obtener el resultado [75].
Activos
Amenazas
Impactos
Vulnerabilidades
Riesgos
Figura 7. Esquema general del anlisis de riesgos.
124
Las tareas de esta actividad se apoyarn principalmente en

la parte tercera del esquema seleccionado, que se corresponde
con la generada durante la actividad A1.3 (Generacin de las
tablas del anlisis de riesgos) y en la lista de controles
obtenida en la tarea T1.2.2 (Establecimiento de los controles
del modelo) del subproceso GEGS (Generacin de Esquemas).
compaa para mitigar riesgos elevados sobre los

activos de informacin de la compaa.
El primer objetivo de esta tarea es generar una
matriz de riesgo que nos permita conocer los riesgos a
los que est sometido cada activo de la compaa en
cada nivel de madurez y para cada elemento del
anlisis de riesgos (amenazas, vulnerabilidades y
criterios de riesgo). El resultado ser una tabla con las
siguientes columnas:
A continuacin mostramos las tareas que componen la

actividad:
o
o
o
Tarea T2.3.1 Identificacin de activos: El objetivo

de la tarea T2.3.1 es obtener un conjunto de los
activos que componen el sistema de informacin de la
empresa. Los activos definidos son el objetivo
principal hacia el que se enfoca el SGSI, ya que son
los elementos que se pretenden proteger, porque
suponen valor para la compaa y en la mayor parte de
los casos son su factor diferenciador con respecto a la
competencia.
Una de las diferencias principales que presenta el
mtodo para la evaluacin del riesgo presentado en la
metodologa frente a Magerit [48] es que se busca que
los activos sean lo ms generales (grano grueso),
mientras que Magerit intenta identificarlos de forma
clara y precisa (grano fino).
o
o
o
o
o
o
En las PYMES se debe intentar definir un

conjunto muy pequeo y bsico de activos, ya que su
sistema de informacin no permite la proteccin
discriminada de activos de baja atomicidad, ni puede
soportar el coste de gestin de los mismos. Por lo
tanto, en esta tarea se buscarn activos generales que
se puedan valorar de forma sencilla tanto desde el
punto de vista cuantitativo como cualitativo.
En esta tarea el consultor de seguridad (CoS)
deber ayudar el interlocutor (Int) a identificar el
conjunto de activos de valor que componen el S.I. de
la compaa.
Los resultados generados en esta tarea son
fundamentales para poder realizar una evaluacin del
riesgo y un plan de mejora en la tarea T2.3.2.
Tarea T2.3.2 Generacin de matriz de riesgos y plan

de mejora: El objetivo de la tarea T2.3.2 es realizar
una evaluacin de los riesgos a los que estn
sometidos los activos de la empresa definidos en la
tarea T2.3.1.
Esta tarea requiere de los datos generados durante
la actividad A1.3 y de los activos identificados en la
tarea T2.3.1 para generar una matriz riesgos que
muestre de forma detallada los riesgos a los que est
sometido cada activo y un plan de mejora que
determine cmo acometer estos riesgos.
El plan de mejora se soporta sobre los resultados
obtenidos de la matriz de riesgos. La matriz de riesgos
y el plan de mejora son utilizados por el consultor de
seguridad (CoS) para determinar y analizar medidas
adicionales y urgentes que deban tomarse en la
Nivel: Nivel de Madurez de la seguridad.

Nombre y descripcin del activo.
Coste del activo: valor cuantitativo que tendra la
prdida del activo para la compaa.
Valor estratgico: valor cualitativo que tendra la
prdida del activo.
Tipo de activo.
Amenaza.
Vulnerabilidad.
Criterios de riesgo.
Nivel de la amenaza (NA): Se determina
teniendo en cuenta el impacto que producira
sobre un activo la explotacin de una amenaza.
La escala tendr valores comprendidos entre
[bajo = 1, medio = 2, alto =3].
Nivel de probabilidad (P): Se define como la
probabilidad de ocurrencia de una vulnerabilidad
en funcin de criterios empricos. La escala
tendr valores comprendidos entre [bajo = 1,
medio = 2, alto =3].
Nivel de riesgo (NR): La definicin del nivel de
riesgo (NR) se obtiene a partir de la probabilidad
(P) de ocurrencia (vulnerabilidad) y el nivel de la
amenaza (NA) (ver Ecuacin 1).
NR = P * NA
Siendo:
NR: Nivel de riesgo.
P: Probabilidad de ocurrencia de las vulnerabilidades.
NA: Nivel de la amenaza.

Ecuacin 1. Nivel de riesgo.
El valor obtenido en el nivel de riesgo (NR) se

multiplicara por el valor del activo y se gestionar
segn la Tabla I y se mover en un rango
comprendido entre 1 (menor riesgo) y 27 (mayor
riesgo). Se ha determinado que el nivel del riesgo
residual (NRR), es decir, el que tiene actualmente la
compaa, nunca debe ser superior al nivel de riesgo
aceptable (NRA), que es al que debe tender la
compaa. Para la metodologa se ha considerado que
el NRA sea menor o igual a 4. Si el NR fuera superior
al NRA, se procede a la seleccin de salvaguardas
para la reduccin del riesgo, realizando el proceso de
forma recursiva hasta conseguir que el nivel de riesgo
de la compaa sea el adecuado.
125
NA
NRA=<4
Valor
activo
TABLA I. NIVELES DE RIESGO

Bajo
Medio
1. Se obtiene el nivel de cobertura o cumplimiento de cada control

de la ISO/IEC27002 por niveles, es decir el NCCA.
Alto
12
12
18
12
18
18
27
Nivel de control o cobertura: Es el nivel de

cumplimiento de un control de seguridad con
respecto a un activo determinado, sometido a una
amenaza, y que se obtiene a partir de las
Ecuaciones 2 y 3. Este dato es fundamental para
poder obtener el plan de mejora, ya que el
sistema utilizar el valor de NCCAA para
planificar el orden en que deben mejorarse los
controles para minimizar los riesgos.
NCCAA(x,y,z) = (VACAM)/NCAM
Siendo:
NCCAA: Nivel de cobertura o cumplimiento que ofrecen

los controles actuales ubicados en el sistema para un
activo X frente a una amenaza Y con respecto al nivel de
seguridad Z.
NCAM: Nmero de controles afectados por la amenaza

para ese nivel.
VACAM: Valor actual del control afectado por la

amenaza para cada uno de los niveles.
Ecuacin 2. Nivel de cobertura de un control para el par activoamenaza.
2. Se obtiene el impacto de las amenazas para cada activo y nivel,

mediante la asociacin de las matrices con tipos de activos x
amenazas x controles, obteniendo el nivel de cobertura media de los
controles asociados al activo, la amenaza y el nivel y normalizando
dichos controles como [>=0.75 1.00] => Impacto = Bajo, [>=0.25
0.75<] => Impacto = Medio, [>=0.00 0.25<] => Impacto = Alto.
3. Se obtiene la probabilidad de ocurrencia de una vulnerabilidad
sobre un activo y un nivel, mediante la asociacin de las matrices con
tipos de activos x vulnerabilidades x amenazas x controles,
obteniendo el nivel de cobertura media de los controles asociados al
activo, la vulnerabilidad y el nivel y normalizando dichos controles
como [0.75 1.00] => Probabilidad de ocurrencia = Bajo, [0.25
0.75] => Probabilidad de ocurrencia = Medio, [0.00 0.25] =>
Probabilidad de ocurrencia = Alto.
4. Se obtiene la matriz de riesgo, para obtener el nivel de riesgo de
cada activo teniendo en cuenta las vulnerabilidades, amenazas y
criterios de riesgos a los que est sometido, as como el nivel de
cobertura de los controles asociados a ste. Para ello se multiplican
todas las matrices asociadas activo x tipo activo x amenazas x
vulnerabilidades x criterios riesgo x controles, asociados a las
probabilidades de impacto y ocurrencia obtenidas en los puntos
anteriores que determinarn el nivel de riesgo [127].
Figura 8. Pseudocdigo del algoritmo de matriz de riesgos.
Algoritmo: Plan de mejora.

Esquema = Se selecciona el esquema de trabajo.
Empresa = Se selecciona la compaa sobre la que se realizar el
SGSI.
SGSI = Se selecciona el SGSI para esa compaa.
NCCA = (NCCAA)/ NAA
Instancia del SGSI = Se selecciona la instancia concreta del SGSI.
NCCA: Nivel de cobertura que ofrecen los controles

actuales ubicados en el sistema para un activo X frente a
cualquier amenaza.
1. Mientras el nivel de riesgo sea mayor que el riesgo aceptable

(NRA=<4)
Siendo:
NCCAA: Nivel de cobertura que ofrecen los controles

actuales ubicados en el sistema para un activo X frente a
una amenaza Y con respecto al nivel de seguridad Z.
1.1. Se recalcula la matriz de riesgo ordenada por nivel

ascendente y riesgo descendente.
1.2. Queda algn elemento en la matriz de los niveles
alcanzables cuyo riesgo sea inaceptable.
NAA: Nmero de amenazas que afectan al activo.
1.2.1. No => Salir del ciclo.
Ecuacin 3. Nivel de cobertura de un control para un activo.
1.2.2. Si => Siguiente ciclo.

1.3. Se selecciona el primer registro de la matriz.
Para poder obtener de una forma sencilla el riesgo

al que est sometido cada activo y el nivel de
cobertura de cada control, se utilizar el algoritmo de
Matriz de Riesgos (aMR) (ver Figura 8).
Algoritmo: Matriz de riesgos.
Esquema = Se selecciona el esquema de trabajo.
1.4. Se obtienen los controles asociados a ese registro de la

matriz.
1.5. Se selecciona el control que menos nivel de cobertura
tenga.
1.6. Se emite la recomendacin completa de la evolucin que
supondra aplicar el control.
1.7. Se actualiza el control a nivel de cumplimiento = total,
para que al recalcular la matriz se actualicen todos los pesos.
2. Fin ciclo.
Empresa = Se selecciona la compaa sobre la que se realizar el

SGSI.
SGSI = Se selecciona el SGSI para esa compaa.
Instancia del SGSI = Se selecciona la instancia concreta del SGSI.
Aclaracin: Con la modificacin de cada control, se recalcula

nuevamente toda la matriz, porque los niveles de riesgos se pueden
ver alterados.
Figura 9. Pseudocdigo del algoritmo del plan de mejora.
126
Una vez que se ha obtenido la matriz de

riesgos, se utilizar junto con la informacin
generada en las tareas anteriores para obtener el
plan de mejora, mediante la aplicacin del
algoritmo del Plan de Mejora (aPM) (ver Figura
9).
cada uno de los activos que componen el sistema de

informacin de la compaa.
Este algoritmo funciona de forma recursiva,

determinando el activo de mayor riesgo en el
menor nivel de madurez, y aplicando el control
que permita mejorarlo con el menor coste, para
posteriormente recalcular todo el proceso y
seleccionar el siguiente mejor, hasta llegar al
nivel de gestin de seguridad ptimo.
Figura 11. A2 Pantalla de realizacin del AR.
IV. HERRAMIENTA Y SU APLICACIN EN CASOS REALES.

Se ha desarrollado una aplicacin capaz de dar soporte al
proceso de anlisis y gestin de riesgos, diseado para las
PYMES. Esta aplicacin est dividida en dos zonas, que se
ocupan de dar soporte a cada una de las actividades del
proceso MARISMA-AGR.
La matriz generada por el modelo MARISMA para el caso

real de la compaa Sicaman Nuevas Tecnologas (SNT)
consta de 711 registros, pero por motivos de tamao aqu se
presentan slo los 10 primeros. Como se puede ver en la Tabla
II, la matriz de riesgos contiene una informacin muy
completa sobre los riesgos actuales a los que est sometido el
sistema de informacin de la compaa, que puede ser de gran
utilidad para el responsable del departamento de informtica y
para el responsable de seguridad de cara a tomar decisiones.
Hw
Accin
industria
l
Hw
Controles de
Dao
acceso fsico a
premedit las instalaciones
ado
inadecuados o
inexistentes
D M M 5
0.65
Hw
Fallo/err
or de
manteni
miento
D M M 5
0.69
D M M 5
N H Servid
1 w or
50,000
Servicio de
mantenimiento
inadecuado
D A M 6
0.21
Hw
0.68
Criterios de Riesgo
Impacto
Vulnerabilidad
Nivel de Riesgo
Nivel de Control
Vulnerabilidad
Amenaza
Tipo de Activo
Valor Estratgico
Coste ()
50,000
Descripcin
N H Servid
1 w or
Fallo del
hardwar Servicio de
e
mantenimiento
(soporte inadecuado
fsico)
La realizacin del anlisis de riesgos, al estar basada en la

metodologa desarrollada, tiene como nica tarea destacable la
introduccin de los activos del sistema de informacin de la
compaa (Figura 11), que debern cuantificarse. Esta zona se
corresponde con la segunda actividad del subproceso
MARISMA-AGR.
N H Servid
1 w or
50,000
En la Figura 10 se puede ver cmo se asocian los

componentes bsicos del anlisis de riesgos para establecer las
relaciones entre ellos, que permitirn reducir los tiempos de
generacin del anlisis de riesgos.
N H Servid
1 w or
50,000
Dentro de la zona de gestin de esquemas de la aplicacin

se encuentra la gestin de anlisis de riesgos, que permitir
configurar los diferentes componentes bsicos del anlisis de
riesgos aadiendo o eliminado nuevos elementos a estos
componentes. Esta zona se corresponde con la primera
actividad del proceso de AGR.
Nombre
Figura 10. A1 Pantalla de matrices del AR.
Nivel
TABLA II. MATRIZ DE RIESGOS DE SNT
A partir de los activos y los resultados obtenidos del nivel

de cumplimiento de los controles de la ISO/IEC27002 [53], el
modelo genera una completa matriz de los riesgos de la
compaa de forma totalmente automtica, para que el
responsable de seguridad pueda tener un mapa completo de los
riesgos, vulnerabilidades, amenazas y el nivel de cobertura de
La matriz de riesgos contiene informacin detallada de los

activos para cada nivel de madurez, y de cmo se ven
afectados stos segn el tipo del activo, las amenazas a la que
estn sometidos dichos activos, las vulnerabilidades existentes
y los criterios de riesgos que se han tomado en cuenta para
Formacin en
materia de
seguridad
insuficiente
127
este activo. A partir de toda esta informacin se valora el

impacto de cada amenaza sobre un activo, y la probabilidad de
ocurrencia de cada vulnerabilidad, lo que permite establecer
un nivel de riesgo que se asociar al nivel de control de la
compaa para determinar cmo acometer posteriormente un
plan de mejora.
A partir de la matriz de riesgos, el sistema es capaz de
proponer una serie de pasos para aumentar el nivel de
seguridad de la compaa en el menor tiempo posible,
incluidos en un plan de mejora (Tabla III). Para ello, y
mediante un algoritmo recursivo basado en los riesgos de los
activos, analiza los controles que deben acometerse en cada
momento para llegar a un nivel de riesgo aceptable.
Para el caso de SNT, el sistema requiere de 48 pasos para
alcanzar un nivel de riesgo aceptable para el S.I. de la
compaa. Por motivos de espacio se muestran solo los
primeros pasos del plan de mejora.
TABLA III. PLAN DE MEJORA PARA SNT
Paso 1: El nivel actual de la compaa es nivel1 con un riesgo mximo en
este nivel de 6. El activo ms afectado por este riesgo es: hardware
(servidores) cuya prdida tendra un coste para la organizacin de 50.000 y
cuyo valor estratgico para la compaa es de 3 sobre 7, siendo el tipo del
activo "hardware". El nivel de riesgo de este activo para la amenaza "fallo
del hardware (soporte fsico)" es de 6 contando actualmente el sistema con
un nivel de cobertura de controles de 0.21, por lo que se recomienda
acometer la activacin del control [10.7.2] (retirada de soportes.).
Paso 2: El nivel actual de la compaa es nivel 1 con un riesgo mximo en
este nivel de 6. El activo ms afectado por este riesgo es: hardware
(servidores) cuya prdida tendra un coste para la organizacin de 50.000 y
cuyo valor estratgico para la compaa es de 3 sobre 7, siendo el tipo del
activo "hardware". El nivel de riesgo de este activo para la amenaza "fallo
del hardware (soporte fsico)" es de 6 contando actualmente el sistema con
un nivel de cobertura de controles de 0.21, por lo que se recomienda
acometer la activacin del control [10.5.1] (copias de seguridad de la
informacin.).
Paso 3: El nivel actual de la compaa es nivel 1 con un riesgo mximo en
este nivel de 5. El activo ms afectado por este riesgo es: medios de soporte
(copias de seguridad.) cuya prdida tendra un coste para la organizacin de
100.000 y cuyo valor estratgico para la compaa es de 3 sobre 7, siendo
el tipo del activo "medios de soporte". El nivel de riesgo de este activo para
la amenaza "fallo en la ruta de los mensajes" es de 5 contando actualmente
el sistema con un nivel de cobertura de controles de 0.50, por lo que se
recomienda acometer la activacin del control [12.3.1] (poltica de uso de
los controles criptogrficos.).
V. CONCLUSIONES.
En este artculo se ha presentado la propuesta de un
proceso para realizar el anlisis y gestin del riesgo en las
PYMES denominado MARISMA-ARG, que permite soportar
los resultados generados durante la investigacin y que
cumple con los objetivos perseguidos.
El anlisis de riesgos para las PYMES deber tener un
coste de generacin y mantenimiento muy reducido, an a
costa de sacrificar precisin en el mismo, pero siempre
manteniendo unos resultados con la calidad suficientes.
Se ha definido cmo se puede utilizar este proceso y las

mejoras que ofrece con respecto a otros modelos que afrontan
el problema de una forma ms precisa y detallada, pero
tambin ms costosa, lo que no las hace vlidas para el caso de
las PYMES.
Las caractersticas ofrecidas por el proceso y su
orientacin a las PYMES ha sido muy bien recibida, y su
aplicacin est resultando muy positiva ya que permite a este
tipo de empresas realizar una adecuada gestin del riesgo al
que estn sometidos los activos de su sistema de informacin.
Adems, con este proceso se obtienen resultados a corto plazo
y se reducen los costes que supone el uso de otros procesos,
consiguiendo un mayor grado de satisfaccin de la empresa.
El proceso MARISMA-AGR cumple con los objetivos
propuestos, as como con los principios que segn la OCDE
[76] debe seguir todo proceso de evaluacin del riesgo, segn
el cual el sistema debe tener la capacidad de autoevaluar su
riesgo de forma continuada en el tiempo, proponiendo
medidas.
Finalmente, se considera que el trabajo realizado debe ser
ampliado con nuevas especificaciones, nuevos esquemas,
mejorando los algoritmos de anlisis y gestin del riesgo de
forma que puedan ofrecer planes ms detallados y
profundizando en el proceso con nuevos casos de estudio.
La mayor parte de las futuras mejoras del proceso se estn
orientando a mejorar la precisin del mismo, pero siempre
respetando el principio de coste de recursos, es decir, se busca
mejorar el proceso sin incurrir en costes de generacin y
mantenimiento del anlisis de riesgos.
AGRADECIMIENTOS
Ecuador.
Referencias
[1]
[2]
[3]
Wiander, T. Implementing the ISO/IEC 17799 standard in practice

experiences on audit phases. in AISC '08: Proceedings of the sixth
Australasian conference on Information security. 2008.
Wollongong, Australia.
Johnson, M., Cybercrime: Threats and Solutions, 2014.
metrics, 2014.
128
[4]
[5]
[6]
[7]
[8]
[9]
[10]
[11]
[12]
[13]
[14]
[15]
[16]
[17]
[18]
[19]
[20]
[21]
[22]
[23]
[24]
[25]
[26]
Wiander, T. and J. Holappa, Theoretical Framework of ISO 17799

Compliant. Information Security Management System Using Novel
ASD Method., in Technical Report, V.T.R.C.o. Finland, Editor
2006.
Cengage Learning.
Kluge, D. Formal Information Security Standards in German Medium
Enterprises. in CONISAR: The Conference on Information Systems
Applied Research. 2008.
Dhillon, G. and J. Backhouse, Information System Security Management
in the New Millennium. Communications of the ACM, 2000. 43(7):
p. 125-128.
Brinkley, D. and R. Schell, What Is There to Worry About? An
Introduction to the Computer Security Problem, in Information
Security, An Integrated Collection of Essays, M. Abrams, S.
Jajodia, and H. Podell, Editors. 1995, IEEE Computer Society:
California.
Chung, L., et al., Non-functional requirements in software
engineering2000, Boston/Dordrecht/London: Kluwer Academic
Publishers.
Dhillon, G., Information Security Management: Global challenges in the
new millennium2001: Idea Group Publishing.
Ghosh, A., C. Howell, and J. Whittaker, Building Software Securely
from the Ground Up. IEEE Software, 2002. 19(1): p. 14-16.
Hall, A. and R. Chapman, Correctness by Construction: Developing a
Commercial Secure System. IEEE Software, 2002. 19(1): p. 18-25.
Jrjens, J. Towards Development of Secure Systems using UML. in
International Conference on the Fundamental Approaches to
Software Engineering (FASEiTAPS). 2001. Springer.
Masacci, F., M. Prest, and N. Zannone, Using a security requirements
engineering methodology in practice: The complanse with the
Italian data protection legislation. Computer Standards &
Interfaces, 2005. 27: p. 445-455.
Walker, E., Software Development Security: A Risk Management
Perspective. The DoD Software Tech. Secure Software
Engineering, 2005. 8(2): p. 15-18.
Volonino, L. and S. Robinson. Principles and Practice of Information
Security. in 1 edition, Anderson, Natalie E. 2004. New Jersey,
EEUU.
Michalson, L., Information security and the law: threats and how to
manage them. Convergence, 2003. 4(3): p. 34-38.
Cholez, H. and F. Girard, Maturity assessment and process improvement
for information security management in small and medium
enterprises. Journal of Software: Evolution and Process, 2014.
26(5): p. 496-503.
Spinellis, D. and D. Gritzalis. Information Security Best Practise
Dissemination: The ISA-EUNET Approach. in WISE 1:First World
Conference on Information Security Education. 1999.
Snchez, L.E., et al., Managing Security and its Maturity in Small and
Vivas, T., A. Zambrano, and M. Huerta. Mechanisms of security based
on digital certificates applied in a telemedicine network. in
Engineering in Medicine and Biology Society, 2008. EMBS 2008.
30th Annual International Conference of the IEEE. 2008.
Puma, J.P., et al. Mobile Identification: NFC in the Healthcare Sector. in
Andean Region International Conference (ANDESCON), 2012 VI.
2012.
Vivas, T., et al., Aplicacin de Mecanismos de Seguridad en una Red de
Telemedicina Basados en Certificados Digitales, in IV Latin
American Congress on Biomedical Engineering 2007,
Bioengineering Solutions for Latin America Health, C. MllerKarger, S. Wong, and A. La Cruz, Editors. 2008, Springer Berlin
Heidelberg. p. 971-974.
Alebrahim, A., D. Hatebur, and L. Goeke. Pattern-based and ISO 27001
compliant risk analysis for cloud systems. in Evolving Security and
Privacy Requirements Engineering (ESPRE), 2014 IEEE 1st
Workshop on. 2014.
Dimopoulos, V., et al. Approaches to IT Security in Small and Medium
73-82.
[27] Holappa, J. and T. Wiander, Practical Implementation of ISO 17799.

Compliant Information Security Management System Using Novel
ASD Method., in Technical Report, V.T.R.C.o. Finland, Editor
2006.
[28] Llvonen, L. Information Security Management in Finnish SMEs. in 5th
European Conference on Information Warfare and Security
National Defence College. 2006. Helsinki, Finlan: 1-2 June 2006.
[29] ISO/IEC17799, ISO/IEC 17799, Information Technology - Security
Techniques - Code of practice for information security
management, 2000.
[31] Shaw, M., What makes good research in software engineering?
International Journal on Software Tools for Technology Transfer
(STTT), 2002. 4(1): p. 1-7.
[32] Dimopoulos, V., et al. Factors affecting the adoption of IT risk analysis.
in Proceedings of 3rd European Conference on Information
Warfare and Security. 2004. Royal Holloway, University of
London: 28-29 June 2004.
[33] Siegel, C.A., T.R. Sagalow, and P. Serritella, Cyber-Risk Management:
Technical and Insurance Controls for Enterprise-Level Security.
Security Management Practices, 2002. sept/oct: p. 33-49.
[34] Garigue, R. and M. Stefaniu, Information Security Governance
Reporting. Information Systems Security, 2003. sept/oct: p. 36-40.
[35] Mercuri, R.T., Analyzing security costs. Communication of the ACM,
2003. 46: p. 15-18.
[36] Bugdol, M. and P. Jedynak, Integration of Standardized Management
Systems, in Integrated Management Systems2015, Springer
International Publishing. p. 129-160.
[37] Barrientos, A.M. and K.A. Areiza, Integration of a safety management
system withan information quality management system., in
Masters thesis2005, Universidad EAFIT.
[38] Lund, M.S., F.d. Braber, and K. Stolen, Proceedings of the Seventh
European Conference On Software Maintenance And
Reengineering (CSMR03). IEEE, 2003.
[39] Fredriksen, R., et al. The CORAS framework for a model-based risk
management process. in 21st International Conference on
Computer Safety, Reliability and Security (Safecomp 2002). 2002.
Springer: LNCS 2434.
[40] ISBS, Information Security Breaches Survey 2006. Department of Trade
[41] Snchez, L.E., et al. Security Management in corporative IT systems
using maturity models, taking as base ISO/IEC 17799. in
International Symposium on Frontiers in Availability, Reliability
and Security (FARES06) in conjunction with ARES. 2006. Viena
(Austria).
[42] Snchez, L.E., et al. MMISS-SME Practical Development: Maturity
Model for Information Systems Security Management in SMEs. in
(WOSIS07). 2007b. Funchal, Madeira (Portugal). June.
[43] Snchez, L.E., et al. Developing a model and a tool to manage the
information security in Small and Medium Enterprises. in
International Conference on Security and Cryptography
(SECRYPT07). 2007a. Barcelona. Spain.: Junio.
[44] Snchez, L.E., et al. Developing a maturity model for information system
security management within small and medium size enterprises. in
(WOSIS06). 2006. Paphos (Chipre). March.
[45] Snchez, L.E., et al. SCMM-TOOL: Tool for computer automation of the
Information Security Management Systems. in 2nd International
conference on Software and Data Technologies (ICSOFT07). .
2007c. Barcelona-Espaa Septiembre.
[46] Snchez, L.E., et al. Practical Application of a Security Management
Maturity Model for SMEs Based on Predefined Schemas. in
International Conference on Security and Cryptography
(SECRYPT08). 2008. PortoPortugal.
[47] Gupta, A. and R. Hammond, Information systems security issues and
[48] V3, M., Methodology for Information Systems Risk Analysis and
Management (MAGERIT version 3), 2012, Ministerio de
Administraciones Pblicas (Spain).
[49] Alberts, C.J. and A.J. Dorofee, Managing Information Security Risks:
The OCTAVE Approach., ed. A.-W.P. Co.2002.
129
[50] CRAMMv5.0, CRAMM v5.0, CCTA Risk Analysis and Management

Method., 2003.
[51] Gerber, M. and R. Von Solms, Management of risk in the information
age. Computers & Security, 2005. 24(1): p. 16-30.
[52] ISO/IEC27005, ISO/IEC 27005:2011, Information Technology Security Techniques - Information Security Risk Management
Standard (under development). 2011.
2013.
[54] Disterer, G., Iso/iec 27000, 27001 and 27002 for information security
management. 2013.
[55] Beckers, K., et al., Supporting the Development and Documentation of
ISO 27001 Information Security Management Systems through
Security Requirements Engineering Approaches, in Engineering
Secure Software and Systems, G. Barthe, B. Livshits, and R.
Scandariato, Editors. 2012, Springer Berlin Heidelberg. p. 14-21.
[56] ISO/IEC13335-3, ISO/IEC TR 13335-3, Information technology -Guidelines for the management of IT Security -- Part 3:
Techniques for the management of IT Security., 1998.
[57] ISO/IEC13335-4, ISO/IEC TR 13335-4, Information technology -Guidelines for the management of IT Security -- Part 4: Selection
of safeguards., 2000.
[58] SSE-CMM, Systems Security Engineering Capability Maturity Model
(SSE-CMM), Version 3.0. Department of Defense. Arlington VA.
326., 2003.
[59] ISO/IEC21827, ISO/IEC 21827:2008, Information technology - Systems
Security Engineering - Capability Maturity Model (SSE-CMM),
2008, ISO/IEC. p. 123.
[60] ISO/IEC15443-1, ISO/IEC TR 15443-1:2012, Information technology -Security techniques -- A framework for IT security assurance -Part 1: Overview and framework., 2012.
[61] ISO/IEC15443-2, ISO/IEC TR 15443-2:2012, Information technology -Security techniques -- A framework for IT security assurance -Part 2: Assurance methods., 2012.
[62] ISO/IEC-CCv3.1, Common Criteria for Information Technology
Security Evaluation., 2007.
[63] ISO/IEC20000-1, ISO/IEC 20000-1:2011, Information technology Service management - Part 1: Specification., 2011.
[64] ISO/IEC20000-2, ISO/IEC 20000-2:2012, Information technology Service management - Part 2: Code of practice., 2012.
[65] COBITv5.0, Cobit Guidelines, Information Security Audit and Control
Association, ISACA, Editor 2013.
[66] Batista, J. and A. Figueiredo, SPI in very small team: a case with CMM.
Software Process Improvement and Practice, 2000. 5(4): p. 243250.
[67] Hareton, L. and Y. Terence, A Process Framework for Small Projects.
Software Process Improvement and Practice, 2001. 6: p. 67-83.
[68] Tuffley, A., B. Grove, and M. G, SPICE For Small Organisations.
[69] Calvo-Manzano, J.A., et al., Experiences in the Application of Software
Process Improvement in SMES. Software Quality Journal., 2004.
10(3): p. 261-273.
[70] Mekelburg, D., Sustaining Best Practices: How Real-World Software
Organizations Improve Quality Processes. Software Quality
Professional, 2005. 7(3): p. 4-13.
[71] ISO/IEC13335-5, ISO/IEC TR 13335-5, Information technology -Guidelines for the management of IT Security -- Part 5:
Management guidance on network security., 2001.

[76] OECD, OECD Guidelines for the Security of Information Systems and
Networks: Towards a Culture of Security., O.f.E.C.-o.a.D.
(OECD). Editor 2002: Paris.
Antonio Santos-Olmo is MsC in in Computer Science and
is an Assistant Professor at the Escuela Superior de
Auditor by ISACA. He is the Director of Software Factory departments of the
company Sicaman Nuevas Tecnologas S.L. His research activities are
management security system, security metrics, data mining, data cleaning, and
business intelligence. He participates in the GSyA research group of the
Department of Computer Science at the University of Castilla- LaMancha, in
Ciudad Real (Spain).
Fuerzas Armadas (ESPE) of Latacunga (Ecuador), MSc
in Information Systems Audit from the Polytechnic
Nuevas Tecnologas S.L. COIICLM board or committee
member and responsible for the professional services committee. His research
group of the Department of Computer Science at the University of CastillaLaMancha, in Ciudad Real (Spain).
Esther lvarez President of Private Foundation Innova and Research of the UPM. Consultant in strategic
communications programs radio, mobile and wireless
both public and private sectors and in civil and military.
Currently a member of the board of the Delegation of
COIT (Association of Telecommunications Engineers)
CLM, representative of Castilla La Mancha in the
groups of the free and COIT New Technologies of the
National Coordinator of the Treatment Research Chair in Digital Image at the
Madrid Polytechnic University of Madrid. PhD in Information Systems
specializing in Business ETSI Industriales (UPM) and the Specialty Program
Communications Signals, Systems and Radiocommunications Department
SSR ETSI Telecomunicaciones (UPM).
Monica Karel Huerta is PhD in Telematic Engineering
from Polytechnic University of Catalonia (Spain) in 2006
with the distinction of Cum-laude. Also she is MSc in
Biomedical Engineering and Electrical Engineer from
Simon Bolivar University (USB) in 1999 and 1994
respectively. She was Professor, Dean of Graduate
Studies and Coordinator of the Doctorate in Engineering
at USB. She was the founder of Networks and Telematics
group in USB. She is a senior member of the IEEE, and belongs at Women in
Engineering, Communications and Engineering in Medicine and Biology
societies. She is currently professor at the Salesian University (Ecuador).
(Spain), his research activity being in the field of security
in databases, datawarehouses, web services and information
the University of Castilla-La Mancha, in Ciudad Real, Spain.
130
El defecto de la seguridad por defecto en

SCADA y SHODAN
Manuel Snchez Rubio, Jos Miguel Gmez-Casero Marichal
UNIR Universidad Internacional de la Rioja, Logroo, Espaa
manuel.sanchezrubio@unir.net;jmgomezcasero@yahoo.es
Abstract this paper presents a potential threat that exists
when both developers and companies deploy SCADA for critical
infrastructures without taking care about security. In this paper
we will talk about the search engine Shodan and its job when
attackers gather information about a target or when they are
searching for an asset to attack. We will end the research with a
proof of concept simulating an attack to these SCADA systems,
following the steps of a normal attacker, from the search query
into the Shodan search engine until the access granted successfully
into a critical infrastructure.
Keywords scada, default security, critical infrastructure,
shodan, footprinting.
I. INTRODUCCION
Internet de las Cosas (IoT) [1] no ha terminado de
materializarse, pero cada da las personas hacen uso de la
tecnologa para cumplir sus necesidades, desde pequeas
consultas cotidianas hasta poder comprar productos con un solo
botn preprogramado.
Un indicador de que el IoT est sobre la sociedad es la
posibilidad de solicitar a la compaa de comercio electrnico
Amazon un botn dash button que, cada vez que el usuario
pulsa, se enviar a su domicilio un pedido segn los parmetros
establecidos en el dispositivo (por ejemplo, para solicitar
productos consumibles y cotidianos).
Lo que parece ser un simple dispositivo electrnico al
servicio del usuario esconde, a su vez, un foco potencial de
inseguridad para el usuario, ya que su utilizacin es nicamente
un botn, pero tras este mecanismo existe, principalmente, un
envo de datos a los servidores de la compaa, donde se
realizar un pedido segn la informacin de la solicitud emitida.
Si cada vez que se pulsa un botn se realiza un pedido, la
pulsacin repetida de este botn supone, por tanto, la
realizacin de un elevado nmero de pedidos, que supondrn
un desembolso para el usuario.
Y si alguien es capaz de copiar ese envo y replicarlo
malintencionadamente infinitas veces? Es consciente el
usuario de que est siendo vctima de este ataque? Y lo que
podra ser ms importante, ha sido el usuario consciente de
este riesgo en el momento de adquirir el servicio?
Aunque es muy probable que esta compaa de comercio
electrnico s haya considerado todos los escenarios, este
ejemplo nos sirve para exponer un problema existente en la
actualidad: la sociedad es consciente de las capacidades de la
tecnologa para suplir sus necesidades, pero no es consciente de
los riesgos que supone apoyarse en ella sin conocer stos.

Llegados a este punto, y pensando ms en las organizaciones
y en los servicios prestados para muchos usuarios, estn las
compaas prestadoras de servicios concienciadas de los
riesgos existentes ante la falta de seguridad en los servicios?
En este estudio nos centraremos en las vulnerabilidades
existentes en las conocidas como infraestructuras crticas,
trmino aplicado generalmente a aquellos activos cuyo
funcionamiento es en beneficio de la sociedad, desde
generadores de electricidad hasta transporte y hospitales.
Todos los sectores que se apoyan en infraestructuras crticas
son, como su nombre indica, necesarios para el funcionamiento
de la sociedad en mayor o menor medida, y su correcto
funcionamiento ser responsable del crecimiento de sta.
Pero en el funcionamiento existe un elemento que no se trata
debidamente, bien porque se trata con menor prioridad o bien
porque simplemente no se trata: la seguridad del entorno. Si los
responsables de una infraestructura crtica no garantizan la
proteccin necesaria para su entorno, entonces no se est
mitigando el riesgo existente ante la posibilidad de que el
trabajo realizado por sta infraestructura no sea el esperado o
que incluso suponga una interrupcin del servicio, provocando
prdidas que, en algunos casos, no tienen cuanta econmica
para evaluarse.
Afortunadamente los principales fabricantes han
reaccionado ante este tipo de ataques y muchos de sus
productos obligan durante su proceso de implantacin a
ejecutar una serie de pasos destinados a establecer la
configuracin de la seguridad de ste.
Un ejemplo sera los dispositivos de almacenamiento en red
de Synology, los cuales requieren un valor para la contrasea
del usuario admin, cuyo nombre tambin puede ser modificado.
Sin embargo, la complejidad de la contrasea no es
evaluada durante este proceso, lo que lleva la responsabilidad
de su fortaleza al usuario, depurando responsabilidades por
parte del fabricante, pero el problema persiste.
De esta forma, vemos que existen dos escenarios diferentes
pero que ambos han dejado durante el desarrollo el aspecto de
la seguridad en segundo plano, lo que conlleva asumir riesgo
por parte de todas las personas responsables de ste.
Definida la relevancia del buen funcionamiento de las
infraestructuras crticas, centramos el estudio en los sistemas
SCADA [2], que explicaremos ms adelante. Para esta
introduccin destacamos que es el software intermediario entre
131
SNCHEZ et al.: Seguridad en SCADA y SHODAN
humano/proceso y mquinas, pieza clave a la hora de gestionar

infraestructuras crticas y foco de muchos atacantes en la Red,
que buscan tomar el control de los entornos que gobierna
SCADA.
La principal puerta de acceso a estos entornos por parte de
entidades externas sin acceso autorizado es mediante las
diferentes vulnerabilidades existentes en el propio sistema, que
se han convertido en objeto de muchos estudios tanto generales
[3] [4] como propios del conocido como hacktivismo [5],
mencin especial al gusano informtico Stuxnet [6], uno de los
mayores ataques contra este tipo de entornos. Entre estas
vulnerabilidades destacaremos la ya mencionada seguridad por
defecto como vulnerabilidad que ofrece acceso a estos sistemas.
En el presente artculo se hace mencin expresa a una
herramienta ampliamente conocida y utilizada para la bsqueda
de estos entornos, Shodan, creada por John Matherly [7], que
desde 2009 ha estado realizando un escaneo eterno de todas las
direcciones IP y recolectando la informacin de las cabeceras
de cada servicio que hospeda.
De esta manera, se convierte en un motor de bsqueda de
dispositivos y servicios con informacin de histrico sobre los
servicios que dispone cada direccin IP, entre los cuales estarn
sistemas SCADA para su control en remoto. Es en este punto
donde el atacante localiza un entorno crtico y hace uso de la
bsqueda de informacin y de la vulnerabilidad del uso de
parmetros de seguridad por defecto para intentar acceder al
entorno.
Una vez expuestas todos los elementos participantes en el
presente estudio, concluiremos con una prueba de concepto,
donde seguimos la metodologa de un atacante cualquiera desde
una bsqueda en Shodan de una infraestructura crtica hasta el
acceso a una de stas, donde tendremos control total de sta.
Finalmente, el apartado VI incluir las conclusiones del
estudio.
La principal motivacin tras este estudio es mostrar. Otro
estudio de referencia, ms enfocados al Internet de las Cosas y
a los accesos abiertos o que no hacen uso de la seguridad por
defecto, es el realizado por Patton [8]. En el caso del presente
estudio, no haremos una bsqueda general de dispositivos con
acceso abierto, sino que nos centraremos en entornos crticos,
donde la seguridad adquiere una importancia an mayor.
Figura 1. Ejemplo de estructura de infraestructura crtica con SCADA

(fuente: Forrester Research).
II. SCADA E INFRAESTRUCTURAS CRTICAS

Para poder tener el estudio en contexto, dedicamos este
captulo para la definicin de algunos elementos clave del
mismo.
Los principales protagonistas de este estudio y motivacin
principal para el estudio de su seguridad son las infraestructuras
crticas. Se trata de un trmino que engloba todos aquellos
activos utilizados por las organizaciones, gobiernos y sociedad
en general para ofrecer servicios. Dichos servicios son desde un
suministro de agua hasta un hospital y todos sus componentes.
Se trata, pues, de un conjunto de estructuras que engloban
una pieza clave para el crecimiento de la sociedad, y que cuyo
correcto funcionamiento debe ser garantizado por sus
responsables. Existe un estudio centrado en la seguridad de los
entornos responsable de la seguridad vial de Estados Unidos
(Ghena et al, 2014 [9]), en el que se realiza un anlisis de cada
una de las partes implicadas en este entorno, cuyo
funcionamiento puede ser simple y sencillo, pero que si un ente
externo logra comprometerlo, podra suponer graves
consecuencias.
Segn sus siglas Supervisory Control And Data Acquisition,
SCADA es utilizado ampliamente para el control de
infraestructuras crticas.
Su principal ventaja es el control de estas estructuras en
remoto, permitiendo una gestin a distancia de estos activos y
as poder garantizar el buen funcionamiento y gestin del
servicio para el que se trabaja. Uno de los principales elementos
principales de un sistema SCADA es el sistema supervisor, que
cuenta con una interfaz humano-mquina ( conocida como HMI
por sus siglas en ingls), utilizada como elemento de conexin
entre la informacin de la mquina y las rdenes de las personas
designadas como responsables del entorno.
La utilizacin de estos entornos se ha extendido mucho, y ha
llamado la atencin de los atacantes por el potencial existente a
la hora de tomar el control de infraestructuras crticas, tanto
parcial como totalmente. Ejemplos histricos sobre el inters
despertado en los atacantes es el famoso gusano informtico
Stuxnet, que fue descubierto en 2010 y que cuya actividad se
centr principalmente en sistemas SCADA desarrollados por el
fabricante Siemens ubicados en Irn.
Tanto antes como despus de este conocido malware, los
sistemas SCADA son objetivo de muchos ataques y de
investigaciones que buscan constantemente vulnerabilidades
que puedan ser aprovechadas. Ms all del perfil del atacante,
la seguridad de los entornos SCADA, las infraestructuras
crticas que gobiernan y entornos que interactan con stos
(sistemas de monitorizacin) han sido objeto de estudio para
muchas organizaciones, como el Instituto Nacional de
Tecnologas de la Comunicacin [10], cuyos autores repasan
los principales conceptos relacionados con el desarrollo de
entornos para el sector industrial.
Por ltimo, es importante comentar que existen diferentes
tipos de normativas en los sistemas de control, enfocadas
especialmente en la seguridad, donde se recopilan diferentes
modelos y recomendaciones, as como estndares centrados en
132
diferentes sectores, como podra ser el energtico. Una

recopilacin general de esta normativa es la que ofrece INCIBE
en su pgina oficial [11]. Existen estudios donde se aplican
estas normativas. En el caso del estudio realizado por
Czechowski, Wicher y Wiecha sobre la seguridad en la
comunicacin de entornos SCADA aplicando la normativa IEC
61850 [12], donde se define una serie de vulnerabilidades en un
escenario. Entre las vulnerabilidades figura valores de usuario
y contrasea por defecto, que pertenece a un grupo al que
dedicaremos un captulo ms adelante, y que adquirirn
importancia en el presente estudio. Como referencias a
diferentes tipos de soluciones SCADA existentes en la
actualidad, se puede recurrir al estudio de Aghajanzadeh y
Keshavarz-Haddad [13].
III. SHODAN
Introducidos en la problemtica existente en SCADA, y
conociendo la criticidad de los entornos que gobiernan, vemos
que estos entornos deben estar expuestos a la Red para
mantener la operativa en remoto, lo que supone aceptar el riesgo
inherente de que cualquier persona conectada a la Red puede
tener acceso a ste. Sin embargo, buscar entornos SCADA
preguntando el tipo de servicio que presta cada direccin IP en
la actualidad en cada uno de sus puertos, puede suponer una
tarea muy pesada para un atacante en particular, adems de
dejar una huella digital grande.
Es aqu (y en muchos otros aspectos de seguridad de la
informacin) donde Shodan ha sabido ganarse un sitio en el kit
de utilidades para cualquier experto en seguridad. Creada por
John Matterly, este motor de bsqueda ofrece al usuario
resultados sobre lo que este busque, pero prescindiendo de
sitios web, sino utilizando los banner de los servicios que tienen
habilitados los servidores.
En este punto del estudio, es necesario definir dos tcnicas
utilizadas en la fase de bsqueda de informacin de cualquier
test de penetracin a un sistema: footprinting y fingerprinting
[14]. Footprinting hace referencia a cualquier recopilacin de
informacin pasiva-indirecta de un objetivo con respecto del
atacante, esto es, sin que la vctima sea la fuente original
directa.
Como ejemplos de esta tcnica, estn la bsqueda de
informacin de una organizacin en diferentes publicaciones en
medios abiertos, utilizacin de motores de bsqueda,
informacin relativa a registradores, DNS, WHOIS, etc.
Por otra parte estn las tcnicas de fingerprinting, ms
agresivas que las descritas anteriormente, ya que su objetivo es
adquirir la informacin directamente del objetivo, como por
ejemplo utilizando un escner de puertos o haciendo anlisis de
su trfico de red.
La principal ventaja de fingerprinting es la obtencin de
informacin muy valiosa, como el funcionamiento de un
sistema, su versin, su sistema operativo, los servicios
activos, mientras que footprinting se trata de recopilacin de
informacin desde el exterior, aunque de menos valor.
Es aqu donde destaca Shodan, ya que lo relevante de este

motor de bsqueda, no es nicamente la disposicin de la
informacin de los sistemas que ha escaneado, sino su mtodo
de funcionamiento, basado en la captura de estados de los
servicios, recopilando informacin en espacio y tiempo, y
permitiendo el acceso a esta informacin de forma atemporal,
sin utilizar informacin relativamente en tiempo real.
Esto tiene la principal ventaja, desde el punto de vista del
atacante, de que obtiene informacin valiosa, tpica de tcnicas
de fingerprinting, a travs de una entidad ajena al objetivo,
similar al footprinting.
El funcionamiento de Shodan es como el de cualquier otro
motor de bsqueda: un usuario realiza una consulta y el motor
realiza un proceso de bsqueda de candidatos entre la
informacin que dispone, que se presenta en pginas. A
diferencia de los buscadores convencionales, Shodan es
bastante estricto a la hora de trabajar consultas, ya que no
existen sugerencias de resultados (SEO), bsquedas dinmicas
ni nada vinculado a la semntica de las bsquedas.
En este caso Shodan necesita datos concretos, tales como la
direccin IP de un equipo en concreto (o una subred especfica),
un nmero de puerto especfico, o una cadena que figure en la
cabecera del servicio que Shodan haya identificado al descubrir
la Red. Una vez parametrizada la bsqueda esta se realiza y
ofrece los resultados que responden a la consulta realizada.
Cada elemento de la lista de resultados dispone de
informacin relacionada con los servicios que el equipo tena
en funcionamiento en el momento de su deteccin, as como
informacin propia de una direccin IP, como el proveedor de
servicio, ASN o el pas de localizacin, entre otros. La mayora
de estas detecciones son bien servicios de conexin Telnet/
SSH o aplicaciones web que sirven como pasarela de acceso al
servicio en s, el cual es accesible a travs de Shodan.
En muchas ocasiones, incluso, se puede acceder al servicio
sin albergar ningn tipo de seguridad, permitiendo ver, por
ejemplo, las imgenes que ofrece una cmara IP, como muestra
la figura 8.
Figura 2. Sesin abierta va web con control

de cmara IP, con acceso desde Shodan.
Por ltimo recalcar la capacidad de expansin que tiene
133
Shodan y el apoyo comunitario del que dispone, los cuales han

permitido extender el motor de bsqueda de John Matherly a
otros desarrollos, como Shodan Maps, donde disponemos de un
mapa mundial con las direcciones IP de las mquinas
reconocidas en Shodan, o Shodan Exploits, un buscador
destinado a la consulta de vulnerabilidades reconocidas, que
pueden ser ordenadas y clasificadas segn origen, plataforma,
fabricante, etc.
Tambin dispone de acceso a un sistema de crditos, que

existe en la pgina del propio buscador, donde se pueden
comprar distintos plugins que enriquecern el funcionamiento.
Desde el punto de vista de un experto de seguridad de la
informacin profesional, la utilizacin de una licencia de
Shodan es ms que recomendada para poder observar con todos
los detalles necesarios el estado de los activos que estn
expuestos a la Red y cuya responsabilidad dependa de ste.
IV.
Figura 3. Buscador de exploits de Shodan
La aportacin de Shodan al mbito de la seguridad de la

informacin ha sido muy grande, al ser una herramienta de gran
utilidad tanto para atacantes como para expertos en seguridad.
Ms all de los escenarios propios de un ataque, Shodan
tambin sirve para ofrecer informacin propia de un servicio
Big Data, al disponer de informacin de innumerables
ordenadores, dispositivos mviles, entornos crticos, webcams/
cmaras IP Esta informacin se ofrece en forma de informes
que publica la propia pgina de Shodan con cierta frecuencia,
ofreciendo a la comunidad datos estadsticos como el nmero
de webcams existentes en el mundo (ver figura 10).
Adems de Shodan, otros autores han realizado estudios
basados en el potencial de este motor de bsqueda, como
Bodenheim, quien realiz una tesis enfocada en la bsqueda de
sistemas de control de entornos industriales mediante Shodan
[15], la cual sirvi como pie de investigacin y una prueba de
concepto en la que Bodenheim et al (2014) [16] hacan uso de
cuatro programadores lgicos a modo de seuelo para evaluar
el grado de exposicin ante Shodan. El presente estudio
tambin ofrece una serie de pautas para mitigar la exposicin
ante el buscador, mediante la manipulacin de cabeceras de
servicio.
Figura 4. Uno de los informes que ofrece Shodan.
Es interesante recalcar que el buscador Shodan y todas sus

utilidades no son gratuitas, sino que existe una licencia vitalicia
para tener acceso a mltiples elementos, como el uso de todos
los filtros de bsqueda, el visionado de todas las pginas de
resultados y una API key para poder realizar desarrollos basados
en Shodan.
SEGURIDAD POR DEFECTO
Se trata de una vulnerabilidad reconocida por las

organizaciones especializadas en seguridad, como por ejemplo
OWASP [17], que la recoge en su Top Ten [18] personal de
vulnerabilidades ms extendidas. Existen muchos estudios
relacionados con la seguridad por defecto, como el realizado
por Cui y Stolfo, en el que recogen diferentes datos
relacionados con la seguridad por defecto [19], como que un
13% de los dispositivos descubiertos durante su scan contaban
con valores de seguridad por defecto, que les permitieron
acceder al entorno, que poda ser desde una webcam hasta un
router convencional.
Y es que es una vulnerabilidad existente tanto en cualquier
servicio que requiera credenciales para su acceso como en los
usuarios que hacen uso de stos. Esta vulnerabilidad comienza
con la utilizacin de unos credenciales por defecto, esto es, un
par de usuario y contrasea que proporciona el fabricante de un
producto-servicio para poder acceder por vez primera,
ofreciendo la posibilidad de modificar ms adelante (en
determinados productos, estos credenciales no se pueden
cambiar).
Tpicamente se puede comprobar este formato de
credenciales en los routers de conexin a internet que las
operadoras telefnicas y proveedoras de conexin a la Red
proporcionan a los usuarios en sus viviendas. Ms all del
usuario particular, existe un estudio centrado en la seguridad de
la conectividad WiFi (Sagers et al, 2015) [20], en el que se
evala el estado actual de la seguridad WiFi y se realiza una
reflexin orientada a los proveedores de puntos de acceso WiFi.
Para la gran mayora de usuarios, son familiares
determinadas cadenas de caracteres ASCII usadas como claves
de paso a los sistemas, como accesos a portales del router y as
gestionar diferentes aspectos de stos.
No obstante, hay que recalcar otra gran parte de fabricantes
que proveen productos y soluciones hardware/software que
ofrecen este tipo de sistemas de gestin y, durante su proceso
de instalacin e implantacin, solicitan de forma obligatoria la
introduccin de una contrasea para la cuenta de usuario
administrador, con suficiente fortaleza, cayendo la
responsabilidad de cualquier acceso no autorizado en la parte
del responsable de la instalacin, y no en el fabricante.
Si nos fijamos en los ltimos aos, vemos que prcticamente
se ha convertido en un estndar, e incluso la fortaleza de estos
credenciales es extremadamente dbil. De hecho, en
determinados servicios la contrasea y el usuario ha llegado a
ser idnticos y de escasos caracteres, un nivel de seguridad tan
134
bajo que genera un gran desnivel en comparacin con la

criticidad del entorno que resguarda.
Afecta esta vulnerabilidad a los sistemas SCADA? Las
figuras 4 y 5 muestran capturas de pantalla de un sistema
SCADA destinado a la monitorizacin y gestin de una empresa
generadora de energa solar.
El citado sistema, tiene un control de voltajes para cada
panel solar, as como una variedad de sensores que permiten
monitorizar voltaje acumulado, temperatura, intensidad de luz
que percibe, etc.
En general, se trata de una interfaz muy completa, pensada
ms para comprobar el estado de la totalidad de los paneles
solares pero con dotes de control remoto.
Puede afectar la seguridad por defecto a este entorno? Para
ello hay que localizar informacin til relativa a la
configuracin de seguridad de la interfaz. La cabecera del
servicio nos notifica la utilizacin de una aplicacin web que
requiere usuario y contrasea para su acceso.
Haciendo una bsqueda del fabricante, modelo y versin
del sistema SCADA en cuestin, vemos que, al proveer el
sistema, se ofrecen unas credenciales con valor por defecto para
poder acceder al sistema.
Figura 6. Interfaz de gestin de los paneles solares
El inters por esta vulnerabilidad ha llevado a diferentes

comunidades Open Source a la creacin de amplias bases de
datos con informacin relativa a dispositivos, fabricantes y sus
credenciales por defecto, como por ejemplo la pgina defaultpasswords [21], que permite buscar este tipo de credenciales,
utilizadas para este tipo de ataques.
Para finalizar el captulo, indicar que guas de buenas
prcticas como el NIST recogen entre sus recomendaciones
asegura que las credenciales por defecto han sido modificadas
y modificadas por contraseas de elevada fortaleza [22].
V. PRUEBA DE CONCEPTO
Figura 5. Interfaz de inicio de sesin de una empresa de energa solar con

defectos graves en las credenciales
En el caso de que las personas responsables de la seguridad

de la granja de paneles solares no hayan pensado en el riesgo
existente a la hora de utilizar credenciales por defecto, un
atacante podra utilizar esta informacin que ofrece el
fabricante contra estos entornos y tener acceso sin restricciones
contra las infraestructuras, obteniendo el control que la interfaz
permita al usuario.
Cules son las consecuencias ante este acceso no
autorizado? En este caso, si el atacante decidiera apagar el
sistema, supondra prdidas econmicas de magnitud alta por
cada hora que el sistema est apagado, suponiendo una amenaza
que aumenta en el tiempo para la organizacin.
Como caso prctico de este estudio, realizamos un

seguimiento de los pasos que realiza cualquier atacante desde
la bsqueda de un host vctima hasta el acceso a una
infraestructura crtica, donde concluiremos la prueba de
concepto, pero que desgraciadamente, no siempre coincide con
la conclusin del ataque, ya que la mayora culmina con la
desconfiguracin del entorno, la cada del sistema, etc.
El comienzo de la localizacin de un objetivo es mediante el
buscador objeto de este estudio, Shodan, preguntando a ste por
diferentes parmetros propios de una cabecera de servicio de un
entorno SCADA. En esta prueba buscaremos acceder a una
estacin depuradora de aguas residuales. Debido al objetivo de
este entorno, es bastante probable encontrar el objetivo con
palabras que refieran a dichos dispositivos o similares en
elementos como el cuerpo o el ttulo de la interfaz web del
servicio.
Realizando la bsqueda mediante los parmetros
proporcionados, encontramos servicios que cumplen con los
requisitos iniciales, ubicados en un determinado Pas y con
cdigo HTTP 401 requerida autorizacin.
Para otras pruebas de concepto y tests de footprinting, hay
que destacar este ltimo detalle, ya que en muchas ocasiones el
buscador mostrar un cdigo 200 OK, lo que significara que el
servicio no requiere de autorizacin y sera libremente
accesible, pudiendo llevarnos directamente al cuadro de mando
del entorno al que intentamos acceder.
135
[Capte la
atencin de
Figura 7.los
Bsqueda
lectoresde depuradoras va Shodan
mediante una
cita
El detalle e histrico nos ofrece el resto de pormenores
importante
necesarios para conocer ms sobre la depuradora: activa desde
extrada del
hace unos meses documento
desde el momento
de la bsqueda, otros
o
servicios abiertos adems
del
HTTP
va
puerto 8080 por el que
utilice este
se ha encontrado este
servidor.
espacio para
Otros elementos
como
resaltar
un IP y versiones que maneja el
servidor, nos podran
ofrecer
punto clave. otros datos de forma indirecta,
como la geolocalizacin
en coordenadas de la depuradora y las
Para colocar
vulnerabilidades recogidas
el cuadroen
dela lista CVE [23], que serviran
para ampliar el espectro
de accin y vector de ataque.
texto en
cualquier
El acceso al servicio
web (accesible va link directo en el
lugarnos
de muestra
la
resultado de Shodan)
una pgina en blanco, con
pgina,que
solosale casi al instante de intentar
una ventana emergente
que ventana, nos pregunta por nuestros
acceder al servicio.tiene
En esta
credenciales juntoarrastrarlo.]
con una informacin del servicio, que
muestra claramente el fabricante y versin del producto que
gestiona este servicio, tal y como se puede observar en la
siguiente figura.
haber tenido oportunidad de acceder al servicio.

Otro usuario resuelve la cuestin indicando los
credenciales, los cuales utilizamos para intentar acceder al
servicio objeto de esta prueba de concepto.
El resultado, como caba esperar, es satisfactorio, y
conseguimos entrar al panel de control con xito, accediendo a
todas las funcionalidades propias de este entorno SCADA,
desde controlar el estado de las alarmas hasta modificar la
dosificacin de sosa y nutrientes.
Figura 9. Panel de control para gestin de depuradora de agua.
Finalizamos la prueba de concepto, al haber logrado con

xito el acceso no autorizado a una infraestructura crtica. El
escenario se ha centrado en un caso muy particular de
infraestructura crtica, pero el mismo puede trasladarse tanto a
objetivos dirigidos (utilizando una direccin IP especfica y
propia de una organizacin) como a otros tipos de entornos
crticos.
VI. CONCLUSIONES
Figura 8. Ventana emergente del servicio web de la depuradora
An desconocemos si el fabricante proporciona unos

credenciales predefinidos a los clientes que adquieran este
producto, y ni siquiera conocemos estos credenciales, pero la
informacin de esta ventana ser ms que til para este fin.
As, tan slo har falta realizar una consulta en cualquier
motor de bsqueda y buscar esta informacin junto con cadenas
de caracteres comunes.
Esta misma bsqueda nos lleva a una consulta en un foro de
dudas, donde un usuario consulta por estos credenciales, al no
Con el presente artculo ofrecemos una percepcin de la

problemtica existente en la ya mencionada seguridad por
defecto, centrndonos en las infraestructuras crticas, SCADA
y sus riesgos y consecuencias en caso de no mitigar problemas
como los descritos.
La prueba de concepto realizada no es ms que una de las
miles de pruebas de concepto (que se transforman en ataques
reales) que vulneran los mecanismos de seguridad de estas
estructuras crticas y suponen una seria amenaza para las
organizaciones, sus servicios y los usuarios de stos.
Las consecuencias que puede tener, por ejemplo, el acceso a
una depuradora que abastece agua a una regin, supone hablar
de trminos que se miden por encima de los daos econmicos,
lo que hace que su seguridad tenga un valor mucho ms elevado
que el habitual, ya que el adjetivo crtico de estas
infraestructuras est claramente justificado.
136
Debilidades del sistema como uso de credenciales por

defecto, reutilizacin de credenciales y contraseas de fortaleza
dbil se basan en una vulnerabilidad propia de usuarios y
administradores, por lo que su mitigacin es mucho ms difcil
de solventar.
Siempre se pueden crear polticas de seguridad que cubran
escenarios como los descritos anteriormente, que incluyan
clausulas como tiempos de expiracin para contraseas,
utilizacin de varios tipos de caracteres, etc.
Sin embargo, la principal solucin para evitar accesos no
autorizados a los entornos SCADA es bastionar las
infraestructuras crticas. De esta forma, incluso el acceso desde
Shodan ser muy difcil o imposible.
La principal seguridad contra este tipo de tcnicas de
footprinting y fingerprinting es aadir una nueva capa de
seguridad a nivel de red, basada en redes privadas tipo VPN,
que sean utilizadas nica y exclusivamente para el acceso a las
interfaces humano-mquina.
De esta forma, el atacante tendr que resolver la
problemtica de enfrentarse a una conexin VPN antes de poder
acceder al entorno SCADA, lo que implica paliar con los
diferentes aspectos de este tipo de redes privadas, mucho ms
seguras.
Otras opciones, en caso de ser un sistema de control remoto
especfico y cerrado, como puede ser por ejemplo entre dos
sedes de una organizacin, podra utilizarse un sistema de
filtrado por IP tipo lista blanca, donde slo se permite el acceso
al entorno desde direcciones IP propias de la compaa,
impidiendo cualquier acceso externo.
Es posible que la solucin ms evidente sea que se detenga
la actividad tanto de Shodan, al tratarse de un escaneo de la Red
a gran escala, pero lo que recogemos en este estudio no es el
poder de motores de bsqueda como el desarrollado por John
Matherly, sino la vulnerabilidad existente por naturaleza en los
servidores: su exposicin a la Red para prestar servicio implica
ofrecer una informacin que puede ser utilizada por terceros
con intenciones maliciosas y que estn fuera del alcance y
objetivos del servicio a prestar en s.
No obstante tambin cabe destacar el uso de Shodan en la
actualidad para la actividad destinada a fines estadsticos y de
investigacin, a la hora de ofrecer toda su informacin
sectorizada por protocolos, pases y fabricantes.
REFERENCIAS
[1]
[2]
[3]
[4]
[5]
[6]
[7]
Ashton, Kevin. "That internet of things thing." RFiD Journal 22.7

(2009): 97-114.
Daneels, Axel, and Wayne Salter. "What is SCADA." International
Conference on Accelerator and Large Experimental Physics Control
Systems. 1999.
Igure, Vinay M., Sean A. Laughter, and Ronald D. Williams. "Security
issues in SCADA networks." Computers & Security 25.7 (2006): 498506.
Krutz, Ronald L. Securing SCADA systems. John Wiley & Sons, 2005.
Langner, Ralph. "Stuxnet: Dissecting a cyberwarfare weapon." Security
& Privacy, IEEE 9.3 (2011): 49-51.
Wilson, Clay. "INDUSTRIAL AND SCADA SYSTEMS MAY BE
INCREASINGLY TARGETED FOR CYBERATTACK." (2012).
Matherly, John C. "SHODAN the computer search engine." Available at
[Online]: http://www. shodan.io (2009).
[8]
[9]
[10]
[11]
[12]
[13]
[14]
[15]
[16]
[17]
[18]
[19]
[20]
[21]
[22]
[23]
Patton, M., Gross, E., Chinn, R., Forbis, S., Walker, L., & Chen, H. (2014,
September). Uninvited Connections: A Study of Vulnerable Devices on
the Internet of Things (IoT). In Intelligence and Security Informatics
Conference (JISIC), 2014 IEEE Joint (pp. 232-235). IEEE.
Ghena, B., Beyer, W., Hillaker, A., Pevarnek, J., & Halderman, J. A.
(2014, August). Green lights forever: analyzing the security of traffic
infrastructure. In Proceedings of the 8th USENIX conference on
Offensive Technologies (pp. 7-7). USENIX Association.
Instituto Nacional de Tecnologas de la Comunicacin (2012, marzo).
Estudio sobre la seguridad de los sistemas de monitorizacin y control de
procesos
e
infraestructuras
(SCADA).
Recuperado
de
https://www.incibe.es/file/5ik7qnpsCJD6GNls9ZYKrA
Instituto Nacional de Ciberseguridad (2015, julio). Normativas de
seguridad
en
sistemas
de
control.
Recuperado
de
https://www.incibe.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_
comentarios/Normativas_seguridad_sistemas_control.
CZECHOWSKI, R., WICHER, P., & WIECHA, B. Cyber Security in
communication of SCADA systems using IEC 61850. Julio 2015
Aghajanzadeh, N., & Keshavarz-Haddad, A. (2015). A Concise Model to
Evaluate Security of SCADA Systems based on Security Standards.
International Journal of Computer Applications, 111(14).
Baloch, Rafay. Ethical Hacking and Penetration Testing Guide. CRC
Press, 2014.
Bodenheim, R. C. (2014). Impact of the Shodan Computer Search Engine
on Internet-facing Industrial Control System Devices (No. AFIT-ENG14-M-14). AIR FORCE INSTITUTE OF TECHNOLOGY WRIGHTPATTERSON AFB OH GRADUATE SCHOOL OF ENGINEERING
AND MANAGEMENT.
Bodenheim, R., Butts, J., Dunlap, S., & Mullins, B. (2014). Evaluation of
the ability of the Shodan search engine to identify Internet-facing
industrial control devices. International Journal of Critical Infrastructure
Protection, 7(2), 114-123.
https://www.owasp.org/index.php/Main_Page
https://www.owasp.org/index.php/Top10#tab=OWASP_Top_10_for_20
13
A. Cui and S. J. Stolfo. A quantitative analysis of the insecurity of
embedded network devices: Results of a wide-area scan. In Proceedings
of the 26th Annual Computer Security Applications Conference, pages
97106. ACM, 2010.
Sagers, G., Hosack, B., Rowley, R. J., Twitchell, D., & Nagaraj, R. (2015,
January). Where's the Security in WiFi? An Argument for Industry
Awareness. In System Sciences (HICSS), 2015 48th Hawaii International
Conference on (pp. 5453-5461). IEEE.
https://default-password.info/
National Institute of Standards and Technology (2015, mayo). Guide to
Industrial Control Systems (ICS) Security. Recuperado de
http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.80082r2.pdf
https://cpe.mitre.org/
Manuel Snchez Rubio, es Doctor por la Universidad de Alcal,

Director del Mster de Seguridad en Informatica de la Universidad
Internacional de la Rioja (UNIR), as como Investigador Principal del
Grupo de Investigacin "Cibersecuritics" en dicha organizacin.
Adems es Cientfico Superior de la Defensa en el Instituto Nacional
de Tcnica Aeroespacial organismo del Ministerio de Defensa en
Espaa. Es profesor de Redes y Seguridad en la Universidad de
Alcal y Subdirector de la Ctedra amaranto de Seguridad Digital.
Jos Miguel Gmez-Casero Marichal es graduado en Ingeniera

Informtica por la Universidad de Alcal. Actualmente est
finalizando el Mster en Seguridad Informtica Informtica en la
Universidad Internacional de la Rioja (UNIR). Ha sido responsable
de servicio de Vigilancia Digital en una empresa de seguridad fsica
y es colaborador en la Ctedra Amaranto de Seguridad Digital.
137
Propuesta Metodolgica para la Gestin de la

Seguridad Informtica en Sistemas de Control
Industrial.
Fabin Bustamante, Pal Daz, Walter Fuertes
Departamento de Ciencias de la Computacin, Universidad de las Fuerzas Armadas ESPE, Sangolqu, Ecuador
Email: fbust@yahoo.com, mpdiaz@espe.edu.ec, wmfuertes@espe.edu.ec
Resumen- Los ltimos reportes Internacionales de incidencias

de seguridad han difundido un creciente nmero de ataques
cibernticos a Sistemas de Control Industrial (SCI). A estos
informes se suma el aumento de implementaciones de
informtica en procesos de manufactura y la escasa oferta de
soluciones de Seguridad de Informacin de los fabricantes y
profesionales involucrados. Por otro lado se ha visto que la
seguridad informtica est especialmente destinada a usarse en
el rea administrativa de las empresas, siendo ISO-27000 el
estndar favorito. Adems se ha determinado que ISO no es an
un estndar idneo para un SCI, ya que no fue concebido para
estos sistemas. El objetivo de este estudio es disear y poner
en funcionamiento una metodologa para la gestin de la
seguridad informtica de los SCI de empresas industriales,
basada en estndares expedidos por el Instituto Nacional de
Estndares y Tecnologa de Estados Unidos. La metodologa
propuesta, presenta el desarrollo de una serie de fases las cuales
dan como aportaciones: (1) Un conjunto de estrategias para
mitigar riesgos; y (2) Un manual de polticas y normas para la
gestin efectiva de la seguridad informtica, que puede ser
aplicado a cualquier empresa de este tipo.
Palabras clave- Sistemas de Control Industrial, Seguridad de
Informacin, Automatizacin, SGSI, SCADA, DSC, PLC, ISO
27000, NIST.
Abstract- The most recent international reports of security

issues have spread a growing number of cybernetic attacks to
Industrial Control Systems (ICS). To these reports, the increase
of information technology implementations in manufacturing
processes and the scant offer of solutions of Information
Security of the manufacturers and professionals involved is
added. On the other hand, it has been seen that information
security is especially intended to be used in businesses
administrative areas, being ISO-27000 the favorite standard.
Additionally, it has been determined that ISO is not yet an ideal
standard for an ICS, since it was not conceived for these
systems. This paper has as its objective to design and
implement a methodology for the management of information
security of the ICSs of industrial businesses, based on standards

issued by the National Institute of Standards and Technology
of the United States. The proposed methodology, presents the
development of a series of phases which provide the following
contributions: 1) a group of strategies to reduce risks; and 2) a
policy and regulation manual for the effective management of
information security, which can be applied to any business of
this type.
Keywords- Industrial Control Systems, Information Security,
Automation, ISMS, SCADA, DSC, PLC, ISO 27000, NIST.
I. INTRODUCCIN
En la ltima dcada ha habido gran inters en la comunidad
cientfica por la gestin de seguridad informtica en SCI. Los
trabajos ms importantes se encuentran en 2013 en Estados
Unidos. As por ejemplo, el trabajo propuesto por [6] propone
mejores prcticas y evaluacin de riesgos de los SCI. En 2003
en Canad el trabajo realizado por [5] propone mitos y hechos
tras la ciberseguridad en los SCI. En 2013 en Espaa [9]
expone una visin global de la ciberseguridad de los SCI. En
2007 en Italia el trabajo elaborado por [10] presenta una
introduccin a la proteccin de informacin, sistemas de
control y automatizacin. En 2012 en Brasil [7] expone el
trabajo de prospeccin de tecnologas para aumentar la
seguridad en sistemas SCADA. En 2013 en Colombia [11]
propone el trabajo de implementacin de seguridad de la
informacin en SCI. En estos trabajos bsicamente se hacen
recomendaciones y anlisis generales sobre los SCI, ms no
abordan un sistema de gestin de seguridad de la informacin
como tal. Los estndares mencionados en estos trabajos son en
su mayora: NIST 800-53, ISA 99 [8],[19] e ISO/IEC 27001.
En cuanto al mbito Nacional y Local se pude encontrar escasos
trabajos relacionados al tema, de entre los cuales se tiene:
planes de desastre, recuperacin y anlisis de riesgos
nicamente, sin presentar propuestas claras de mitigacin de
riesgos y gerenciamiento de la seguridad informtica en los
SCI.
138
BUSTAMANTE et al.: Sistemas de Control Industrial
Las empresas dedicadas a la manufactura, actualmente

cuentan con un Sistema de Control Industrial (SCI) el cual ha
ido implementndose y creciendo desordenadamente en el
tiempo, lo cual ha provocado que sucedan incidentes de
seguridad relacionados con la disponibilidad principalmente y
con los activos de la empresa, llegndose a reportar hasta 3
incidentes mensuales al soporte tcnico de tecnologas de
informacin.
En este mismo contexto, se ha determinado que las empresas
de manufactura a pesar de que poseen controles y
procedimientos en la gestin de la seguridad de la informacin
de su SCI, no consiguen reducir y solventar los incidentes
relacionados a ataques a la Disponibilidad, Integridad y
Confidencialidad. Adems no existen evidencias de haber
realizado un anlisis completo de las vulnerabilidades,
amenazas y riesgos de sus activos y servicios crticos, pues los
ingenieros a cargo carecen de preparacin para aquello y en
otros casos incluso piensan que no hacen falta. Por otro lado
los directivos de estas empresas de manufactura, dentro de su
plan estratgico tienen como objetivo implementar sistemas de
gestin a todo nivel (rea administrativa y rea de produccin),
para lo cual han iniciado varios proyectos que lleven al negocio
a apuntar en este camino. Dentro de estos proyectos, las reas
de Tecnologas de Informacin (TI) son las que ms opcin
tiene a liderar implementaciones de Sistemas de Gestin de la
Seguridad de la Informacin (SGSI). No obstante, desconocen
o ignoran que los estndares de seguridad informtica
populares como ISO/IEC, COBIT, entre otros, no articulan lo
suficiente con los SCI, debido bsicamente a las diferencias en
los procesos de operacin que la infraestructura informtica de
una planta industrial requiere, por ejemplo polticas para
cambios de contraseas, protectores de pantalla con bloqueo
automtico, entre otras.
Frente a este escenario, es
indispensable proponer una solucin para incrementar los
niveles de seguridad de estos sistemas.
El objetivo de este estudio es proporcionar a los
profesionales de TI y de Automatizacin de las empresas
manufactureras una metodologa para la gestin de la seguridad
informtica en los sistemas de control industrial usando
estndares internacionales, que por un lado articulen bien con
el SCI y que por otro sean compatibles con los SGSI que estn
implementando o por implementarse en su empresa.
Esta metodologa ha sido aplicada en 3 etapas en condiciones
reales en 4 plantas industriales de una empresa de manufactura
lder del mercado de 1000 empleados, con 2 lneas de
produccin cada una, que contienen un SCI conformado por
un sistema DSC, PLCs, HMIs, computadoras, software y
equipos de red. En una primera etapa se valora los riesgos y se
propone un conjunto de estrategias de mitigacin posibles de

su SCI, usando como referencia los estndares NIST 800-82 y
NIST 800-30. En una segunda etapa se elabora un manual de
normas y polticas basadas en los riesgos analizados en la
primera etapa y en NIST 800-82, NIST 800-53 y NIST 800-12,
los cuales separan la gestin en gerencial, operativa y tcnica.
En una tercera etapa se realiza una simulacin de la aplicacin
del manual usando entrevistas y un proceso estadstico para
medir la percepcin de cumplimiento de las normas y polticas.
Los resultados de aplicar esta metodologa incluyendo su
anlisis costo-beneficio demuestran que a diferencia de los
sistemas de TI tradicionales que se basan en ISO 27000, los SCI
valoran ms la disponibilidad que la confidencialidad, por lo
cual se puede confirmar la necesidad de utilizar un estndar
diferente a ISO, como lo es NIST-800, el cual articula mejor
operativamente.
El resto del artculo ha sido organizado de la siguiente
manera: La seccin II presenta el marco referencial que
fundamenta esta investigacin. La seccin III explica el diseo
y la implementacin de la propuesta. En la seccin IV se
realiza la evaluacin de resultados y discusin. Finalmente en
la seccin V se dan a conocer las conclusiones y trabajos
futuros.
II. MARCO TERICO REFERENCIAL
A. Incidentes de seguridad en Sistemas de Control
Industrial.
Dentro de las organizaciones mundiales ms importantes en
el mbito de la Seguridad de la Informacin en Sistemas de
Control Industrial, se han encontrado que el ICS-CERT
(Equipo de Respuesta a Emergencias de cmputo en Sistemas
de Control Industrial) de Estados Unidos, en coordinacin con
el FBI (Departamento de Investigacin Federal) son las
principales organizaciones que se encargan de prevenir,
proteger y mitigar las amenazas y vulnerabilidades de dichos
sistemas. En sus informes del 2014 ICS-CERT, recibi y
respondi a 245 incidentes voluntariamente reportados por
propietarios y fabricantes de productos industriales en Norte
Amrica (vase Fig. 1). Como se puede apreciar en la Fig. 1,
luego de las respuestas a incidentes en el rea de energa, el que
le sigue son las respuestas de incidentes en el sector de
manufactura con 65 incidentes que corresponden al 27% del
total.
Otros reportes importantes a considerar son los generados
por empresas proveedoras de equipos, de sistemas industriales
y de soluciones de seguridad informtica como son: ABB,
Allen Bradley, Verizon [2], entre otros.
139
Lgicos Programables (PLC). Se debe mencionar que puede

haber sistemas hbridos que mezclan por ejemplo
caractersticas de un SCADA con un DCS.
Segn un estudio del Instituto Nacional de Estndares de
Tecnologa del departamento de Comercio de Estados Unidos
[3], los SCI son usados en sectores industriales y en
infraestructura crtica tal como: Empresas elctricas, de agua,
de aguas residuales, petrleo, gas natural, qumicas, de
transportacin, farmacuticas, pulpa y papel, comida y bebida,
automotriz, aeroespacial, entre otras. A continuacin se
explicar brevemente sus caractersticas:
Fig. 1 Respuestas del ICS-CERT en el 2014 por sector [1].
B. Sistemas de Control Industrial (SCI).

En general el trmino de Sistemas de Control Industrial
(SCI) engloba algunos tipos de sistemas de control: Sistemas
de Adquisicin de Datos y Control supervisado (SCADA),
Sistemas Distribuidos de Control (DSC) y Controladores
SCADA: Sistemas altamente distribuidos usados para

controlar geogrficamente bienes dispersos. Utilizados en
sistemas distribuidos como reparticin de agua, recoleccin de
aguas residuales, conduccin de petrleo, conduccin de gas
natural, redes elctricas de potencia, sistema de transportacin
de rieles, entre otros. Son sistemas especficamente diseados
para manejar comunicaciones a larga distancia.
Fig. 2 Componentes de un Sistema de Control Industrial DSC [3].
140
DSC: Usados para procesos de control industrial tal como

generacin de energa elctrica, refineras de petrleo, agua,
tratamiento de agua, de qumicos, de comida, produccin de
automviles, entre otros. Los DSC son usados extensivamente
en industrias basadas en procesos. La Fig. 2 ilustra un ejemplo
de estos sistemas, a los que hace referencia nuestra propuesta.
PLC: Dispositivos basados en computadoras de estado slido
que controlan equipos industriales y procesos. Las
comunicaciones de DSC y PLC son usualmente realizadas
usando red de rea local.
Fig. 3 Pirmide de Documentacin ISO 27001 [13].
C. Sistemas de Gestin de Seguridad de Informacin.

La gestin de la seguridad de la informacin debe realizarse
mediante un proceso sistemtico, documentado y conocido por
toda la organizacin. Este proceso podra considerarse por
analoga a una norma conocida como ISO 9001 segn [12], al
cual se lo conoce como Sistema de Calidad para la Seguridad
de la Informacin. El propsito de un sistema de seguridad de
informacin es por tanto garantizar que los riesgos de la
seguridad de la informacin sean conocidos, asumidos,
gestionados y minimizados por la organizacin de forma
sistemtica, estructurada, repetible, eficiente y adaptada a los
cambios que se produzcan en los riesgos, el entorno y la
tecnologa. Segn [20] en un SGSI la seguridad de la
informacin se cimienta en la preservacin de su
confidencialidad, integridad y disponibilidad:
Confidencialidad: Que la informacin no sea disponible a
individuos, entidades o procesos no autorizados.
Integridad: Que la informacin sea completa, exacta y la
misma desde cualquier lugar que se la requiera.
Disponibilidad: Que la informacin est disponible a
individuos, entidades o procesos autorizados cuando se lo
requiera.
Actualmente los SGSI tambin tienen en cuenta: La
legalidad, autenticacin, no repudio y el gobierno corporativo.
La informacin, junto a los procesos, sistemas y servicios
(Cloud Computing) son activos importantes de una empresa,
sustanciales para mantener los niveles de competitividad,
rentabilidad, conformidad legal y la imagen empresarial. El
nivel de seguridad alcanzado por medios tcnicos es limitado e
insuficiente, por esta razn es necesaria la efectiva gestin de
la seguridad y ser parte neurlgica de toda organizacin. Segn
ISO la documentacin de un SGSI es mostrado como una
pirmide (vase Fig. 3):
D. Gua para la seguridad de Sistema de Control

Industrial NIST 800-82.
Este grupo de estndares provee una gua para establecer
seguridad en Sistemas de Control Industrial (SCI). Estos SCI
incluyen Sistema de Supervisin, Control y Adquisicin de
Datos (SCADA), Sistemas de Control distribuido (DCS) y
Controladores lgicos programables (PLCs).
La razn
principal de usar una normativa para un SCI es que estos cada
vez estn adoptando componentes informticos en su diseo y
funcionamiento, esto ha provocado que los SCI sean cada vez
menos aislados e independientes como lo eran antes, creando
una gran necesidad de asegurar estos sistemas.
Aunque algunas caractersticas son similares entre los SCI y
los sistemas de tecnologas de informacin (TI) tradicionales,
es importante entender que no se pueden tratar con la misma
normativa a los SCI que a los TI, pues algunas de estas
caractersticas incluyen significativos riesgos a la salud,
proteccin a la vida humana, daos al ambiente, impactos
financieros, prdidas en produccin, entre otros. NIST en
analoga con otras normativas propone usar una estrategia de
Seguridad en Profundidad la cual incluye lo siguiente:
Desarrollo de polticas de seguridad, procedimientos,
entrenamiento y material educativo. Implementacin de
topologa de red para SCI que tengan mltiples capas.
Separacin lgica entre la red corporativa y la red del SCI.
Emplear arquitectura de red considerando una zona
desmilitarizada (DMZ). Considerar que componentes
crticos sean redundantes. Deshabilitar puertos no usados.
Restringir el acceso fsico a la red del SCI y sus dispositivos.
Usar un mecanismo de autenticacin separado al usado por
la red corporativa. Usar tecnologa para la identificacin de
personal. Implementar controles de seguridad tal como
IDS/IPS, Software de Antivirus, etc. Aplicar tcnicas de
seguridad para encriptacin y criptografa para
almacenamiento de datos del SCI donde sea necesario.
Despliegue de parches de seguridad luego de haberlos
141
probado previamente. Seguimiento y monitoreo de rastros de

auditora en las reas crticas.
Por todo lo expuesto anteriormente el Instituto Nacional de
estndares y tecnologa del departamento de comercio de
Estados Unidos (NIST) ha creado un proyecto denominado:
Industrial Control System Security Project, el cual en
colaboracin con el sector pblico y privado ha desarrollado
una gua especfica para la aplicacin controles de seguridad en
el documento NIST SP 800-53 con el ttulo: Controles de
seguridad recomendados para sistemas de informacin federal
y Organizaciones para Sistemas de Control Industrial.
E. Gestin de Riesgos NIST 800-30.
De acuerdo a [3] y [14], el riesgo est en funcin de la
probabilidad de una fuente de amenaza dada, una potencial
vulnerabilidad y el impacto resultante de una explotacin
exitosa de la vulnerabilidad. A su vez la evaluacin de riesgos
es el proceso de identificar los riesgos de las operaciones de una
organizacin, activos e individuos mediante la determinacin
de la probabilidad de que una vulnerabilidad identificada ser
explotada y provocar un impacto. El impacto se refiere a la
magnitud de dao que puede ser causado por una amenaza
sobre una vulnerabilidad. La evaluacin de riesgos debe
tambin comparar el costo de la seguridad con el costo asociado
con un incidente [3].
III. METODOLOGA PARA LA GESTIN DE SEGURIDAD
INFORMTICA DE UN SCI.
El proceso metodolgico que se indica a continuacin
muestra la forma en que [3] impacta en la gestin de la
seguridad informtica en un SCI, el cual ha sido estructurado
en 3 etapas: La primera indica como valorar los riesgos y
propone estrategias de mitigacin. La segunda indica cmo
elaborar un manual de normas y polticas de seguridad. La
tercera muestra los resultados de la primera y segunda Etapa,
simulaciones y aceptacin del manual en la empresa, caso de
estudio. Ver Fig. 4.
A. Valoracin de riesgos y diseo de estrategias de
mitigacin para el SCI.
La valoracin del riesgo es el primer proceso en la
metodologa de gestin de riesgos segn [3] y [4]. La salida de
este proceso ayuda a identificar los controles apropiados para
reducir y eliminar riesgos durante el proceso de mitigacin. La
metodologa para valoracin de riesgos se implement segn
NIST SP 800-30. Ver Fig. 5.
Paso 1: En la caracterizacin del sistema se defini el alcance
de los trabajos a realizar segn [4]. Para esto se describi el
sistema de informacin usado en cuanto a Hardware, software,

conectividad, datos, personal de soporte, procesos realizados,
valor para la organizacin y nivel de proteccin. Tambin se
tomaron en cuenta las tcnicas para recolectar informacin
como: cuestionarios, entrevistas, revisin de documentacin
existente y uso de herramientas de escaneo.
Fig. 4 Etapas del proceso metodolgico propuesto
Paso 2: En la identificacin de amenazas se realiz una tabla

con los siguientes campos: fuentes de amenazas segn [4], las
motivaciones, las acciones que tomaran estas amenazas y un
breve comentario de los usuarios del SCI en cada una de ellas.
Paso 3: Para la identificacin de vulnerabilidades se
realizaron entrevistas, revisin de documentacin y un
checklist de requerimientos de seguridad segn [4]. Con esta
informacin se elabor una tabla que contiene los siguientes
campos: Vulnerabilidad detectada, Tipo de vulnerabilidad
(Directivo, Operativa o tcnica) y comentarios de la entrevista
para cada vulnerabilidad.
Paso 4: El anlisis de controles se realiz teniendo en cuenta
los mtodos de control, categoras de control y tcnicas de
anlisis de control de acuerdo a [4]. Los resultados se llenaron
en una tabla con los siguientes campos: Nombre del control,
Vulnerabilidad asociada, Mtodo del control y categora.
Paso 5: Para la determinacin de la probabilidad se
consideraron los siguientes factores: Motivacin de la fuente de
amenazas, capacidad, naturaleza de la vulnerabilidad y
efectividad de controles actuales segn [4]. La informacin
obtenida se tabul en 2 tablas. En la primera tabla los campos
utilizados fueron: Descripcin del riesgo, probabilidad,
impacto y riesgo. En la segunda tabla los campos utilizados
fueron: Ubicacin del activo, marca, modelo, nmero de serie,
existencia de repuesto, sistema operativo, software instalado,
versin del software instalado, probabilidad de falla, impacto
para la organizacin y riesgo. La valoracin de la probabilidad
segn [4] fue: alta=1, media=0.5 y baja=0.1.
142
Paso 6: Para determinar el impacto fue necesario revisar

antes la siguiente informacin: Misin del SCI, criticidad de los
datos, sensibilidad de los datos y de los 3 objetivos de
seguridad: Integridad, disponibilidad y confidencialidad. La
informacin obtenida se la ingres en las mismas tablas del
Paso 5. La valoracin del impacto segn [4] fue: alto=100,

medio=50 y bajo=10.
Paso 7: La determinacin del riesgo fue estimada de acuerdo
a la probabilidad de la fuente de amenaza y la magnitud del
impacto.
Fig. 5 Metodologa de valoracin de riesgos segn NIST SP 800-30 [4].
143
Las escalas de riesgo utilizadas segn [4] fueron: Alto

cuando 100>valor>50, medio cuando 50>valor>10 y bajo
cuando 10>valor>1. Para una mejor visualizacin se
semaforizaron los valores de riesgo al igual que los de
probabilidad e impacto mencionados en los pasos 5 y 6.
proyecto y los controles de seguridad implementados. Para

esto utilizamos plantillas prediseadas con objeto de obtener el
levantamiento de requerimientos. En estas plantillas se
realizaron preguntas bsicas de carcter investigativo: Quin?,
Qu?, Dnde?, Cundo?, Por qu? y Cmo?
Paso 8: El objetivo del control recomendado fue reducir el

nivel de riesgo al SCI y sus datos a un nivel aceptable. La
eliminacin de todo el riesgo es imprctico o casi imposible,
por lo cual se tuvo en cuenta la implementacin de los
controles ms apropiados, que tengan el menor costo y que
causen el mnimo impacto. Para determinar las estrategias de
mitigacin y seleccionar los controles recomendados, [4]
sugiere utilizar la metodologa expuesta en la Fig. 6.
Elaboracin del Manual: Se us de referentes las normativas:

[3], [15] y [16] como fundamento tcnico y [17] como gua para
desarrollar las polticas de seguridad informtica. El formato
del manual fue sugerido por la empresa en estudio y se lo
estructur en 3 secciones: Polticas de tipo gerencial, de tipo
operacional y de tipo tcnico.
Al final de aplicar esta metodologa se realiz una tabla con

los
siguientes
campos:
Estrategia/Control,
control
seleccionado, responsables y comentarios de acuerdo a [4]. El
campo seleccionado es muy importante, pues aqu se registra
si el control propuesto es factible o no para la empresa y est
ligado sobre todo al anlisis costo-beneficio. Ver la tabla I.
Para probar y simular los beneficios de aplicar estas
mitigaciones se consideraron los incidentes de seguridad que
ocurrieron en los 5 ltimos aos en el SCI y se los calific
conjuntamente con personal Gerencial, operativo y tcnico de
la empresa en una tabla comparativa del antes y despus. Ver
la tabla II de la Seccin IV.
Paso 9: Los resultados fueron documentados en un reporte
oficial dirigido a los interesados. Este reporte no fue presentado
usando una manera acusatoria, sino ms bien con un enfoque
sistemtico y analtico de la seguridad de informacin del SCI.
B. Elaboracin de manual de normas y polticas de

seguridad informtica.
Un slo producto de seguridad o tecnologa no puede
proteger adecuadamente un SCI. La seguridad de un SCI segn
[3] est basada en una combinacin de polticas de seguridad
efectivas y un set de controles de seguridad debidamente
configurados, es por esto que para elaborar el manual de
normas y polticas de seguridad se realizaron los siguientes
pasos:
Controles de seguridad del tipo gerencial: Son segn [3]

contramedidas de seguridad para un SCI que se enfocan en el
manejo del riesgo y la gestin de la seguridad informtica.
NIST SP 800-53 define 5 familias de controles en base de los
cuales se desarrollaron las polticas de seguridad: Valoracin
de la seguridad y Autorizacin (CA), Planeacin (PL),
Valoracin de Riesgos (RA), Sistema y Adquisicin de
servicios (SA), Gerenciamiento del programa (PM).
Controles de seguridad del tipo operacional: Segn [3] son
contramedidas de seguridad para un SCI que son
primariamente implementados y ejecutados por la gente. NIST
SP 800-53 define 9 familias de controles en las cuales se bas
el manual: Seguridad del Personal (PS), Proteccin fsica y
ambiental (PE), Plan de Contingencia (CP), Gestin de la
configuracin (CM), Mantenimiento (MA), Integridad del
sistema e informacin (SI), Proteccin de medios (MP),
Respuesta a incidentes (IR), Entrenamiento y concienciacin
(AT).
Controles de seguridad del tipo tcnico: De acuerdo a [3] los
controles tcnicos son contramedidas de seguridad para los SCI
que son primariamente implementados y ejecutados por el
sistema a travs de mecanismos que contienen componentes de
hardware, software o firmware del sistema. NIST SP 800-53
define 4 familias de controles dentro de la clase de controles
tcnicos, los cuales sirvieron para elaborar el manual:
Identificacin y autenticacin (IA), Control de acceso (AC),
Auditora y rendicin de cuentas (AU), Proteccin del sistema
y las comunicaciones (SC).
IV. EVALUACIN DE RESULTADOS Y DISCUSIN
Reunin con los interesados: Se establecieron varias

reuniones con los interesados del proyecto, Ingenieros de
Automatizacin, Ingenieros de Tecnologas de informacin,
Ingenieros de Produccin, Ingenieros de mantenimiento y
operadores de mquinas de las 2 lneas de produccin. El
propsito de estas reuniones fue conocer los requisitos del
Los resultados obtenidos de la valoracin de riesgos y diseo

de estrategias de mitigacin para el SCI se ingresaron en
formatos de tablas de acuerdo a [4] en el cual se agregaron otros
puntos importantes como: amenazas, debilidades, medidas de
riesgo, controles recomendados y las estrategias de mitigacin
144
sugeridas. En resumen se encontraron 5 amenazas visibles, 15

vulnerabilidades, 17 riesgos resultantes y 10 estrategias de
mitigaciones sugeridas.
Como se indic en los puntos
anteriores, estas estrategias tambin fueron ligadas al anlisis

costo beneficio que estas presentan a la empresa.
Fig. 6 Metodologa de mitigacin de riesgos segn NIST SP 800-30 [4].
145
En la tabla I se muestra las variables consideradas, en la que

bsicamente se analiza cuanto costara implementar la
estrategia versus cuanto costara a la empresa no tenerla
implementada una por una. De este anlisis tambin se pudo
obtener que el costo mensual de indisponibilidad: $27.250,00
(1ra. Lnea de produccin) y $56.600,00 (2da. Lnea de
produccin). El costo total de implementar las estrategias de
mitigacin asciende a $48.500,00 (Costo total aproximado de
implementar Tecnologa, procesos y personal requeridos para
las 10 principales mitigaciones) frente a $426.605,00 (Costo
total de las prdidas por no producir debido a incidentes de
seguridad relacionados y ocurridos en los 5 ltimos aos), que
sera el impacto econmico de no hacerlo. De estos resultados
obtenidos con los datos entregados por los departamentos de
produccin y talento humano se puede decir que la mejor
decisin del gerente de esta empresa debera ser aplicar las
estrategias de mitigacin. Se debe tener en cuenta que los
valores obtenidos fueron considerados en el peor escenario, por
lo que pueden variar de acuerdo a la situacin del incidente.
Como indica [10] se comprueba que la disponibilidad es
considerada ms importante que la confidencialidad en los SCI,
por lo que se podra desarrollar una aplicacin informtica para
que los directivos del SCI valoren los riesgos y el costo
beneficio de sus decisiones de seguridad de una manera rpida
y efectiva.
Los resultados de la prueba y simulacin de aplicar las 10
mitigaciones se indican en la tabla II de la Seccin IV. El riesgo
residual baj de 100% a 10% aproximadamente, pues con las
estrategias de mitigacin se disminuy la probabilidad de
ocurrencia de la amenaza nicamente, mantenindose casi sin
cambio el impacto. Al fin se puede observar que existe an
riesgo residual con lo que se evidencia que se ha realizado una

gestin de la seguridad. Conviene indicar tambin que se
tomaron para esta simulacin nicamente los 10 riesgos que
ms impactaran en el SCI, con el fin de limitar el alcance del
trabajo. Sin embargo no se debe descartar el resto de riesgos
sino ms bien analizarlos luego y as tener una gestin
completa. Los cambios continuos en procesos, personas y
tecnologa evidenciados en este estudio, sumado a lo que [18]
dice que es fundamental mitigar y reducir los riesgos en un SCI,
conduce a proponer que los directivos de la empresa deben
realizar una valoracin de riesgos y estrategias de mitigacin al
menos una vez al ao.
En cuanto al manual, se tomaron en cuenta los formatos y
plantillas que la empresa en anlisis usa para la elaboracin de
polticas organizacionales. Bsicamente contiene el logotipo,
una cabecera con las codificaciones documentales, los
responsables y funciones dentro de la poltica y en el cuerpo del
documento las indicaciones de la poltica misma como son:
Ttulo de la poltica, declaracin del tema, declaracin de la
posicin de la organizacin, roles y responsabilidades,
aplicabilidad, cumplimiento y puntos de contacto o
informacin suplementaria. Ver ejemplo en la tabla III de la
seccin IV. En general se puede observar en el manual 18
directrices claras y precisas de que es lo que la empresa y la
gerencia piensan sobre cada aspecto de la gestin de la
seguridad informtica del SCI. Esto tambin lo evidencia [11],
quien indica que una poltica ayuda a tambin a reducir costos
en la inversin de tecnologa para el control, mediante la
administracin correcta de procesos y roles asignados a cada
responsable.
TABLA I
ANLISIS DE COSTO - BENEFICIO
146
Para la evaluacin se entreg el manual a un comit de 10

personas formado por personal directivo, tcnico y operacional
para que lo revisen y hagan cualquier sugerencia o comentario
que sirva para mejorar el contenido del manual de polticas.
Posteriormente, en una reunin formal se recolectaron
respuestas de una encuesta, comentarios y sugerencias
utilizando formatos elaborados en un instrumento de medicin,
con temas relativos a la estructura del manual, a los objetivos
estratgicos de la empresa y de Tecnologas de Informacin. De
un total de 11 datos, el rango de porcentajes de aceptacin fue
de 30% a 100% con una mediana en 75%, el promedio de
aceptacin del manual fue de 79,09% (media), la mayora de
preguntas tuvo una aceptacin de 90% (moda), los valores
menores a 55,24% (desviacin estndar) pueden haberse dado
por falta de criterio o conocimiento de los encuestados, los
cuales deberan ser analizados tambin para ver su causa. A
pesar de todo se puede ver que los usuarios aceptan el manual
y tienen altas expectativas de que este les ayude a la reduccin
de incidencias y buena gestin.
En la simulacin se pidi ayuda a los Ingenieros de:
Tecnologas de Informacin, Automatizacin, directivos de
produccin y operadores de mquinas de produccin, en total
10 personas. Los resultados de las 10 preguntas se los
documentaron en la tabla IV. De un total de 100 datos, el rango

de porcentajes de percepcin de cumplimiento de las polticas
fue desde 15% hasta el 80% con una mediana en 45%, el
promedio de percepcin de cumplimiento fue de 41,05%
(media), La percepcin ms comn de cumplimiento fue de
40% (moda), los valores de percepcin de cumplimiento fuera
del rango: 20,61% al 61,49% (desviacin estndar) pueden
haberse dado por falta de criterio o desconocimiento por parte
de los encuestados, ya que la seguridad informtica en los SCI
es un tema nuevo y especializado todava en nuestro medio.
Este proceso estadstico se lo puede visualizar en la Fig. 7.
Segn directivos de esta empresa el porcentaje de
cumplimiento de otras polticas y normas dentro de la
organizacin oscila en el rango de 40% a 50%, por lo que se
puede pensar que el 40% (moda) no es coincidencia, sino se
debe a la cultura organizacional de esta compaa. Trabajos
adicionales podran ser el analizar en qu medida una cultura
organizacional tiene impacto o relacin con el cumplimiento de
las normas y polticas de una empresa. De igual manera que lo
sealado anteriormente se podra proponer tambin desarrollar
una aplicacin de software que simule el cumplimiento del
manual para medir el grado de gestin de la seguridad
informtica de un SCI y as servir de herramienta para los
directivos que gerencian estos sistemas.
TABLA II
RESULTADOS DE LA SIMULACIN DE APLICACIN DE ESTRATEGIAS DE MITIGACIN EN EL SCI
147
TABLA III
NORMAS Y POLTICAS DE SEGURIDAD DEL SCI DE TIPO GERENCIAL.
148
TABLA IV
RESULTADOS DE SIMULACIN DE APLICAR EL MANUAL.
Fig. 7 Resultante del proceso estadstico de la percepcin de cumplimiento.
149
V. CONCLUSIONES Y TRABAJO FUTURO

De los resultados obtenidos se puede concluir que el manual
de normas y polticas de seguridad conjuntamente con las
estrategias de mitigacin para una empresa de manufactura de
este tipo, puede reducir alrededor de un 40% los incidentes de
seguridad informtica de su sistema de control industrial, en los
contextos de disponibilidad, integridad y confidencialidad de
informacin. En lo referente a los estndares NIST 800, se
puede tambin mencionar que son una normativa internacional
muy adecuada para el SCI, por lo que se adapta idneamente y
articula muy bien con los mbitos gerenciales, operativos,
tcnicos de este tipo de empresa y a su vez con los procesos de
produccin, cadena de valor y satisfaccin del cliente de la
organizacin. En si el proceso metodolgico usado se lo puede
comparar al propuesto en un SGSI de ISO 27000, por lo que se
puede recomendarlo a los profesionales de TI y de
Automatizacin de las empresas manufactureras para la gestin
de la seguridad informtica en los sistemas de control
industrial.
Como trabajo futuro se planea realizar un proyecto que
combine NIST 800 con COBIT 5.1 e ISO 27000 dentro de un
SGSI global para una organizacin o empresa de manufactura
con el fin de llevar un gerenciamiento adecuado de las TICs
tradicionales y los SCI que estn avanzando. Por otro lado
tambin se ve a futuro hacer un estudio de diseo e
implementacin de un equipo de respuestas a incidentes de
seguridad informtica (CSIRT) para un sistema de control
industrial y as complementar la gestin de la seguridad
presentada en esta metodologa.
[4]
[5]
[6]
[7]
[8]
[9]
[10]
[11]
[12]
[13]
[14]
[15]
[16]
[17]
[18]
[19]
[20]
G. Stoneburner, A. Goguen and A. Feringa, Risk Management Guide for

Information Technology Systems, NIST SP 800-30, pp. 1-56, Julio 2002
E. Byres and J. Lowe, The Myths and Facts behind Cyber Security Risks
for Industrial Control Systems, British Columbia Institute of Technology,
Burnaby, 2002
G. Francia, D. Thornton and J. Dawson, Security Best Practices and Risk
Assessment of SCADA and Industrial Control Systems, Jacksonville
State University, Alabama, 2012
L. Costa, Prospeccin de tecnologas para aumentar la seguridad en
sistemas SCADA, Especializacin, Universidad Federal Tecnolgica de
Paran, Brasil, 2012
E. Cosman and J. Gilsinn, Setting the standard for automation,
International Society of Automation (ISA), North Carolina, 2013
O. Navarro and A. Villaln, Una visin global de la ciberseguridad de
los sistemas de control, S2 Grupo, No.106, pp. 52-55, Septiembre 2013.
E. Tieghi, Introduzione alla protezione di reti e sistema di controllo e
automazione, Associazione Italiana per la Sicurezza Informatica, Italia,
2007
C. Villamizar Carlos, Implementando seguridad de la informacin en
sistemas de control industrial, Magazcitum, ao 4, nmero 2, pp. 20-23,
abril junio 2013.
E. Urea, Sistema de gestin de la seguridad de la informacin-SGSI,
ISO/IEC, pp. 1-94, Agosto 2008
A. Lpez Agustn, Guas y publicaciones del Portal de ISO 27001 en
espaol, 2005
G. Locke and P. Gallagher, Managing Information Security Risk, NIST
SP 800-39, pp. 1-88, Marzo 2011
R. Blank and P. Gallagher, Security and Privacy Controls for Federal
Information Systems and Organizations, NIST SP 800-53, Rev. 4, pp. 1460, Abril 2013
P. Gallagher, Recommended Security Controls for Federal Information
Systems and Organizations, NIST SP 800-53, Rev. 3, pp. 1-11, August
2009
B. Guttmann and E. Roback, An Introduction to Computer Security: The
NIST Handbook, NIST SP 800-12, pp. 1-296, Octubre 1995.
M. Talib, M. Barchi, A. Khelifi and O. Ormandjieva, Guide to ISO
27001:UAE Case Study, Issues in informing Science and Information
Technology, 7(2012), pp. 331-349, 2012
ISA99, Security for industrial automation and control systems,
International Society of Automation, Draft 6, Edit 7, pp. 1-269,
Noviembre 2012.
Information Security Management System (ISMS), ISO/IEC
27001:2013, 2013-10-01.
AGRADECIMIENTOS
Los autores de este artculo desean agradecer a
Comercializadora San Remigio y al Ingeniero Rafael Simon,
Gerente de esta empresa por permitirnos realizar las pruebas de
concepto y dejarnos analizar la informacin requerida para esta
investigacin. De igual manera agradecemos al Programa de
Maestra en Gerencia en Sistemas del Departamento de
Ciencias de la Computacin de la Universidad de las Fuerzas
Armadas ESPE, de Sangolqu-Ecuador, por los conocimientos
impartidos y aplicados en este estudio.
REFERENCIAS
[1]
[2]
[3]
ICS-CERT, Year in Review, Industrial Control Systems Cyber

Emergency Response Team U.S Department of Homeland Security, pp.
1-24, 2014
Vertical
Insight,
Data
Breach
Investigations
Report
MANUFACTURING, Verizon, MC1591204/14, pp. 1-60, 2014
K. Stouffer, J. Falco and K. Scarfone, Guide to Industrial Control
Systems (ICS) Security, NIST SP 800-82, Rev. 1, pp. 1-170, Mayo 2013
150
Aplicacin del mtodo de Investigacin-Accin para

desarrollar una Metodologa Agil de Gestin de Seguridad
de la Informacin
L. E. Snchez, A. Santos-Olmo, D. Garcia, E. Fernandez-Medina, M. Piattini
development of SMEs (Small and Medium Sized Enterprise).
However, these companies require ISMS adapted to their special
features, which would be optimized from the aspect of the
resources needed to deploy and maintain them, with very low
cost and short implementation periods. This article discusses the
different cycles carried out using the scientific method action
research that have allowed to develop a security management
methodology for SMEs, able to automate processes and reduce
the time of implementation of the ISMS.
para la evolucin de las PYMES (Pequeas y Medianas
Empresas). Sin embargo, este tipo de compaas requiere de
SGSIs adaptados a sus especiales caractersticas, y que estn
optimizados desde el punto de vista de los recursos necesarios
para implantarlos y mantenerlos, con unos costes muy reducidos
y periodos de implantacin muy cortos. En este artculo se
analizan los diferentes ciclos realizados utilizando el mtodo
cientfico investigacin en accin que han permitido desarrollar
una metodologa de gestin de la seguridad vlida para las
PYMES, con la que se han podido automatizar procesos y
reducir los tiempos de implantacin de los SGSIs.
Keyword
Cybersecurity,
Information
Security
Management Systems, ISMS, Action Research, Process
improvement, Cost Saving, Time Reduction, SMEs, ISO27001,
ISO27002.
Seguridad de la Informacin, SGSI, Investigacin en accin,
Mejora de procesos, Reduccin de coste, Reduccin de tiempo,
PYMES, ISO27001, ISO27002.
I. INTRODUCCIN
En un entorno empresarial globalizado y competitivo como
el existente en la actualidad, las compaas dependen cada vez
D. Garcia, Grupo de Investigacin GSyA, Universidad de Castilla-la
Mancha, Ciudad Real, Espaa, David.Garcia@uclm.es
M. Piattini, Grupo de Investigacin Alarcos, Universidad de Castilla-la
Mancha, Ciudad Real, Espaa, Mario.Piattini@uclm.es
ms de sus sistemas de informacin, pues se ha demostrado

que tienen una enorme influencia para aumentar su nivel de
competitividad [1]. Pero sin una adecuada gestin de la
seguridad estos sistemas de informacin carecen de valor real,
ya que no pueden aportar las suficientes garantas de
continuidad a las empresas [2, 3]. Por ello, las compaas
empiezan a tener conciencia de la enorme importancia que
tiene el poseer unos sistemas de seguridad de la informacin
adecuados, as como una correcta gestin de los mismos [4].
De esta forma, pese a que muchas empresas todava asumen el
riesgo de prescindir de las medidas de proteccin adecuadas,
otras muchas han comprendido que los sistemas de
informacin no son tiles sin los sistemas de gestin de
seguridad y las medidas de proteccin asociadas a ellos.
La seguridad en el mundo de la informtica tiene ya ms
de 30 aos de antigedad [5, 6] y, aunque han existido
multitud de soluciones de seguridad que han sido globalmente
aceptadas (ej.: el modelo de matriz de acceso sujeto/objeto [7],
las listas de control de acceso [8], la seguridad multinivel en
flujos de informacin [9], la criptografa de clave pblica [10,
11] o el modelo de control de acceso basado en roles [12], por
mencionar tan slo algunos ejemplos) todava existe una
sensacin generalizada de profunda desconfianza por parte de
los millones de usuarios conectados a travs de las redes.
En los tiempos actuales, considerados como los de la era
de Internet, la seguridad se ha convertido en una preocupacin
generalizada y creciente que abarca todos los mbitos de la
sociedad: empresarial, domstico, financiero, individual, etc
[13]. La sociedad de la informacin depende
incrementalmente de un amplio abanico de sistemas software
de misin crtica, como por ejemplo los sistemas de control
areo, los sistemas financieros o los sistemas de la sanidad
pblica. Debido a las potenciales prdidas a las que se
enfrentan las empresas que confan en todos estos sistemas,
tanto hardware como software, resulta crucial que los sistemas
de la informacin sean asegurados apropiadamente desde el
principio de su ciclo de vida [14, 15]. Asimismo, en [16] se
analiz las PYMES de Europa y EEUU llegando a la
conclusin de que Internet ha producido una serie de cambios
en el marco de colaboracin global. Esto hace ms necesario
proteger sus sistemas de informacin que se estn
convirtiendo en el centro neural del crecimiento de la
compaa; cambiando la manera de comunicarse, hacer
negocios y lograr objetivos, lo que ha producido un aumento
de la delincuencia y las amenazas a la seguridad como spam,
phishing y virus, socavando la confianza de los usuarios en
Internet [17].
El problema de la seguridad de la informacin se
caracteriza por la complejidad y la interdependencia. La
151
SNCHEZ et. al.: Mtodo de Investigacin-Accin
gestin de la seguridad contiene un nmero importante de

factores y elementos que se interrelacionan entre s. La
presencia del factor humano complica an ms la situacin, ya
que los seres humanos tienen libre albedro y siempre actan
segn su propio inters [18]. Por otra parte, la creciente
dependencia de Internet en casi todas las actividades
comerciales hace de la seguridad una de las principales
preocupaciones para la creacin de un tejido empresarial
sostenible [19]. Las PYMES en los pases desarrollados suelen
tener una dbil comprensin de la seguridad de la
informacin, tecnologas de seguridad y medidas de control, y
suelen dejar el anlisis de riesgos o el desarrollo de las
polticas de seguridad olvidados [20-23]. Esto puede deberse a
que las PYMES carecen de recursos, tiempo y conocimientos
especializados para coordinar la seguridad de la informacin u
ofrecer formacin y educacin adecuada sobre la seguridad de
la informacin [20, 21, 24]. Sin embargo, la literatura sugiere
una explicacin muy diferente. Gupta y Hammond [21] y
Johnson y Kock [25] sealan que, al carecer de un
conocimiento especializado de tecnologas de seguridad, las
PYMES suelen mantener la seguridad con las tecnologas con
las que ya estn familiarizados. Asimismo, las PYMES no ven
la seguridad vinculada a la estrategia empresarial, lo que
impacta directamente en el cumplimiento de la misma [26].
De hecho, una investigacin reciente pone de manifiesto la
necesidad de vincular la seguridad de la informacin con los
sistemas de informacin de planificacin estratgica y, por
tanto, con los objetivos de la empresa [27].
El artculo contina en la Seccin 2, describiendo el
mtodo de investigacin utilizado y las metodologas y
modelos para la gestin de la seguridad existentes y su
tendencia actual para el caso de las PYMES. En la Seccin 3
se muestra una visin general de la metodologa desarrollada.
En la Seccin 4 se analiza el proceso que se ha seguido para
obtener la metodologa, mediante la aplicacin de
Investigacinaccin (IA). Finalmente, en la Seccin 5
concluimos indicando cul ser el trabajo que desarrollaremos
en el futuro.
II. ESTADO DEL ARTE
A. El mtodo cientfico investigacin-accin.
En los ltimos aos los mtodos de investigacin
cualitativos, en especial IA, han merecido la atencin y
aceptacin de la comunidad cientfica relacionada con
sistemas de informacin [28-30].
Investigacinaccin no se refiere a un mtodo de
investigacin concreto, sino a una clase de mtodos que tienen
en comn las siguientes caractersticas de acuerdo con [31]: i)
orientacin a la accin y al cambio; ii) focalizacin en un
problema; iii) un modelo de proceso orgnico que engloba
etapas sistemticas y algunas veces iterativas; iv) y
colaboracin entre los participantes.
El trmino Investigacinaccin (IA) fue acuado por Kurt
Lewin en su trabajo titulado Action research and minority
problems del ao 1946. El mtodo IA se caracteriz como
una investigacin comparativa sobre las condiciones y efectos
de varias formas de investigacin y accin social, en que
destaca la accin social usando un proceso en espiral de varios

pasos, cada uno de los cuales est compuesto por varios ciclos:
planificacin, accin y bsqueda de hechos acerca de los
resultados de la accin [32, 33].
Este mtodo ha obtenido una amplia aceptacin y
aplicacin en el campo de la investigacin en informtica
desde que fue propuesto en el ao 1985 [34]. En Dos Santos y
Travassos [35] se presenta una visin general sobre la
utilizacin de IA en la ingeniera del software. Y
recientemente se ha propuesto una variante de la IA
denominada Technical Action Research (TAR) [36, 37], la
cual partiendo de un artefacto busca la forma de validarlo.
La aplicacin de este mtodo se relaciona en forma directa
con el objetivo perseguido en esta investigacin: Definir una
metodologa y un modelo de gestin de la seguridad para las
PYMES.
Para la investigacin se ha aplicado el mtodo
investigacinaccin en su variante participativa, es decir,
aquella en la que el grupo crtico de referencia pone en
prctica las recomendaciones realizadas por el investigador,
compartiendo con l sus efectos y resultados. Para ello se han
definido los siguientes participantes:
El investigador: en este caso corresponde al Grupo
Alarcos, formado por profesores de la Escuela
Superior de Informtica de la Universidad de Castilla
La Mancha en Ciudad Real, Espaa.
El objeto investigado es decir, el problema a resolver:
En este caso corresponde a la mejora de la gestin de
la seguridad de las tecnologas de la informacin.
El grupo crtico de referencia (GCR): aqul para el
que se investiga y, adems, participa en el proceso de
investigacin. Est compuesto por la empresa Sicaman
Nuevas Tecnologas S.L., sus clientes, y por los
participantes de los proyectos de investigacin.
El cuarto participante, el beneficiario, est constituido
por aquellas organizaciones que pueden ser
beneficiadas por los resultados del trabajo, es decir,
todas aquellas pequeas y medianas empresas que
desean aplicar mtodos avanzados de gestin de
seguridad de la informacin en sus sistemas de
informacin para mejorar de una manera controlada y
metdica la seguridad en sus procesos y productos de
tecnologas de la informacin. El resultado de esta
investigacin mejorar la eficiencia del proceso de
implantacin y mantenimiento de los sistemas de
gestin de la seguridad de la informacin. Por lo tanto
los principales beneficiarios sern todas las empresas
vinculadas al grupo crtico de referencia.
Las etapas que se identifican para demostrar el carcter
cclico de la investigacinaccin han sido aplicadas en esta
investigacin de la siguiente manera:
Planificacin: Conocida la problemtica relacionada
con la incorporacin de sistemas de gestin de
seguridad en las PYMES, se planifica desarrollar una
metodologa que permita generar un SGSI con el
menor nmero de recursos posibles y que se adapte al
152
tamao y la madurez de la compaa.

Accin: Una vez que se han definido los principales
elementos involucrados en el proceso de creacin de
un SGSI, se procede a la creacin de un modelo y su
aplicacin en determinados casos de estudio. Del
mismo modo, los elementos que sern utilizados para
construir el SGSI final son aplicados en casos de
estudio.
Observacin: Una vez que se han aplicado los
elementos y generado el SGSI se ha procedido a la
evaluacin de los resultados obtenidos. Esto ha
permitido mejorar las propuestas originales.
Finalmente, se ha logrado definir una metodologa que
sistematiza la creacin de un SGSI para una compaa
y su evolucin, y un modelo que permite validarla.
Todo este mtodo es apoyado por un prototipo que
permite generar de forma sencilla los SGSI y trabajar
con ellos para analizar su evolucin en el tiempo.
Reflexin: Atendiendo al carcter cclico de la
investigacinaccin, se han obtenido resultados que
son el producto de sucesivas iteraciones. Los
resultados obtenidos han sido compartidos y
contrastados con el equipo de investigacin, en foros
nacionales e internacionales de comunidades
cientficas afines a los temas que se abordan en la
investigacin.
Un esquema de los participantes y los ciclos resultantes de
la aplicacin del mtodo investigacinaccin en esta
investigacin se muestra en la Figura 1.
PYMES
(Beneficiarios
Stakeholders)
Resultados
de la
investigacin
Resultados
de la
aplicacin
Resultados
refinados
Propuestas
Responsable de SNT
(Grupo critico
de referencia)
Doctorando
Grupo Alarcos (UCLM)
(Investigador)
Mejora de la seguridad
en las tecnologas
de la informacin
(Objeto Investigado)
Figura 1. Aplicacin de IA durante la investigacin.
En resumen, los resultados conseguidos con la aplicacin

del mtodo fueron:
Una metodologa adecuada para gestionar la seguridad

y su nivel de madurez en los sistemas de informacin
de las PYMES.
Un modelo de madurez y gestin de la seguridad
adecuado a los recursos de las PYMES basado en la

metodologa desarrollada y denominado esquema
base. El resultado fue aceptado por el grupo crtico de
referencia.
Beneficios para los participantes: cientficos para el
investigador y prcticos para los beneficiarios.
El conocimiento obtenido pudo ser aplicado
inmediatamente.
La investigacin se desarroll en un proceso tpico
cclico e iterativo combinando teora y prctica.
B. La Gestin de la Seguridad en las PYMES.

Con el propsito de reducir las carencias mostradas en la
introduccin y reducir las prdidas que stas ocasionan, ha
aparecido un gran nmero de procesos, marcos de trabajo y
mtodos de la seguridad de la informacin cuya necesidad de
implantacin est siendo cada vez ms reconocida y
considerada por las organizaciones, pero que como se ha
mostrado, son ineficientes para el caso de las PYMES [38,
39].
En relacin con los estndares ms destacados se ha
podido constatar que la mayor parte de los modelos de gestin
de la seguridad han tomado como base el estndar
internacional ISO/IEC27001 [40] e ISO/IEC27002 [41], y que
los modelos de gestin de seguridad que estn teniendo mayor
xito en las grandes compaas son ISO/IEC27001 [40],
COBIT [42] e ISM3, pero que son muy difciles de
implementar y requieren una inversin demasiado alta que la
mayora de las PYMES no pueden asumir [21, 38]. Aunque
estn surgiendo nuevas propuestas muy interesantes orientadas
a este tipo de compaas, afrontan los problemas de una forma
muy incompleta.
En numerosas fuentes bibliogrficas se detecta y resalta la
dificultad que supone para las PYMES la utilizacin de las
metodologas y modelos de madurez para la gestin de la
seguridad tradicionales, que han sido concebidos para grandes
empresas [43-46]. Se justifica en repetidas ocasiones que la
aplicacin de este tipo de metodologas y modelos de madurez
para las PYMES es difcil y costosa. Adems, las
organizaciones, incluso las grandes, tienden ms a adoptar
grupos de procesos relacionados como un conjunto que a tratar
los procesos de forma independiente [47].
Las metodologas y modelos de gestin de la seguridad
mencionados no se han mostrados vlidos en las PYMES por
tres motivos:
Fueron desarrollados pensando en organizaciones que
podan contar con mayores recursos.
Acometen slo parte del sistema de gestin de
seguridad y casi ninguna de ellas aborda desde un
punto de vista global la implantacin de estos
sistemas, lo que obliga a las compaas a tener que
adquirir, implementar, gestionar y mantener varias
metodologas, modelos y herramientas para gestionar
la seguridad. Adicionalmente, las pocas aplicaciones
que han intentado abordar todos los aspectos de la
gestin de la seguridad son caras de adquirir y
153
requieren de una gestin compleja y de un

mantenimiento costoso, lo que hace que no sean
adecuadas para las PYMES.
Finalmente se puede concluir que, aunque existen
varios estndares, normas, guas de buenas prcticas,
metodologas y modelos de gestin de la seguridad y
de anlisis de riesgos, estos no estn integrados en un
modelo global que pueda ser aplicable a las pequeas
y medianas empresas con garantas de xito.
Por lo tanto, y como conclusin de este apartado, se puede
decir que es pertinente y oportuno abordar el problema de
desarrollar una nueva metodologa para la gestin de la
seguridad y su madurez para los sistemas de informacin en
las PYMES con un modelo que valide su funcionamiento, as
como una herramienta que soporte este modelo, tomando
como base la problemtica a que este tipo de compaas se
enfrenta y que ha llevado a continuos fracasos en los intentos
de implantacin en este tipo de empresas.
mediante la implantacin en diferentes empresas, se ha

desarrollado una metodologa de gestin y madurez de la
seguridad de los sistemas de informacin y un modelo
asociado a la misma (ver Figura 2).
Est metodologa consta de tres subprocesos principales:
III. FRAMEWORK MARISMA

La metodologa para la gestin de la seguridad y su
madurez en las PYMES que se ha desarrollado, permite a
cualquier organizacin gestionar, evaluar y medir la seguridad
de sus sistemas de informacin, pero est orientado
principalmente a las PYMES, ya que son las que tienen mayor
tasa de fracaso en la implantacin de las metodologas de
gestin de la seguridad existentes [48, 49].
Uno de los objetivos perseguidos en la metodologa
MARISMA es que sea sencilla de aplicar, y que el modelo
desarrollado sobre ella permita obtener el mayor nivel de
automatizacin y reusabilidad posible con una informacin
mnima, recogida en un tiempo muy reducido. En la
metodologa se ha priorizado la rapidez y el ahorro de costes,
sacrificando para ello la precisin que ofrecan otras
metodologas, es decir, la metodologa desarrollada busca
generar una de las mejores configuraciones de seguridad pero
no la ptima, priorizando los tiempos y el ahorro de costes
frente a la precisin, aunque garantizando que los resultados
obtenidos tengan la calidad suficiente.
GEGS: Generacin de
Esquemas
MSGS:
Mantenimiento
del SGSI
GSGS: Generacin del SGSI

Schema
A1.1
Generacin
de tablas
maestras
A1.2
Generacin
de tablas
del Nivel de
Madurez
A1.3
Generacin
de tablas
del Anlisis
de Riesgos
A1.4
Generacin
de tablas de
biblioteca
de objetos
InfSGSI
A2.1
Establecim.
del marco
de trabajo
del SGSI
A2.2
Establecim.
del Nivel de
Madurez
A2.3
Realizacin
del Anlisis
de Riesgos
A2.4
Generacin
del SGSI
A3.1
Obtener o
renovar el
certificado de
cultura de
segurid.
A3.2
Ejecutar
procedimientos
del SGSI
A3.3
Seguimiento
cumplimient
del SGSI
KnowHow
Figura 2. Subprocesos de la metodologa.
De esta forma y a partir de la informacin obtenida
GEGS Generacin de Esquemas de Gestin de

Seguridad: El principal objetivo de este subproceso
est orientado a la construccin de esquemas, que
son estructuras necesarias para la construccin de
SGSIs, creadas para un conjunto de posibles
compaas de la misma categora. Estos esquemas son
reutilizables y permiten reducir el tiempo de creacin
del SGSI, as como sus costes de mantenimiento hasta
hacerlos adecuados para la dimensin de una PYME
[48]. El uso de esquemas es de especial inters en el
caso de las PYMES ya que por sus especiales
caractersticas, stas suelen tener sistemas de
informacin sencillos y muy parecidos entre s. Est
formada por las siguientes actividades y tareas:
o Actividad A1.1 - Generacin de tablas maestras:
T1.1.1 - Establecimiento de los roles del
esquema, T1.1.2 - Establecimiento de los
sectores empresariales, T1.1.3: Establecimiento
de los niveles de madurez,
o Actividad A1.2 - Generacin de tablas del nivel
de madurez: T1.2.1 - Establecimiento de las
reglas de madurez, T1.2.2 - Establecimiento de
los controles.
o Actividad A1.3 - Generacin de tablas del
anlisis de riesgos: T1.3.1 - Seleccin de tipos
de activos, T1.3.2 - Seleccin de amenazas,
T1.3.3 - Seleccin de vulnerabilidades, T1.3.4 Seleccin de criterios de riesgo, T1.3.5 Establecimiento de relaciones entre tipos de
activos
y
vulnerabilidades,
T1.3.6
Establecimiento de relaciones entre amenazas y
vulnerabilidades, T1.3.7 - Establecimiento de
relaciones entre amenazas y controles, T1.3.8 Establecimiento de relaciones entre tipos de
activos, vulnerabilidades y criterios de riesgo.
o Actividad A1.4 - Generacin de tablas de la
biblioteca de artefactos: T1.4.1 - Seleccin de
reglamentos,
T1.4.2
Seleccin
de
procedimientos, T1.4.3 - Seleccin de registros,
T1.4.4 - Seleccin de plantillas, T1.4.5 Seleccin de instrucciones tcnicas, T1.4.6 Seleccin de mtricas, T1.4.7 - Establecimiento
de relaciones entre reglamentos y artefactos,
T1.4.8 - Establecimiento de relaciones entre
reglamentos
y
controles,
T1.4.9
Establecimiento de relaciones entre artefactos y
controles, T1.4.10 - Establecimiento de
relaciones entre procedimientos y artefactos.
GSGS Generacin de Sistemas de Gestin de
la creacin de un SGSI adecuado para una compaa,
utilizando para ello un esquema existente.
154
Actividad A2.1 - Establecimiento del marco de

trabajo del SGSI: T2.1.1 Solicitud del
interlocutor vlido, T2.1.2 - Solicitud del
organigrama de la compaa, T2.1.3 - Obtencin
de la lista de usuarios del sistema de informacin
y sus roles.
o Actividad A2.2 - Establecimiento del nivel de
madurez: T2.2.1 - Recogida de informacin
empresarial, T2.2.2 - Recogida de informacin
tcnica del sistema de informacin, T2.2.3 Obtencin del nivel de madurez de la seguridad.
o Actividad A2.3 - Realizacin del anlisis de
riesgos: T2.3.1 - Identificacin de activos,
T2.3.2 - Generacin de la matriz de riesgos y el
plan de mejora.
o Actividad A2.4 - Generacin del SGSI: T2.4.1 Generacin de los objetos del SGSI, T2.4.2 Presentacin de resultados al interlocutor.
MSGS Mantenimiento del Sistema de Gestin de
el mantener y gestionar la seguridad del sistema de
informacin de la compaa, aportando informacin
actualizada en el tiempo de un SGSI generado.
o Actividad A3.1 - Obtener o renovar el certificado
de cultura de seguridad: T3.1.1 - Realizacin
del test de cultura de seguridad.
o Actividad A3.2 - Ejecutar procedimientos del
SGSI: T3.2.1 - Activar procedimiento general,
T3.2.2 - Activar procedimiento de denuncia.
o Actividad A3.3: Seguimiento del cumplimiento
del SGSI: T3.3.1 - Gestionar el cuadro de
mandos de seguridad, T3.3.2 - Gestionar la
periodicidad de los procedimientos, T3.3.3 Gestionar las violaciones de seguridad, T3.3.4 Gestionar los certificados de cultura de la
seguridad, T3.3.5 - Realizacin de auditoras
peridicas, T3.3.6 - Realizacin de mtricas
generales, T3.3.7 - Gestionar el sistema de
alertas.
En la siguiente seccin se analiza el proceso que se ha

seguido para obtener las diferentes actividades y tareas que
componen la metodologa MARISMA, utilizando para ello el
mtodo cientfico investigacin en accin y que se adaptan a
las caractersticas requeridas por las PYMES [50, 51].
IV. APLICANDO INVESTIGACIN-ACCIN
En esta seccin se analizan los diferentes ciclos del mtodo
de investigacin en accin utilizado durante la investigacin, y
que muestran cmo se ha ido evolucionando desde un sistema
clsico hasta obtener la metodologa vlida para las PYMES
mostrada en el apartado anterior.
Ciclo I1: Implantacin de un SGSI mediante un

proceso clsico.
o Objetivo: Implantacin de un SGSI en la PYME.
o Caractersticas: Se realiza una implantacin de
un SGSI desarrollando todo el proceso a medida
para el cliente. Se realizan checklist a medida de

controles, un anlisis de riesgos a mximo nivel
y libreras de normas y procedimientos desde
cero y totalmente adaptadas. Se involucra en los
procesos de desarrollo al mayor nmero de
directores posibles.
Principales
problemas
detectados:
i)
Imposibilidad de acometer reuniones de trabajo
al no poder poner de acuerdo a los directores
involucrados; ii) Imposibilidad de realizar el
anlisis de riesgos debido al detalle y
complejidad del mismo; iii) Rechazo de los
usuarios a trabajar con los procedimientos en
papel, debido al enorme tiempo requerido para
su aprendizaje; iv) Dificultad para mantener el
sistema actualizado y establecer planes
correctivos.
Resultado: Insatisfaccin general del cliente con
el resultado. Considera que el resultado obtenido
es complejo y costoso de mantener y no est
alineado con la direccin de la compaa. El
cliente no cree que se pueda alcanzar un ROI
aceptable.
Duracin: 48 Semanas.
Debido a la imposibilidad de acometer el proyecto por la

complejidad del mismo para las PYMES, se inicia una serie de
ciclos correctivos con el objetivo de ir solucionando los
diferentes problemas detectados.
Ciclo I2: Solucionar aspectos relacionados con el

anlisis de riesgos.
o Objetivo: Simplificar el anlisis de riesgos.
o Caractersticas: Se busca simplificar la
realizacin del anlisis de riesgos, mediante: i)
Seleccin de activos de grano grueso, es decir, lo
ms generalistas posibles, frente a activos
detallados; ii) Simplificar el anlisis de riesgos.
o Principales
problemas
detectados:
Los
directores de los departamentos se muestran ms
dispuestos a colaborar cuando se trata de definir
en pocas palabras entre 2 y 5 grupos de activos
de valor de sus departamentos. Se simplifica el
problema de calcular y revisar los riesgos a los
que estn sometidos los activos.
o Solucin: Simplificacin de los activos que
componen el sistema de informacin.
o Resultado: Los directores de los departamentos
se muestran ms dispuestos a colaborar cuando
se trata de definir en pocas palabras entre 2 y 5
grupos de activos de valor de sus departamentos
en lugar de rellenar una compleja hoja de
seleccin de activos y valoraciones. Esto produce
una aceleracin en el proceso de reuniones y de
seleccin de activos. Se ahorra tiempo en el
clculo de los riesgos y la emisin de informes
de riesgos, as como en adaptaciones que se
tengan que realizar cuando cambie el valor de los
155
o
o
activos.
Asociado a: Actividad A1.3 (T1.3.1-T1.3.4) y
A2.4 (T2.3.1)
Ciclo I3: Solucionar aspectos relacionados con la

evaluacin del nivel de seguridad.
o Objetivo: Simplificar y aumentar la precisin del
mecanismo de evaluacin del nivel de seguridad.
o Caractersticas: Se busca simplificar y aumentar
la precisin de la actividad que permite
determinar el nivel actual de seguridad de la
compaa.
o Principales problemas detectados: Cuando un
auditor realiza una auditora del nivel de
cumplimiento de los controles de seguridad, sus
resultados suelen variar mucho con respecto al
resultado obtenido por otros auditores, lo que
hace que la evaluacin de estos controles suele
ser muy imprecisa.
o Solucin: Establecer una lista de verificacin a
nivel de subcontrol en lugar de a nivel de
control.
o Resultado: Se ha recurrido a dividir los controles
en cuestionarios ms detallados que reducen el
margen de variacin entre diferentes auditores.
Al estar las cuestiones mucho ms centralizadas,
los responsables de seguridad tienen menor
margen de error en la respuesta y el nivel de
evaluacin puede realizarse de forma mucho ms
rpida y eficiente.
o Asociado a: Actividad A1.2 (T1.2.2)
o Duracin: 42 Semanas.
Ciclo I4: Solucionar aspectos relacionados con los
elementos del anlisis de riesgos.
o Objetivo: Automatizar procesos del anlisis de
riesgos y reducir tiempos.
o Caractersticas: Se busca simplificar la
realizacin del anlisis de riesgos, predefiniendo
las relaciones existentes entre los diferentes
elementos de ste.
o Principales problemas detectados: El coste de
determinar los elementos de anlisis de riesgos
(tipos de activos, vulnerabilidades, amenazas y
criterios de riesgos) involucrados para cada
compaa es alto, pero en diferentes compaas
con caractersticas parecidas (Ej.: mismo sector
empresarial) estas relaciones suelen coincidir en
ms de un 90%.
o Solucin: Crear matrices de asociacin entre
cada elemento involucrado en el anlisis de
riesgos. Estas matrices se irn rellenando en base
al conocimiento adquirido en cada una de las
implantaciones y asociarn dos partes
fundamentales para el anlisis de riesgos:
[Activos] [Tipos de Activos, Vulnerabilidades,
o
o
Amenazas y Criterios de Riesgo].

Resultado: Enormes ahorros en la labor de
consultora necesaria para establecer las
relaciones entre todos los elementos del anlisis
de riesgos para cada activo del sistema de
informacin de la compaa.
Asociado a: Actividad A1.3 (T1.3.5, T1.3.6,
T1.3.8)
Ciclo I5: Solucionar aspectos relacionados con las

libreras de normas y procedimientos.
o Objetivo: Automatizar la generacin de
procedimientos y normas.
o Caractersticas: Se busca simplificar la creacin
de los procedimientos y normas que forman parte
del SGSI, predefiniendo las relaciones entre los
diferentes elementos del SGSI.
o Principales problemas detectados: El coste de
crear procedimientos y normas a medida para
cada implantacin es enorme y requiere de un
anlisis detallado de cada proceso, as como
involucrar a un gran nmero de personal tcnico
y de la compaa.
cada elemento involucrado en las normas y los
procedimientos. Estas matrices se irn rellenando
en base al conocimiento adquirido en cada una
de las implantaciones y asociarn tres partes
fundamentales para la generacin del SGSI:
[Normas] [Procedimientos] [Elementos de
los Procedimientos: (Fases, Instrucciones
Tcnicas, Registros, Plantillas, Rutas y Perfiles)].
o Resultado: Enormes ahorros en la labor de
consultora necesaria para definir el mapa de
normas y procedimientos de la compaa.
o Asociado a: Actividad A1.4 (T1.4.1-T1.4.6).
Ciclo I6: Solucionar aspectos relacionados con las

libreras de normas y procedimientos.
o Objetivo: Reducir costes en la generacin y
mantenimiento de procedimientos y normas.
o Caractersticas: Se busca simplificar el
mantenimiento de los procedimientos y normas
que forman parte del SGSI, estableciendo
relaciones de estos con el resto de los elementos
del SGSI.
o Principales
problemas detectados:
Para
determinar si un procedimiento es necesario en el
SGSI se tiene que asociar mediante una labor de
consultora con los controles seleccionados para
la compaa.
o Solucin: Crear matrices de asociacin entre las
normas y los procedimientos con los controles.
Estas matrices se irn rellenando en base al
conocimiento adquirido en cada una de las
156
o
o
implantaciones y asociarn dos partes

fundamentales para la generacin del SGSI:
[Normas] [Controles] - [Procedimientos].
consultora necesaria para establecer los
procedimientos necesarios para el SGSI de la
compaa.
Asociado a: Actividad A1.4 (T1.4.7-T1.4.10).
Ciclo I7: Solucionar aspectos relacionados con los

elementos del anlisis de riesgos.
o Objetivo: Asociar el anlisis de riesgo con el
resto de elementos del SGSI.
o Caractersticas: Se busca vincular directamente
los elementos del anlisis de riesgos con los
controles del sistema, para unificar todos los
elementos del SGSI.
o Principales
problemas
detectados:
Los
resultados del anlisis de riesgos quedan aislados
del resto del SGSI y deben realizarse
posteriormente una labor costosa para determinar
cmo asociar los riesgos con los controles.
elementos del anlisis de riesgos y los controles.
Estas matrices se irn rellenando en base al
conocimiento adquirido en cada una de las
implantaciones y asociarn las Vulnerabilidades
a los Controles asociados a ellas.
o Resultado: Enormes ahorros en la labor de
consultora necesaria para establecer las
relaciones entre todos los elementos del anlisis
de riesgos y los controles del sistema. Con esta
nueva matriz quedan asociados todos los
elementos del sistema a los controles del mismo,
pudiendo automatizar la mayor parte de los
procesos.
o Asociado a: Actividad A1.3 (T1.3.7).
Ciclo I8: Introduccin del concepto de Esquema [52].
o Objetivo: Generar una estructura que permita
maximizar la reutilizacin del conocimiento
(Esquema).
o Caractersticas: La estructura denominada
Esquema tendr la capacidad de contener todas
las listas de elementos involucradas en la
creacin de un SGSI y las relaciones existentes
entre ellos.
o Principales problemas detectados: Una vez
definido un conjunto de matrices, se busca cmo
automatizar y maximizar el rendimiento de sta,
as como la posibilidad de clonar esas matrices
con el objetivo de poder realizar pruebas.
Asimismo, existe la necesidad de poder
incorporar de una forma organizada nuevos
elementos que puedan aparecer durante la
o
o
investigacin y poder distinguir las matrices en

base a una serie de caractersticas (Ej.: sectores
empresariales).
Solucin: Crear una estructura que pueda
contener todos los elementos involucrados en el
proceso de generacin y mantenimiento de un
SGSI, y que tenga la capacidad de poder
involucrar nuevos elementos en su estructura de
una forma sencilla y de permitir un nmero
ilimitado de configuraciones.
consultora y organizacin necesaria para crear el
SGSI, ya que todo el conocimiento adquirido en
diferentes implantaciones queda almacenado en
la estructura Esquema.
Asociado a: Subproceso GEGS.
Ciclo I9: Introduccin del concepto de Nivel de

Madurez.
o Objetivo: Establecer procesos de evaluacin y
certificacin parciales.
o Caractersticas: Introducir el concepto de nivel
de madurez como mecanismo de evaluacin y
certificacin parciales.
o Principales problemas detectados: Muchos
clientes siguen considerando el proceso muy
complejo, por lo que requieren de puntos de
control intermedios para poder afrontar el
proyecto con hitos de tiempo ms cercanos.
o Solucin: Introducir la posibilidad de establecer
un proceso de certificacin y evaluacin parcial
mediante niveles de madurez. Durante la
investigacin se han realizado pruebas con 1
nivel (anula este concepto), 3 niveles y 5 niveles.
Los resultados demuestran que en la mayor parte
de los casos las PYMES suelen estar ms
cmodas con un sistema de 3 niveles, aunque el
proceso se ha realizado para que pueda sufrir
variaciones.
o Resultado: Aunque supone un aumento de coste
al involucrar un nuevo elemento de gestin,
consideramos que a medio plazo este coste puede
verse mitigado por las mejoras que aporta. La
principal ventaja es que ayuda a que el proceso
de implantacin y mantenimiento tenga mayor
porcentaje de xito.
Ciclo I10: Ampliacin del concepto de Nivel de

Madurez.
o Objetivo: Determinar un nivel de madurez
mximo para una compaa, estableciendo un
conjunto de reglas de madurez.
o Caractersticas: Determinar el nivel de madurez
mximo al que una compaa tiene que llegar en
157
o
o
base a su estructura empresarial actual.

Principales problemas detectados: Muchos
clientes, intentan cumplir controles que
sobrepasan su capacidad empresarial actual,
sobredimensionando los sistemas de gestin de
la seguridad, lo que a medio plazo se traduce en
un aumento de los riesgos.
Solucin: Seleccionar una serie de caractersticas
empresariales que permitan determinar un
mximo nivel de madurez al que sera
aconsejable que la compaa llegara, teniendo en
cuenta sus propiedades actuales, con el objetivo
de evitar sobredimensionar o destinar recursos a
controles menos prioritarios. Para ello, se ha
realizado un estudio de las caractersticas de las
compaas determinando algunos factores que
influyen en su capacidad y estableciendo un
sencillo algoritmo que determine el nivel de
gestin de la seguridad deseable en un instante
dado.
Resultado: Aunque supone un aumento de coste
al involucrar un nuevo elemento de gestin,
consideramos que a medio plazo este coste puede
verse mitigado por las mejoras que aporta. La
principal ventaja es que ayuda a que el proceso
de implantacin y mantenimiento tenga mayor
porcentaje de xito.
Asociado a: Actividad A1.2 (T1.2.1).
Ciclo I11: Ampliacin del concepto de Nivel de

Madurez.
o Objetivo: Introducir el concepto del Nivel de
Madurez dentro de la estructura del Esquema.
o Caractersticas: Introducir el concepto de nivel
de madurez dentro de la estructura del esquema,
para propagar las propiedades y ventajas que
aporta al resto de elementos del esquema.
o Principales problemas detectados: El concepto
de nivel de madurez aporta nuevas caractersticas
al SGSI, pero requiere de una costosa labor de
gestin para aplicarlo en los diferentes objetos
del mismo.
o Solucin: Se asocian los niveles a los
subcontroles del esquema, de forma que se
propaguen a todos los elementos del SGSI. De
esta forma el cliente puede conocer en todo
momento el nivel de madurez en que se
encuentra su gestin de la seguridad, y lo que
tendra que hacer para llegar al siguiente nivel.
o Resultado: Reduccin de los costes de gestin
asociados a la introduccin del elemento nivel
de madurez.
Ciclo I12: Establecimiento del concepto de Nivel de
Madurez.
o Objetivo: Introducir el concepto del Nivel de
Madurez Actual (el que la compaa tiene
actualmente en base a las formulas propuestas
en la metodologa) y Deseable (el nivel que la
compaa debera tener teniendo en cuenta su
cultura de la seguridad actual) dentro del
proceso de implantacin y mantenimiento del
sistema.
o Caractersticas: Poder determinar durante el
proceso de implantacin el Nivel de Madurez
Actual y el Nivel de Madurez Deseable de la
gestin de la seguridad de la compaa, as como
el sobredimensionamiento en los controles de
seguridad.
o Principales problemas detectados: El cliente
quiere conocer de una forma sencilla su situacin
actual, hasta dnde tiene que llegar y cmo
puede optimizar y recuperar recursos para
realizar ese recorrido con garantas.
o Solucin: Mediante la eleccin del esquema ms
apropiado para esa compaa, y la realizacin de
cuestionarios para determinar el nivel de
seguridad actual y el nivel de seguridad deseable,
se obtiene la informacin necesaria para aplicar a
un algoritmo que determine la situacin actual de
la compaa.
o Resultado: Aunque no se obtienen ahorros de
coste, el cliente aumenta su conocimiento y
confianza en el proceso.
o Asociado a: Actividad A2.2 (T2.2.1-T2.2.3).
Ciclo I13: Automatizacin del anlisis de riesgos.

o Objetivo: Automatizar la generacin del anlisis
de riesgos, para optimizar los costes de este
proceso.
o Caractersticas: Creacin de algoritmos que
utilicen toda la informacin obtenida para
generar un anlisis de riesgos bsico con bajo
coste.
o Principales problemas detectados: El cliente
desea verse involucrado lo menos posible en el
proceso de anlisis de riesgos, y desea ante todo
minimizar costes.
o Solucin: Mediante la eleccin de: i) el esquema
ms apropiado para esa compaa; ii) un
conjunto bsico de activos de grano grueso. Se
obtiene la informacin necesaria para aplicar un
algoritmo que genere: i) una matriz de todos los
riesgos a los que estn sometidos los activos; ii)
y un plan de mejora simplificado para presentar
al cliente, de forma que pueda entender las
razones del porque y como acometer las mejoras.
o Resultado: Se obtienen un ahorro de coste y un
completo anlisis de riesgos, fcil de mantener y
regenerar.
158
o
o

I1
los elementos que formarn parte del SGSI.

Resultado: Se obtiene un ahorro de coste y un
SGSI implantado, fcil de mantener y regenerar.
o
o
o
GEGS: Generacin de esquemas para gestin de seguridad.

GSGS: Generacin del sistema de gestin de seguridad.
I2
Proceso clsico
Proceso Clsico
A2.4
A1.3
Proceso Clsico
I6
A1.3
A1.2
En la Figura 3 podemos ver, de forma resumida, cmo se

han ido introduciendo las diferentes actividades que componen
los procesos GEGS Y GSGS en los diferentes ciclos del
mtodo investigacin en accin.
I3
A2.4
I4
En la Figura 4 se puede ver cmo gracias a la aplicacin

del mtodo investigacin-accin se han ido detectando
caractersticas que han permitido ir reduciendo y mejorando el
proceso de generacin e implantacin del SGSI.
A1.2
A1.3
Proceso clsico
A1.4
A2.4
I7
A1.3
A1.2
A1.3
A1.4
A2.4
A2.4
I5
A1.2
I8
A1.2
A1.2
A1.3
A1.4
A2.4
I6
GEGS
A1.3
I9
Evolucin de las fase de Diseo e Implantacin de un SGSI utilizando I-A
...
50
A1.4
I10
A2.4
A1.3
GEGS
A1.2
A1.1
A2.4
A1.3
I11
GEGS
A1.2
A1.1
A1.3
A1.4
GSGS
A2.1
I12
A1.4
GSGS
A2.1
A2.4
A2.2
I11
...
31
28
26
25
20
20
18
21
17
15
17
15
12
10
5
0
I1
A2.4
I2
I3
I4
I5
I6
I7
I8
I9
I10
I11
I12
I13
I14
I14
GEGS
A1.2
A1.1
A1.3
A1.4
GSGS
A2.2
A2.1
Leyenda:
A2.3
A2.4
GEGS
A1.2
A1.1
A1.3
A1.4
GSGS
A2.2
A2.1
A2.3
A2.4
Actividad nueva o
mejorada.
Figura 3. Obtencin de los procesos GEGS y GSGS usando I-A.
39
30
Ciclos
GEGS
A1.2
A1.1
A2.4
Actividad que no sufre

cambios durante el
ciclo.
A1.4
GSGS
A2.1
I13
A1.3
42
35
A1.4
GSGS
A2.1
44
40
Semanas
A2.1
48
45
GEGS
A1.2
A1.1
GSGS
Ciclo I14: Automatizacin de los elementos del

SGSI.
o Objetivo: Automatizar la seleccin y generacin
de los elementos del SGSI para optimizar los
costes de este proceso.
o Caractersticas: Creacin de algoritmos que
utilicen toda la informacin obtenida para
seleccionar los elementos adecuados para el
SGSI de la compaa.
o Principales problemas detectados: El proceso de
seleccin de los elementos que tienen que
componer el SGSI requiere del anlisis por parte
de un consultor de toda la informacin obtenida
hasta el momento, lo que es un proceso complejo
y costoso.
o Solucin: Mediante la eleccin del esquema ms
apropiado para esa compaa y la utilizacin de
la informacin obtenida del cliente, se obtiene la
informacin necesaria para aplicar un algoritmo
que seleccione e implante de forma automtica
Figura 4. Evolucin de las fases de diseo e implantacin de un SGSI

utilizando I-A.
Podemos considerar que el proceso de implantacin tiene

ahora unos costes adecuados para las PYMES y adems
cumple todas las caractersticas que tanto desde el punto de
vista de los principales estndares como desde el punto de
vista de las PYMES son requeridos para que el SGSI sea
vlido.
Una vez estabilizada la etapa de generacin e implantacin
del SGSI, nos centraremos en la optimizacin de los procesos
de mantenimiento:
Consideramos que puede dar comienzo la aplicacin del
mtodo investigacin-accin sobre el proceso de
mantenimiento del SGSI:
Ciclo M1: Proceso inicial.

o Objetivo: Los usuarios empiezan a utilizar el
sistema de gestin de seguridad.
o Caractersticas:
i)
Los
procedimientos
generados por el sistema se utilizan en papel; ii)
No se dispone de herramienta de soporte; iii) El
nivel de gestin de la seguridad se conoce cada
2-3 aos al realizarse la auditora peridica.
o Principales problemas detectados: i) Los
usuarios consideran muy complejo conocer el
funcionamiento de los procedimientos; ii) El
responsable de seguridad se ve desbordado por el
coste de mantenimiento del sistema; iii) Al no
conocer qu parte del sistema necesita ms
recursos, el sistema sufre una degradacin
159
o
o
progresiva.
Solucin: Cambios generalizados en la forma de
trabajar.
Resultado: La forma de trabajo actual hace que
se produzca una tasa de fracaso a medio plazo
superior al 80% de los casos en que se ha
implantado el sistema.
Ciclo M2: Mejoras orientadas a controlar el nivel de

seguridad.
o Objetivo: Conocer el nivel de seguridad de los
controles en todo momento.
o Caractersticas: El responsable de seguridad
tiene que conocer en todo momento qu
controles se estn degradando, con el objetivo de
poder balancear los recursos disponibles.
o Principales
problemas
detectados:
El
desconocimiento del nivel de gestin de
seguridad por control en el corto plazo evita que
se puedan tomar las medidas oportunas para
evitar que el sistema deje de funcionar de forma
adecuada.
o Solucin: Introduccin del concepto de cuadro
de mandos.
o Resultado: La introduccin del concepto de
cuadro de mandos hace que la tasa de fracaso se
reduzca a tasas de entre el 75-80%.
o Asociado a: Actividad A3.3.
Ciclo M3: Mejoras orientadas a controlar el nivel de
seguridad.
o Objetivo: Automatizar mediante una herramienta
y mtricas el mantenimiento del cuadro de
mandos de seguridad.
o Caractersticas: El responsable de seguridad
tiene que conocer en todo momento qu
controles se estn degradando, con el objetivo de
poder balancear los recursos disponibles, pero
este conocimiento no puede suponerle un coste
de tiempo grande.
o Principales
problemas
detectados:
La
introduccin del concepto de cuadro de mandos
es necesaria, pero no puede depender de
continuas auditoras realizadas por el responsable
de seguridad, sino que debemos incorporar
procesos de automatizacin.
o Solucin: Introduccin de una herramienta con
mtricas que permita automatizar el proceso de
mantenimiento del cuadro de mandos de
seguridad.
o Resultado: La introduccin de la herramienta y
las mtricas hace que la tasa de fracaso se
reduzca a tasas de entre el 60-75%.
o Asociado a: Actividad A3.3 (T3.3.1 T3.3.7).
Ciclo M4: Mejoras orientadas a gestionar los
procedimientos.
Objetivo: Automatizar mediante una herramienta

la utilizacin de los procedimientos.
Caractersticas: El responsable de seguridad y
los usuarios tiene que conocer en todo momento
el funcionamiento de todos los procedimientos,
aun cuando gran parte de ellos no les afectan
directamente.
Principales
problemas
detectados:
La
complejidad de tener que conocer los
procedimientos y cumplirlos de forma manual
genera un gran nmero de incumplimientos y
errores en el sistema, adems de un rechazo
generalizado por parte de los usuarios.
Solucin: Ampliar la herramienta para que pueda
contener los procedimientos del sistema,
haciendo que los usuarios slo tengan que
interactuar con ellos en la parte en que se vean
directamente afectados, evitando que tengan que
conocer el funcionamiento de los mismos, ms
all del nombre y objetivo del procedimiento.
Resultado:
La
automatizacin
de
los
procedimientos hace que la tasa de fracaso se
reduzca a tasas de entre el 30-40%, y simplifica
enormemente el trabajo con el sistema.
Asociado a: Actividad A3.2 (T3.2.1 T3.2.2).
M1
Leyenda:
MSGS: Mantenimiento del SGSI
Actividad que no sufre

cambios durante el
ciclo.
Actividad nueva o
mejorada.
Proceso clsico
M2
Proceso
Clsico
M3
A3.3
Proceso
Clsico
M4
A3.3
Proceso clsico
A3.2
A3.3
M5
A3.1
A3.2
A3.3
Figura 5. Obtencin de los procesos MSGS usando I-A.
Ciclo M5: Introducir el concepto de cultura de la

seguridad [53].
o Objetivo: Introducir entre los usuarios del
sistema el concepto de cultura de la seguridad.
o Caractersticas: Los usuarios suelen cometer
violaciones
de
las
normativas
por
desconocimiento de las mismas.
o Principales problemas detectados: Se ha
detectado que la mayor tasa de errores y fracaso
160
en el sistema se debe a errores y

desconocimiento de la normativa del mismo.
Solucin: Se debe obligar a que los usuarios
tengan unos conocimientos mnimos a la hora de
trabajar con el sistema, obligndoles a la
obtencin de un sencillo certificado de cultura de
la seguridad que garantice esos conocimientos
mnimos.
Resultado: La introduccin del concepto de
cultura de la seguridad hace que la tasa de
fracaso se reduzca a tasas de entre el 20-30%,
que consideramos adecuada para implantar un
SGSI con garantas.
En la Figura 5 podemos ver de forma resumida cmo se

han ido introduciendo las diferentes actividades que componen
el proceso MSGS en los diferentes ciclos del mtodo
investigacin en accin.
En la Figura 6 se puede ver cmo gracias a la aplicacin
del mtodo investigacin-accin se han ido detectando
caractersticas que han permitido ir reduciendo y mejorando el
proceso de mantenimiento del SGSI.
Actualmente se puede considerar que la versin obtenida

de la metodologa cumple los requerimientos necesarios para
ser vlida para las PYMES, pero an se sigue aplicando el
mtodo de IA con el objetivo de identificar nuevas mejoras en
la metodologa, que aunque no tendrn el impacto de los
primeros ciclos s supondrn cambios apreciables en la misma
sin suponer aumento de costes.
Todas las mejoras futuras de la metodologa y el modelo se
estn orientando a mejorar la precisin del mismo, pero
siempre respetando el principio de coste de recursos, es decir,
se busca mejorar el modelo sin incurrir en costes de
generacin y mantenimiento del SGSI.
Como conclusin, podemos decir que ha quedado
demostrado el enorme valor que aportan los mtodos de
investigacin cualitativos en la aplicacin de mejoras de
procesos como el de gestin de la seguridad, tanto a la hora de
obtener una metodologa vlida, como de aplicar un proceso
de mejora continua sobre ella.
Evolucin de la fase de Mantenimiento de un SGSI utilizando I-A

90
80
% Tasa de fracaso
Las caractersticas ofrecidas por la metodologa y su

orientacin a las PYMES han sido muy bien recibidas, y su
aplicacin est resultando muy positiva ya que permite
acceder a este tipo de empresas al uso de sistemas de gestin
de seguridad de la informacin con un coste econmico y en
recursos humanos que consideran aceptable, algo que hasta
ahora haba estado reservado a grandes compaas, a la vez
que permite ir obteniendo continuas mejoras de la
metodologa. Adems, gracias al mtodo de investigacin
utilizado, se obtienen resultados a corto plazo y se reducen los
costes que supone el uso de otras metodologas, consiguiendo
un mayor grado de satisfaccin de la empresa
70
60
50
40
AGRADECIMIENTOS
30
20
10
0
M1
M2
M3
M4
M5
Ciclos
Figura 6. Evolucin de las fases de mantenimiento de un SGSI

utilizando I-A.
Por lo tanto podemos concluir que gracias al proceso de IA

hemos conseguido reducir los tiempos y costes de
implantacin de un SGSI en un 75%, y reducir la tasa de
fracaso inicial en el mantenimiento del sistema en un 70%,
con unos ahorros de costes en los tiempos que los usuarios del
sistema de informacin necesitan dedicar en tareas
relacionadas con la gestin de la seguridad del 80%.
V. CONCLUSIONES
En este artculo se ha presentado cmo la aplicacin del
mtodo cientfico investigacin-accin (IA) ha permitido
mejorar los procesos y obtener una nueva metodologa para la
implantacin de Sistemas de Gestin de Seguridad en las
empresas de forma mucho ms eficiente.
Mediante el anlisis de los ciclos de IA se puede ver cmo
se van reduciendo el coste y el esfuerzo necesarios para
implantar un SGSI, hasta llegar a un nivel que las compaas
consideran aceptable y obteniendo una reduccin de recursos
cercana al 75% mediante la reutilizacin del conocimiento.

Ecuador.
Referencias
[1]
[2]
[3]

metrics, 2014.
Johnson, M., Cybercrime: Threats and Solutions, 2014.
161
[4]
[5]
[6]
[7]
[8]
[9]
[10]
[11]
[12]
[13]
[14]
[15]
[16]
[17]
[18]
[19]
[20]
[21]
[22]
[23]
[24]
[25]
[26]
[27]
[28]
[29]
[30]

Cengage Learning.
Lampson, B.W., Computer Security in the Real World., in IEEE
Computer2004. p. 37-46.
Whitman, M. and H. Mattord, Management of information security2013:
Cengage Learning.
Lampson, B., Protection. ACM Operating Systems Rev., 1974. 8(1): p.
18-24.
Saltzer, J.H., Protection and the Control of Information Sharing in
MulticsQ. Communications of the ACM, 1974. 17(7): p. 388-402.
Denning, E.D., A lattice model of secure information flow. Commun.
ACM, 1976. 19(5): p. 236-243.
Ellison, C., et al. SPKI Certificate Theory. 1999; Available from:
http://www.ietf.org/rfc/rfc2692.txt.
Vivas, T., A. Zambrano, and M. Huerta. Mechanisms of security based
Sandhu, R., et al., Role-Based Access Control Models. IEEE Computer,
1996. 29(2): p. 38-47.
Kemmerer, R.A. Cybersecurity. in Proceedings of the 25th International
Conference on Software Engineering. 2003. Portland, Oregon:
IEEE Computer Society.
Baskerville, R., The development duality of information systems
security. Journal of Management Systems, 1992. 4(1): p. 1-12.
McDermott, J. and C. Fox. Using Abuse Case Models for Security
Requirements Analysis. in 15th Annual Computer Security
Applications Conference. 1999. Phoenix, Arizona: IEEE Computer
Society.
Anderson, C. The Long Tail: How Endless Choice is Creating Unlimited
Demand. in Random House Business Books. 2006. London, UK.
Householder, A., K. Houle, and C. Dougherty, Computer attack trends
challenge Internet security. IEEE Computer, 2002. 35(4): p. 5-7.
James, H.L. Managing information systems security: a soft approach. in
Information Systems Conference of New Zealand. 1996.
Papazafeiropoulou, A. and A. Pouloudi. The Governments Role in
Improving Electronic Commerce Adoption. in Proceedings of the
European Conference on Information Systems 2000 2000. Vienna,
Austria: July 3-5.
Dimopoulos, V., et al. Approaches to IT Security in Small and Medium
73-82.
Gupta, A. and R. Hammond, Information systems security issues and
Helokunnas, T. and L. Iivonen. Information Security Culture in Small
and Medium Size Enterprises. in e-Business Research Forum
eBRF 2003. 2003. Tampere, Finland: Tampere University of
Technology.
ISBS, Information Security Breaches Survey 2006. Department of Trade
Furnell, S.M., M. Gennatou, and P.S. Dowland. Promoting Security
Awareness and Training within Small Organisations. in 1st
Australian Information Security Management Workshop. 2000.
Deakin University, Geelong, Australia.
Johnson, D.W. and H. Koch. Computer Security Risks in the Internet
Era: Are Small Business Owners Aware and Proactive? in 39th
Annual Hawaii International Conference on System Sciences
(HICSS'06). 2006.
OHalloran, J., ICT business management for SMEs. Computer Weekly,
2003. December 11.
Doherty, N.F. and H. Fulford, Aligning the Information Security Policy
with the Strategic Information Systems Plan. Computers &
Security, 2006. 25(2): p. 55-63.
Seaman, C.B., Qualitative Methods in Empirical Studies of Software
Engineering. IEEE Transactions on Software Engineering, 1999.
25(4): p. 557-572.
Avison, D., et al., Action Research. Communications of the ACM, 1999.
42(1): p. 94-97.
Genero, M., J.A. Cruz-Lemus, and M. Piattini, Investigacin-Accin., in
Mtodos de investigacin en ingeniera del software, RA-MA,
Editor 2014. p. 171-199.
[31] Baskerville, R., Investigating Information Systems with Action Research,

in Communications of the Association for Information
Systems1999. p. 19.
[32] Dick, B., Applications. Sessions of Areol. Action research and
evaluation, 2000.
[33] OBrien, R., An overview of the methodological approach of Action
Research. On line., 1998.
[34] Wood-Harper, A.T., Research methods in information systems, ed. E.
Mumford, et al.1985: North-Holland Publishing Co.
[35] Dos Santos, P.S.M., G.H. Travassos, and M.V. Zelkowitz, Action
research can swing the balance in experimental software
engineering. Advances in Computers, 2011. 83: p. 205-276.
[36] Wieringa, R. and A. Moral, Technical Action Research as a Validation
Method in Information Systems Design Science, in Design Science
Research in Information Systems. Advances in Theory and
Practice, K. Peffers, M. Rothenberger, and B. Kuechler, Editors.
2012, Springer Berlin Heidelberg. p. 220-238.
[37] Wieringa, R., Designing Technical Action Research and Generalizing
from Real-World Cases, in Advanced Information Systems
Engineering, J. Ralyt, et al., Editors. 2012, Springer Berlin
Heidelberg. p. 697-698.
[38] Bugdol, M. and P. Jedynak, Integration of Standardized Management
Systems, in Integrated Management Systems2015, Springer
International Publishing. p. 129-160.
[39] Bugdol, M. and P. Jedynak, Integrated Management Systems2015:
Springer.
2013.
[42] COBITv5.0, Cobit Guidelines, Information Security Audit and Control
Association, ISACA, Editor 2013.
[43] Batista, J. and A. Figueiredo, SPI in very small team: a case with CMM.
Software Process Improvement and Practice, 2000. 5(4): p. 243250.
[44] Hareton, L. and Y. Terence, A Process Framework for Small Projects.
[45] Tuffley, A., B. Grove, and M. G, SPICE For Small Organisations.
[46] Calvo-Manzano, J.A., et al., Experiences in the Application of Software
Process Improvement in SMES. Software Quality Journal., 2004.
10(3): p. 261-273.
[47] Mekelburg, D., Sustaining Best Practices: How Real-World Software
Organizations Improve Quality Processes. Software Quality
Professional, 2005. 7(3): p. 4-13.
[49] Snchez, L.E., et al., Managing Security and its Maturity in Small and
[53] Snchez, L.E., et al., Security Culture in Small and Medium-Size
Enterprise, in ENTERprise Information Systems2010, Springer
Berlin Heidelberg. p. 315-324.
162

Science and is a Professor at the Universidad de las Fuerzas
Armadas (ESPE) of Latacunga (Ecuador), MSc in
Information Systems Audit from the Polytechnic
Nuevas Tecnologas S.L. COIICLM board or committee member and
responsible for the professional services committee. His research activities are
management security system, security metrics, data mining, data cleaning, and
business intelligence. He participates in the GSyA research group of the
Department of Computer Science at the University of Castilla- LaMancha, in
Ciudad Real (Spain). He belongs to various professional and research
associations (COIICLM, ATI, ASIA, ISACA, eSEC, INTECO, etc).

etc.).
Antonio Santos-Olmo is MsC in in Computer Science and is

an Assistant Professor at the Escuela Superior de Informtica
of the Universidad de Castilla- La Mancha in Ciudad Real
(Spain) (Computer Science Department, University of
Castilla La Mancha, Ciudad Real, Spain), MSc in
Information Systems Audit from the Polytechnic University
of Madrid, and Certified Information System Auditor by
ISACA. He is the Director of Software Factory departments of the company
Sicaman Nuevas Tecnologas S.L. His research activities are management
security system, security metrics, data mining, data cleaning, and business
intelligence. He participates in the GSyA research group of the Department of
Computer Science at the University of Castilla- LaMancha, in Ciudad Real
(Spain). He belongs to various professional and research associations
(COIICLM, ATI, ASIA, ISACA, eSEC, INTECO, etc).
Mario Piattini is MSc and PhD in Computer Science from

the Politechnical University of Madrid. He is certified
information system auditor by ISACA (Information System
Audit and Control Association). He is Associate Professor
at the Escuela Superior de Informtica of the Castilla- La
Mancha University (Spain). He is author of several books
and papers on databases, security, software engineering and
information systems. He leads the ALARCOS research
group of the Department of Computer Science at the
University of Castilla- La Mancha, in Ciudad Real (Spain). His research
interests are: advanced database design, database quality, software metrics,
object-oriented metrics and software maintenance.
David G. Rosado has an MSc and PhD. in Computer Science from the
University of Mlaga (Spain) and from the University of
Castilla-La Mancha (Spain), respectively. His research
activities are focused on security for Information Systems
and Cloud Computing. He has published several papers in
national and international conferences on these subjects, and
he is co-editor of a book and chapter books. Author of
several manuscripts in national and international journals
(Information Software Technology, System Architecture,
Network and Computer Applications, etc.). He is member of Program
Committee of several conferences and workshops nationals and internationals
such as ICEIS, ICCGI, CISIS, SBP, IAS, SDM, SECRYPT, COSE and
international journals such as Internet Research, JNCA, KNOSYS, JKSU, and
so on. He is a member of the GSyA research group of the Information
Systems and Technologies Department at the University of Castilla-La
Mancha, in Ciudad Real, Spain.
163
Evaluacin de ataques DDoS generados en

dispositivos mviles y sus efectos en la red del ISP
Carlos Almeida, Liliana Chacha, Christian Torres, Walter Fuertes.
Sangolqu, Ecuador
ResumenLos ataques de Denegacin de Servicio distribuido
(DDoS) generados en dispositivos mviles, se han incrementado
notablemente debido a la masificacin de los mismos y a la
vulnerabilidad de los Sistemas Operativos. Los estudios actuales
se centran en analizar y evaluar el efecto de los ataques de DDoS
sobre los clientes. El presente trabajo se enfoca en cambio en
evaluar que sucede en la red del ISP durante un ataque generado
a travs de varios dispositivos mviles que actan como Botnets.
Para llevar a cabo esta investigacin, se dise e implement un
entorno virtual de red controlado haciendo uso de herramientas
de software libre para producir ataques desde un dispositivo
mvil. Posteriormente se evalu el ancho de banda del proveedor
de servicio hacia sus Tier 1 y se constat los efectos sobre la red
del ISP. Esto permiti concluir que durante el ataque, no solo se
ve afectada la vctima, sino que tambin se comprometen los
recursos de ancho de banda del proveedor de servicios, creando
as un efecto rebote de ataque hacia otros clientes del mismo
proveedor de servicios.
Palabras Clave Denegacin de Servicio, Redes Mviles,
Botnet, Proveedor de Servicios de Internet
AbstractThe Distributed Denial of Service attacks (DDoS)
generated on mobile devices increased significantly due to their
overcrowding and the vulnerability of Operating Systems.
Current studies focus on analyzing and evaluating the effect of
DDoS attacks on customers. This study concentrates in the
evaluation of what occurs in the ISP's network during an attack
generated through various mobile devices that act as Botnet. In
order to perform this research, we designed and implemented a
controlled virtual network environment using free software tools
to produce attacks from a mobile device. Afterwards, we
determined the bandwidth service provider to its Tier 1 and this
allowed to appreciate the effects on the ISPs network. This has
led to the main conclusion that during the attack not only the
victim has been affected, but also the resources of the bandwidth
service provider were compromised, creating a rebound effect
towards other customers of the same service provider.
Keywords Denial of Services, mobile networks, mobile
devices, Botnet, Internet Service Provider.
I. INTRODUCCIN
uso de Internet, aplicaciones y servicios mviles se ha

incrementado notablemente en los ltimos aos. Esto se
debe a que forma parte de las estrategias empresariales que
permiten mejorar la rentabilidad de un negocio a travs de la
implementacin de procesos transaccionales en la red tales
como ventas y facturacin en lnea, inventarios, balance
general entre otros [1]. En vista de que muchas empresas han
adoptado el uso de Internet y redes mviles como parte
transcendental de sus procesos de negocio, surge la necesidad
de mantener un mayor control de seguridad ante la prdida de
conectividad al Proveedor de Servicios de Internet (ISP), o la
L
indisponibilidad a los servicios, puesto que estos problemas

pueden producir una disminucin notable en ventas y por ende
en la rentabilidad del negocio [1].
Frente a este escenario, varias empresas han decidido tomar
medidas que permitan contrarrestar los ataques a travs de la
red, de modo que sus procesos de negocio no se vean
afectados. Sin embargo, a medida que las empresas buscan
medidas de control, se incrementa los medios y tipos de
ataques a una red, y muchas veces con mayor alcance. Uno de
los ataques de mayor preocupacin, es el denominado de
Denegacin de Servicios Distribuidos (DDoS), que tiene como
propsito interrumpir la disponibilidad de los servicios de una
organizacin, de modo que un usuario legtimo no tenga
acceso al mismo [2]. Este tipo de ataque puede llegar a afectar
no solo a uno de los dispositivos de red, sino tambin al ISP,
lo cual podra generar mayores prdidas en los servicios,
prdida de productividad e imagen empresarial.
Segn un estudio realizado por Crdova en [3] del cmputo
global de ataques, los de DDoS representan casi el 40% y son
la causa inicial de la mitad del otro 60% relativo a obtencin
de datos confidenciales, credenciales, datos bancarios, tarjetas,
etc. Es decir, casi el 50% de los ataques DDoS llevan anexado
un ataque ulterior, lo cual prev su utilizacin a futuro para
este tipo de ataques. Al respecto, varios estudios de seguridad
recientes muestran que el nmero de ataques cibernticos
contra sitios Web de pequeas y medianas empresas en los
aos 2013-2014 se han triplicado. Lo peor de todo es que
siguen creciendo. El real problema es que tras un ataque
DDoS siempre se esconde una intencin ulterior, el robo de
informacin, lo que podra significar que este ataque perdurar
por siempre.
Actualmente existen varios estudios del efecto de ataques
de DDoS sobre redes de clientes y as mismo se han planteado
soluciones de seguridad para evitar que estos ataques afecten
la operacin de los clientes. Sin embargo qu sucede con el
ISP al ser el medio o el transporte que comunica al atacante
con la vctima? Errneamente se cree que no existe un efecto
en el ISP. No obstante, tal como lo indica en [4] actualmente
se han producido ataques significativos que han llegado a
alcanzar hasta 400Gbps, por lo que se hace necesario analizar
los efectos de dichos ataques sobre el ISP por donde atraviesa
el ataque.
Los ataques DDoS pueden llevarse a cabo empleando varias
tcnicas entre las cuales se tiene inundacin de la red mediante
inyeccin de paquetes, lo que genera un gran consumo del
ancho de banda; aumento de actividad de los recursos, como
saturacin de memoria, colapso de procesador, errores de
164
ALMEIDA et al.: Evaluacin ataques DDoS
programacin, entre otros. Otra forma de ataque son los

llamados botnets, que son robots creados a partir de un script o
conjuntos de scripts que generan un programa para desarrollar
funcionalidades repetitivas y automticas que permitirn
controlar de forma remota ordenadores infectados de la red
con propsitos criminales [5].
La hiptesis de esta investigacin intenta probar que: Un
ataque por denegacin de servicio sobre un terminal final de la
red, disminuye la disponibilidad de la red del ISP. En
consecuencia, la pregunta principal de investigacin es: En
qu forma o medida el ISP puede ser afectado luego de un
ataque de DDoS a un cliente del mismo?
El presente estudio tiene como objetivo entender con ms
detalle que el ataque DDoS sobre un terminal de la red, afecta
a la disponibilidad de la red del ISP. Es importante sealar que
el ISP al estar entre el atacante y la vctima, cumple con su
funcin de transportar esta informacin. Sin embargo, si dicha
informacin es trfico anmalo del tipo volumtrico, tambin
se afectarn los propios enlaces del ISP pues podran saturarse
y causar baja disponibilidad ya no solo para la vctima del
ataque sino para todos los clientes que hacen uso de dicho
recurso.
Para llevar a cabo esta investigacin, se dise e
implement un entorno virtual de red controlado, haciendo uso
de herramientas de software libre para producir ataques desde
un dispositivo mvil. Posteriormente se evalu el ancho de
banda del proveedor de servicio hacia sus Tier 1 y se constat
los efectos sobre la red del ISP. Durante la investigacin se
aplic el mtodo cientfico deductivo-inductivo experimental,
procediendo a realizar mediciones de consumo de ancho de
banda tanto en la lnea base, como despus del ataque
mediante SNMP sobre las interfaces del ISP hacia el Punto de
Acceso de red (NAP).
Los resultados muestran que se ha comprobado las
vulnerabilidades y amenazas a las que se ve expuesto el ISP,
cuando uno de sus terminales es atacado por un DDoS, de
modo que se pueda buscar soluciones que permitan minimizar
el riesgo mediante el uso de herramientas inteligentes que
ayuden a desviar el trfico malicioso, a fin de que sus enlaces
no se vean afectados.
El resto del artculo se ha organizado de la siguiente
manera: En la seccin II se presenta el marco terico
referencial que sustenta la investigacin. En la seccin III se
describe el diseo de la investigacin, la implementacin y
configuracin del experimento. En la seccin IV se realiza un
anlisis de las pruebas y resultados obtenidos. En la seccin V
se describen algunos de los trabajos relacionados. Finalmente,
en la seccin VI se exponen las conclusiones y trabajo futuro.
II. MARCO TERICO REFERENCIAL
A. Trfico Malicioso en Proveedores de Servicio de
Internet
El trfico malicioso ms frecuente en los ISP son los
mensajes de correo no deseado [6], los cuales pueden ser
utilizados para realizar ataques en cualquiera de las redes
intermedias entre el atacante y la vctima. Estos ataques son un
verdadero problema para los administradores de tecnologas

de la informacin, ya que la generacin de una mayor cantidad
de servicios tambin acarrea consigo un riesgo potencial [6].
Ante este escenario, los ISP deben asumir altas cargas
financieras en servicios adicionales como soporte tcnico
especializado, gastos para proteccin de la red, gastos por
restauracin de servicios, construccin de una arquitectura
segura, entre otros. Adicionalmente se generan otros
problemas como robo de informacin, cada de servicios,
infecciones generales, uso indebido de recursos de red y sobre
todo el impacto negativo en la imagen empresarial.
Para un ISP uno de sus principales activos es la Red de
Telecomunicaciones. Est claro que el proveedor deber
garantizar un ambiente seguro para que el cliente pueda
desarrollar sus actividades con total confianza. Tendr
tambin que promover el desarrollo de herramientas de
administracin que incluyan polticas y procesos que
garanticen una arquitectura tecnolgicamente segura con
control y visibilidad total.
Para controlar el trfico malicioso en los ISP, la Seguridad
Informtica tiene como retos mantener la disponibilidad,
confidencialidad e integridad de los activos de informacin de
la empresa, pues estos activos estn en constante amenaza por
personas que desean aprovechar las vulnerabilidades
existentes.
B. Uso de Dispositivos Mviles
Segn los ltimos datos de la Encuesta de Tecnologas de la
Informacin y la Comunicacin (TIC) del Instituto Nacional
de Estadstica y Censos (INEC) realizado en Ecuador [7], el
16,9% de las personas que tienen celular poseen un telfono
inteligente (Smartphone), lo que representa un crecimiento de
141% frente al 2011. El estudio, que se realiz en diciembre
de 2013, se hizo en 21.768 hogares a personas de 5 aos y
ms, a nivel nacional, regional, provincial, de nivel urbano y
rural. Segn esta encuesta, el 51,3% de la poblacin de 5 aos
y ms tiene por lo menos un celular activado, en el 2011 ese
porcentaje era del 46,6%. Por edades, el grupo etario con
mayor uso de telfono celular activado es la poblacin que se
encuentra entre 25 y 34 aos con el 76,5%, seguido de los de
35 a 44 aos con el 76% [7]. Por otra parte, la encuesta de
Ingresos y Gastos en Hogares (ENIGHUR 2011-2012) refleja
que los hogares ecuatorianos gastaron mensualmente $118.37
dlares en promedio en TIC, este monto incluye: gastos en
equipos celulares, alquiler de Internet, tarjetas de prepago para
servicio celular e Internet, recargas electrnicas a celular,
planes de celular y de Internet [7]. En conclusin el uso de
Smartphone va en aumento acelerado debido a las
prestaciones y funcionalidades que traen consigo, mismas que
a su vez son muy crticas en lo que a seguridad refiere (banca
mvil por ejemplo).
Por otra parte, la banca mvil es la tecnologa que permite a
los clientes acceder a los servicios bancarios y financieros a
travs de la utilizacin de sus telfonos mviles. Dado que el
uso de telfonos mviles ha aumentado considerablemente en
los ltimos aos, los bancos y las instituciones financieras han
establecido sistemas de banca mvil que permiten a los
clientes retirar, transferir y depositar logrando que la banca sea
165
ms conveniente y de fcil acceso. No obstante, aunque la

banca mvil puede ofrecer beneficios, tambin hay riesgos
involucrados.
La mayor motivacin para un delincuente es el lucro
financiero, y desde luego el campo digital no es la excepcin.
No en vano una encuesta que realiz McAfee a 30 fabricantes
de dispositivos mviles a nivel mundial revel que el rea de
uso que ms preocupa a nivel de seguridad es la banca mvil
[8]. Es por sta motivacin financiera que el aumento de
infraestructuras de pago mviles propicia la delincuencia
informtica en los dispositivos mviles [9].
De acuerdo al Comit de Basilea para la Supervisin
Bancaria (2003), la banca electrnica se refiere al suministro
de productos y servicios bancarios para consumidores por
medio de canales electrnicos. Estos productos y servicios
pueden incluir la recepcin de depsitos, prstamos, manejo
de cuentas, asesora financiera, pago electrnico de facturas y
el suministro de otros productos y servicios de pago
electrnico, como el dinero electrnico.
Basilea considera tambin que dos de los aspectos
fundamentales de la banca electrnica son: las caractersticas
de los canales de entrega y los medios disponibles a los
consumidores para acceder a estos canales. Los canales de
entrega ms comunes incluyen redes cerradas y abiertas.
Las redes cerradas limitan el acceso a los participantes que
son miembros en virtud de un acuerdo especfico. Estos
miembros pueden ser instituciones financieras, consumidores,
comerciantes y suministradores de servicios para terceros. Las
redes abiertas no tienen estos requisitos de membresa
[10][11].
Actualmente, los productos y servicios de la banca
electrnica son suministrados a los consumidores por medio
de una variedad de dispositivos de acceso, como terminales en
los puntos de venta, cajeros automticos, telfonos,
computadoras personales, smart cards y otros.
El sector bancario es uno de los principales usuarios de las
tecnologas de la informacin y la comunicacin en la vida
empresarial a raz de la necesidad de contar con procesos
eficientes para el manejo de grandes volmenes de
informacin. En la bsqueda de esta gestin eficiente de la
informacin la banca se basa en gran medida en la tecnologa
de la informacin (TI) para adquirir, procesar y entregar dicha
informacin a todos los usuarios pertinentes.
Los bancos saben que tienen que innovar y actualizar sus
productos constantemente para retener a sus clientes exigentes
y as proporcionarles servicios de calidad, confiables y
convenientes segn las ltimas tendencias tecnolgicas.
Dentro de los mltiples canales por los cuales se puede ofrecer
el servicio de banca electrnica, en la modalidad de telefona
mvil los riesgos son ms altos porque buena parte de los
usuarios ya sabe que, as como no pueden tener un PC sin
proteccin, tampoco es posible tener un mvil protegido de
ataque. Pero esa conviccin an no ha llegado al mvil.
BNAMERICAS (2012) menciona que el uso de las redes
sociales y de servicios de mensajera como WhatsApp, que
procesa 2.000 millones de mensajes al da, o de sistemas de
pago como Google Wallet, est convirtiendo al mvil en un
blanco creciente de ataques.

Un control y una apropiada arquitectura del sistema son
factores importantes en el manejo de diversos tipos de riesgos
operativos y de seguridad. Los bancos enfrentan el riesgo de
una mala eleccin de la tecnologa, el diseo inadecuado del
sistema y los procesos de control improcedentes. Por ejemplo,
si el acceso a un sistema se basa en slo una direccin IP,
cualquier usuario puede acceder al hacerse pasar por un
usuario legtimo suplantando las direcciones IP de un usuario
genuino o un sistema que este diseado para la transferencia
de datos como HTTP (Protocolo de transferencia de
hipertexto), FTP (Protocolo de transferencia de archivos),
Telnet, entre otros, es ms propenso a ser atacado que un
sistema que permita comunicacin slo con HTTP.
La eleccin de la tecnologa adecuada es otro aspecto
potencial de riesgo para los bancos. Una tecnologa anticuada,
no escalable o no probada podra infligir al banco la prdida
de inversiones, tener un sistema vulnerable y llegar a ofrecer
un servicio ineficiente con los riesgos operativos y de
seguridad latente, as como tambin la prdida de negocio.
Se puede destacar que a pesar de que la banca electrnica
ofrece ventajas para el consumidor en trminos de comodidad,
y para el proveedor en trminos de reduccin de costos y
mayor alcance, sin embargo, el servicio en s plantea una serie
de riesgos, que preocupan a los reguladores y supervisores
financieros, especialmente los relacionados con: riesgos
operacionales, operaciones transfronterizas, proteccin de
clientes y confidencialidad, y; competitividad y rentabilidad
[12].
C. Botnets y Ataques DDoS de Moda
En el informe de McAfee sobre amenazas del primer
trimestre del 2015 afirma que el nmero malware en
dispositivos mviles aumentaron un 49% desde el ltimo
trimestre del 2014 al primer trimestre del 2015 [13].
Por otro lado, el GTISC5 en su encuesta anual sobre las
amenazas de seguridad emergentes que afectan el mundo
digital, estim en el 2008 que el 10% de las computadoras
conectadas a Internet eran parte de algn Botnet [14].
Segn Wenke Lee, investigador lder de los Botnet en el
GTISC, menciona que Comparado con los virus y el spam,
los Botnets han crecido a una ritmo ms acelerado [14]. Otro
estudio afirma que el 40% de las computadoras estn
infectadas con Botnets [15].
De acuerdo al estudio realizado por Crdova [3], algunos
datos de mucho inters relacionados con los ataques DDoS
son los siguientes: En relacin a los ataques a nivel de Red
(Capa 3 y 4): Los Gran SYN Flood representan el 51,5% de
todos los ataques a gran escala; casi uno de cada tres ataques
est por encima de 20 Gbps; el 81% de los ataques son multivector; el combo de regular SYN y Gran SYN es el ataque
multi-vector ms popular (75%); NTP reflection fue el mtodo
de ataque a gran escala ms comn en febrero 2014; SSDP
reflection, si bien solo llega al 9% global, ser el nuevo tpico
de tendencia, desbancando al resto de ataques de este tipo
actuales (NTP 14,8% y DNS 14,3%). Con respecto a los
ataques a nivel de aplicacin (capa 7) se revela que: El trfico
166
botnets crece un 240%; ms del 25% de todas las redes de

botnets se encuentran en la India, China e Irn; EE.UU. est
en el puesto nmero 5 en la lista de los Top 10 de pases
atacantes; el 29% de las redes de bots atacan ms de 50
objetivos/mes; el 29,9% de los robots DDoS puede contener
cookies; el 46% de los agentes falsificados son copias de
motores Baidu (mientras que el 11,7% son Googlebots falsos);
los clsicos ataques volumtricos, tipo Large SYN Flood,
siguen siendo los ms habituales. Crecieron en un 350% en
2013 y primer trimestre del 2014.
El informe tambin seala que los ataques de DDoS han
crecido en tamao: el 30% est por encima de 20 Gbps.
Adems, se han actualizado, derivando en nuevos y ms
sofisticados respecto de la moda actual. Ahora combinan
varios ataques clsicos y otros nuevos creando lo que se
denomina ataque multi-vector. Las estadsticas sealan que el
81% son de esta ndole y comprenden al menos 3 tipos. De
todos ellos, el ms extendido, con un 75% (si bien est
conformado por dos tipos: regular SYN Flood y Large SYN
Flood), es el denominado Combo [3].
Como resumen de tendencias en la moda de mviles cabe
destacar que los dispositivos mviles ms potentes y con apps
gratuitas (especialmente Android) han hecho mucho ms fcil
la proliferacin y ejecucin de ataques. Adems, nuevas
herramientas (clsicas) tales como LOIC, estn disponibles
para Smartphone, permitiendo la posibilidad de perpetrar o
participar en los ataques; la prctica de jailbreaking ha
hecho que sea ms fcil incluir a dichos usuarios en estas
nuevas redes mviles de botnets y participar en los ataques
[16].
III. CONFIGURACIN DEL EXPERIMENTO
A. Arquitectura fsica y lgica de la investigacin
Para llevar a cabo esta investigacin se dise e implement
un entorno virtual de red que simulaba la LAN del cliente, el
ISP y un atacante externo (ver Figuras 1 y 2). En esta
topologa de experimentacin se realizaron varias
configuraciones para poder ejecutar las pruebas de concepto.
En relacin a la parte lgica, se utiliz software y herramientas
monitoreo libres mediante configuraciones virtuales en los
elementos de red emulados en un ambiente controlado.
B. Modelo Fsico
En la Figura 1 se presenta el esquema fsico a implementar
para la realizacin de las pruebas. Como se puede observar, se
utiliz mquinas virtuales sobre un entorno controlado, en la
cual dichas mquinas actuaron como Host y dispositivos de
red para evaluar los efectos del ataque, ya no en la LAN del
cliente sino en la interconexin entre el ISP afectado y sus
interconexiones hacia otros ISPs en donde se encuentran los
atacantes.
En el entorno virtual se utiliz la mquina virtual 1 (VM1)
como host de la LAN del cliente. La mquina virtual 2 (VM2)
como firewall de la LAN del cliente. La mquina virtual 3
(VM3) como router de borde del cliente. La mquina virtual 4
(VM4) como el router de borde del ISP que se ver afectado.
La mquina virtual 5 (VM5) como el TIER 1 que da servicios

al ISP del anlisis y a la vez proporciona la conectividad al o a
los atacantes.
Figura 1: Modelo Fsico
C. Modelo Lgico
En la Figura 2 se presenta el esquema lgico que se va a
evaluar. En l se puede observar como la red LAN del cliente
se interconecta con su ISP y este a la vez se interconecta a un
punto de acceso a la red (NAP), el cual proporciona
conectividad a ms de un ISP, a proveedores de contenido y
sin duda alguna a atacantes que estn en otros ISPs.
Durante la investigacin se aplic el mtodo cientfico
deductivo-inductivo, procediendo a realizar mediciones de
consumo de ancho de banda tanto en la lnea base, como
despus del ataque mediante SNMP sobre las interfaces del
Proveedor de servicio hacia el Punto de Acceso de red (NAP).
El ataque utilizado fue Denegacin de Servicio Distribuido de
inundacin de canal hacia el cliente conectado al Proveedor de
servicios.
D. Implementacin de ataques DDoS
La implementacin consiste en la generacin de trfico
anmalo desde la mquina virtual 6 mediante el uso de
aplicaciones que generan Denegacin de Servicio distribuida
como lo es LOIC (Low Orbit Ion Cannon). Desde esta
mquina infectada que es utilizada como un botnet, se genera
el ataque con destino la IP de la mquina virtual 1 que podra
ser un servidor Web. El ataque a ms de afectar a la mquina
destino, atraviesa toda la red y al ser un ataque volumtrico
genera inundacin de trfico en todos los segmentos de la red,
en especial en los segmentos que el ISP costea una tarifa, es
decir en su interconexin con su ISP (TIER 1). Para realizar
las mediciones de trfico se utiliz el protocolo SNMP para
capturar informacin de las MIBs de los terminales y as poder
graficar el consumo de ancho de banda en los distintos puntos
de revisin.
Al implementar este ataque se pudo apreciar que al
manipular la variable independiente, que en este caso es la
ejecucin o no del ataque, se consigui variar el
comportamiento de la variable dependiente, que en nuestro
caso fue el consumo de ancho de banda, que se vio
ciertamente incrementado durante el ataque.
167
Figura 2: Modelo lgico Experimental
IV. PRUEBAS Y EVALUACIN DE RESULTADOS

En el modelo indicado se prob una configuracin estndar
de BGP en la cual el router de borde del ISP cumple con su
funcin de enrutar el trfico hacia sus clientes desde cualquier
parte del mundo. Al otro lado en cambio se prob la
configuracin de una red LAN que consta de tres segmentos
de red separados como son el inside, el outside y la DMZ. El
Inside es el segmento de red perteneciente a la red interna,
mientas que el outside es el segmento de red que se
interconecta con el router CE, el cual a su vez se conecta con
el router del ISP con el firewall. Para emular el escenario en
un ambiente totalmente controlado y econmico, se
implement el entorno virtual de mquinas virtualizadas en
Linux, el cual se explica a continuacin:
VM1: Terminal Linux configurado como HOST que hace
de vctima;
VM2: Terminal Linux configurado como Firewall con
IPTABLES;
VM3: Terminal Linux configurado como router del
cliente;
VM4: Terminal Linux configurado como router del ISP
afectado;
VM5: Terminal Linux configurado como router del ISP de
uno de los atacantes;
VM6: Terminal Linux configurado como HOST que hace
DDoS;
Para realizar este ataque se ejecut a ms del programa
LOIC el siguiente comando desde el terminal VM6:
TABLA I: MEDICIN DE ANCHO DE BANDA VS TIEMPO
ANCHO
TIEMPO DE BANDA
(min)
IN (bps)
TIEMPO
(min)
ANCHO DE
BANDA (bps)
3,5
15
3,5
16
0,5
3,5
17
3,4
18
1,8
19
20
1,8
21
22
0,8
23
10
0,7
24
11
0,6
25
12
0,5
26
13
0,3
27
14
0,5
28
BW vs Tiempo(bps)
15
10
5
hping3 -p 80 -S --flood 201.219.0.2

La evaluacin de este escenario se realiz mediante la
obtencin de muestras de anchos de banda entrante en VM4
durante 28 minutos obteniendo los siguientes datos en la Tabla
I. La Fig. 3 muestra su comportamiento:
0
0
10
20
30
Figura 3: Monitoreo de ancho de Banda VM4
168
En cuanto el ancho de banda saliente se mantuvo constante

tal como lo indica la Fig. 4
ANCHO DE BANDA OUT

(bps)
10
5
0
0
10
20
30
Figura 4: Monitoreo de ancho de Banda saliente
Como se puede observar en caso de que no sean bits por

segundo sino Gigabits por segundo, el consumo de ancho de
banda en el proveedor de servicios sera bastante significativo.
En el presente estudio se comprob que el Proveedor de
Servicios de Internet tambin se ve afectado cuando se
produce un ataque hacia uno de sus clientes. Al ser atacado el
ISP el rendimiento dentro de la red se ve afectado,
comprometiendo recursos de ancho de banda, lo que provoca
que del mismo modo se vean afectados otros clientes del
mismo Proveedor de Servicios de Internet.
En cuanto al ancho de banda saliente no tuvo variacin y se
mantuvo relativamente constante de trfico normal. Esto se
debe bsicamente porque el terminal VM6 no fue el destino
del ataque, sino nicamente el transporte.
V. TRABAJO RELACIONADO
En la industria y empresa no se otorga la importancia
necesaria para analizar los efectos que poda sufrir el ISP
cuando uno de sus clientes ha sido atacado. Ms an cuando
los ataques se producan a nivel de dispositivos mviles, pues
tal como lo menciona Castillo [17], los ataques mediante
dispositivos mviles inteligentes representan una amenaza real
de seguridad informtica. Actualmente, existen registros de
este tipo de amenazas en los computadores tradicionales, por
lo que el Proveedor de Servicios de Internet puede ser blanco
de ataques a travs de varios dispositivos mviles que trabajan
como botnets. A pesar de que el articulo presentado por
Castillo se centra en analizar las brechas de seguridad que se
pueden generar a partir de dispositivos mviles, no se hace
mencin a como se ve afectado el ISP luego de perpetrado el a
uno de sus clientes.
En el trabajo presentado por Fuertes et al [18] se realiza un
anlisis de evaluacin y mitigacin de riesgos en la red a
travs del anlisis de dos topologas de red y diferentes tipos
de ataques como denegacin de servicio, fuerza bruta, escaneo
de puertos para determinar cmo se ve afectada la red de
manera general, es decir que en la topologa que tiene salida a
Internet, no se logra evidenciar como se ve afectado el ISP al
ser atacado uno de sus clientes. En un anlisis similar, Fuertes
et al., [2] realizaron evaluaciones de ataques DoS inundando la
red sin considerar el efecto en el ISP.
En [3] Crdoba concluye claramente que los ataques de

DDoS volumtricos cada vez tienen un mayor crecimiento y
que esto se debe fundamentalmente a los dispositivos mviles
quienes tienen ms ancho de banda disponible como lo es
LTE. Sin embargo, Crdoba no menciona el efecto en el ISP
que puede producir consecuencias colaterales hacia otros
clientes, pues el ancho de banda que utilizan todos los clientes
es el afectado. Comparado con nuestro trabajo, en cambio se
han realizado las mediciones de comportamiento de ancho de
banda en las interconexiones del ISP con sus proveedores de
servicio TIER 1 (punto de anlisis Figura 2) y debido a que los
routers manejan informacin de IP origen e IP destino se
comprueba que en dicho punto de anlisis el trafico tambin se
incrementa. Ms an, si a este escenario se le aumentara nbotnets que generen ataques DDoS del tipo volumtrico, se
conseguira fcilmente saturar dicho enlace, causando prdida
de paquetes ya no solo a la IP destino (vctima) sino a todos
los clientes (IPs destinos) que pasen por dicho enlace.
El presente trabajo se enfoc en evaluar que sucede en la
red del ISP durante un ataque generado a travs de varios
dispositivos mviles que actan como Botnet. Para lograrlo se
dise e implement un entorno virtual de red controlado
haciendo uso de herramientas de software libre para producir
ataques desde un dispositivo mvil. Posteriormente se evalu
el ancho de banda del proveedor de servicio hacia sus Tier 1 y
se constat los efectos sobre la red del ISP. Los resultados
permitieron concluir que durante el ataque, no solo se ve
afectada la vctima, sino que tambin se comprometen los
recursos de ancho de banda ISP, creando as un efecto rebote
de ataque hacia otros clientes del mismo proveedor. Esto
provoca que los servicios del proveedor disminuyan en
rendimiento y disponibilidad, y por ende se vean afectados
otros clientes del mismo ISP.
En la actualidad existen conceptos errneos en los que se
piensa que un ataque de DDoS solo afecta al cliente final. Con
las herramientas y motivaciones econmicas actuales, los
ataques cada vez son ms fciles de generar, en especial a
travs de dispositivos mviles que actan como botnets, los
cuales forman grandes ejrcitos que incrementan los ataques
de manera distribuida y randmica.
Sobre la base de las innovaciones de Cisco y Arbor que han
diseado tarjetas que pueden ser instaladas sobre los mismos
router [19], como trabajo futuro se planea la mitigacin de los
efectos comprobados mediante el uso de dispositivos de capa
7 en los routers de borde del ISP, pues los botnets a ms de
generar grandes cantidades de trfico y secuestro de
servidores, podran ser utilizados para otras tareas, como por
ejemplo monitorear la actividad de la red, obtener mapas
topolgicos e incluso identificar activos de su organizacin
[20].
AGRADECIMIENTOS
Los autores desean agradecer al programa de maestra en

Computacin de la Universidad de las Fuerzas Armadas ESPE
169
de Sangolqu, Ecuador; y de manera especial al Grupo de

Gestin y Mitigacin de Ataques a la Ciberseguridad",
Cdigo: ESPE-2015-PIC-019.
REFERENCIAS
[1]
[2]
[3]
[4]
[5]
[6]
[7]
[8]
[9]
[10]
[11]
[12]
[13]
[14]
[15]
[16]
[17]
Rodrguez C., (2012), Estudio del uso e impacto de las redes sociales en
las estrategias de marketing de las PYMES, Observatorio de la
Economa Latinoamericana, Nmero 186, 2012.
Fuertes, W., Rodas, F., & Toscano, D. (2012). Evaluacin de ataques
UDP Flood utilizando escenarios virtuales como plataforma
experimental. Facultad de Ingeniera, 20(31), 37-53.
Crdoba, I. (2014). EnDDoSando ataques a la moda: tendencias del
ayer, de hoy y de futuro. Revista SIC: Ciberseguridad, seguridad de la
informacin y privacidad, (112), 100-102.
Thomas Brewster, Cloud Flare: Biggest DDoS Ever Hits Europe.
http://www.techweekeurope.co.uk/workspace/cloudflare-400gbps-ddoseurope-138731.
Cooke, E., Jahannam, F., & McPherson, D. (2005, July). The zombie
roundup: Understanding, detecting, and disrupting botnets. In
Proceedings of the USENIX SRUTI Workshop (Vol. 39, p. 44).
Spam
[en
lnea]
<http://www.colombiadigital.net/noticiastic/noticias/noticias-de-la-ccd/993-aumenta-la-cantidad-de-correosmaliciosos-en-Internet.html>
Incremento de Usuarios de Telfonos Inteligentes (INEC) [en lnea]
<http://www.inec.gob.ec/inec/index.php?option=com_content&view=art
icle&id=573%3Alos-usuarios-de-telefonos-inteligentes-smartphone-seincrementaron-en-un-60&catid=68%3Aboletines&Itemid=51&lang=es>
McAfee. "Mobile Security Report 2009". McAfee e informa telecoms &
media.
2009.
http://www.mcafee.com/us/local_content/reports/mobile_security_report
_2009.pdf
Dunham Ken, Abu-Nimeh Saeed, Becher Michael, Fogie Seth, Hernacki
Brian, Morales Jose Andrs, Wright Craig. "Mobile Malware Attacks
and Defense", Syngress Publishing Inc. - Elsevier Inc., Burlington
Unites
States
Of
America,
Tech
News
World,
http://books.google.com.co/books?id=Nd1RcGWMKnEC&pg=PT28&d
q=mobile+malware&ei=bPw6SunLE4i0zASb68C6BQ.
Prince Brian. Security Researchers Uncover 70GB of Financial Data
Stolen
by
Botnet.
eWEEK.
04/05/09.
http://www.eweek.com/c/a/Security/Security-Researchers-Uncover-70GB-ofFinancial-Data-Stolen-by-Botnet-501015/?kc=rss
Krebs Brian. "Stolen Identities Sold Cheap on the Black Market". THE
WASHINGTON
POST.
19/03/09.
http://voices.washingtonpost.com/securityfix/2007/03/stolen_identities_t
wo_dollars.html.
Rodrguez
Milton,
Banca
Electrnica,
[en
lnea]
http://bcr.gob.sv/bcrsite/uploaded/content/category/743564916.pdf
McAfee Labs. "Threats Report: Primer trimestre de 2015".
http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q12015.pdf
GTISC. "Emerging Cyber Threats Report for 2009". Georgia Tech
Information
Security
Center.
15/10/08.
http://www.gtisc.gatech.edu/pdf/CyberThreatsReport2009.pdf
Zhaosheng Zhu, Guohan Lu, Yan Chen, Fu Z.J, Roberts P, Keesook
Han. "Botnet Research Survey", Northwestern Univ., Evanston, IL,
Computer Software and Applications, 2008. COMPSAC '08. 32nd
Annual
IEEE
International,
2008.
http://ieeexplore.ieee.org/Xplore/login.jsp?url=http://ieeexplore.ieee.org/
iel5/4591502/4591503/04591703.pdf%3Farnumber%3D4591703&auth
Decision=-203.
Prince, Brian. "Finjan Researchers Uncover Marketplace for Botnets".
eWEEK
Network
Security
&
Hardware.
17/06/09.
http://www.eweek.com/c/a/Security/Finjan-Researchers-UncoverMarketplacefor-Botnets-595200/?kc=rss
Castillo, Carlos, Sexy View: El inicio de las Botnets mviles, [en
lnea]
http://www.esetla.com/pdf/prensa/concurso/universitario/sexy_view_inicio_botnets_dis
positivos_moviles.pdf
[18] W. Fuertes, P. Zapata, L. Ayala y M. Meja, "Evaluacin y Mitigacin

de Ataques Reales a Redes IP utilizando Tecnologas de Virtualizacin
de Libre Distribucin". Revista DECC Report, Tendencias en
Computacin, VOL. 1, No. 2, 2010, pp. 33-42, ISSN 1390-5236, Dic
2010.
[19] Cisco System. Cisco Carrier Grade Services Engine Module.
http://www.cisco.com/c/en/us/products/collateral/routers/carrier-routingsystem/data_sheet_c78-614893.html
[20] Arbor, (2013, July). Protecting the Enterprise Network with Global
Attack Intelligence.
http://pages.arbornetworks.com/rs/arbor/images/WP_ProtectEnt_EN201
3.pdf
Andrs Almeida, obtuvo su grado de

Ingeniero
en
Electrnica
y
Telecomunicaciones en la Escuela Politcnica
Nacional, Quito, Ecuador en el ao 2005.
Actualmente cursa la maestra en Gerencia de
Sistemas en la Universidad de la Fuerzas
Armadas - ESPE. Experiencia 13 aos
trabajando en Networking. Docente y
Conferencista en varias Universidades del
Ecuador. Asesor y Consultor de proyectos de
nuevas tecnologas. Desde el 2012 se desempea como Jefe Nacional
de las Plataformas IP y MPLS en la Corporacin Nacional de
Telecomunicaciones, Quito, Ecuador. Sus intereses de investigacin
son Innovacin y Gestin Tecnolgica, Educacin, Ciberseguridad,
Liliana Chacha, obtuvo su grado de
Ingeniera en Sistemas en la Escuela
Politcnica Nacional, Quito, Pichincha,
Ecuador en el 2010. Actualmente cursa la
maestra de Gerencia de Sistemas en la
Universidad de la Fuerzas Armadas ESPE.
Experiencia de 5 aos en el rea de desarrollo
de software en empresas pblicas y privadas.
Desde el 2013, se desempea como
desarrollador de software en la empresa Magmasoft.
Christian Torres, obtuvo su grado de
Ingeniero en Sistemas Informticos y de
Computacin en la Escuela Politcnica
Nacional. Actualmente se encuentra cursando
la maestra en Gerencia de Sistemas en la
Universidad de la Fuerzas Armadas - ESPE.
Experiencia de 14 aos trabajando en
desarrollo de sistemas de informacin, 8 aos
liderando proyectos de desarrollo y 6
coordinando rea de TI, manejo de portafolio de proyectos, gestin
por procesos, planificacin estratgica, entre otros.
Walter Marcelo Fuertes Daz, es profesor
investigador del Dpto. de Ciencias de la
Computacin de la Universidad de las Fuerzas
Armadas ESPE, de Sangolqu, Ecuador. Es
ingeniero de Sistemas de profesin, master en
Redes de Computacin y obtuvo el grado de
Dr. PhD. en Ing. Informtica y de
Telecomunicaciones en la Escuela Politcnica
Superior de Informtica de la Universidad
Autnoma de Madrid, Espaa. Sus intereses de
investigacin son: Ciberseguridad, Sistemas distribuidos, videojuegos, procesamiento digital de imgenes.
170

1
Deteccion de Malware en Dispositivos Moviles

mediante el Analisis de Secuencias de Acciones
Jorge Maestre Vidal, Ana Lucila Sandoval Orozco, Luis Javier Garca Villalba, Senior Member, IEEE
AbstractThe recent sharp increase in popularity of mobile

devices has led to the emergence of new and varied forms of
malware. These novel specimens are characterized for its sophistication and ease of propagation. Hence, different organizations
for cyber defense have warned about the need to develop more
effective defenses. In order to contribute to this purpose, we
introduce a malware detection system for mobile devices based
on sequence alignment algorithms. The use of this methodology
allows an exhaustive study in real time of sequences of system
calls executed by applications. As demonstrated in experimentation, most of the malicious activities may be unmasked accurately
in the boot process. Consequently, to launch programs in secure
and isolated environment in order to distinguish legitimate and
malicious content is possible.
Index TermsAndroid, IDS, Information Security, Intrusion
Detection System, Malware, Mobile Device, Sequence Alignment.
I. I NTRODUCCI ON
Debido a la gran capacidad de conectividad, accesibilidad,
y versatilidad de los dispositivos moviles, en los u ltimos anos
se ha experimentado un importante crecimiento de su popularidad. En consecuencia, cada vez mas usuarios se apoyan en
estas tecnologas para el desempeno de actividades de especial
sensibilidad, tales como el comercio electronico, intercambio
de activos o accesos a informacion confidencial. Esto hace
que sean un objetivo muy deseado por los cibercriminales,
tal y como ha advertido la Agencia Europea de Seguridad de
las Redes y de la Informacion (ENISA) en su u ltimo informe
anual [1]. En esta publicacion no solo se predice un importante
crecimiento de las amenazas dirigidas contra dispositivos
moviles; tambien se alerta de su peligrosa sofisticacion, lo
que las hace difciles de detectar por los esquemas de defensa
actuales.
Dentro de este problema, cabe destacar la importancia de la
migracion de los ataques convencionales a la infraestructura
movil, siendo la adaptacion del malware una de las practicas
mas habituales. Segun la Oficina Europea de Polica (Europol),
detras de esta laboriosa tarea a menudo se escoden complejos
entramados de crimen organizado [2]. De entre sus estrategias
de propagacion mas frecuentes, predomina el uso de los mercados de distribucion de aplicaciones oficiales. En este caso, los
delincuentes ofrecen variaciones de productos originalmente
Jorge Maestre Vidal, Ana Lucila Sandoval Orozco y Luis Javier Garca
Villalba, Grupo de Analisis, Seguridad y Sistemas (GASS, http://gass.
ucm.es), Departamento de Ingeniera del Software e Inteligencia Artificial
(DISIA), Facultad de Informatica, Despacho 431, Universidad Complutense
de Madrid (UCM), Calle Profesor Jose Garca Santesmases, 9, Ciudad
Universitaria, 28040 Madrid, Espana. E-mail: jmaestre@ucm.es, {asandoval,
javiergv}@fdi.ucm.es.
legtimos, que han sido manipulados para albergar el vector

de infeccion del software malicioso. Dada la poca efectividad
de los metodos defensivos ofrecidos por estos mercados, y
el exceso de confianza de gran parte de los usuarios (a menudo incentivado por falta de conocimiento), los delincuentes
consiguen propagar los especmenes con gran rapidez, y de
manera indiscriminada. Con el fin de combatir esta amenaza, la
comunidad investigadora ha desarrollado diferentes propuestas
[3]. A partir de su estudio es posible observar importantes
carencias, siendo la limitacion de recursos de computo una
de las mas problematicas. En consecuencia, los sistemas de
deteccion actuales tienden a la emision de altas tasas de
falsos positivos, presentan dificultades al operar en tiempo real,
anaden vulnerabilidades relacionadas con la privacidad de los
usuarios o reducen de manera muy significativa la calidad de
servicio del medio protegido.
En este artculo se propone un sistema de reconocimiento
de malware para dispositivos moviles. Su principal objetivo es
evitar que software malicioso procedente de terceras partes sea
instalado en los sistemas protegidos. Para ello, las aplicaciones
descargadas de los diferentes medios de distribucion oficiales
son evaluadas en un entorno de ejecucion seguro y aislado,
previo a su despliegue sobre el sistema real. El proceso de
analisis involucra la construccion de secuencias a partir de las
llamadas al sistema ejecutadas en los procesos de arranque
de las aplicaciones. Estas son comparadas con colecciones de
muestras legtimas, por medio de algoritmos de alineamiento
de secuencias. Para determinar su grado de similitud, se aplica
la prueba estadstica de los rangos con signo propuesta por
Wilcoxon. En el caso en de que sea apreciada una diferencia
representativa, la aplicacion es etiquetada como maliciosa,
impidiendose su instalacion en el dispositivo. Esta estrategia
permite la identificacion del malware antes de que actue contra
el sistema protegido. Ademas, la aplicacion de algoritmos de
alineamiento de secuencias tiene en cuenta la proximidad y
relacion temporal de las acciones ejecutadas por la aplicacion,
permitiendo la mejor comprension de su comportamiento.
Ambas caractersticas han sido demostradas en la tapa de
experimentacion. En ella se han involucrado muestras de
las colecciones de dominio publico Genome [4] y Debrin
[5], lograndose una gran capacidad de deteccion de ataques
verdaderos, y una tasa baja de falsos positivos.
El resto del artculo esta estructurado de la siguiente manera:
en la seccion 2 se describen los trabajos relacionados; en la
seccion 3 se explica el sistema de deteccion propuesto; en la
seccion 4 se describe la experimentacion realizada; finalmente,
en la seccion 5 se presentan las conclusiones.
171
MAESTRE et al.: Malware en dispositivos mviles

2
II. T RABAJOS R ELACIONADOS

Recientemente se han publicado diferentes estados del arte
relacionados con la seguridad en dispositivos moviles. Algunos
de ellos presentan un enfoque generalizado, como en [3], [6];
otros tratan temas mas concretos, siendo el sistema operativo
Android uno de los mas frecuentes [7]; finalmente existen
recopilaciones centradas en las propias amenazas, como por
ejemplo [8], donde se profundiza en el problema del malware. La limitacion de los recursos de estos dispositivos ha
determinado la manera en que la informacion monitorizada
es procesada. Una primera manera de hacerlo se basa en la
ejecucion del analisis en los propios dispositivos. Esto tiene
la ventaja de no depender de sistemas externos, o de tener
acceso a la Red. Ademas, estos sistemas son menos propensos
a vulnerabilidades relacionadas con la privacidad [9]. Sin
embargo tienden a la emision de mas falsos positivos, y son
especialmente sensibles contra tecnicas de evasion [10]. Esto
es debido a que los metodos mas precisos requieren de mayor
cantidad de memoria, capacidad de procesamiento y consumo
de batera. Como alternativa muchos autores han optado por
delegar las tareas mas complejas del analisis a servicios
externos, aun asumiendo los riesgos que esto conlleva.
Otro aspecto de especial relevancia en las propuestas previas
ha sido la decision de las caractersticas analizadas por los
sistemas de deteccion. Este problema no es especialmente representativo en aproximaciones basadas en el reconocimiento
de firmas, como por ejemplo [11]. Sin embargo, cuando la
deteccion se basa en anomalas, resulta crucial para garantizar
el e xito [12]. Debido a esto, es comprensible que muchas
clasificaciones hayan considerado estos rasgos como principal
distincion entre los diferentes metodos de analisis, tal y como
sucede en [13]. En base a esto, las propuestas pueden dividirse
en cuatro grandes grupos: analisis de caractersticas estaticas,
dinamicas, mixtas o metadatos.
El analisis basado en rasgos estaticos inspecciona las
aplicaciones antes de su ejecucion, en busca de contenido
malicioso. Para ello se extraen distintos datos, tales como
su codigo binario, privilegios solicitados, recursos hardware
o conectividad. Por ejemplo, en [14] se consideran estas
caractersticas para explorar distintos mercados de distribucion
en busca de instancias de un mismo especimen. En [15] se
estudia el codigo fuente de las aplicaciones del servicio de
gestion de paquetes (PMS) de Android en busca de malware
capaz de escalar privilegios. En [16] se propone la deteccion
de intrusiones en base a sus propios privilegios. De manera
alternativa, en [5] esta distincion es realizada por medio de la
consulta del AndroidManifest, donde se observa el hardware
que la aplicacion solicitara. En [17] se analiza la estructura
del codigo en busca de similitudes entre diferentes muestras
de malware. A partir de ellas es posible establecer relaciones
entre especmenes de una misma cepa, y por lo tanto estudiar
su evolucion. En general, el analisis estatico presenta la
ventaja de su sencillez en el proceso de extraccion de datos
y eficiencia. Sin embargo, es susceptible a ser evadido por
tecnicas de ofuscacion. Ademas, debido a su incapacidad de
definir el comportamiento de las aplicaciones en tiempo de
ejecucion, a menudo no alcanza la precision esperada.
El analisis basado en rasgos dinamicos monitoriza el comportamiento del sistema y extrae la actividad de las aplicaciones instaladas a traves de diversos identificadores. Tal y como
se muestra en [13], la estrategia dinamica mas frecuente es el
analisis de las llamadas al sistema involucradas en la ejecucion
de cada aplicacion. Un ejemplo tpico de ello es el sistema
Crowdroid [18], donde se considera su frecuencia de aparicion.
En otros casos, como [19], se analiza su relacion con el sistema
de planificacion de hilos en ejecucion. Este tipo de propuestas
a menudo efectuan la extraccion de la informacion en entornos
aislados y controlados conocidos como sandboxes. En [20]
se presenta un profundo estado acerca de esta metodologa.
El analisis dinamico tambien involucra el estudio de otras
caractersticas. Por ejemplo, en [21] se construyen modelos de
comportamiento de aplicaciones en base a los permisos que
solicitan. Asimismo, en [22] se discute la eficacia de diferentes
metricas basadas en el consumo de energa de los dispositivos.
En general, el analisis de rasgos dinamicos es muy preciso.
Sin embargo requiere del uso de una cantidad importante de
recursos, situacion que puede hacer inviable su despliegue, y
en su defecto, requerir de la disponibilidad de infraestructura
adicional.
Los entornos mas complejos o con mayor susceptibilidad
a ser perpetrados, a menudo afrontan la identificacion de
intrusiones mediante la combinacion de ambas tecnicas. A esto
se le conoce como analisis basado en rasgos mixtos o hbrido.
Un ejemplo de ello es [23], donde se lleva a cabo el analisis
estatico del AndroidManifest y el codigo de las aplicaciones,
y se estudian diferentes rasgos dinamicos, como registros de
llamadas o trafico de red. Otro trabajo de interes es [24], donde
se trata el problema de la sobrecarga causada por sistemas de
analisis dinamicos puros. Para ello se realiza un estudio del
codigo de las aplicaciones, etiquetando todas aquellas llamadas
que desaten sospechas; de este modo, el analisis dinamico
solo necesita monitorizar las actividades derivadas del codigo etiquetado, reduciendo considerablemente su consumo de
recursos. En general, las propuestas hbridas compensan los
beneficios y contramedidas de los metodos combinados.
El u ltimo grupo de aproximaciones basa su analisis en el
estudio de metadatos. Los metadatos fueron definidos en [13]
como la informacion de las aplicaciones conocida antes de
su descarga, lo que involucra una gran variedad de fuentes,
tales como los requisitos establecidos por sus autores, opinion de otros usuarios, reputacion o distribucion geografica.
Un ejemplo de ellos es [25], donde se analiza informacion
procedente del mercado de distribucion relacionada con los
permisos solicitados por cada aplicacion. Para ello son considerados metodos de procesamiento de lenguaje natural, que
analizan en detalle los motivos con que los autores justifican
la habilitacion de cada uno de ellos. En [26] se tiene en cuenta
una mayor variedad de informacion, entre la que se encuentra
la valoracion, precio o u ltima modificacion de la aplicacion.
La principal ventaja del analisis basado en metadatos es que
permite identificar el malware antes de que sea descargado.
Sin embargo su e xito depende de informacion manipulable
por los atacantes, situacion que facilita su evasion y a menudo
conlleva la emision de errores de clasificacion.
172

3
DE M ALWARE EN
III. S ISTEMA DE D ETECCI ON
D ISPOSITIVOS M OVILES
El sistema de deteccion de malware propuesto realiza el
analisis dinamico del comportamiento de las aplicaciones
monitorizadas. Para ello se extraen las llamadas al sistema
que ejecutan en su proceso de arranque. A diferencia de las
aproximaciones similares contempladas en la bibliografa, se
tiene en cuenta la relacion temporal de estas acciones, y por
lo tanto, el orden en que son ejecutadas. Por medio de un
algoritmo de alineamiento de secuencias, es posible identificar
los conjuntos de llamadas consecutivas de mayor similitud,
y puntuar su parecido respecto al comportamiento de las
aplicaciones legtimas.
En la Figura 1 se muestra la arquitectura del sistema. En ella
las aplicaciones llegan al sistema protegido por diferentes elementos de distribucion, y son ejecutadas en una region segura
y aislada; por lo tanto no son capaces de realizar cambios en el
dispositivo de la vctima. Bajo este entorno, las secuencias de
llamadas al sistema son capturadas y transmitidas al modulo de
analisis. La informacion extrada es preprocesada, y alineada
con acciones legtimas. Si la puntuacion obtenida difiere
de manera representativa de la poblacion de puntuaciones
obtenidas en analisis previos de trazas legtimas, se emiten
alertas. A continuacion se describen en detalle sus aspectos
mas destacados.
Deteccin de malware
Monitorizacin
Sistema
Operativo
Anlisis
Preprocesado
Alineamiento
Aplicacin
Etiquetado
Distribuidor
permite reducir los problemas derivados de errores en procesos

de captura, frecuentes en el software de monitorizacion del
mercado.
B. Alineamiento
El proceso de alineamiento de secuencias compara la cadena capturada con un conjunto de cadenas de ejecuciones
legtimas. Cuanto mas completitud presente dicho conjunto,
mayor precision ofrecera el sistema. En este artculo no se
abarca la decision de cuando el conjunto de referencia es
suficientemente representativo; esto queda relevado a trabajos
futuros. En su lugar, la experimentacion considera dimensiones
grandes, y comunes a todas las pruebas, siendo previsible una
importante mejora tras adoptar este tipo de medidas.
El algoritmo de alineamiento implementado es una adaptacion del metodo de alineamiento global propuesto por
Needleman-Wunsch [27]. Se trata de un esquema de programacion dinamica que ordena ambas secuencias a partir de
una matriz F . En su eleccion se ha tenido en cuenta que
por motivos de computo, se establece una longitud maxima
de cadenas; es frecuente que las acciones capturadas alcancen
dicha longitud, por lo que habitualmente se tratara el caso en
que las secuencias presenten la misma dimension.
Sean las cadenas a alinear A y B, tales que |A| = m y
|B| = n, la matrix F adquirira las dimensiones m n. En
este matriz, el valor de la celda F (i, j) tal que 0 < i m y
0 < j n contiene la puntuacion del mejor alineamiento
entre los subsegmentos de los primeros i elementos de la
secuencia A, y los j primeros elementos de la secuencia
B. Por lo tanto F almacena los mejores alineamientos entre
ambas cadenas, y F (m, n) contiene el alineamiento o ptimo.
La matriz se construye recursivamente a partir de los casos
base F (0, j) = d j y F (i, 0) = d i, donde d es la
penalizacion por hueco. A partir de estos datos es posible
rellenar el resto de la matriz. El valor de cada celda F (i, j)
es determinado por su fila, columna, o diagonal anterior,
calculadas a partir de las siguientes expresiones:
F ila = F (i 1, j) + d
(1)
Columna = F (i, j 1) + d(4)
(2)
Diagonal = F (i 1, j 1) + S(Ai , Bj )(5)
(3)
F (i, j) = max{F ila, ColumnaDiagonal}
(4)
Alertas
Figura 1. Arquitectura del sistema de deteccion
A. Monitorizacion y preprocesamiento
En la etapa de monitorizacion, el sistema captura en el
sandbox las llamadas al sistema del proceso de arranque
de las aplicaciones. Estas son preprocesadas, de tal manera
que cada tipo de accion es asociada con un smbolo, de
manera que si el sistema operativo ofrece un repertorio de
l llamadas diferentes, el alfabeto que identifica las acciones
tendra longitud l. Con el fin de pasar por alto las caractersticas
intrnsecas del dispositivo, las repeticiones consecutivas de
acciones son simplificadas en una sola accion. Esto ademas
donde S(Ai , Bj ) indica la similitud entre los elementos Ai

y Bi . Este valor a menudo viene dado por una matriz de
puntuaciones, y corresponde con la heurstica que aplica el
algoritmo. Una vez rellenada F , para ordenar las secuencias y
anadir los huecos se parte de la posicion F (m, n). La matriz
es recorrida eligiendo como siguiente posicion el mayor valor
comprendido entre F (i 1, j), F (i, j 1) y F (i 1, j 1).
De esta forma se comprueba cual fue la solucion o ptima en
cada posicion (i, j). Si el valor elegido es F (i 1, j), Ai se
alinea con un hueco. Lo mismo sucede en el caso de (i, j 1),
Bi . Finalmente, en F (i 1, j 1), Ai es alineado con Bi .
173
MAESTRE et al.: Malware en dispositivos mviles
C. Etiquetado
La etapa de etiquetado tiene como entrada el vector de las
puntuaciones obtenidas tras alinear la secuencia de llamadas
al sistema capturadas, con el conjunto de secuencias legtimas
de referencia. Tambien considera el vector de puntuaciones
obtenidas tras alinear todas las secuencias legtimas entre s.
Con estos datos efectua la prueba no parametrica de los rangos
con signo propuesta por Wilcoxon [28]. Este procedimiento
opera sobre vectores de datos apareados, de manera que son
comparados los elementos con el mismo ndice. Para ello parte
de la suposicion de que se dispone de l pares de observaciones,
denominadas (xi , yi ). El objetivo del test es determinar que los
valores xi e yi son equivalentes. En el sistema propuesto, estos
coinciden con los vectores de puntuaciones. Para verificar la
asuncion inicial, ordena los valores absolutos |z1 |, , |zn |,
tal que zi = zi y les asigna un rango <i . A continuacion se
calcula la suma de los rangos con diferencias positivas + ,
y la de las diferencias negativas . Esto permite hallar el
estadstico de contraste, que viene dado por la expresion =
min{+ , }.
A partir del estadstico es posible calcular un valor.
En el caso de que l sea pequeno, esto se hace a partir de
la tabla estadstica de la distribucion de Wilcoson. Si l es
suficientemente grande, se calcula en funcion de la distribucion
normal, tal que
n(n+1)
4
Z= q
(5)
n(n+1)
2
La prueba es superada si < I, siendo I el intervalo

de confianza asignado. Esto es interpretado como que la
diferencia entre las poblaciones es significativa, y por lo tanto
no se debe al azar. Por lo tanto, la secuencia de llamadas al
sistema capturada no se parece a las secuencias de aplicaciones
legtimas, y es etiquetada como anomala.
IV. E XPERIMENTACI ON
En la experimentacion realizada, el sistema propuesto ha
sido desplegado en 30 dispositivos diferentes con sistema
operativo Android. El comportamiento de las aplicaciones
analizadas ha sido capturado por medio de la herramienta
strace [29], la cual permite interceptar las llamadas al sistema
que comunican el kernel, con las capas superiores del sistema
operativo. Para poder registrar toda la actividad realizada por
un programa, se ha observado su proceso padre (zygote), del
cual parten todos los demas.
La coleccion de muestras estudiada combina aplicaciones de
las colecciones publicas Genome y Drebin. El conjunto legtimo esta constituido por los siguientes 19 programas: Diner
Dash 2, Jaro, Mash, Plumber, Fruits Maching, Scrambled Net,
Solitaire, Tap and Furious, Robotic Space Rock, Basketball
shot, Monkey Jump 2, Whites out, Super touch down, Tilt
Mazes, Helix, DailyMoney, Sanity, Best Voice Changer y Ztest. Por otro lado, el conjunto de aplicaciones maliciosas
contiene los siguientes 9 programas: DroidKungFu, Plankton,
Geinimi, GinMaster, Cogos, jSMSHider, VdLoader, Gapev,
Gamex. Notese que a pesar de la gran extension de las
colecciones publicas, ha resultado especialmente complicado

encontrar aplicaciones compatibles con todos los dispositivos
con los que se ha trabajado.
La metodologa de evaluacion realizada ha seguido un
esquema de validacion cruzada. Las 570 muestras legtimas
se han dividido en cuatro grupos de igual extension: A, B, C
y D. A partir de ellos se han establecido cuatro vectores de
puntuaciones de referencia:
V1 : contiene las puntuaciones del alinear todas las muestras de A, B y C entre s.
V2 : contiene las puntuaciones del alinear todas las muestras de A, B y D entre s.
V3 : contiene las puntuaciones del alinear todas las muestras de A, C y D entre s.
V4 : contiene las puntuaciones del alinear todas las muestras de B, C y S entre s.
en los que el grupo restante es reservado para comprobar la
tasa de falsos positivos. Con el fin de anadir realismo, en el
calculo de la tasa de acierto se ha incorporado el malware a
las aplicaciones legtimas, permitiendo la captura de un total
de 5130 muestras maliciosas.
El sistema ha sido calibrado para minimizar la tasa de falsos
positivos; por lo tanto se ha aplicado un intervalo de confianza
de 0,001. En la Figura 2. Se muestra la precision al detectar
cada especimen analizado. El resultado promedio ha arrojado
una tasa de acierto del 96,91 %, en la configuracion que no ha
cometido errores de etiquetado al analizar muestras legtimas.
Gamex
0,94
Gapev
0,98
VdLoader
jSMSHider
0,95
0,91
Cogos
0,96
GinMaster
0,99
Geinimi
0,97
Plankton
0,99
DroidKungFu
0,9675
Figura 2. Precision al reconocer aplicaciones maliciosas
V. C ONCLUSIONES
Se ha propuesto un sistema de deteccion de malware en
dispositivos moviles. Para ello son capturadas las secuencias
de llamadas al sistema ejecutadas en el proceso de arranque
de las aplicaciones. Esto se lleva a cabo en un entorno seguro
y aislado, lo que impide la infeccion del entorno protegido.
El proceso de analisis involucra el uso de un algoritmo
de alineamiento de secuencias, y una prueba estadstica de
contraste de hipotesis.
La experimentacion realizada ha seguido un esquema de
validacion cruzada en el que han participado muestras de aplicaciones legtimas y maliciosas pertenecientes a colecciones
de dominio publico. Los resultados obtenidos demuestran una
gran precision, arrojando una tasa de acierto cercana al 96 %
en la configuracion en que no se han dado errores de etiquetado
al analizar aplicaciones legtimas.
174

5
R EFERENCIAS
[1] L. Marinos, ENISA (2015), Threat Landscape 2014. Available:
https://www.enisa.europa.eu/
[2] European Police (2015), The Internet Organised Crime Threat Assessment (iOCTA). Available: https://www.europol.europa.eu
[3] G. Suarez-Tangil, J.E Tapiador, P. Peris-Lopez, A. Ribagorda, Evolution, Detection and Analysis of Malware for Smart Devices, in IEEE
Communications Surveys & Tutorials, vol. 16, no. 2, pp. 961-987, 2014.
[4] Y. Zhou, X. Jiang, Dissecting Android Malware: Characterization and
Evolution, in Proceedings of the 33rd IEEE Symposium on Security
and Privacy (SP), San Francisco, CA, US, 2012, pp. 95-109.
[5] D. Arp, M. Spreitzenbarth, M.H. Hubner, H. Gascon, K. Rieck, Drebin: Effective and Explainable Detection of Android Malware in your
Pocket, in Proceedings of the 21th Annual Symposium on Network and
Distributed System Security (NDSS), San Diego, CA, US, 2014, pp. 112.
[6] M. La Polla, F. Martinelli, D. Sgandurra, A Survey on Security for
Mobile Devices, IEEE Communications Surveys & Tutorials, vol. 15,
no. 1, pp. 446-471, 2013.
[7] P. Faruki, A. Bharmal, V. Laxmi, Android Security: A Survey of Issues,
Malware Penetration, and Defenses, IEEE Communications Surveys &
Tutorials, vol. 17, no. 2, pp. 998-1022, 2015.
[8] S. Peng, S. Yu, A. Yang, Smartphone Malware and Its Propagation
Modeling: A Survey, IEEE Communications Surveys & Tutorials, vol.
16, no. 2, pp. 925-641, 2013.
[9] Q. Do, B. Martini, K.K.R. Choo, Exfiltrating data from Android
devices, Computers & Security, vol. 45, pp. 74-91, 2015.
[10] D. Maiorca, D. Ariu, I. Corona, G. Giacinto, Stealth attacks: An
extended insight into the obfuscation effects on Android malware,
Computers & Security, vol. 51, pp. 16-31, 2015.
[11] M. Zheng, M. Sun, J.C.S. Lui, Droid Analytics: A Signature Based
Analytic System to Collect, Extract, Analyze and Associate Android
Malware, in Proceedings of the 12th IEEE International Conference
on Trust, Security and Privacy in Computing and Communications
(TrustCom), Melbourne, VIC, Australia, 2013, pp. 163-171.
[12] P. Garca-Teodoro, J. Daz-Verdejo, G. Macia-Fernandez, E. Vazquez,
Anomaly-based network intrusion detection: Techniques, systems and
challenges, Computers & Security, vol. 25, no. 1-2, pp. 18-28, 2009.
[13] A. Feizollah, N. B. Anuar, R. Salleh, A.W.A. Wahab, A Review on
Feature Selection in Mobile Malware Detection, Digital Investigation,
vol. 13, pp. 23-37, 2015.
[14] M. Lindorfer, S. Volanis, A. Sisto, M. Neugschwandtner, E. Athanasopoulos, F. Maggi, C. Platzer, S. Zanero, S. Ioannidis, AndRadar:
Fast Discovery of Android Applications in Alternative Markets, in
Proceedings of the 11th International Conference on Detection of Intrusions and Malware, and Vulnerability Assessment (DIMVA), Egham,
UK, 2014. lecture Notes in Computer Science, vol. 8550, pp. 51-71,
2014.
[15] L. Xing, X. Pan, R. Wang, K. Yuan, X. Wang, Upgrading your
android, elevating my malware: privilege escalation through mobile OS
updating, in Proceedings of the 35th IEEE Symposium on Security and
Privacy, San Jose, CA, US, 2014, pp. 393-408.
[16] D. Geneiatakis, I.N. Fovino, I. Kounelis, P. Stirparo, A Permission
verification approach for android mobile applications, Computers &
Security, vol. 49, pp. 195-205, 2015.
[17] G. Suarez-Tangil, J. E. Tapiador, P. Peris-Lopez, J. B. Alis, Dendroid:
A text mining approach to analyzing and classifying code structures in
android malware families, Expert Systems with Applications, vol. 41,
no. 4, pp. 1104-1117, 2014.
[18] I. Burguera, U. Zurutuza, S. Nadjm-Tehrani,Crowdroid: BehaviorBased Malware Detection System for Android, in Proceedings of the
1st ACM Workshop on Security and Privacy in Smartphones and Mobile
Devices, Chicago, IL, US, 2011, pp. 15-26.
[19] Y.D. Lin, Y.C. Lai, C.H. Chen, H.C. Tsai, Identifying android malicious repackaged applications by thread-grained system call sequences,
Computers & Security, vol. 39, pp. 340-350, 2013.
[20] Z.C. Schreuders, T. McGill, C. Payne, The state of the art of application
restrictions and sandboxes: A survey of application-oriented access
controls and their shortfalls, Computers & Security, vol. 32, pp. 219241, 2013.
[21] Y. Zhang, M. Yang, Z. yang, G. Gu, Permission Use Analysis for
Vetting Undesirable Behaviors in Android Apps, IEEE Transactions
on Information Forensics and Security, vol. 9, no. 11, pp. 1828-1842,
2014.
[22] J. Hoffmann, S. Neumann, T. Holz, Mobile Malware Detection Based

on Energy Fingerprints-A Dead End?, in Proceedings of the 16th
International Symposium of Research in Attacks, Intrusions, and Defenses (RAID), Rodney Bay, St. Lucia, 2013. Lecture Notes in Computer
Science, vol. 8145, pp. 348-368, 2013.
[23] X. wei, L. Gomez, I. Neamtiu, M. Faloutsos, ProfileDroid: multilayer profiling of android applications, in Proceedings of the 18th
annual international conference on Mobile computing and networking
(Mobicom), Istambul, Turkey, 2012, pp. 137-148.
[24] B.P. Rocha, M. Conti, S. Etalle, B. Crispo, Hybrid Static-Runtime
Information Flow and Declassification Enforcement, IEEE Transactions
on Information Forensics and Security, vol. 8, no. 8, pp. 1294-1305,
2013.
[25] R. Pandita, X. Xiao, W. Yang, W. Enck, T. Xie, WHYPER: Towards
Automating Risk Assessment of Mobile Applications, in Proceedings
of the 22nd USENIX Conference on Security, Washington, D.C, US,
2013, vol. 13, pp. 527-542.
[26] P. Teufl, M. Ferk, A. Fitzek, D. Hein, S. Kraxberger, C. Orthacker,
Malware detection by applying knowledge discovery processes to
application metadata on the Android Market (Google Play), Security
and Communication Networks, DOI: 10.1002/sec.675, 2013.
[27] S. B. Needleman, C. D. Wunsch, A general method applicable to the
search for similarities in the amino acid sequence of two proteins,
Journal of Molecular Biology, vol. 48, no. 3, pp. 443-453, 1970.
[28] F. Wilcoxon, Individual Comparisons by Ranking Methods, Biometrics Bulletin, pp. 80-83, 1945.
[29] Strace (2015). Available: http://sourceforge.net/projects/strace/.
Jorge Maestre Vidal received a Computer Science

Engineering degree from the Universidad Complutense de Madrid (Spain) in 2012. He holds a M.Sc.
in Research in Computer Science from the Universidad Complutense de Madrid (Spain) in 2013.
He is currently a Ph.D. student at the Universidad
Complutense de Madrid (Spain) and a Research
Assistant at Complutense Research Group GASS
(http://gass.ucm.es). His main research interests are
computer security and computer networks.
Ana Lucila Sandoval Orozco received a Computer

Science Engineering degree from the Universidad
Autonoma del Caribe (Colombia) in 2001. She
holds a Specialization Course in Computer Networks
(2006) from the Universidad del Norte (Colombia)
and holds a M. S. in Research in Computer Science
(2009) and a Ph.D. in Computer Science (2014),
both from the Universidad Complutense de Madrid
(Spain). She is currently a post-doc at Complutense
Research Group GASS. Her main research interests
are information security and its applications.
Luis Javier Garca Villalba received a Telecommunication Engineering degree from the Universidad
de Malaga (Spain) in 1993 and holds a M.Sc. in
Computer Networks (1996) and a Ph.D. in Computer
Science (1999), both from the Universidad Politecnica de Madrid (Spain). Visiting Scholar at COSIC
(Computer Security and Industrial Cryptography,
Department of Electrical Engineering, Faculty of Engineering, Katholieke Universiteit Leuven, Belgium)
in 2000 and Visiting Scientist at IBM Research
Division (IBM Almaden Research Center, San Jose,
CA, USA) in 2001 and 2002, he is currently Associate Professor of the
Department of Software Engineering and Artificial Intelligence at the Universidad Complutense de Madrid (UCM) and Head of Complutense Research
Group GASS (Group of Analysis, Security and Systems, http://gass.ucm.es)
which is located in the Faculty of Computer Science and Engineering at the
UCM Campus. His professional experience includes projects with Hitachi,
IBM, Nokia, Safelayer Secure Communications and H2020. His main research
interests are cryptography, coding, information security and its applications.
175

1
Metodo Anti-Forense para Manipular la Fuente de

Adquisicion de una Imagen de Dispositivo Movil
Jocelin Rosales Corripio, Anissa El-Khattabi, Ana Lucila Sandoval Orozco, Luis Javier Garca Villalba
AbstractNowadays digital images play an important role

in our society. The mobile device camera presence is growing
at an unstoppable rate, causing that most of digital images
come from this kind of devices. While the developing technology
makes image generation process easier, at the same time it
facilitates forgery; therefore, image forensics is gaining relevance.
In this paper we propose a pair of algorithms that are based on
sensor noise and the wavelet transform, the first to eliminate the
possibility of identifying the mobile device (maker and model)
that generated an image and the second to forge the identity of
a given image.
Index TermsCounter Forensics, Forensics Analysis, Image
Anonymity, Image Forgery, PRNU, Wavelet.
I. I NTRODUCCI ON
Aunque las imagenes pueden ser consideradas parte de la
verdad, ya que son hechos reales captados por dispositivos
electronicos (camaras), nunca ha sido tan facil modificar las
imagenes como lo es hoy en da, dada la existencia de
potentes y sofisticados programas software. Esta facilidad
de manipulacion plantea interrogantes sobre la integridad y
veracidad de las imagenes.
Actualmente, las ventas de dispositivos moviles (telefonos,
smartphones, PDAs, tablets, etc.) siguen aumentando incluso
con el impacto de la crisis financiera global. La inmensa
mayora, concretamente el 83 % de los telefonos moviles en
2012, tienen una camara fotografica integrada. Las camaras
integradas en dispositivos moviles ya superan en numero a
las camaras de fotos tradicionales o Digital Still Camera
(DSCs). En total, segun estimaciones de la Union Internacional
de Telecomunicaciones (UIT), hay 6,8 miles de millones de
suscripciones de telefonos moviles en todo el mundo, lo
cual supone un gran incremento sobre los 6000 millones de
suscripciones de 2012 y 5800 millones de 2011. De igual
modo existen predicciones para el futuro que indican que
las DSCs desapareceran en pro de las nuevas integradas en
dispositivos moviles, ya que el aumento de calidad de estas
camaras crece a un ritmo imparable.
En nuestro da a da es habitual ver como se realizan y
usan fotografas de este tipo de dispositivos para una gran
diversidad de situaciones (vida personal, noticias, pruebas
judiciales, aplicaciones para telefonos moviles, etc.).
Jocelin Rosales Corripio, Anissa El-Khattabi, Ana Lucila Sandoval Orozco
y Luis Javier Garca Villalba, Grupo de Analisis, Seguridad y Sistemas
(GASS, http://gass.ucm.es), Departamento de Ingeniera del Software e
Inteligencia Artificial (DISIA), Facultad de Informatica, Despacho 431,
Universidad Complutense de Madrid (UCM), Calle Profesor Jose Garca
Santesmases, 9, Ciudad Universitaria, 28040 Madrid, Espana. E-mail: jocelinr@ucm.es, {asandoval, javiergv}@fdi.ucm.es.
Este progreso hace que el tratamiento y la toma de fotografas con este tipo de dispositivos puedan crear situaciones
problematicas o beneficiosas en las distintas realidades. Muchos estiman que este tipo de camaras facilitan la proliferacion de crmenes contra la privacidad y la seguridad de la
informacion (robo con tarjetas de credito, pornografa infantil,
espionaje industrial, etc.). De hecho, una de las principales
razones de la existencia hoy en da de dispositivos sin camaras
fotograficas se debe a que diversas companas, organizaciones
o pases poseen normas que prohben o limitan su uso [1].
Una consecuencia mas de su extenso uso es que las imagenes digitales en la actualidad son utilizadas como testigos
silenciosos en procesos judiciales, siendo una pieza crucial
de la evidencia del crimen [1]. Debido a esto muchas a reas
pueden beneficiarse del analisis forense de imagenes, tales
como la lucha contra la pornografa infantil, la prevencion
de robo de tarjetas de credito, el combate a la piratera, la
prevencion de secuestros, etc.
Por todo lo anterior, el analisis forense de imagenes digitales se ha convertido en un tema de interes en los u ltimos
anos. El analisis forense surge con la idea de restablecer la
confiabilidad en las imagenes digitales que de otro modo se
consideraban muy facilmente modificables. En sus inicios, la
parte academica encontro el analisis forense u til en a reas como
el uso de imagenes para aplicaciones legales, inteligencia,
investigaciones privadas y medios de comunicacion.
Como en la mayora de campos de estudio existe una
contracorriente, en este caso, personas como espas o estafadores que hacen esfuerzos para manipular las imagenes
en su propio beneficio usando el conocimiento del analisis
forense de imagenes para borrar o incluso suplantar las huellas
o rastros que se utilizan para determinar la identidad de
las imagenes. Muchos de los algoritmos forenses existentes
en la literatura no fueron disenados teniendo en cuenta ese
tipo de comportamiento y como consecuencia son faciles de
enganar.
La posibilidad de copiar las huellas digitales de una imagen
se puede convertir en un ciclo infinito que puede permitir que
personas inocentes sean inculpadas o que criminales aseguren
que las pruebas son resultados de una falsificacion. Al final,
la confianza en las tecnicas forenses de imagenes se podra
ver comprometida. Es por esto que surge la necesidad de
considerar los posibles ataques en el momento de disenar
tecnicas de analisis forense en imagenes digitales.
As como en el a rea de seguridad el estudio de los ataques permite mejorarla, los metodos forenses de imagenes se
pueden beneficiar del estudio de las tecnicas de ataque para
robustecer los algoritmos de las proximas generaciones.
176
ROSALES et al.: Mtodo Anti-Forense
Este documento se estructura en 7 secciones, siendo la primera la presente introduccion. La seccion II explica brevemente el proceso de formacion de una imagen digital. La seccion
III resume los principales trabajos relacionados con el analisis
forense de imagenes de dispositivos moviles. Los ataques a las
tecnicas de analisis forense de imagenes digitales se muestran
en la seccion IV. En la seccion V se especifica el algoritmo
de falsificacion de la identidad de una imagen propuesto. La
seccion VI describe la experimentacion realizada y se analizan
los resultados obtenidos en la misma. Finalmente, la seccion
VII contiene las principales conclusiones del trabajo.
DE UNA I MAGEN D IGITAL
II. F ORMACI ON
Para la comprension del analisis forense de imagenes digitales es fundamental conocer en detalle el proceso de adquisicion
de imagenes en las camaras digitales. Este puede resumirse en
la Figura 1.
Aunque muchos de los detalles del pipeline de una camara
pertenecen a cada fabricante, la estructura general es la misma
en todas ellas. El pipeline de una camara digital consiste
basicamente en un sistema de lentes, un conjunto de filtros,
una matriz de filtros de color o Color Filter Array (CFA), un
sensor de imagen y un procesador de imagen digital o Digital
Image Processor (DIP).
Para generar una imagen digital, en primer lugar, el sistema
de lentes recoge la luz de la escena controlando la exposicion,
el enfoque y la estabilizacion de imagen. Seguidamente, la
luz entra en la camara a traves de la lente, pasando por
una combinacion de filtros (por lo menos infrarrojos y antialiasing) para garantizar la maxima calidad de la imagen. Con
el objetivo de producir una imagen en color se utiliza la CFA.
Despues, la luz se enfoca sobre el sensor de imagen que es
una matriz de elementos sensibles a la luz llamados pxeles.
La incidencia de la luz contra los pxeles genera una senal
analogica proporcional a la intensidad de la luz, la cual se
convierte en una senal digital para ser procesada por el DIP.
Finalmente, la imagen final completa se forma por el DIP, el
cual lleva a cabo algunas operaciones tales como demosaicing,
correccion de puntos blancos, correccion gamma, compresion,
etc., con el objetivo de producir una imagen visualmente
agradable.
III. T E CNICAS DE A N ALISIS

F ORENSE EN I M AGENES
Las tareas de analisis forense de imagenes digitales se
dividen, de acuerdo a su objetivo, en las siguientes ramas
[2]: verificacion de integridad, recuperacion de la historia de
procesamiento, clasificacion basada en la fuente, agrupacion

por dispositivo fuente e identificacion de la fuente [3].
Para el diseno de tecnicas y algoritmos en cualquiera de
estas ramas se aprovechan algunas caractersticas especiales
de las imagenes creadas con moviles que sirven como herramienta para el analisis forense. [4] y [5] realizan un estudio
de las caractersticas que pueden ser objeto de analisis forense
en dispositivos moviles.
Con respecto a la rama de identificacion de la fuente los
estudios realizados hasta el momento en esta a rea se dividen
basicamente en cuatro grupos dependiendo de la informacion
que se utiliza como base para identificar la fuente [4]: los
basados en las aberraciones del sistema de lentes, los basados
en la eleccion de la CFA y en la especificacion del algoritmo de
interpolacion de color [6], los basados en caractersticas de la
imagen (color, metricas de calidad y dominio de la frecuencia)
[7] [8] y los basados en el ruido del sensor Photo Response
Non Uniformity (PRNU) [9] [10].
Este documento se centra en los ataques contra una de las
tecnicas en el campo de la identificacion de la fuente: la basada
en el ruido del sensor. Estas tecnicas se dividen principalmente
en dos ramas: defectos de pxel y patron de ruido del sensor
o Sensor Pattern Noise (SPN). En la primera se estudian los
defectos de pxel, los pxeles calientes, los pxeles muertos,
los defectos de fila o columna, y los defectos de grupo. En
la segunda se construye un patron del ruido promediando los
multiples residuos de ruido obtenidos mediante algun filtro de
eliminacion de ruido. La presencia del patron se determina
utilizando algun metodo de clasificacion como correlacion o
maquinas Support Vector Machine (SVM).
Geradts et al. [11] estudian los defectos de los pxeles en los
sensores de tipo Charge Coupled Device (CCD), centrandose
en la evaluacion de diferentes caractersticas para examinar
las imagenes e identificar la fuente: defectos del sensor CCD,
formato de los archivos usados, ruido introducido en la imagen
y marcas de agua introducidas por el fabricante de la camara.
Entre los defectos del sensor CCD considerados se encuentran
los puntos calientes, los pxeles muertos, los defectos en grupo
y los defectos de fila o columna. En sus resultados se observa
que cada una de las camaras tiene un patron de defecto
diferente. Sin embargo, tambien se senala que el numero de
defectos en los pxeles para una camara es diferente entre fotos
y vara demasiado en funcion del contenido de la imagen.
Asimismo, se revela que el numero de defectos cambia con la
temperatura. Por u ltimo, el estudio encontro que las camaras
con CCD de alta calidad no tienen este tipo de problema.
Tambien es cierto que la mayora de las camaras tienen
Figura 1. Proceso de generacion de una imagen en una camara digital.
177

3
mecanismos adicionales para compensar este tipo de problemas. Al considerar u nicamente los defectos de los sensores de
tipo CCD, este estudio no es aplicable al analisis de imagenes
generadas por dispositivos moviles.
Lukas et al. [12] analizan el patron de ruido del sensor de
un conjunto de camaras, el cual funciona como una huella
dactilar, permitiendo la identificacion u nica de cada camara.
Para obtener este patron se realiza un promedio del ruido
obtenido a partir de diferentes imagenes utilizando un filtro
de eliminacion de ruido. Para identificar la camara a partir de
una imagen dada, se considera el patron de referencia como
una marca de agua cuya presencia en la imagen es establecida
mediante un detector de correlacion. El estudio se realizo con
320 imagenes procedentes de 9 modelos distintos de camaras.
Tambien se demuestra que este metodo esta afectado por
algoritmos de procesamiento de la imagen como la compresion
Joint Photographic Experts Group (JPEG) y la correccion
gamma. Los resultados para fotografas con diferentes tamanos
y recortadas no son satisfactorios [4].
Costa et al. [13] proponen un enfoque para la identificacion
de la camara fuente considerando escenarios abiertos donde,
a diferencia de los escenarios cerrados, no se da por sentado
contar con acceso a todas las posibles camaras de origen de
la imagen. Esta propuesta comprende tres fases: definicion de
las regiones de interes, determinacion de las caractersticas e
identificacion de la camara fuente. Las diferentes regiones de
las imagenes pueden contener informacion distinta sobre la
huella digital de la camara fuente. Este enfoque, en contraste
con otros, considera diferentes a reas de interes o Region Of
Interest (ROI) y no solo la region central de la imagen.
Para cada imagen se definen nueve ROIs. Se asume que
estas regiones coinciden con el eje principal de la lente y,
por lo tanto, deben tener mas detalles de la escena porque
los fotografos aficionados por lo general centran el objeto
de interes en el centro de la lente. Un aspecto importante
a tener en cuenta es que el uso de las regiones de interes
permite trabajar con imagenes de diferentes resoluciones sin
la necesidad de rellenar con ceros las imagenes y sin el uso
de artefactos de interpolacion de color.
IV. ATAQUES AL A N ALISIS

F ORENSE DE I M AGENES
En comparacion con el destacado papel de las imagenes
digitales en la sociedad multimedia de hoy en da, la investigacion en el campo de la autenticidad de la imagen se
encuentra todava en una fase muy preliminar. La mayora de
las publicaciones en este campo emergente todava carecen
de discusiones rigurosas y robustas contra los falsificadores
estrategicos, que preven la existencia de tecnicas forenses [14].
El a rea que se encarga de estudiar ataques a las tecnicas
de analisis forense de imagenes es conocida como counterforensics. Los ataques contra los algoritmos forenses de imagenes digitales son aquellas tecnicas cuyo objetivo es confundir
sistematicamente a los procedimientos de identificacion de
la fuente de la imagen o de deteccion de manipulaciones
maliciosas en las imagenes. Estos ataques pueden tener uno
de los siguientes objetivos: camuflaje de post-procesamientos
maliciosos sobre la imagen o manipulacion de la identificacion
de la fuente.
A. El Camuflaje de Post-Procesamientos
Estas tecnicas tienen como objetivo ocultar la existencia de
algun proceso aplicado a una imagen analizando los rasgos
que e stos dejan sobre la imagen durante su aplicacion para
as poder contrarrestarlos. En [15] se estudia las dependencias
introducidas durante el re-dimensionamiento o la rotacion de
las imagenes. En [16] se estudian los coeficientes estadsticos
de los JPEG para detectar la re-compresion. En [17] se
analiza la fase de congruencia para detectar la composicion
de imagenes a traves del recortado y pegado de diferentes
imagenes.
En [14] se presenta una propuesta para ocultar el proceso
de re-muestreo (resampling). El re-muestreo es el redimensionamiento con interpolacion de las imagenes. Este proceso
es muy comun en las operaciones primitivas de imagenes
como escalamiento y rotacion. Los algoritmos detectores de
re-muestreo se basan en la busqueda de las dependencias sistematicas y periodicas entre pxeles vecinos insertadas cuando
se aplica la operacion de re-muestreo. Para ocultar el remuestreo es necesario romper las equidistancias periodicas
introduciendo distorsiones geometricas conocidas como ataques de marca de agua. En este caso se superpone un vector
de distorsion aleatoria a las posiciones de cada pxel donde
un parametro determina el grado de distorsion introducido.
Para evitar generar caractersticas visibles en la imagen como
ruido se debe modular la fuerza de la distorsion empleando
dos detectores de bordes: uno en direccion vertical y otro en
direccion horizontal.
B. Manipulacion de la Identificacion de la Fuente
As como para el proceso de identificacion de la fuente
se usa la extraccion del ruido del sensor en la imagen, un
contraataque logico para esta tecnica consta de la eliminacion
del ruido del sensor. Dando un paso mas adelante se puede
pensar tambien en la posibilidad de eliminar el ruido del
sensor de la imagen y sustituirlo por el ruido del sensor que
pertenezca a otra camara.
1) Destruccion de la Identidad de una Imagen: En [14]
se demostro que la resta de las caractersticas del dominio
wavelet de las imagenes no es suficiente para eliminar el
ruido de una imagen, ademas de que este procedimiento deja
rastros visibles sobre la imagen. Existe otro metodo bastante
conocido para la eliminacion del ruido de una imagen llamado
correccion de sensibilidad o flatfielding. Este metodo es usado
tpicamente en astronoma o en el proceso de escaneado de
planos para mejorar la calidad de las imagenes. El flatfielding
se realiza en base a los principales componentes del ruido de
la imagen: el ruido de patron fijo o Fixed Pattern Noise (FPN)
y el ruido de respuesta no uniforme o Photo Response Non
Uniformity (PRNU). El ruido FPN se calcula en terminos de un
marco oscuro d promediando K imagenes xoscura capturadas
en un ambiente completamente oscuro que se puede emular
cubriendo completamente la lente de la camara.
El ruido PRNU se calcula en terminos de un marco plano
(flatfield) f promediando L imagenes xiluminada de una
escena iluminada homogeneamente. A las L imagenes se les
178
elimina el ruido FPN mediante la resta del marco oscuro d

antes de promediarlas.
Como se describe en [12] [14], los atacantes pueden intentar
evitar la identificacion correcta de la fuente ya que existe la
posibilidad de eliminar y extraer la huella de una imagen. La
destruccion de la huella de una imagen x generada con una
camara especfica se realiza con la ecuacion 1 restando a la
imagen original x el marco oscuro d y dividiendo el resultado
de la resta por el marco plano f .
xd
(1)
f
A pesar que los resultados obtenidos con esta tecnica son
buenos, se presentan algunos inconvenientes:
Llevar a cabo una correccion de sensibilidades perfecta en
un gran numero de fotos es difcil ya que los parametros
para calcular el PRNU y el FPN deben coincidir con los
de la imagen a atacar.
En la propuesta se asume que el atacante puede tener
acceso a la camara fuente de la imagen x para generar
los marcos oscuros y planos y e ste no es un escenario
proximo a la realidad.
Existen otras posibilidades menos robustas para destruir la
identidad que en ciertos casos podran ser efectivas ya que
no necesitan contar con imagenes procedentes de la camara
origen para generar el marco oscuro y el marco plano, pero
a cambio de esta facilidad la calidad de la imagen puede
verse reducida y podran introducirse algunos rasgos visuales.
Por ejemplo, es posible rotar la imagen unos pocos grados,
escalar la imagen, o aplicar un filtro de desenfoque gaussiano.
Algoritmo 2: Falsificacion de la identidad de una camara

para imagenes con dimensiones diferentes
amara
1 Calcular el promedio de las huellas F (C1) de la c
C1 con la que se atacara;
amara
C2;
3 Sumar F (C1) a la fotografa P ;
4 Tomar una fotografa P con la c
amara C2;
5 Restar F (C2) a P ;
x
=
2) Falsificacion de la Identidad de una Imagen: De igual

forma que se puede eliminar el ruido en una imagen haciendo
uso de la tecnica de correccion de sensibilidad, se puede
inyectar el ruido de la imagen de otra camara diferente
mediante la correccion de sensibilidad inversa con la ecuacion
2 [14].
y = x
ff alsa + df alsa
(2)
donde ff alsa y df alsa corresponden a la camara que se
pretende plagiar y x
es la imagen original sin ruido.
En [18] se propone el algoritmo 1 para falsificar la identidad
de una camara.
V. M E TODO A NTI -F ORENSE BASADO EN PRNU

En este trabajo se propone un algoritmo que permite extraer
y eliminar la huella del sensor de una imagen P1 as como
inyectar el patron del sensor de una camara C1 a una imagen
P2 generada con una camara C2 sin requerir acceso a la
camara C2 .
A. Algoritmo de Eliminacion de la Huella del Sensor
Entre los diferentes filtros que existen para la eliminacion
del ruido de las imagenes, los que usan la transformada
wavelet dan mejor resultado debido a que el ruido residual
que se obtiene con este filtro contiene la menor cantidad de
rasgos de la escena. Generalmente, las a reas alrededor de los
bordes son malinterpretadas cuando se utilizan u nicamente
filtros de eliminacion de ruido menos robustos, tales como
el filtro de Wiener o el filtro de mediana. Por este motivo
se selecciono el filtro de eliminacion de ruido basado en la
transformada wavelet. El algoritmo 3, basado en las ideas de
[12], muestra los pasos a seguir para eliminar la huella del
sensor.
Algoritmo 3: Eliminacion de la huella del sensor
Input: I es la imagen vctima
1
2
3
4
Algoritmo 1: Falsificacion de la identidad de una camara

amara
C1 con la que se atacara;
2 Tomar una fotografa P con la segunda c
amara C2;
3 Sumar F (C1) a la fotografa P ;
procedure R EMOVE PRNU(I)

Realizar una descomposicion wavelet de 4 niveles de
In ;
foreach nivel de la descomposicion wavelet do
foreach c {H,V,D} do
5
Calcular la varianza local;
6
if varianza adaptativa then
7
Calcular 4 varianzas con ventanas de
tamanos 3, 5, 7 y 9, respectivamente;
Seleccionar la varianza mnima;
8
9
10
En el caso de que las dimensiones de F(C1) y P no

coincidan, es necesario aplicar un recorte o una reconstruccion
para igualar el tamano de las imagenes.
Tambien se propone una mejora al algoritmo de falsificacion
anterior para enmascarar los rasgos de la camara C2. Esta
tecnica se presenta en el algoritmo 2.
Al restar F(C2) se trata de eliminar la correlacion entre la
fotografa P y la camara C2.
11
else
Calcular la varianza con una ventana
de tamano 3;
Calcular los componentes wavelet sin ruido
aplicando el filtro de Wiener a la varianza;
end procedure
B. Algoritmo de Falsificacion de la Identidad

Las tecnicas de identificacion de la fuente basadas en PRNU
calculan la huella del sensor de la imagen con la ecuacion:
179

5
VI. E XPERIMENTACI ON
Iruido
Ilimpia
(3)
donde Ilimpia es obtenida aplicando algunos filtros de eliminacion descritos en la seccion V-A. En particular, en este trabajo
la eliminacion de ruido se realiza aplicando el algoritmo 3.
El patron del ruido Pixel Non-Uniformity (PNU) se calcula
mediante el promedio del ruido residual de varias imagenes
con la siguiente ecuacion:
Pruido =
N
1 X
Iruido
N i=1
(4)
Una vez que se tiene la posibilidad de eliminar el ruido

del sensor y de extraer el patron del ruido del sensor se
puede plantear la falsificacion de la identidad de una imagen.
El algoritmo 4 muestra los pasos a seguir para falsificar la
identidad de una imagen.
Algoritmo 4: Falsificacion de la identidad de una imagen
Input: I es la imagen vctima
N es el numero de imagenes de superficies
uniformemente iluminadas de la camara suplantadora
En esta seccion se describen los experimentos realizados

con los algoritmos de eliminacion de la huella del sensor
(algoritmo 3) y de falsificacion de la huella de la camara fuente
(algoritmo 4). En estos experimentos se realizo la eliminacion
y la falsificacion de las huellas con los algoritmos propuestos
y tambien con la herramienta PRNU Decompare [19] para
realizar la comparacion de los resultados. PRNU Decompare
utiliza la tecnica de flatfielding descrita en la seccion V-A que
permite la eliminacion y la suplantacion del patron de la huella
del sensor [19]. Esta herramienta requiere como entrada una
fotografa de un marco oscuro y un numero N de imagenes de
superficies planas iluminadas uniformemente (se recomienda
un mnimo de 30 imagenes).
Los resultados obtenidos se compararon haciendo uso la
herramienta NFI PRNU Compare [20], la cual permite
comparar los patrones del ruido del sensor de varias imagenes.
A. Eliminacion de la Identidad de una Imagen
Para este experimento se utilizaron las fotografas de 3

camaras digitales de dispositivos moviles (LG E510f, LG 400,
Samsung GT-I8160P). De cada uno de los dispositivos se
obtuvieron 50 fotografas de imagenes planas uniformemente
1 procedure F ORGE I MG (I, N )
iluminadas, 1 fotografa totalmente oscura cubriendo totalmen2
Ilimpia R EMOVE PRNU(I);
te la lente de la camara y 1 fotografa seleccionada al azar de
3
Pruido E XTRACT PRNU(N );
la base de datos de fotografas. Todas las fotografas fueron
Realizar una descomposicion wavelet de un nivel de recortadas a un tamano de 1024 x 1024.
4
Ilimpia obteniendo los componentes LI , HI , VI , DI ;
Inicialmente, se genero el primer grupo de imagenes sin
5
Realizar una descomposicion wavelet de un nivel de huella, haciendo uso del algoritmo 3. Cabe remarcar que
Pruido obteniendo los componentes HP , VP , DP ;
para realizar esta eliminacion no se necesitaron fotografas
6
Calcular los componentes wavelet falsificados
adicionales a la fotografa de la que se pretenda eliminar
mediante cF =cI +cP donde c{H,V,D};
el ruido del sensor. A continuacion, se genero el segundo
7
Obtener If alsa aplicando la transformada wavelet
grupo de imagenes sin huella con la herramienta PRNU
inversa con LI ,HF ,VF ,DF ;
Decompare, dando como entrada a este programa las 50
8 end procedure
imagenes planas y la imagen del marco oscuro.
Para evaluar la efectividad del algoritmo de eliminacion de
la huella se compararon los dos grupos de imagenes con la
Para tener una huella de mayor calidad y conseguir mejores
herramienta NFI PRNU Compare.
resultados en la falsificacion se recomienda que el numero
En la Tabla I se muestran los resultados de comparar cada
N de imagenes sea superior a 50, y que las imagenes se
patron del ruido del sensor de cada una de las camaras con
hayan adquirido de superficies planas sin textura iluminadas
las imagenes sin ruido generadas por las dos herramientas y
uniformemente. Como superficies planas se pueden considerar
contra la fotografa original.
fotografas del cielo despejado o de un papel blanco.
Tabla I
C OMPARATIVA ENTRE PATRONES E IM AGENES

SIN RUIDO
Patron
Foto
Rojo
Verde
Azul
Suma
LG E510f
Original
Sin ruido - Propuesta
Sin ruido - Decompare
-0,014645672
-0,015506644
-0,018929206
-0,0017777978
-0,003044259
-0,0023383496
-0,007864626
-0,008411303
-0,012027217
-0,024288096
-0,026962206
-0,033294775
Samsung GTI8160P

Original
0,0051651257
0,004623602
-0,0012833464
0,005551344
0,0050348267
-0,001952231
0,0042196396
0,0030041975
-0,0026684676
0,01493611
0,012662627
-0,005904045
LG E400
Original
0,011481647
0,010315191
0,010638827
0,010190065
0,008225861
0,009045472
0,01825918
0,017940063
0,016430777
0,039930895
0,036481116
0,036115076
180
La herramienta NFI PRNU Compare nos permite hacer

comparaciones midiendo que tanto se parece un patron a otro:
las filas que estan mas cerca del patron con el que se compara
son las que mas se le asemejan.
En las 3 pruebas las imagenes sin ruidos generadas con
PRNU Decompare resultaron ser las menos parecidas al
patron. Esto era de esperar ya que consideran mayor numero
de informacion para eliminar la huella. De manera sorprendente para la camara Samsung-GTI8160P la fotografa sin
ruido generada por la propuesta de este trabajo resulto ser
mas parecida al patron que la misma fotografa original.
Posiblemente en el caso de esta fotografa el contenido de
la fotografa tenga alguna influencia.
En el caso de la camara LG-400, los resultados de las
comparaciones de las imagenes sin ruido tuvieron resultados
muy similares, lo que indica que en este caso el algoritmo
propuesto obtuvo buenos resultados acercandose al resultado
del programa PRNU Decompare pero sin la necesidad de
usar la fotografa del marco oscuro, ni las 50 imagenes planas.
B. Falsificacion de la Identidad de una Imagen
Para este experimento se utilizaron el mismo conjunto de
fotografas que en el experimento de la eliminacion del ruido
de la seccion VI-A. De forma similar al experimento anterior,
se extrajo la huella de una de las camaras y se inyecto a las
otras dos haciendo uso del algoritmo propuesto y PRNU
Decompare; despues se compararon los resultados con la
herramienta NFI PRNU Compare. Los roles que jugaron
cada una de las camaras se muestran en la Tabla II.
Tabla II
DE LA IDENTIDAD
D ISPOSITIVOS USADOS PARA LA FALSIFICACI ON
Camara Suplantadora
Vctima 1
Vctima 2
LG E510f
LG-400
Samsung GT-I8160P
Para realizar la falsificacion del patron del ruido del sensor

con el algoritmo propuesto en este trabajo u nicamente se
requirieron las 50 imagenes planas uniformemente iluminadas
pertenecientes a la camara suplantadora. En el caso de la
herramienta PRNU Decompare, para realizar la falsificacion
el programa requiere como entrada las 50 fotografas planas y
la fotografa totalmente oscura tanto de la camara suplantadora
como de la camara vctima.
Despues de realizar la falsificacion en las dos camaras
vctimas se compararon los resultados que estan resumidos en
la Tabla III. En el caso de la vctima 1 se puede observar que

las dos suplantaciones resultaron tener mayor similitud con el
patron de la camara suplantadora y el resultado de PRNU
Decompare se acerca mas, aunque la diferencia no es muy
significativa considerando que ellos utilizan un numero mucho
mayor de imagenes como fuente de informacion.
En el caso de la vctima 2 el resultado del algoritmo
propuesto fue el que menos similitud tuvo con el patron
de la camara suplantadora. Los resultados obtenidos hasta el
momento eran esperados, debido a que el algoritmo propuesto
en este trabajo no asume que se tiene acceso a la camara fuente
y en el trabajo de PRNU De compare s. Es importante notar
que en escenarios reales normalmente no se tiene acceso a la
camara vctima.
VII. C ONCLUSIONES
Se han presentado dos algoritmos, uno que permite destruir
la identidad de una imagen y otro que posibilita falsificar la
misma en una imagen dada. Los dos algoritmos tienen como
base la utilizacion del ruido del sensor y la transformada
wavelet.
Asimismo, ambos algoritmos tienen como gran ventaja con
respecto a otros con los mismos fines que necesitan una menor
variedad de datos de entrada ajustandose en mayor medida
a escenarios reales. Concretamente, para el algoritmo de
eliminacion de la huella de una imagen se necesita u nicamente
la propia imagen y no un conjunto de imagenes planas y una
imagen del marco oscuro de la propia camara como ocurre en
el caso de PRNU Decompare.
La aplicacion a la realidad del algoritmo que utiliza PRNU
Decompare no tiene gran facilidad de encaje, ya que se
necesitan numerosas fotos con caractersticas concretas para
su ejecucion. Para el caso del algoritmo de falsificacion de la
identidad de una imagen propuesto no se necesita tener acceso
a la camara vctima.
Ambos algoritmos pueden verse desde otras perspectivas
distintas a la del estudio para el futuro fortalecimiento de
tecnicas forenses de deteccion de manipulaciones intencionadas. Precisamente el primer algoritmo que permite destruir
la identidad de una imagen puede ser de gran utilidad en
aplicaciones web que presentan imagenes en Internet (redes
sociales, directorios de imagenes, ...), ya que permiten que
la imagen subida sea anonima desde el punto de vista de la
identificacion de la fuente de adquisicion.
Tabla III
C OMPARATIVA ENTRE PATRONES , IM AGENES

ORIGINALES Y VI CTIMAS
Foto
Rojo
Verde
Azul
LG E510f
Suma
3
Vctima 1
Falsificada -Decompare
Falsificada -Propuesta
Original
0,009219962
0,007900867
0,0073570074
0,0054620425
0,0046529872
0,004183661
0,009098741
0,0083521
0,0075896666
0,023780745
0,020905953
0,019130334
Vctima 2
Falsificada -Decompare
Original
Falsificada -Propuesta
0,01418404
0,011300047
0,008964902
0,013986045
0,013949845
0,0066337977
0,013574668
0,0125216115
0,004440412
0,041744754
0,0377715
0,020039111
181

7
La eficacia de estos algoritmos estan dentro de las expectativas esperadas, ya que aunque en algunos casos no obtienen
resultados tan buenos como otras herramientas o algoritmos,
si logran resultados cercanos y aceptables reduciendo drasticamente la diversidad y numeros de datos de entrada.
Estos algoritmos pueden ser de utilidad como punto de
partida para futuras mejoras que permitan obtener resultados
similares a los de otros algoritmos o herramientas, teniendo
en cuenta como base inamovible la escasa variedad de datos
de entrada necesarios y el no tener acceso a la camara vctima
en el caso de la falsificacion de identidad de una imagen.
AGRADECIMIENTOS
Los autores agradecen el apoyo brindado por el Programa
de Financiacion de Grupos de Investigacion UCM validados
de la Universidad Complutense de Madrid - Banco Santander.
R EFERENCIAS
[1] M. Al-Zarouni, Mobile Handset Forensic Evidence: a Challenge for
Law Enforcement, in Proceedings of the 4th Australian Digital Forensics Conference, Perth Western, Australia, December 2006, pp. 110.
[2] M. Chen, J. Fridrich, M. Goljan, and J. Lukas, Determining Image
Origin and Integrity Using Sensor Noise, IEEE Transactions on Information Forensics and Security, vol. 3, no. 1, pp. 7490, March 2008.
[3] L. J. Garca Villalba, A. L. Sandoval Orozco, and J. Rosales Corripio,
Smartphone Image Clustering, Expert Systems with Applications,
vol. 42, no. 4, pp. 19271940, 2015.
[4] T. Van Lanh, K. S. Chong, S. Emmanuel, and M. S. Kankanhalli, A
Survey on Digital Camera Image Forensic Methods, in Proceedings of
the IEEE International Conference on Multimedia and Expo, Beijing,
China, July 2007, pp. 1619.
[5] V. L. L. Thing, K. Y. Ng, and E. C. Chang, Live Memory Forensics of
Mobile Phones, Digital Investigation, vol. 7, pp. 7482, August 2010.
[6] S. Bayram, H. T. Sencar, and N. Memon, Classification of Digital
Camera-Models Based on Demosaicing Artifacts, Digital Investigation,
vol. 5, no. 1-2, pp. 4959, September 2008.
[7] B. Wang, Y. Guo, X. Kong, and F. Meng, Source Camera Identification
Forensics Based on Wavelet Features, in Proceedings of the International Conference on Intelligent Information Hiding and Multimedia Signal
Processing, Kyoto, Japan, September 2009, pp. 702705.
[8] A. L. Sandoval Orozco, J. Rosales Corripio, L. J. Garca Villalba, and
J. C. Hernandez Castro, Image Source Acquisition Identification of
Mobile Devices based on the Use of Features, Multimedia Tools and
Applications, pp. 125, 2015.
[9] A. L. Sandoval Orozco, D. M. Arenas Gonzalez, J. Rosales Corripio,
L. J. Garca Villalba, and J. C. Hernandez Castro, Source Identification
for Mobile Devices, Based on Wavelet Transforms Combined with Sensor Imperfections, Computing, vol. 96, no. 9, pp. 829841, September
2014.
[10] A. L. Sandoval Orozco, L. J. Garca Villalba, D. M. Arenas Gonzalez,
J. Rosales Corripio, J. C. Hernandez-Castro, and S. J. Gibson, Smartphone Image Acquisition Forensics using Sensor Fingerprint, IET Computer Vision, June 2015.
[11] Z. J. Geradts, J. Bijhold, M. Kieft, K. Kurosawa, K. Kuroki, and
N. Saitoh, Methods for Identification of Images Acquired with Digital
Cameras, in Proceedings of the Enabling Technologies for Law Enforcement and Security, vol. 4232, Boston, Massachusetts, USA, February
2001, pp. 505512.
[12] J. Lukas, J. Fridrich, and M. Goljan, Digital Camera Identification from
Sensor Pattern Noise, IEEE Transactions on Information Forensics and
Security, vol. 1, no. 2, pp. 205214, June 2006.
[13] F. D. O. Costa, M. Eckmann, W. J. Scheirer, and A. Rocha, Open Set
Source Camera Attribution, in Proceedings of the 25th Conference on
Graphics, Patterns and Images, Ouro Preto, Brazil, August 2012, pp.
7178.
[14] T. Gloe, M. Kirchner, A. Winkler, and R. Bohme, Can We Trust Digital
Image Forensics? in Proceedings of the 15th International Conference
on Multimedia, Augsburg, Germany, September 2007, pp. 7886.
[15] A. C. Popescu and H. Farid, Exposing Digital Forgeries by Detecting Traces of Resampling, IEEE Transactions on Signal Processing,
vol. 53, no. 2, pp. 758767, February 2005.
[16] J. Lukas and J. Fridrich, Estimation of Primary Quantization Matrix
in Double Compressed JPEG Images, in Proceedings of the Digital
Forensic Research Workshop, Cleveland, Ohio, August 2003, pp. 58.
[17] W. Chen, Y. Q. Shi, and W. Su, Image Splicing Detection Using 2-D
Phase Congruency and Statistical Moments of Characteristic Function,
in Proceedings of the Security, Steganography, and Watermarking of
Multimedia Contents IX, vol. 6505, San Jose, CA, January 2007, p. 26.
[18] M. Steinebach, H. Liu, P. Fan, and S. Katzenbeisser, Cell Phone
Camera Ballistics: Attacks and Countermeasures, in Proceedings of the
Multimedia on Mobile Devices, San Jose, California, January 2010, pp.
75 420B75 420B.
[19] PRNU Decompare, http://sourceforge.net/projects/prnudecompare/.
[20] NFI PRNU Compare, ftp://ftp.mirrorservice.org/sites/downloads.
sourceforge.net/p/pr/prnucompare/PRNUCompare bin 075.rar.
Jocelin Rosales Corripio received a Computer

Science Engineering degree from the Benemerita
Universidad Autonoma de Puebla (Mexico) in 2008.
She holds a M.Sc. in Research in Computer Science from the Universidad Complutense de Madrid
(Spain) in 2013. She is currently a Ph.D. student
at the Universidad Complutense de Madrid (Spain)
and a Research Assistant at Complutense Research
Group GASS. Her main research interests are image
processing and multimedia forensics.
Anissa El-Khattabi received a Computer Science

Engineering degree from the Universidad de Granada (Spain) in 2009. She has worked as R&D
Engineer in different companies. She is currently
a Ph.D. student at the Universidad Complutense de
Madrid (Spain) and a Research Assistant at Complutense Research Group GASS, which is located in
the Faculty of Computer Science and Engineering at
the UCM Campus. Her main research interests are
image processing and multimedia forensics.
Ana Lucila Sandoval Orozco received a Computer

Science Engineering degree from the Universidad
Autonoma del Caribe (Colombia) in 2001. She
holds a Specialization Course in Computer Networks
(2006) from the Universidad del Norte (Colombia)
and holds a M. S. in Research in Computer Science
(2009) and a Ph.D. in Computer Science (2014),
(Spain). She is currently a post-doc at Complutense
Research Group GASS. Her main research interests
are information security and its applications.
182
Ocultacin de cdigo malicioso en Google Play.

Monitorizacin y deteccin temprana
Alfonso Muoz, Antonio Guzmn
ElevenPaths, Telefnica Digital. Identity & Privacy, Madrid. Spain
Email:{ alfonso.munoz, antonio.guzman}@11paths.com
Abstract Las estrategias actuales para la distribucin de
malware o adware agresivo para mviles parecen propias de una
factora de software. Esta maquinaria est perfectamente engrasada y
se aprovecha de las laxas medidas de seguridad que se aplican en la
mayora de los markets de aplicaciones mviles. Esta investigacin
pone el foco en la forma y modo que tiene un desarrollador para crear
y distribuir cdigo malicioso en Google Play dificultando la
deteccin de malware si se utiliza esteganografa para ocultar el
cdigo malicioso. El trabajo destaca la dificultad de la tecnologa
actual para detectar estegomalware en Google Play. Las conclusiones
de esta investigacin toman como referencia ms de 2 millones de
aplicaciones mviles de Google Play.
Keywords Estegomalware, Google Play, market mvil,
malware.
I. ESTRUCTURA DEL ARTCULO

Este artculo se estructura en diferentes apartados para facilitar
la comprensin de los datos expuestos. El apartado II
introduce la problemtica de la presencia de malware en el
sistema operativo mvil Android. El apartado III resume los
esfuerzos y las tecnologas empleadas hasta la fecha para
detectar y anular cdigo malicioso en este sistema operativo.
El apartado IV profundiza en la sofisticacin del malware
actual, centrando el inters en el estegomalware, detallando las
limitaciones actuales existentes en Google Play en la
deteccin de malware. En el apartado V se detalla la
plataforma de recopilacin de muestras implementada para la
realizacin de diversos anlisis sobre aplicaciones reales del
market de Google Play. El apartado VI destaca los diferentes
resultados en la deteccin de cdigo malicioso sin ejecutar las
aplicaciones y en la medida de lo posible sin realizar una
revisin manual. Finalmente, el apartado VII concluye con los
resultados ms significativos extrados de la presente
investigacin.
II. MALWARE EN ANDROID. INTRODUCCION
La madurez tecnolgica de una sociedad se puede cuantificar
a partir de la conectividad de los ciudadanos a Internet y de la
forma que estos interactan con los otros ciudadanos y
servicios digitales en su da a da. En esta creciente tendencia,
el uso de telfonos mviles inteligentes aparece como un
acelerante enriquecido no solo por el hecho de que cada vez
ms personas extienden su identidad real hacia una versin
digital, sino, adems, por la forma que estas consumen
servicios digitales. De forma mayoritaria estos consumos se
realizan en base al uso de aplicaciones instaladas en estos
telfonos en lugar de usar un navegador. Esta tremenda
expansin en el uso de aplicaciones mviles tiene adems un
efecto viral en la sociedad, convirtindose a su vez en un
factor crtico en el proceso que lleva a que cada vez haya ms

smartphones en uso. Por desgracia, este rpido crecimiento ha
impulsado tambin el aumento del riesgo de que los usuarios
sean infectados con cdigo malicioso (malware o adware
agresivo).
Estas amenazas relacionadas con el mundo de los mviles
estn continuamente evolucionando y su difusin se ve
favorecida porque un gran nmero de markets de apps
mantienen unas polticas muy relajadas en los controles que
deberan impedir que aplicaciones maliciosas lleguen a los
usuarios. La consecuencia de esto es que aplicaciones, que
nunca deberan haber llegado a los usuarios, se mantienen
vivas el tiempo suficiente para que miles de usuarios se vean
afectados y los desarrolladores de este malware (o adware) se
lucren con ello. Lamentablemente, el dinamismo de las tiendas
online de aplicaciones (stores), en los cuales se publica
grandes cantidades de aplicaciones, complica la tarea de los
analistas de seguridad cuando, tras un incidente, se necesita
determinar si hay ms aplicaciones similares a la que ha
provocado el incidente o si se precisa realizar la atribucin y
localizar al desarrollador.
En este entorno, un caso significativo es Android. Este es el
sistema operativo mvil donde ha crecido ms
sustancialmente la presencia de cdigo malicioso. Existen
muchos motivos que lo justifican: es el sistema operativo ms
utilizado en el mundo mvil a nivel mundial, su arquitectura
es abierta o el gran grado dispersin entre versiones,
fabricantes y markets que utilizan aplicaciones Android. Esta
variabilidad introduce problemas de seguridad simplemente
porque no existen polticas comunes de actualizacin de fallos
de seguridad o versin de los dispositivos. Por ejemplo, en
Julio de 2013 el FBI public un informe [1] en el que
destacaba cmo el 44% de los terminales Android estaban
ejecutando versiones antiguas del sistema operativo,
vulnerables a mltiples fallos conocidos y parcheados en las
ltimas versiones del mismo. Independientemente de estos
hechos, diferentes estudios han querido destacar la
problemtica del malware en el mundo Android. Por ejemplo,
la compaa F-Secure public en 2013 un estudio [2] donde
afirmaban que si bien Android acumula el 97% del malware
del mundo mvil, solo el 0,1% de este est presente en Google
Play. Aunque estas cifras pueden ser cuestionables, esto
permite concluir que Google Play es uno de los markets
Android que dificulta en mayor grado la difusin de cdigo
malicioso.
Otro estudio interesante lo realiz la compaa RiskIQ que
public, en febrero de 2014 [3], la tendencia de malware en
Google Play. Mientras que en 2011 solo haba 11.000 apps
maliciosas, este nmero se increment en un 388% hasta
183
MUOZ et al.: Ocultacin de cdigo malicioso
42.000 apps en 2013. Google retir el 23% en 2013 frente al

60% en 2011. Estos resultados son interesantes aunque deben
ser matizados con una serie de consideraciones, ya que
pudiera dar la sensacin que en Google Play los controles de
seguridad se estn relajando. Debe considerarse el aumento
significativo de aplicaciones mviles publicadas en este
market, el incremento en la complejidad del malware y en
ocasiones la estacionalidad de las campaas de malware
especficas. Si se consideran todos estos criterios se puede
inferir que Google Play est haciendo esfuerzos importantes
en luchar contra esta problemtica, incluso a nivel de terminal
definiendo toda una arquitectura de capas de seguridad para
frenar la ejecucin de aplicaciones maliciosas, vase Figura 1.
Por desgracia, estos mecanismos no son suficientes. Por
ejemplo, son famosos los estudios para evadir herramientas y
algoritmos de deteccin de Google, incluidos en la solucin de
Google Bouncer [4]. Es necesario avanzar en nuevas
soluciones que complementen a los esfuerzos actuales de
deteccin.
precisas de deteccin que pueden distribuirse al software

antivirus. Para ello se utilizan diferentes tcnicas de anlisis:
de cadenas, de patrones N-GRAM, deteccin basadas en
firmas de hash criptogrfico, detecciones basadas en tcnicas
de fuzzing hashing o un anlisis del flujo del cdigo y la
llamada a funciones (Control Flow Graphs, Call Graph, API
Calls y Data Flow) [8].
Figura 2. Estructura tpica de una aplicacin Android
Figura 1. Niveles de seguridad en la ejecucin de una aplicacin Android

descargada de Google Play.
III. DETECCION DE MALWARE EN ANDROID. ESTADO

DEL ARTE
Rafael Fedler et al. destacaron en 2013 en su investigacin On
the Effectiveness of Malware Protection on Android - An
evaluation of Android antivirus apps 2013 [5] cmo la
mayora de antivirus en plataformas Android tienen altos
grados de precisin en la deteccin de cdigo malicioso
utilizando diversas tecnologas. Ejemplos de estas tecnologas
son el anlisis esttico y el anlisis dinmico de cdigo. La
gran mayora de tecnologas de deteccin estn basadas en el
anlisis del cdigo de la aplicacin sospechosa intentando
detectar comportamientos anmalos caractersticos de cdigo
malicioso [6][7]. Los esfuerzos se centran en el anlisis del
cdigo ejecutable contenido en los ficheros con extensin
.dex (dalvik bytecode). Debe recordarse que una aplicacin
Android en realidad es un conjunto de ficheros que se
empaquetan en un nico fichero con extensin apk
(Application Package File) y al que se le suele denominar
directamente app o aplicacin, vase Figura 2. Entre sus
ficheros se encuentra informacin caracterstica como datos de
configuracin, permisos de acceso de la aplicacin o el cdigo
ejecutable real que se ejecutar en un terminal.
Aunque las tecnologas de deteccin basadas en anlisis
esttico y dinmico tienen sus limitaciones, son
imprescindibles hoy da. La ventaja principal del anlisis
esttico reside en la posibilidad, con tiempo y dedicacin (este
puede ser manual o automatizarse), de perfilar el
funcionamiento completo de una app y poder generar firmas
En ocasiones, la complejidad del cdigo a analizar o el uso de

tcnicas de ocultacin u ofuscacin hacen necesarios la
ejecucin del cdigo en un entorno controlado (anlisis
dinmico) para observar el comportamiento de la aplicacin.
Esta aproximacin es costosa en tiempo y recursos y no cubre
todas las casusticas que podran llevar a una aplicacin a
ejecutar un cdigo determinado. No obstante, es una de las
mejores alternativas cuando no es posible analizar
estticamente una aplicacin.
En la prctica, estos anlisis dinmicos avanzados se realizan,
por coste, en los laboratorios de los fabricantes de antivirus
(sandboxing, memory virtualization, network virtualizaton,
etc.) con la intencin de poder generar firmas de deteccin.
Algunos frameworks famosos para el anlisis dinmico de
aplicaciones Android son: Anubis, droidbox, Mobile-Sandbox,
etc. Utilizando estos frameworks y diferentes tcnicas de
deteccin (function call monitoring, function parameter y
information flow tracking [9]) se intenta perfilar el
comportamiento en tiempo real de una aplicacin sospechosa.
Por desgracia, este tipo de anlisis, por las limitaciones
temporales-econmicas, no son adecuados para soluciones de
proteccin del lado del cliente, aunque determinado software
en el lado del usuario puede implementar ciertas opciones
limitadas de sandboxing (ejecucin de la aplicacin en un
entorno aparentemente controlado). Esto es ms o menos
comn en antivirus de escritorio o cortafuegos de
aplicacin.
Todas estas tecnologas son necesarias pero no son suficientes
para combatir el alto dinamismo con el que se modifican las
aplicaciones en el mundo mvil, la necesidad de completar la
instalacin de las aplicaciones para poder completar el
anlisis, as como el coste en recursos y tiempo necesarios
para analizar las muestras, lo que hace que, en la prctica, la
eficiencia de las soluciones antivirus (anti-malware) para
contener el avance del cdigo malicioso no sea suficiente a da
de hoy [10]. Por este motivo, y con el objetivo de
complementar estas tcnicas tradicionales, mltiples
investigaciones intentan definir nuevos mecanismos de
deteccin basados en perfilar comportamientos benignos e
184
intentar clasificar como comportamiento anmalo (alguno de

ellos ser malicioso) el resto de aplicaciones que no se
comporten respecto a lo estipulado.
Esta tendencia, ms antigua y utilizada en sistemas operativos
de escritorio, se est traduciendo en el uso de tecnologas de
aprendizaje automtico (machine learning) a las tecnologas y
sistemas operativos mviles. En el caso particular de Android,
es notoria la publicacin de investigaciones centradas en el
perfilado de aplicaciones sospechosas [11][12][13],
tpicamente por el nmero de permisos que estas definen, por
la informacin definida en los ficheros manifest.xml o por
diversos metadatos, o intentando obtener ms informacin del
comportamiento de una aplicacin sin necesidad de analizarla
o ejecutarla (aunque en algunos casos se complementa con
anlisis estticos automticos). Un ejemplo significativo de
esta tendencia de investigacin es DREBIN de Daniel Arp et
al. [14]. En este artculo se afirma haber evaluado 124.453
aplicaciones y 5,560 muestras de malware y ser capaces,
utilizando tcnicas clsicas y parmetros adicionales como
pudieran ser el estudio de permisos, de alcanzar ratios de
deteccin del 94% del malware.
Todos los esfuerzos documentados destinados a la deteccin
de malware son imprescindibles, especialmente cuando,
adicionalmente a todo lo justificado, se centran los esfuerzos
en la deteccin de malware sofisticado. Este es un tema de
gran actualidad, en los siguientes apartados se justificar y
detallar la investigacin realizada para evaluar la posibilidad
de detectar un tipo de malware sofisticado concreto y las
limitaciones actuales que los investigadores necesitaremos
solventar en un futuro prximo.
malware en Google Play, as como si es factible detectar este

tipo de ocultaciones en este market de forma automatizada. No
es un tema sencillo. De hecho, la deteccin podra complicarse
en gran medida. Por ejemplo, Axelle Apvrille et al. publicaron
en la BlackHat Europe 2014 (Septiembre 2014), en su
investigacin Hide Android Applications in Images [15], la
herramienta en Python AngeCryption demostrando que es
posible camuflar un contenido dado en una imagen digital y
luego recuperar est aplicando un proceso de cifrado a la
imagen, vase Figura 3. Es decir, se puede, por ejemplo,
camuflar un apk malicioso en un recurso de otro apk o
diferentes combinaciones que permitiran ocultar cdigo
malicioso y su posterior ejecucin.
Google Play no detecta esta informacin oculta. En realidad,
bajo determinadas circunstancias no solo no detecta que hay
informacin oculta si no que, adems, no impide que las
imgenes usadas como estegomedios, aparezcan inalteradas
desde que las genera el desarrollador. En esta situacin, sera
interesante verificar que recursos permiten crear
estegomalware, malware oculto en recursos, en aplicaciones
Android y en Google Play como canal de distribucin. Por
tanto, antes de ese anlisis, es necesario hacer una revisin
breve a la ciencia de la esteganografa para ver en que
recursos podra utilizarse y con qu limitaciones.
IV. SOFISTICACIN EN EL CDIGO MALICIOSO:

ESTEGANOGRAFA Y ESTEGOMALWARE
Figura 3. AngeCryption ocultando un APK en un PNG
Un problema importante al que se enfrentan las tecnologas de

deteccin es el incremento de la sofisticacin en el desarrollo
de las aplicaciones mviles que contienen malware. Un caso
destacable, es la utilizacin de tcnicas esteganogrficas para
la ocultacin del cdigo malicioso. La utilizacin de
esteganografa con la intencin de evadir medidas de
proteccin no es nueva, aunque es una tendencia que est
cobrando mayor importancia en el mundo mvil. Algn
ejemplo
real
es,
por
ejemplo,
el
malware
Android/Gamex.A!tr, publicado en 2013, que en la carpeta
de assets del apk contena un fichero con nombre logos.png
que en realidad era un fichero zip. Este fichero zip se
converta en diferentes salidas en funcin de si se aplicaba una
operacin or-exclusiva con la clave 18 o no. Este ejemplo de
ocultacin de malware, aunque es sencillo, es de gran inters.
Si el cdigo malicioso no est en la aplicacin mvil (cdigo
ejecutable) si no en uno de los recursos de la misma (por
ejemplo, en una imagen) se dificulta enormemente su
deteccin ya que o se recurre a procesos estticos manuales
(lento e inviable en entornos reales donde se publican miles de
aplicaciones al da) o el anlisis dinmico necesitara que se
dieran las circunstancias, en el tiempo de anlisis, para que el
cdigo malicioso fuera recuperado del recurso donde estuviera
escondido y ejecutado de algn modo. Hasta el momento, no
se conoce ninguna investigacin que haya analizado qu tipos
de tcnicas esteganogrficas podran utilizarse para ocultar
A grandes rasgos, la ciencia de la esteganografa puede

resumirse como aquella ciencia que habilita procedimientos
para ocultar informacin de miradas indiscretas [16][17]. A lo
largo de los siglos su utilidad principal se ha destinado a la
proteccin de la privacidad de las comunicaciones, aunque en
los ltimos aos se observan variantes en su aplicacin a la
vulneracin de medidas de seguridad perimetral (evasin y
fuga de informacin mediante canales encubiertos) o la
ocultacin de malware para ponrselo ms difcil a las
soluciones antivirus [17][18]. A da de hoy, existen multitud
de tcnicas de ocultacin aprovechando casi cualquier formato
de fichero y su estructura (es posible ocultar informacin al
final de un fichero dado, tcnica End Of File, ya que un lector
estndar no leer informacin ms all de la marca de fin
establecida en un formato de fichero concreto), es posible
ocultar en una gran variedad de protocolos de comunicacin,
en textos en lenguaje natural (esteganografa lingstica),
sistemas de ficheros o lenguajes de programacin etiquetado
(HTML, XML, etc.) [16][17][18]. Entre las tcnicas ms
famosas en los estegomedios ms utilizados, entendiendo por
estegomedio aquel portador de informacin oculta, se
encuentran las tcnicas que insertan informacin a camuflar en
ficheros multimedia (imagen, audio y video) sin realizar
perturbaciones que pudieran ser fcilmente detectadas. En
Internet puede encontrarse una gran lista de herramientas de
185
esteganografa con este propsito [19], centradas la gran

mayora de ellas en imgenes digitales, por ejemplo, Jsteg,
JPHIDE, F5, OpenStego, etc. Estas herramientas pueden
utilizarse, tambin, en Android y en el mismo Google Play ya
que se utilizan ficheros clsicos (imgenes digitales, ficheros
xml, etc.) que pueden ser utilizados para ocultar informacin.
Si se oculta malware o no depender de la intencin final del
creador de ese contenido oculto. En este punto, es necesario
resaltar que al igual que se ha avanzado en mltiples
direcciones en la ocultacin de comunicaciones, tambin se ha
profundizado en la deteccin de las mismas. La ciencia que
permite detectar informacin camuflada se conoce como
estegoanlisis. Desde hace ms de 15 aos mltiples
investigadores han propuesto tcnicas de lo ms variadas, la
gran mayora de ellas centradas en imgenes digitales [20],
desde especficas para detectar la utilizacin de herramientas
de ocultacin concretas, a genricas para detectar variantes de
tcnicas de ocultacin (blind steganalysis) basadas en
procedimientos de machine learning [20]. Por desgracia, el
estegoanlisis tiene una gran complejidad en la prctica y
presenta diversas limitaciones que un atacante (persona que
desea ocultar informacin) podra utilizar para no ser
detectado. Si se consulta la bibliografa publicada a este
respecto [18], existen umbrales de ocultacin en los cuales, en
funcin de la cantidad de informacin a ocultar y el
estegomedio elegido, si se oculta menos informacin que lo
que indican esos umbrales no sera posible para los algoritmos
actuales detectar si un potencial estegomedio, por ejemplo una
imagen digital que parece que tenga informacin oculta, tiene
en realidad informacin oculta o es un falso positivo. Por
ejemplo, algoritmos sofisticados de deteccin pueden
establecer este umbral en torno al 3% de la capacidad total que
presenta el estegomedio seleccionado [18]. Esto podra ser un
problema si se intenta analizar un gran volumen de
estegomedios, por ejemplo un gran volumen de imgenes
digitales, y se producen un gran nmero de detecciones que
podran ser falsos positivos.
El nico estudio conocido que se acerc a una problemtica
parecida a la descrita fue publicada por el investigador Niels
Provos en 2001, actual investigador en Google. Su trabajo se
centr en el estegoanlisis masivo en USENET de imgenes
digitales, analizando ms de un milln en busca de mensajes
ocultos. Los resultados de su investigacin se ilustran en la
Figura 4. Esta investigacin dio lugar a 20.000 imgenes
sospechosas que podran haber utilizado las herramientas de
ocultacin JSteg y JPHide. Ante este escenario la nica opcin
viable real para verificar si se trataba de imgenes con
informacin oculta fue intentar predecir la clave utilizada en el
proceso de ocultacin. Despus de implementar un ataque de
diccionario distribuido, con ms 1,8 millones de palabras y
picos de rendimiento de 87 GFLOPS, el resultado fue
negativo. No se encontr ningn mensaje oculto. Quiere
decir esto que no exista informacin oculta? La verdad es que
los resultados no arrojan demasiada informacin til. Parece
que las herramientas de ocultacin que se buscaban no son
usadas de forma tan comn a como se esperaba y si son
utilizadas (20.000 imgenes eran potenciales) no es posible
diferenciar falsos positivos de imgenes que realmente tengan
algo enmascarado [21][22]. El trabajo de Niels presenta una
serie de conclusiones, a modo de limitaciones de los
algoritmos estegoanalticos de la poca, que deben tenerse en

cuenta a la hora de plantearse un anlisis masivo de
informacin oculta, tambin, en Google Play.
Figura 4. Deteccin de mensajes ocultos en USENET - 2001
En este punto, introducida toda la problemtica, limitaciones y

consideraciones sobre la posibilidad de utilizar esteganografa
en aplicaciones Android y en el market de Google Play, con
utilidad en estegomalware, es importante, y es el objetivo
principal de esta investigacin, responder a una serie de
preguntas: Cmo de fcil es enmascarar cdigo malicioso en
Google Play? Cmo de sencillo es esquivar todas las tcnicas
de deteccin conocidas? Existe estegomalware en Google
Play? Existen limitaciones algortmicas para detectar
estegomalware en Google Play?
V. PLATAFORMA DE ADQUISICION Y ANLISIS DE
CDIGO OCULTO EN APLICACIONES MOVILES EN
GOOGLE PLAY
Para analizar la presencia y limitaciones en la deteccin de
cdigo oculto en aplicaciones mviles en Google Play es
necesario el desarrollo de nuevas herramientas de adquisicin
(crawling) y almacenamiento para poder crear datasets
valiosos de aplicaciones. Para nuestra investigacin, se utiliz
la plataforma Tacyt [23] que permite monitorizar de forma
continuada el market de Google Play. Gracias a esta
herramienta se recopil un dataset de ms de 2 millones de
apps del market de Google Play con un tamao total de
almacenamiento de 11 Terabytes, as como informacin de
metadatos asociadas a las mismas. Por ejemplo, las imgenes
digitales publicadas por cada aplicacin en la pgina web del
Marketplace de Google Play, imgenes incluidas en el APK de
la aplicacin o URLs de imgenes que se invocan desde el
cdigo. Con toda esta informacin, y antes de iniciar nuestros
anlisis estegoanalticos, es importante profundizar el
potencial real de Google Play como canal esteganogrfico, as
como en la ocultacin real de informacin en aplicaciones
Android.
Hasta nuestro conocimiento no existe ninguna investigacin
pblica que haya analizado el potencial de utilizar
esteganografa para enmascarar cdigo malicioso en el market
de Google Play. Con este objetivo y por las pruebas
realizadas, es posible demostrar que en Google Play, tanto la
informacin visible desde la web del Google Play
Marketplace, como en las aplicaciones (y sus recursos) que
alojan, se permite enmascarar informacin mediante el uso de
tcnicas esteganogrficas. A continuacin, se justifica esta
afirmacin con pruebas especficas.
186
Google Play es un canal esteganogrfico?

Cuando se publica una aplicacin en Google Play se puede
ocultar informacin tanto en el texto presente, por ejemplo, en
la descripcin de la aplicacin (usando esteganografa
lingstica) o ms interesante en las imgenes que caracterizan
la aplicacin. Google Play permite publicar imgenes JPEG o
PNG con las siguientes caractersticas: imgenes de 24 bits
(no alfa), longitud mnima para los laterales de 320 pxeles y
longitud mxima para los laterales de 3840 pxeles. Se
necesitan al menos 2 capturas de pantalla (8 capturas de
pantalla como mximo por tipo). Si se analiza cmo se opera
con las imgenes JPEG que se publican en el Market Place y
se intenta aadir informacin oculta, por ejemplo, con tcnicas
esteganogrficas tradicionales como EOF (End Of File) o LSB
(Least Significant Bit) se puede observar cmo Google Play
elimina esta informacin. Este resultado es debido a que
Google Play reescala las imgenes JPEG a publicar con lo
cual la informacin ocultada, por ejemplo, con herramientas
de
ocultacin
como
F5
(disponible
en
https://code.google.com/p/f5-steganography/) o JPHIDE
(disponible en http://linux01.gwdg.de/~alatham/stego.html) es
eliminada (actualmente se estn analizando algoritmos de
watermarking para ver como de resistente sera la ocultacin).
Sin embargo, si se analiza la ocultacin de informacin en
imgenes PNG se observa claramente que se puede ocultar
informacin de diversas maneras y Google Play no habilita
procedimientos para impedirlo. Por ejemplo, en la siguiente
aplicacin de muestra se han ocultado en las imgenes que se
pueden ver desde la web un mensaje utilizando OpenStego
(ocultacin LSB en PNG) y aadiendo informacin al final de
fichero. Si se desea recuperar la informacin oculta
simplemente es necesario quitar a la url una serie de
parmetros. Una vez se tiene acceso se puede comprobar que
existe informacin oculta. A modo de ejemplo, en la Figura 5
se muestra una app que hemos publicado en el market de
Google Play, es posible demostrar cmo recuperar un mensaje
oculto:
Mensaje oculto = stegomalware
PNG con EOF (Foto: 1.png)
Editar hexadecimalmente la imagen y ver el mensaje al final
https://lh3.googleusercontent.com/txwrj28RAN0j9V_iRcT5yy
d1yOClKbJm9oy_wW3pn0L2EWfZrWga7Qo1y_ku0979KQ
0l=h310
PNG con OpenStego - LSB (Foto: 2s.png) (key=root)
https://lh3.googleusercontent.com/a3EfbJTSYE_oULyRmNX
WT6gxso92JWIOWoyxmAA-Gfikv9mhbwlzz5CTYpUqN3O
Ga4M=h310
Figura 5. Aplicacin mvil publicada en Google Play que contiene

informacin oculta en las imgenes que la describen.
Por tanto, se demuestra que Google Play puede ser utilizado

como canal esteganogrfico. Ocultando malware o
simplemente informacin con otro fin.
Es posible ocultar informacin en aplicaciones Android?
En cuanto a las aplicaciones mviles publicadas en Google
Play es posible, al menos, ocultar informacin en los ficheros
de recursos presentes en ellas, como pueden ser las imgenes
digitales, los ficheros .xml, etc. Adems es importante
recordar que toda aplicacin publicada en el market de Google
es previamente firmada digitalmente, es decir, Google Play no
puede modificar su contenido. Si existe informacin oculta
Google Play no podr realizar ningn tipo de ataque activo
para anularla, como mucho podr intentar detectar su
presencia y llegado el caso prohibir la publicacin de una
aplicacin. Ocultar informacin en recursos locales o remotos
(descargados de una url) permitira camuflar cdigo malicioso
que no sera detectado directamente (no est en la aplicacin)
y podra vulnerar los mecanismos clsicos de seguridad.
VI. DETECCIN DE CDIGO OCULTO EN GOOGLE
PLAY. RESULTADOS Y LIMITACIONES
Una vez que se ha comprobado que es posible enmascarar
informacin (idealmente cdigo malicioso) en Google Play es
importante caracterizar bien el medio y realizar pruebas de
estegoanlisis para saber si existe estegomalware detectable o,
mejor an, determinar si con las herramientas actuales sera
posible detectar informacin potencialmente maliciosa oculta.
No debe olvidarse que el mismo conocimiento servira desde
el punto de vista del atacante para realizar un estegomalware
indetectable con la tecnologa actual.
A. Escenarios de estudio y herramientas de trabajo
Nuestra investigacin se centra exclusivamente en la presencia
de aplicaciones mviles que oculten algn tipo de cdigo
malicioso, estegomalware, utilizando imgenes digitales
obtenidas de diversas maneras. El motivo fundamental para
esta decisin viene justificada por el hecho de que la mayora
de las tcnicas ms difundidas y herramientas de ocultacin en
Internet trabajan con este estegomedio. Adicionalmente, y por
187
suerte, las tcnicas de deteccin ms avanzadas se centran

tambin en este estegomedio. En este punto, se centra la
atencin en las aplicaciones recopiladas, 2.325.857 apks (11
Terabytes), y en las imgenes digitales disponibles en la
pgina web de Google Play. Con toda esta informacin se
centra el anlisis en tres escenarios concretos.
Escenario 1. Imgenes JPG y PNG en el Google Play (market
place)
El procesamiento de esta informacin es costosa. En esencia,

en nuestra prueba se almacena el APK pero para poder
acceder a esta informacin ha sido necesario descomprimir el
APK y extraer los datos. Una vez que se dispone de las
imgenes se realizan los diferentes clculos de deteccin (se
definirn ms adelante), se guarda los resultados y se eliminan
los ficheros temporales creados en la mquina (las imgenes
descomprimidas y la copia del APK procesada).
Actualmente, se ha procesado la siguiente informacin:
Se almacenan todas las imgenes visibles en el market a travs

de la pgina web de cada aplicacin (11.085.704 imgenes).
En media, hay unas 5 imgenes descriptivas por aplicacin.
Estas imgenes suele tener urls del tipo:
https://lh5.ggpht.com/zh8iyTzjnHk5IcPhaTpPbB3yKIh8O4bkC8zzQ4c8992XyBUD6npGl2rCXTDQVbC_Y
w
Actualmente, se han procesado 5.583.905 imgenes (510 GB)
con la siguiente distribucin:
JPEG: 1.620.705 imgenes (Tamao Medio = 42 KB)
PNG: 3.963.200 imgenes (Tamaa Medio = 115 KB)
Escenario 2. DEX con enlaces a url con JPG y PNG
Una aplicacin mvil podra conectarse a un servidor remoto
y descargarse una imagen digital que tuviera informacin
oculta til para enmascarar algn tipo de accin maliciosa.
Para intentar detectar esto, en una primera aproximacin, se
realizan consultas directamente en el .dex localizando cadenas
reconocibles de urls, dominios o direcciones IP que apunten a
un fichero JPG o PNG (se buscan adicionalmente
codificaciones sencillas como que la cadena est en base64).
Estas consultas sobre los 2 millones de aplicaciones dan lugar
a 74.558 aplicaciones que se conectan a una direccin remota
en bsqueda de una imagen. Descargadas todas y filtradas
para almacenar solo las imgenes de forma nica observamos:
-
54.657 imgenes nicas (6 GB) en total

JPEG: 35.077 imgenes (Tam medio = 139,25 KB)
PNG: 19.580 imgenes (Tam medio = 86,29 KB)
Escenario 3. Imgenes JPG y PNG dentro de los recursos de

un APK
Una aplicacin podra enmascarar cdigo malicioso en una de
las imgenes que almacena en alguna de sus carpetas, por
ejemplo, en la carpeta de recursos. De esta forma, podra
cargar cdigo que pasara desapercibido y no necesitara
descrgalo de un servidor remoto, hecho que siempre es ms
llamativo. Las cuentas actuales indican que, para la
instantnea del market de Google Play utilizada para esta
investigacin (2 millones de apks), existen un total de 3
millones de imgenes JPG y 30 millones de imgenes PNG si
se cuentan todas las imgenes dentro de todas las aplicaciones.
JPEG: 1.365.511 imgenes 957.179 APKS (41% del market)

Tam medio = 140 KB 187,10 GB
PNG: 231.893 8.450 APKS (0,36% del market)
Tam medio = 33KB 7,58 GB
En resumen, entre los tres escenarios se ha procesado
7.235.966 imgenes (710 GB) en la bsqueda de informacin
oculta con utilidad en estegomalware. Para ello, se seleccionan
herramientas de estegoanlisis centradas en intentar detectar la
utilizacin de las herramientas de ocultacin ms comunes en
Internet y tcnicas estadsticas ms genricas para detectar
herramientas desconocidas pero que utilizan tcnicas o
variantes esteganogrficas conocidas. En concreto, en los 7
millones de imgenes se busca la presencia de datos ocultos
con 20 herramientas de ocultacin (Camouflage v1.2.1,
inThePicture v2, JPEGX v2.1.1, PGE v1.0, appendX,
steganography v1.6.5, inPlainView, DataStash v1.5,
dataStealth v1.0, Hiderman, Master, invisible secrets, jsteg,
jphide, outguess, F5, LSB-steganography, OpenStego,
SilentEye y OpenPuff), algunas de las cuales son las ms
comunes para formatos JPG y PNG. Adicionalmente se
ejecutan en cada imagen 4 algoritmos de estegoanlisis
genricos para buscar imgenes donde se hayan utilizado
tcnicas de ocultacin LSB secuencial o pseudoaleatoria (Chi
Square attack, RS Analysis, Sample Pairs y Primary Sets)
[18]. En ltimo lugar se chequea el formato de los ficheros
grficos verificando que no haya informacin oculta al final
de fichero (tcnica EOF) o que un malware se camufle en un
fichero con extensin de imagen y finalmente no sea una
imagen.
B. Resultados y limitaciones.
Para facilitar la comprensin de la investigacin se va a
analizar los resultados obtenidos en los 3 escenarios para 3
situaciones concretas: ocultacin aprovechndose del formato
del fichero (por ejemplo, tcnica EOF), ocultacin en ficheros
JPEG y ocultacin en ficheros PNG.
B1. Ocultacin en estructura de fichero o EOF en Google
Play
El primer resultado reseable es que es posible enmascarar
informacin utilizando la estructura de las imgenes digitales
y Google Play no lo evita. El anlisis de los resultados muestra
multitud de anomalas, ninguna de ellas crtica (ms adelante
hablaremos de una particular), vase Tabla 1.
188
JPEG
Escenario1
0 con EOF
Escenario2
1.764 con EOF
5,02% del total
Escenario3
1.299 con EOF
0,0951% total
PNG
800 con EOF
1.546 con EOF

7,89% del total
185 con EOF

0,079% total
Tabla 1. Deteccin de anomalas en el formato de las imgenes digitales
Entre los resultados se pueden observar que existen imgenes

definidas en un formato que en realidad son de otro formato,
imgenes que contienen informacin a 0x00 a final de fichero,
urls a imgenes que no existen, marcas de haber sido
procesada la imagen con Photoshop o RoundPic (se deja una
especia de marca de agua), la presencia de mensajes raros o
incluso de pginas HTML. Por ejemplo, la aplicacin Full
HD Wallpapers Free se descarga una imagen legtima:
http://vendereit.com/categories/3D/027.jpg
y visualizando el final de fichero se puede observar la pgina
web que se observa en la Figura 6.
anomalas se mantiene pero no se observa nada parecido a un

cdigo malicioso. No obstante, un caso particular interesante
de destacar es la aplicacin Holy Quran video and MP3 que
realiza conexin a imgenes remotas en las siguientes
direcciones:
http://78.47.146.248/yemektarifi/android_ytleris/io.png
http://78.47.146.248/Kuran/kkhq.png
En realidad, esto no son imgenes PNG sino ficheros SQLite.
Por qu un desarrollador quera descargarse una base de
datos renombrndola como una imagen digital? Un anlisis en
profundidad de la aplicacin refleja que su funcionamiento es
el de una aplicacin que realiza la traduccin de videos a
diferentes idiomas. La base de datos que se descarga de
Internet acta a modo de diccionario. Un caso significativo es
el fichero io.png, vase Figura 7. Si se abre la base de datos se
observan diferentes mensajes, entre ellos algunos en turco
para intercambiar recetas de cocina, algunas de ellas para la
elaboracin de comida utilizando marihuana u otras drogas,
vase Figura 8.
Figura 7. La imagen io.png es en realidad una BD SQLite
Figura 6. Pgina web contenida a final de fichero de la imagen 027.jpg
En otras aplicaciones se puede encontrar mensajes extraos.

Por ejemplo, en la APK con nombre Unutulmaz Komik
Szler (actualmente disponible en Google Play). En esta
aplicacin se observa, una vez descomprimido el APK, en
res/drawable-hdpi/scale1.jpg el siguiente mensaje a final de
fichero:
HTTP/1.1 200 OK
Date: Sun, 06 Feb 2005 18:58:55 GMT
Server: A
Un anlisis en profundidad de la aplicacin refleja que esta
informacin no es de utilidad para la aplicacin. Por algn
motivo desconocido este mensaje ha aparecido all. En
general, analizados todos los resultados esta tnica de
Figura 8. Receta con droga en la BD camuflada en io.png
Obviamente, esto podra parecer una curiosidad y no es

estegomalware. Pero es importante resear un par de
cuestiones, consciente o inconscientemente el desarrollador de
la aplicacin puede saltarse la poltica de contenidos en la
publicacin de su aplicacin en Google Play, vase Figura 9.
Google no controla esta cuestin.
Adicionalmente, al tratarse de una base de datos descargada
esta podra tener en cualquier momento otro tipo de contenido
que podra utilizarse con fines no lcitos. Esto fuerza sin duda
la necesidad de herramientas que monitoricen continuamente
este tipo de contenido por si se actualizara con fines
maliciosos.
189
Figura 9. Poltica de Google Play de prohibicin de contenido ilegal
Figura 10. Posibles estegoimgenes en el escenario1
B2. Ocultacin en PNG en imgenes en Google Play

El anlisis estegoanaltico de las imgenes PNG no detecta el
uso de ninguna herramienta esteganogrfica concreta, sin
embargo si detecta la presencia de posible informacin oculta
mediante ataques estadsticos, vase Tabla 2. La cantidad de
informacin oculta vara entre los 30 y los 180.000 bytes
aproximadamente. En la Tabla 2 se muestran estos resultados
en detalle.
PNG
ChiSquare,
RS
Escenario 1
Escenario 2
Escenario 3
19.266
imgenes
705
21.808
2,86%
detectado del
total procesado
3,60% del total

procesado
9,4% del total

procesado
SI
SI
SI
Deteccin
herramienta
NO
NO
NO
esteganografa
conocida
Tabla 2. Numero potencial de estegoimagenes PNG por escenario
Si se analiza cmo se distribuyen las potenciales

estegoimagenes en funcin de su tamao y la cantidad de
informacin ocultada pueden extraerse una serie de
conclusiones iniciales para inferir hasta qu punto estas
potenciales estegoimgenes tienen informacin real oculta o
definen falsos positivos. En la Figura 10, 11 y 12 se pueden
observar unas caractersticas interesantes que confirman
algunas de las limitaciones conocidas de los algoritmos de
estegoanlisis. Los algoritmos estegoanalticos [18], generan
cuantiosos falsos positivos, al procesar imgenes de pequeo
tamao o imgenes con condiciones particulares, por ejemplo
imgenes ruidosas. Esto se puede observar en las Figuras 10,
11 y 12, donde, por ejemplo, para pequeo tamao existen una
gran cantidad de potenciales estegoimgenes. En principio, no
es disparatado pensar que para imgenes pequeas y
porcentaje de deteccin alto se trate de falsos positivos,
posiblemente debido a imgenes ruidosas, aunque tambin se
produce un comportamiento similar con porcentajes bajos. El
nmero de potenciales estegoimgenes es demasiado grande,
da la sensacin que los algoritmos estegoanalticos no
funcionan con precisin para abordar este problema. Se ha
alcanzado un punto similar a la investigacin de Niels Provos?
Es posible verificar si se est utilizando esteganografa de
verdad o si existe estegomalware?
Por desgracia, a da de hoy, las tcnicas de estegoanlisis no

tienen la suficiente sofisticacin para abordar el problema de
la deteccin de estegomalware de manera individual. Sin
duda, es necesario una mezcla de tecnologas para mejorar la
precisin de los algoritmos de deteccin. Mientras se obtienen
resultados en esa direccin, se ha realizado un estudio manual
de una centena de aplicaciones con la intencin de confirmar
la presencia o no de esteganografa o estegomalware en las
imgenes potencialmente sospechosas. Es decir, se va a
intentar evitar imgenes pequeas en las que el ruido de fondo
pudiera afectar al resultado y nos vamos a centrar en aquellas
imgenes con mayor capacidad de ocultacin para un fichero
de tamao medio o grande. Se procede entonces a analizar 100
aplicaciones a mano realizando ingeniera inversa (se utilizan
las herramientas dex2jar y jd). Algunas de las aplicaciones
analizadas fueron: Line Selfie Sticker, The Games Game,
Mehndi Desings 2014 Lite, Easy Pic Mix Collage Maker,
Stat CM9/CM10 Theme, Bang up Box, Early Learner,
Snowman Shot! Fireball Shooter, etc. Por desgracia, no se
observa la presencia de estegomalware. Est claro que por las
caractersticas de los ficheros PNG existentes en Google Play
la tecnologa actual disponible de estegoanlisis no tiene la
precisin adecuada para automatizar esta tarea. Esta es una
limitacin evidente que podra utilizar un atacante.
190
B3. Ocultacin en JPG en imgenes en Google Play

En el caso del anlisis de imgenes JPEG se observan multitud
de potenciales estegoimagenes asociadas a herramientas de
ocultacin concretas, vase Tabla 3. El nmero tan elevado
hace inviable una revisin manual completa por lo que seran
necesarios nuevos procedimientos para evaluar si se est
utilizando esteganografa y si esa est orientada a
estegomalware. Es posible que un pequeo porcentaje de los
resultados se deba a falsos positivos generados por la
herramienta de estegoanlisis utilizada en este caso particular
(stegdetect) [24]. Tambin es posible que ciertas aplicaciones
podran realizar ciertas transformaciones a las imgenes que
contienen, sin ser esteganografa el resultado podra ser
similar (algn tipo de procesamiento grfico, marca de agua
legtima, etc.). Queda claro que es necesario mejorar y
complementar las herramientas actuales de deteccin para
abordar esta cuestin.
b) Ejecuta la nueva aplicacin que descargar un payload

inofensivo de http://cosec-uc3m.appspot.com/likeimage, vase
Figura 13.
Revisando la bibliografa, se observa que esta prueba de
estegomalware avanzado usando esteganografa con F5 es una
prueba de concepto que desarrollaron investigadores de la
Universidad Carlos III de Madrid y actualmente est viva en
Google Play [25]. A pesar de ser relativamente sofisticada en
comparacin con lo publicado es sencilla de detectar con
procedimientos como el expuesto. De hecho, estos
investigadores realizaron un estudio preliminar de la
existencia de estegomalware en markets alternativos a Google
Play [25] quizs ms proclives a la presencia de malware.
Figura 13. Payload del cdigo malicioso ocultado en LikeImage
VII. CONCLUSIONES
Tabla 3. Deteccin de posibles estegoimgenes JPEG creadas con diferentes

herramientas esteganogrficas en los 3 escenarios.
Es reseable, no obstante, entre las potenciales

estegoimgenes destaca una que utiliza el algoritmo F5. La
aplicacin sospechosa tiene el nombre de Like Image con
permisos android.permission.Internet & android.permission.
READ_PHONE_STATE y est activa en Google Play desde
Junio de 2014.
https://play.google.com/store/apps/details?id= es.uc3m.cosec.likeimage
La imagen que hace que centremos nuestra atencin est en

es.uc3m.cosec.likeimage\res\drawable-hdpi\likeimage.jpg, y
la herramienta estegoanaltica Stegdetect dice que es F5 con
alta probabilidad (***). Un anlisis manual de la misma
muestra los siguientes resultados:
a) La aplicacin principal carga la imagen likeimage.jpg y
recupera otra aplicacin (.dex) invirtiendo la ocultacin de F5
(https://code.google.com/p/f5-steganography/) con la clave
cosec.
#java -jar f5.jar x -p cosec -e bicho.dex likeimage.jpg
La presente investigacin destaca la problemtica actual en el

crecimiento del cdigo malicioso en plataforma Android y
especficamente en el market ms famoso, y en principio con
mejores medidas de seguridad, que es Google Play. Se han
abordado las diferentes tecnologas actuales para la deteccin
de malware que aunque necesarias no son suficientes para
cubrir el dinamismo de publicacin y detectar las mltiples
variantes de malware que utilizan tcnicas de ofuscacin,
ocultacin y evasin diversas. Con este objetivo, se desarrolla
una investigacin analizando si existen vas complementarias
que permitan detectar estegomalware de manera precisa. No
se conoce investigacin en Google Play en esta direccin y
esta publicacin da luz en este sentido.
Con este objetivo se utiliz la plataforma Tacyt para adquirir
un nmero de aplicaciones significativas para evaluar la
presencia de cdigo oculto en el market de Google Play, con
ms de 2 millones de aplicaciones. Entre las conclusiones ms
destacables destaca que Google Play es un canal
esteganogrfico y por tanto podra ser utilizado para distribuir
informacin oculta, en nuestro caso podra utilizarse para
crear estegomalware. En segundo lugar, aunque quedan
muchos aspectos en los que profundizar y mejorar, no parece
que el uso de esteganografa sea algo comn y mucho menos
su uso en estegomalware en este market, al menos no bajo los
criterios definidos. Se ha demostrado cmo los lmites
actuales de los algoritmos estegoanalticos impiden ser
utilizados de manera individual en la compleja tarea de
detectar estegomalware en Google Play. En la prctica, en
nuestros resultados solo se ha podido verificar la presencia de
una muestra de estegomalware y es una prueba de concepto en
imgenes JPEG previamente documentada, vase Tabla 4.
El nmero de potenciales estegoimgenes es tan grande que en
la prctica no es viable a hacer un anlisis manual de cada apk
191
que podra utilizarla. Actualmente, aunque sin resultados

destacables de momento, se est analizando automticamente
el cdigo de las aplicaciones para intentar detectar cdigo que
nos indique que se est operando con esas imgenes digitales,
por ejemplo leyendo su contenido y ejecutando, a
continuacin, un classLoad o dexLoad, o hace uso de libreras
concretas que permitan invertir procesos esteganogrficos, lo
cual podra ser un indicio ms del uso de esteganografa real
en una aplicacin. Se est intentando habilitar procedimientos
adicionales para reducir potenciales falsos negativos.
imgenes y apps). Por lo tanto, este formato distribuyendo la

informacin en los diferentes PNGs lo convierte en un recurso
ideal para la ocultacin de estegomalware indetectable con la
tecnologa actual.
Nuestra investigacin ha dado algo de luz en esta direccin.
No obstante, queda mucho trabajo por realizar.
VIII. REFERENCIAS
[1] FBI, Threats to mobile devices using the Android
operating System. https://info.publicintelligence.net/DHSFBI-AndroidThreats.pdf [Mayo 2015]
[2] F-Secure, Mobile Threat Report. January-March 2013.
https://www.f-secure.com/documents/996508/1030743/ Mobil
e_Threat_Report_Q1_2013.pdf [Mayo 2015]
[3]
RiskIQ,
http://www.riskiq.com/company/pressreleases/riskiq-reports-malicious-mobile-apps-google-play-ha
ve-spiked-nearly-400 [Mayo 2015]
Tabla 4. Resumen de resultados en la deteccin de estegomalware en Google

Play
Lo que est claro es que la tecnologa actual disponible no es

suficiente para abordar con precisin la deteccin de
estegomalware en Google Play y adems sera necesario que
las herramientas de adquisicin actuaran de manera continua
para poder detectar cambios con fines dainos, por ejemplo,
una url a un imagen especifica llamada desde una aplicacin
podra cambiar de contenido.
Un resultado significativo, especialmente si se piensa desde el
lado del atacante, es la posibilidad de crear estegomalware
muy difcil de detectar. Por un lado, es buena idea ocultar
informacin en recursos propios de un apk frente a la
conexin a una url remota, la cual siempre es ms fcil de
detectar la conexin y su nmero de imgenes/url en media
por apk es pequeo. Por otro lado, hasta lo analizado, la
ocultacin en imgenes JPEG en Google Play no es una buena
idea. Es cierto, que quedan temas abiertos por mejorar en la
deteccin de estegomalware en este tipo de imgenes pero el
estado del arte en estegoanlisis en imgenes JPEG es muy
extenso y el nmero de imgenes por APK es muy reducido
(aproximadamente 1 imagen por APK) para un tamao medio
(140KB) que podra permitir precisiones elevadas. Sin duda,
la eleccin de PNGs para ocultar informacin es una gran
eleccin. Si se observan las grficas reflejadas en el apartado
VI que comparan tamao de las imgenes PNG con el posible
% de ocultacin en las mismas se puede observar varias cosas
interesantes. En primer lugar, las imgenes PNG son
relativamente pequeas (33KB) y para porcentajes de
ocultacin pequeos (depende del algoritmo de estegoanlisis
pero podra rondar el uso del 1 al 3% de la capacidad total del
estegomedio) los algoritmos estegoanalticos actuales no son
capaces de diferenciar una estegoimagen real de una que no lo
es. El nmero de falsos positivos hace inviable la deteccin
automtica por esta va. Adicionalmente, cada APK tiene de
media 26 PNGs (valor extrado del cmputo global de
[4] Hou, O. Look at Google Bouncer. http://blog.trendmicro.

com/trendlabs-security-intelligence/a-look-at-google-bouncer.
[Mayo 2015]
[5] Fedler, R; SCHTTE, J: KULICKE, M. On the
Effectiveness of Malware Protection on Android - An
evaluation
of
Android
antivirus
apps
2013.
https://www.aisec.fraunhofer.de/content/dam/aisec/Dokument
e/Publikationen/Studien_TechReports/deutsch/042013-Techni
cal-Report-Android-Virus-Test.pdf [Mayo 2015]
[6] Idika, N., & Mathur, A. P. (2007). A survey of malware
detection techniques. Purdue University, 48.
[7] Zheng, M., Sun, M., & Lui, J. C. (2013, July). Droid
analytics: A signature based analytic system to collect, extract,
analyze and associate android malware. In Trust, Security and
Privacy in Computing and Communications (TrustCom), 2013
12th IEEE International Conference on (pp. 163-171). IEEE.
[8] Raveendranath, R., Rajamani, V., Babu, A. J., & Datta, S.
K. (2014, July). Android malware attacks and
countermeasures: Current and future directions. In Control,
Instrumentation,
Communication
and
Computational
Technologies (ICCICCT), 2014 International Conference on
(pp. 137-143). IEEE.
[9] Egele, M., Scholte, T., Kirda, E., & Kruegel, C. (2012). A
survey on automated dynamic malware-analysis techniques
and tools. ACM Computing Surveys (CSUR), 44(2), 6.
[10] The Number of Financial Attacks Against Android Users
Tripled
in
2014.
http://www.kaspersky.com/about/
news/virus/2015/The-Number-of-Financial-Attacks-AgainstAndroid-Users-Tripled-in-2014 [Mayo 2015]
[11] Sarma, B. P., Li, N., Gates, C., Potharaju, R., NitaRotaru, C., & Molloy, I. (2012, June). Android permissions: a
192
perspective combining risks and benefits. In Proceedings of

the 17th ACM symposium on Access Control Models and
Technologies (pp. 13-22). ACM.
[24] Khalind, O. S., Hernandez-Castro, J. C., & Aziz, B.

(2013). A study on the false positive rate of Stegdetect. Digital
Investigation, 9(3), 235-245.
[12] Sanz, B., Santos, I., Laorden, C., Ugarte-Pedrero, X.,

Nieves, J., Bringas, P. G., & lvarez Maran, G. (2013).
MAMA: manifest analysis for malware detection in android.
Cybernetics and Systems, 44(6-7), 469-488.
[25] Suarez-Tangil, G., Tapiador, J. E., & Peris-Lopez, P.

Stegomalware: Playing Hide and Seek with Malicious
Components
in
Smartphone
Apps.
http://www.seg.inf.uc3m.es/~guillermo-suarez-tangil/papers/
2014inscrypt-estegomalware.pdf [Mayo 2015]
[13] Teufl, P., Ferk, M., Fitzek, A., Hein, D., Kraxberger, S.,
& Orthacker, C. (2013). Malware detection by applying
knowledge discovery processes to application metadata on the
Android Market (Google Play). Security and Communication
Networks.
[14] Arp, D., Spreitzenbarth, M., Hbner, M., Gascon, H.,
Rieck, K., & Siemens, C. E. R. T. (2014, February). Drebin:
Effective and explainable detection of android malware in
your pocket. In Proc. of NDSS.
[15] Axelle Apvrille, Ange Albertini. Hide Android
Applications in Images. https://www.blackhat.com/docs/eu14/materials/eu-14-Apvrille-Hide-Android-Applications-InImages.pdf [Mayo 2015]
[16] Cox, I., Miller, M., Bloom, J., Fridrich, J., & Kalker, T.
(2007). Digital watermarking and steganography. Morgan
Kaufmann.
[17] Muoz, A. Curso de privacidad y proteccin de
comunicaciones
digitales.
Canales
subliminales.
Esteganografa.
http://www.criptored.upm.es/crypt4you/
temas/privacidad-proteccion/leccion7/leccion7.html
[Mayo
2015]
[18] Serra, J; Lerch, D; Muoz, A. Esteganografa y
estegoanlisis. ISBN: 978-84-617-0021-9 http://0xword.
com/es/libros/64-esteganografia-y-estegoanalisis.html [Mayo
2015]
[19]
Johnson,
N.
Steganography
Software.
http://www.jjtc.com/Steganography/tools.html [Mayo 2015]
[20]
Fredric,
Jessica.
Steganography
papers.
http://www.ws.binghamton.edu/fridrich/publications.html.
[Mayo 2015]
[21] Provos, N., & Honeyman, P. (2001). Detecting
steganographic content on the internet. Center for Information
Technology Integration. http://www.citi.umich.edu/u/provos/
papers/detecting.pdf [Mayo 2015]
[22] Provos, N. Scanning usenet for steganography.
http://www.citi.umich.edu/u/provos/stego/usenet.php [Mayo
2015]
[23] Tacyt, Herramienta de ciberinteligencia de amenazas
mviles.
https://www.elevenpaths.com/es/tecnologia/tacyt/
index.html [Mayo 2015]
193

1
Busqueda de Relaciones entre Vulnerabilidades de

Aplicaciones Web
Fernando Roman Munoz, Luis Javier Garca Villalba, Senior Member, IEEE
AbstractIn a previous paper the authors described a new

method to map web vulnerability issue classifications. That
method is based on shorting issue descriptions to a set of two or
three words. Then specific queries are send to the Internet to find
the relationships. The result are a new mapping between classifications that can be kept updated and a new web vulnerability
classification. In this paper are described the implementation of
the method and the results of testing it. The test results indicate
that the propose method find real relationships in most cases,
and also some new ones.
Index TermsClassification Mappings, Vulnerability Classification, Web Vulnerability, Web Vulnerability Relationships.
contengan. Este metodo se puede ejecutar cuando se considere

necesario para tener la informacion actualizada.
A partir del metodo propuesto en ese trabajo anterior, en
este se aplica a un conjunto seleccionado de clasificaciones
relevantes analizando los resultados obtenidos para determinar
su bondad. La estructura del resto del artculo es como sigue:
en la seccion II se indican los artculos previos relacionados,
en la seccion III se trata el resultado de aplicar este metodo
a las clasificaciones y vulnerabilidades actuales, en la seccion
IV se analizan los resultados obtenido y en la u ltima seccion
de incluyen las conclusiones y el trabajo futuro.
I. I NTRODUCCI ON
II. A NTECEDENTES
Existe varias organizaciones dedicadas a desarrollar listas de

los posibles problemas de seguridad que pueden darse en las
aplicaciones software. Estos problemas los pueden clasificar
bajo diferentes conceptos, como puedan ser, vulnerabilidades,
amenazas o riesgos. En algunos casos tambien se habla de
pruebas de seguridad para comprobar si ese problema existe.
Esas listas se desarrollan unas independientes de otras, lo que
por un lado permite disponer de varios enfoques a los problemas de seguridad, pero por otro lado dificulta el determinar
que requisitos deben cumplir las aplicaciones o que pruebas
realizar para comprobar su cumplimiento. Para solucionar este
problema esas mismas organizaciones u otras, elaboran otras
clasificaciones, mapeos, en los que tratan de relacionar los
elementos que aparecen en unas listas con los que aparecen en
otras. Estas relaciones no son completas ya que no incluyen
todas las clasificaciones existentes, ni las mas relevantes, y
tampoco todas las posibles relaciones de cada vulnerabilidad.
Ademas estas relaciones no se actualizan con frecuencia por
lo que no suelen incluir toda la informacion que pueda ser de
utilidad a profesionales de la seguridad o a desarrolladores.
Para abordar estas carencias de los actuales mapeos entre
clasificaciones de vulnerabilidades en aplicaciones Web, en
un trabajo anterior de desarrollaba un metodo para encontrar
todas las relaciones posibles entre las vulnerabilidades de
las clasificaciones que se quisieran considerar. Este metodo
consiste en encontrar un conjunto reducidos de palabras que
describa cada vulnerabilidad de forma u nica, es decir, unas
cuantas palabras que remitan a esa vulnerabilidad y no a otra.
A continuacion esas palabras se buscan en Internet intentando
encontrar problemas de seguridad de cada clasificacion que las
En esta seccion se proporciona informacion sobre trabajos

previos que justifican la necesidad de disponer de un mapeo entre las clasificaciones de aplicaciones Web, y sobre
la descripcion del metodo para encontrar relaciones entre
vulnerabilidades que aqu se prueba.
Fernando Roman Munoz y Luis Javier Garca Villalba, Grupo de Analisis,

Seguridad y Sistemas (GASS, http://gass.ucm.es), Departamento de Ingeniera
del Software e Inteligencia Artificial (DISIA), Facultad de Informatica,
Despacho 431, Universidad Complutense de Madrid (UCM), Calle Profesor
Jose Garca Santesmases, 9, Ciudad Universitaria, 28040 Madrid, Espana. Email: froman@ucm.es, javiergv@fdi.ucm.es.
A. Trabajos previos
En un artculo anterior [1], se analizaban varios estudios
relevantes sobre herramientas de analisis de vulnerabilidades
Web, tanto comerciales como de codigo libre. Los resultados
mostraban las herramientas, vulnerabilidades y aplicaciones
vulnerables que se usaban en cada estudio. En lo referente a
las vulnerabilidades utilizadas en cada estudio, en cada uno
de ellos se analizada un conjunto distinto de vulnerabilidades
Web exceptuando las vulnerabilidades mas conocidas como
Cross Site Scripting e inyeccion SQL, que suelen incluirse
en todos las comparativas de herramientas de analisis de
vulnerabilidades. En ningun caso haba informacion sobre las
capacidades de estas herramientas en la deteccion de las vulnerabilidades incluidas en las clasificaciones mas conocidas como las que elaboran y mantiene organizaciones como OWASP
o WASC. Una de las principales conclusiones era la necesidad
de disponer de una clasificacion de vulnerabilidades lo mas
completa posible, a partir de las clasificaciones existentes,
que permitiera a continuacion determinar las capacidades y
carencias de las herramientas automaticas de deteccion de
vulnerabilidades en aplicaciones Web.
En el artculo anterior [2] se describa el algoritmo desarrollado para conseguir una clasificacion actualizada de vulnerabilidades Web y un mapeo de las clasificaciones existentes. El
punto clave del algoritmo que se describe en ese artculo es
la simplificacion de cada vulnerabilidad distinta a un conjunto
reducido de palabras que la describan de forma u nica, y que
pueda usarse a continuacion para buscar en Internet relaciones
entre las clasificaciones.
194
ROMN et al.: Bsqueda de realciones

2
En la Figura 1 se explican esquematicamente los pasos que

se siguen, de forma resumida, para obtener las relaciones.
palabras se llevan a la lista definitiva. A continuacion

la palabra con mayor frecuencia se elimina de todos los
grupos restante y tambien de la lista de palabras. Este
paso se repite hasta que todos los grupos de palabras
asociados a vulnerabilidades tienen el numero de palabras buscado. De esta forma con cada iteracion del punto
(4.6) se van dejando las palabras menos frecuentes, que
son las que mejor describiran las vulnerabilidades de
forma u nica. La lista de grupos de palabra que resumen
cada vulnerabilidad sera la lista de vulnerabilidades
definitiva.
4.7. Por u ltimo, se detiene a partir del conjunto reducido
de palabras que describe cada vulnerabilidad, encontrar
nuevos mapeos de las vulnerabilidades con las de las
clasificaciones seleccionadas. Para ellos se deben realizar consultas en Internet buscando en los sitios web
de las clasificaciones los prefijos de los codigos de las
vulnerabilidades junto con la descripcion resumida.
DEL ALGORITMO
III. I MPLEMENTACI ON
Figura 1. Metodo para encontrar los mapeos entre clasificaciones de vulnerabilidades Web.
Estos pasos se detallan a continuacion:

1. Seleccionar las u ltimas versiones de las clasificaciones
de vulnerabilidades en aplicaciones Web.
2. Encontrar mapeos entre clasificaciones proporcionados
por las propias organizaciones que elaboran las clasificaciones.
3. Encontrar relaciones entre las vulnerabilidades de diferentes clasificaciones en otras organizaciones o estudios
previos.
4. Buscar relaciones adicionales entre vulnerabilidades de
diferentes clasificaciones, en los sitios Web de las organizaciones que elaboran las listas o en otras paginas de
Internet. Este paso se divide en las siguientes fases:
4.1. Elaborar una lista que incluya todas las palabras que
aparecen en cada una de las descripciones de todas las
vulnerabilidades en las clasificaciones seleccionadas en
el apartado (1).
4.2. Calcular la frecuencia de aparicion de cada palabra en
la lista obtenida en el paso anterior (4.1) y elaborar
una segunda lista en las que aparezca cada palabra y
su frecuencia, ordenadas por este u ltimo valor.
4.3. Eliminar artculos, preposiciones y caracteres como comas, corchetes y comillas.
4.4. Para cada vulnerabilidad distinta obtenida en el paso
(3) se obtiene un conjunto de palabras formado por
todas las descripciones que aparezcan en alguna de las
clasificaciones donde figure.
4.5. Se eliminan las palabras repetidas del conjunto asociado
a cada vulnerabilidad.
4.6. A partir del conjunto de palabras de las descripciones
de cada vulnerabilidad hay que conseguir un conjunto
distinto de palabras para cada una de ellas. Para ello
primero los conjuntos que tienen el numero buscado de
En la Figura 2 se muestra el proceso de busqueda de

relaciones adicionales entre vulnerabilidades de diferentes
clasificaciones. Como puede verse en la Figura 2 el primer
paso (1) del algoritmo descrito anteriormente es seleccionar
el conjunto de clasificaciones de aplicaciones Web que se
va a tener en cuenta. Para este artculo se han considerado
las siguientes: la version 2 de la clasificacion de amenazas
de WASC [3], las versiones 3 y 4 de la gua de pruebas de
OWASP [4] y la lista de debilidades en el software de CWE
[5]. De la clasificacion CWE solo se han tenido en cuenta las
vulnerabilidades Web. De los posibles motores de busqueda en
Internet para realizar las busquedas se ha probado con Bing y
con Google, siendo este u ltimo el seleccionado ya que arrojaba
un mayor numero de posibles resultados validos.
El segundo paso (2) consiste en localizar los mapeos
entre clasificaciones que proporcionan los propios organismos que elaboran las clasificaciones. En este caso tenemos
el que proporciona WASC que relaciona las vulnerabilidades en su clasificacion OWASP TC 2.0 con las de CWE.
Tambien OWASP da informacion sobre las relaciones entre
su u ltima clasificacion OWASP TG v4 y la version anterior OWASP TG v3. En este caso OWASP no proporciona
realmente un mapeo, sino que en su sitio Web para cada
vulnerabilidad de su clasificacion v3 se referencia, si existe,
la pagina correspondiente a la vulnerabilidad en la nueva
clasificacion. Por ejemplo realizando la siguiente consulta en
el motor de busqueda q=site:owasp.org+Redirect+page+Category+OWASP-DV-001 se obtiene una pagina que enlaza OWASP-DV-001 de OWASP TG v3 con OTG-INPVAL001 de OWASP TG v4. Para encontrar estas relaciones se
ha implementado un proceso automatico mediante el cual se
consigue obtener la vulnerabilidad de OWASP TG v4 asociada
a cada vulnerabilidad de OWASP TG v3, en caso de que
OWASP proporcione esa informacion.
En el tercer paso (3) consiste en anadir las relaciones que
puedan proporcionar otras organizaciones de confianza. En
este caso, una vez analizadas los mapeos existentes, se han
195

3
Figura 2. Mapeos proporcionados por consultas en Internet: Fases del proceso de encontrar un conjunto de palabras que describa cada vulnerabilidad y
busqueda de relaciones en Internet.
seleccionado las desarrolladas por Telligent [6] y Sectoolmarket [7], ya que son los mapeos que proporcionan relaciones
entre vulnerabilidades de las clasificaciones seleccionadas.
Tanto Telligent como Sectoolmarket relacionan las pruebas
de seguridad de OWASP TG v3 con las amenazas de WASC
TC v2. Aunque la gua de pruebas de OWASP ya va por su
version v4 no ha sido posible encontrar ningun mapeo que la
relacionara con alguna otra clasificacion. Uno de los resultados
del trabajo que se describe en este artculo es precisamente este
mapeo al relacionarla con las otras tres consideradas.
Por u ltimo se ejecuta el cuarto paso (4) del algoritmo
para reducir las descripciones de cada vulnerabilidad a un
conjunto de palabras pequeno y u nico por vulnerabilidad, que
a continuacion se usa para buscar relaciones adicionales.
Para realizar el proceso de reducir las descripciones de las
vulnerabilidades a unas pocas palabras se ha desarrollado un
programa software.
Inicialmente se ha ejecutado el programa para reducir las
descripciones de las vulnerabilidades a dos palabras, pero el
resultado no era el esperado ya que se llegaba a una situacion
en la que mas de una vulnerabilidad quedaba reducida al
mismo grupo de palabras. Ejecutando el programa una segunda
vez, buscando reducir cada descripcion a tres palabras, el
resultado ha sido el esperado y para cada vulnerabilidad se
ha obtenido un grupo distinto de tres palabras.
Finalmente para conseguir nuevas relaciones entre vulnerabilidades, se ha implementado un proceso automatico
que compone busquedas, las enva y analiza el resultado,
para encontrar en las paginas de las organizaciones los
conjuntos de tres palabras y los prefijos de vulnerabilidad de cada clasificacion. Por ejemplo enviando la consulta
q=site:wasc.org+WASC-ssl+tls+ciphers se obtiene la relacion de la vulnerabilidad asociada a las palabras ssl, tls
y ciphers con WASC-04.
En la Tabla I se muestran varios ejemplos de los pasos

(4.4), (4.5) y (4.6). En la primera columna de esta tabla se
indica el codigo de la vulnerabilidad en las cuatro clasificaciones seleccionadas, a continuacion en la siguiente columna
se muestra en nombre o descripcion de la vulnerabilidad
asociado a cada codigo, en la tercera columna lo que figura
es el resultado de juntar todas las palabras en los nombres
o descripciones asociados a esos codigos y a continuacion
eliminar todas las palabras repetidas y otros caracteres como
parentesis y comillas. En la u ltima columna figuran las tres
palabras que resumen esa vulnerabilidad. Cada conjunto de
tres palabras es diferente para cada una de las vulnerabilidades
consideradas. El resultado de esta busqueda de relaciones
entre vulnerabilidades Web de diferentes clasificaciones, y el
conjunto mnimo de palabras que describe cada vulnerabilidad,
se ha plasmado en la pagina Web [8].
En la Figura 3 se muestra una pantalla de esta pagina con
un ejemplo de las relaciones obtenidas a partir de los mapeos
previos, y en la Figura 4 un ejemplo de las nuevas relaciones
obtenidas a partir del conjunto mnimo de palabras de cada
vulnerabilidad.
En esa misma pagina [8] tambien se ha desarrollado otros
dos formularios para proporcionar nuevas relaciones entre
vulnerabilidades de diferentes clasificaciones. Estos dos formularios hacen consultas en tiempo real. Uno de ellos busca
relaciones en tiempo real en los sitios web de las organizaciones que elaboran las clasificaciones, y el otro las busca en
todo Internet, no solo en esos sitios web.
La informacion que proporcionan, al ser en tiempo real,
podra cambiar de una consulta a otra. Incluira nuevas relaciones a partir de nueva informacion en Internet, y otras
relaciones podran desaparecer de una consulta a la siguiente.
Aunque esta informacion quizas no sea tan fiable con la que
puedan dar las organizaciones, si aporta valor a la hora de
196
Tabla I
A TRES PALABRAS DE LAS DESCRIPCIONES DE VARIAS VULNERABILIDADES .
EJEMPLOS DE REDUCCI ON
Vulnerabilidad
(4.4)
(4.5)
(4.6)
OWASP-CM-004
OTG-CONFIG-002
WASC-14
CWE-16
Application Configuration Management Testing

Test Application Platform
ConfigurationServer Misconfiguration
Configuration
Application Configuration
Management Testing
Test Platform
Server Misconfiguration
platform
server
misconfiguration
OWASP-AT-004
OTG-AUTHN-003
WASC-11
CWE-350
Brute Force Testing

Testing for Weak lockout mechanism
Brute Force
Predictability Problems
Brute Force
Testing Weak
lockout mechanism
Predictability Problems
lockout
predictability
problems
OWASP-AZ-001
OTG-AUTHZ-002
WASC-33
CWE-22
Testing for Path Traversal

Testing for bypassing authorization schema
Path Traversal
Improper Limitation of a Pathname to a Restricted Directory: (Path Traversal)
limitation pathname
restricted Testing
Path Traversal
bypassing authorization
schema Improper
Restricted Directory
Figura 3. Resultado de aplicar el metodo descrito para conseguir relaciones

existentes en mapeos previos entre las vulnerabilidad de las clasificaciones
seleccionadas.
Figura 4. Resultado de aplicar el metodo descrito para conseguir nuevas

relaciones entre las vulnerabilidad de las clasificaciones seleccionadas.
limitation
pathname
restricted
Figura 5. Ejemplo de relaciones encontradas con consultas en tiempo real en

los sitios Web de las clasificaciones.
Figura 6. Ejemplo de relaciones encontradas con consultas en tiempo real en

todo Internet.
IV. A N ALISIS
DE LOS RESULTADOS
A. Configuracion de las pruebas
buscar informacion sobre una vulnerabilidad y sus relaciones,
ya que puede incluir el trabajo realizado por profesionales de la
seguridad de la informacion que han tratado una vulnerabilidad
en concreto.
Las figuras 5 y 6 son ejemplos de los resultados obtenidos
en estas paginas.
Para probar si el metodo descrito e implementado en

los apartados anteriores es adecuado, se seleccionan varias
vulnerabilidades y se comprueba si las relaciones que se
obtienen son relaciones ciertas. Las relaciones entre elementos
de clasificaciones seran ciertas si son claramente la misma
vulnerabilidad, o si las dos aportan informacion (prueba o
197

5
Tabla II
VULNERABILIDADES SELECCIONADAS PARA PROBAR LOS RESULTADOS DE IMPLEMENTAR EL ALGORITMO DESCRITO ( RELACIONES OBVIAS ).
Nombre habitual
Resumen de tres palabras
OWASP TG v3
OWASP TG v4
WASC TC v2
CWE
SQL injection
Testing, SQL, Injection
OWASP-DV-005
OTG-INPVAL-006
WASC-19
CWE-89
CWE-384
Session fixation
Testing, Session, Fixation
OWASP-SM-003
OTG-SESS-003
WASC-37
Refected cross-site scripting, Reflected XSS
Refected, Page, Generation
OWASP-DV-001
OTG-INPVAL-001
WASC-08
CWE-79
Path trasversal
Limitation, Path, Restricted
OWASP-AZ-001
OTG-AUTHZ-002
WASC-33
CWE-22
Cross-site request forgery, CSRF
CSRF, Request, Forgery
OWASP-SM-005
OTG-SESS-005
WASC-09
CWE-352
resolucion) de la misma vulnerabilidad. Las vulnerabilidades

seleccionadas son cinco de las 10 que confirman la lista de
riesgos OWASP Top 10 de 2013 [9]. Estas cinco vulnerabilidades tienen de forma clara su correspondiente elemento en cada
una de las cuatro clasificaciones consideradas. En la Tabla II
se muestran estas vulnerabilidades, el resumen de tres palabras
de cada una, y el codigo en las clasificaciones.
B. Resultado de las pruebas
Buscando en las paginas desarrolladas las cinco vulnerabilidades relacionadas se encuentran las relaciones que se
muestran en la Tabla III. Para cada vulnerabilidad se da la
siguiente informacion:
1 Relaciones de primer orden. Son las relaciones entre
vulnerabilidades Web que se obtienen a partir de mapeos
entre las clasificaciones que han realizado las propias
organizaciones que hacen las clasificaciones u otros
organismos o empresas del a mbito de la seguridad de
la informacion.
2.1 Relaciones de segundo orden estaticas. Son las relaciones que se obtuvieron cuando se implemento el
algoritmo descrito, realizando consultas en Google sobre
los sitios Web de las organizaciones que desarrollan las
clasificaciones, como OWASP, WASC o CWE.
2.2 Relaciones de segundo orden dinamicas. Como el anterior punto, son relaciones que se obtienen realizando
consultas en Google sobre los sitios Web de las organizaciones que desarrollan las clasificaciones, pero que se
realizan en tiempo real, en el momento de consultar la
pagina Web .
3 Relaciones de tercer orden. Son relaciones entre vulnerabilidades que se obtienen realizando consultas en tiempo
real en Google sobre todo Internet.
C. Analisis de los resultados
A partir de los resultados que se muestran en la tabla
anterior, se pueden obtener algunas conclusiones.
a) Las relaciones de primer orden, obtenidas de las organizaciones, coincide con las relaciones obvias de cada
vulnerabilidad con las clasificaciones (ver Tabla IV).
Este resultado es el esperado, al comparar las relaciones
evidentes de cada vulnerabilidad con los mapeos que se
elaboran.
b) Aunque solo han pasado dos meses entre las dos consultas para obtener relaciones de segundo orden, durante
este periodo aparecen nuevas relaciones, y en un caso
desaparece el codigo de vulnerabilidad CWE-494 en

limitation path restricted.
c) En la mayora de los casos las busquedas de segundo
y tercer orden incluyen las relaciones obvias en sus
resultados (en verde en la Tabla III), lo que apoya la
bondad del metodo definido. En la tabla VII se ven los
porcentajes de inclusion en cada caso.
d) El resto de elementos que aparecen en cada caso, aunque
no son realmente la vulnerabilidad buscada, si incluyen
informacion sobre los metodos de deteccion o de mitigacion.
e) Las relaciones obtenidas a partir de busquedas en todo
Internet son menores en numero que las que proporcionan las busquedas en los sitios Web de las clasificaciones.
V. C ONCLUSIONES Y TRABAJO FUTURO
En un artculo anterior se propona un nuevo metodo para
obtener una clasificacion actualizada de vulnerabilidades en
aplicaciones Web que incluyese las relaciones entre las clasificaciones existentes, ya que los mapeos que hay hasta la fecha
son bastantes estaticos y en ese trabajo se intentaba progresar
en la direccion de poder tener actualizadas las relaciones
entre las clasificaciones con la informacion disponible en cada
momento. En este artculo se muetran los resultados de implementar el algoritmo propuesto y se indican los principales
resultados.
Los principales pasos del metodo descrito son la busqueda
de mapeos previos, la reduccion de las descripciones de cada
vulnerabilidad a un conjunto mnimo de palabras que la
describan y la busqueda de relaciones a partir de ese conjunto
de palabras. El metodo descrito se aplica al conjunto de clasificaciones actuales para obtener esa clasificacion actualizada
de vulnerabilidades, y las relaciones entre ellas. El resultado
puede consultarse en una pagina Web que se ha desarrollado
para ello. En la Figura 7 puede verse esquematicamente el
proceso descrito y los principales resultados que se obtienen
de su aplicacion.
A continuacion el siguiente paso es realizar un seguimiento
de las relaciones de segundo y tercer orden, para registrar
y evaluar como evolucionan a lo largo del tiempo. Tambien
sera interesante incluir en cada caso enlaces a la informacion
que sobre esa vulnerabilidad se encuentre, proporcionando un
repositorio que aglutine los metodos de deteccion y mitigacion
de cada una de ellas.
198

6
Tabla III
RELACIONES ENTRE LAS CINCO VULNERABILIDADES SELECCIONADAS .
Resumen de tres palabras
testing sql injection
testing session fixation
reflected page generation
limitation path restricted
csrf request forgery
Relaciones de primer orden
OWASP-DV-005
OTG-INPVAL-006
WASC-19
CWE-89
OWASP-SM-003
OTG-SESS-003
WASC-37
CWE-384
OWASP-DV-001
OTG-INPVAL-001
WASC-08
CWE-79
OWASP-AZ-001
OTG-AUTHZ-002
WASC-33
CWE-22
OWASP-SM-005
OTG-SESS-005
WASC-09
CWE-352
Relaciones de segundo orden estaticas
Relaciones de segundo orden dinamicas
Relaciones de tercer orden
OWASP-DV-005
OTG-INPVAL-005
OTG-INPVAL-006
OTG-INPVAL-007
OTG-AUTHN-004
OTG-INPVAL-010
OTG-INPVAL-011
WASC-19
WASC-13
CWE-89
CWE-564
CWE-120
CWE-94
CWE-20
CWE-79
CWE-209
CWE-565
CWE-78
OWASP-DV-005
OWASP-AJ-001
OWASP-WS-004
OTG-INPVAL-005
OTG-INPVAL-006
OTG-INPVAL-007
OTG-AUTHN-004
OTG-INPVAL-010
OTG-INPVAL-011
WASC-19
WASC-13
CWE-89
CWE-564
CWE-120
CWE-94
CWE-20
CWE-79
CWE-565
CWE-209
CWE-78
OWASP-DV-005
OWASP-AJ-001
OTG-INPVAL-005
OTG-INPVAL-006
OTG-INPVAL-007
WASC-19
WASC-13
CWE-89
CWE-564
CWE-120
CWE-77
CWE-90
OWASP-SM-003
OWASP-AT-009
OTG-SESS-003
OTG-SESS-001
WASC-37
WASC-47
CWE-384
CWE-664
CWE-732
CWE-287
CWE-698
CWE-79
CWE-352
OWASP-SM-003
OTG-SESS-003
OTG-SESS-004
WASC-18
WASC-37
WASC-47
CWE-384
OWASP-SM-003
WASC-37
WASC-47
CWE-384
CWE-664
CWE-732
CWE-287
CWE-698
CWE-79
CWE-352
OTG-INPVAL-001
OTG-INPVAL-002
OTG-CLIENT-009
CWE-79
CWE-80
CWE-81
CWE-416
OWASP-DV-001
OTG-INPVAL-001
OTG-INPVAL-002
OTG-CLIENT-009
CWE-79
CWE-80
CWE-81
CWE-416
OWASP-AZ-001
OWASP-CM-001
OTG-CRYPST-003
OTG-CRYPST-001
WASC-33
CWE-22
CWE-494
CWE-36
CWE-23
CWE-41
CWE-21
CWE-119
CWE-73
OWASP-AZ-001
OWASP-CM-001
OTG-INFO-008
OTG-CRYPST-003
OTG-CRYPST-001
WASC-33
CWE-22
CWE-494
CWE-36
CWE-23
CWE-41
CWE-21
CWE-119
CWE-73
OWASP-AJ-001
OWASP-SM-005
OTG-SESS-005
CWE-352
CWE-441
CWE-442
OWASP-AJ-001
OWASP-SM-005
OTG-SESS-005
CWE-352
CWE-441
CWE-442
OWASP-DV-001
OTG-INPVAL-001
OTG-INPVAL-002
CWE-79
CWE-22
CWE-78
CWE-639
OWASP-AZ-001
OWASP-CM-001
WASC-04
WASC-33
CWE-22
CWE-494
CWE-23
CWE-264
WASC-09
CWE-352
199

7
Tabla IV
P ORCENTAJE DE RELACIONES EVIDENTES ENCONTRADA EN CADA TIPO DE B USQUEDA

.
Resumen de 3 palabras
Relaciones de primer orden
Relaciones de segundo orden

estaticas
Relaciones de segundo orden

dinamicas
Relaciones de tercer orden
testing sql injection
100 %
100 %
100 %
100 %
testing session fixation
100 %
75 %
100 %
100 %
reflected page generation
100 %
50 %
75 %
75 %
limitation path restricted
100 %
75 %
75 %
75 %
csrf request forgery
100 %
75 %
75 %
50 %
Figura 7. Resumen del proceso de obtencion de relaciones entre vulnerabilidades Web y principales resultados.
AGRADECIMIENTOS
Los autores tambien agradecen la infraestructura proporcionada por el Campus de Excelencia Internacional (CEI) Campus Moncloa - Cluster de Cambio Global y Nuevas Energas
(y, mas concretamente, el sistema EOLO como recurso de
computacion de alto rendimiento HPC - High Performance
Computing), infraestructura financiada por el Ministerio de
Educacion, Cultura y Deporte (MECD) y por el Ministerio
de Economa y Competitividad (MINECO).
received a Mathematics
Fernando Roman Munoz
degree from the Universidad Complutense de Madrid (Spain) and holds a M.Sc. in Artificial Intelligence from the Universidad Nacional de Educacion
a Distancia (Spain). He is currently a Ph.D. student
at Complutense Research Group GASS and a Senior Engineer at Indra Sistemas. His tasks include
vulnerability analysis and information security compliance. In the past he has worked for BT Global
Services and Telefonica S.A. His main interest is
in web security and vulnerability assessment. He is
Certified Information Systems Security Professional (CISSP) by (ISC)2.
R EFERENCIAS
[1] F. Roman Munoz and L. J. Garca Villalba, Methods to test web
applications scanners, in Proceedings of the 6th International Conference
on Information Technology, Amman, Jordan, May 08-10 2013.
[2] F. Roman Munoz and L. J. Garca Villalba, Algoritmo para el mapeo de
clasificaciones de vulnerabilidades web, in Proceedings of the Congreso
Iberoamericano de Seguridad Informatica, Quito, Ecuador, November 1012 2015.
[3] Web Application Security Consortium, The WASC threat
classification, 2010. [Online]. Available: http://projects.webappsec.
org/w/page/13246978/ThreatClassification
[4] OWASP Testing Guide, Open web application security project, 2015.
[Online]. Available: https://www.owasp.org
[5] T. M. Corporation, Common weakness enumeration, 2013. [Online].
Available: http://cwe.mitre.org
[6] Telligent, Telligent evolution platform, 2013. [Online]. Available: https://community.zimbra.com/documentation/telligentcommunity/w/
community7/24580.securing-telligent-evolution
[7] S. Chen, General features comparison - web application scanners,
2012. [Online]. Available: http://www.sectoolmarket.com
[8] F. Roman Munoz and L. J. Garca Villalba, Web vulnerability
classification mappings, 2015. [Online]. Available: http://vulmappings.
esy.es
[9] O. T. T. Project, Open web application security project, 2013. [Online].
Available: ttps://code.google.com/p/owasptop10
200
Extraccin de Caractersticas de Redes Sociales

Annimas a travs de un Ataque Estadstico
Alejandra Guadalupe Silva Trujillo, Javier Portela Garca-Miguel and Luis Javier Garca Villalba
Abstract Social network analysis (SNA) has received growing
attention on different areas. SNA is based on examine relational
data obtained from social systems to identify leaders, roles and
communities in order to model profiles or predict a specific
behavior in users network. This information has a huge impact
on research areas such as terrorism, financial crimes, analysis of
fraud, and sociological studies because SNA helps to understand
the dynamics of social networks. The aim of our work is develop a
statistical disclosure attack and show the results and information
obtained from a social network composed of a university
community.
Index Terms Anonymity, Graph Theory, Privacy, Social
Network Analysis, Statistical Disclosure Attack.
I. INTRODUCCION
n los ltimos aos se han desarrollado tecnologas que

permiten establecer comunidades sociales virtuales tal es
el caso de Facebook, Twitter, Instagram, por mencionar
algunas. Dichas tecnologas estn transformando la manera en
que se desarrollan las relaciones sociales y estn generando
gran impacto en nuestra sociedad.
Toda esta informacin tambin ha sido un foco de inters
para campos de estudio como el anlisis de fraude, el
terrorismo, prevencin de delitos financieros, donde se
involucran estudios sociolgicos que se pueden modelar como
redes sociales. Existen diversas herramientas y tcnicas que
permiten entender la naturaleza de la informacin y
encaminarse a una correcta toma de decisiones. Por ejemplo
desde el punto de vista de la mercadotecnia, analizar una red
social puede revelar quin es el sujeto de mayor influencia
para etiquetarlo como un cliente potencial que puede a la vez
generar ms clientes. El estudio de las redes sociales tambin
se puede abordar desde reas como la epidemiologa, la
sociologa, la criminalstica, el terrorismo, la prevencin de
fraudes, entre otras. A travs del uso de tcnicas de Anlisis
en Redes Sociales se puede responder a preguntas como,
quin influye ms dentro de una organizacin?, quin
controla el flujo de informacin?, es posible desarticular la
red?
Al evaluar las conexiones entre varios individuos
pertenecientes a una red social nos proporciona la posibilidad
de identificar los roles que juegan en ella, as como las
Alejandra Guadalupe Silva Trujillo, Javier Portela Garca-Miguel y Luis

Javier Garca Villalba, Grupo de Anlisis, Seguridad y Sistemas (GASS),
Departamento de Ingeniera del Software e Inteligencia Artificial (DISIA),
Facultad de Informtica, Despacho 431, Universidad Complutense de Madrid
(UCM), Calle Profesor Jos Garca Santesmases, 9, Ciudad Universitaria,
28040 Madrid, Espaa. E-mail: asilva@fdi.ucm.es, jportela@estad.ucm.es,
javiergv@fdi.ucm.es
dinmicas de las relaciones existentes. Por ejemplo, los

socilogos o historiadores desean conocer la interrelacin
entre los actores polticos o sociales de una determinada red
social para identificar agentes de cambio [1]. Otras
investigaciones se han enfocado en analizar los envos de
correos electrnicos con el objetivo de identificar
comunidades y observar su comportamiento [2] [3] [4]. Para el
anlisis de blogs en lnea, se emplean tcnicas de inferencia
colectiva que predicen el comportamiento de una entidad a
travs de sus conexiones. Mediante tcnicas de aprendizaje
automtico o modelos de lenguaje natural se desea identificar
al autor de un texto al llevar a cabo un anlisis de su forma de
escribir y el vocabulario empleado [5] [6].
En el presente trabajo se pretende estimar las caractersticas
de una red social donde el atacante obtiene informacin
parcial, considerando adems las caractersticas propias de las
redes sociales. Se muestra toda la informacin que se puede
obtener a partir de nuestro ataque a un sistema annimo de
correo electrnico universitario. En la seccin II presentamos
las caractersticas y propiedades de las redes sociales, en la
seccin III abordamos algunos de los ataques a sistemas de
correo electrnico annimos. En la seccin IV describimos el
algoritmo para llevar a cabo el ataque de revelacin de
identidades. En la seccin V presentamos los resultados
obtenidos y la informacin que puede derivarse luego de
llevar a cabo un anlisis de la red social conformada por los
usuarios del sistema de correo electrnico de una universidad.
Finalmente en la seccin VI presentamos las conclusiones y
trabajos futuros.
II.
REDES SOCIALES Y MTRICAS
En esta seccin formalizamos la definicin y el modelado

de redes sociales, as como las mtricas ms importantes en el
anlisis de redes sociales.
A. Definicin de una red social
Una red social es una estructura social compuesta de
individuos, los cuales estn conectados por uno o varios tipos
de relaciones. Su representacin puede hacerse a travs de un
grafo donde los vrtices representan a las personas y las aristas
son las relaciones entre ellas. Formalmente una red social se
modela como un grafo G = (V, E) donde:
V = (v1, , vn) es el conjunto de vrtices o nodos que
representan a entidades o individuos.
E es el conjunto de relaciones sociales entre ellos
(representadas como aristas en el grafo) donde
E = {(vi, vj) | vi, vj V}
El anlisis estructural de una red social se fundamenta en
desarrollar una matriz que representa las relaciones entre los
201
SILVA et al.: Ataque estadstico Redes Sociales
usuarios y la construccin del grafo correspondiente.

Imaginemos que deseamos analizar las relaciones de amistad
entre un conjunto de 5 personas y que representamos con 1 la
existencia de relacin entre ellos y con 0 el caso contrario.
El modelo se puede ver en la Tabla I.
Tabla I
Ejemplo de representacin de amistad
1
2
3
4
1
0
1
0
0
2
1
0
1
1
3
0
1
0
0
4
1
1
0
0
Representamos estas mismas relaciones de amistad por

medio de un grafo mostrado en la Figura 1.
Existen ciertas caractersticas de las redes sociales del

mundo real, una de ellas es la llamada mundo pequeo, donde
los valores de dimetro son pequeos, en relacin al nmero
de nodos [7]. Otra particularidad es que son comnmente
redes libres de escala, muestran un elevado coeficiente de
agrupamiento lo que significa que los amigos de amigos son
amigos. Por otro lado, al encontrar que el coeficiente de
agrupamiento es significativamente mayor a la densidad de la
red se puede decir que la red tiene un alto nivel de agrupacin.
Las redes sociales tienen una distribucin de grados que sigue
una ley de potencias, donde la mayora de los nodos tienen
pocas conexiones y hay pocos nodos que tienen muchas.
III. ATAQUES PROBABILSTICOS DE REVELACIN
Se ha demostrado que un atacante puede revelar las
identidades de los usuarios de una red mix a travs del anlisis
de trfico, observando el flujo de los mensajes de entrada y
salida. En la literatura existen trabajos en donde un atacante
puede obtener informacin parcial para estudiar una red social
annima, tomando en cuenta las vulnerabilidades a ataques de
captura de ruta [8] [9]. Tales ataques utilizan la vulnerabilidad
del trfico de la red para comprometer la identidad de los
usuarios que componen la red social.
IV. ALGORITMO
Figura 1. Ejemplo de grafo
Los dos modelos anteriores nos dicen lo mismo respecto a

las relaciones de amistad de los participantes. Tambin nos
permiten determinar propiedades como la posicin de cada
amigo en la red, la intensidad en la relacin de amistad, entre
otros.
B. Propiedades de una red social
En el anlisis de redes se utilizan diferentes mtricas para
clasificacin y comparacin estructural de las redes y las
posiciones que hay en ellas. El anlisis puede enfocarse desde
el punto de vista de la centralidad, en los clster fuertemente
conectados, en las posiciones que son estructuralmente
equivalentes, o en la existencia de posiciones nicas. Otras
medidas permiten la comparacin de toda la estructura de la
red.
A continuacin describimos las mtricas ms importantes y
su interpretacin.
Grado: El grado de centralidad de un nodo es el nmero
de usuarios o nodos que tienen relacin directa con l. En
nuestro caso, hacemos uso de grafos dirigidos. Existen
dos tipos de grados: 1) grados de entrada, es la suma del
nmero de aristas que terminan en l; 2) grados de salida,
es la suma de aristas que se originan en l.
Densidad: Es el porcentaje del nmero de relaciones
existentes y el nmero de relaciones posibles.
Coeficiente de agrupamiento: Es una mtrica que
calcula el nivel de interconexin de un nodo con sus
vecinos.
Centralidad: Es el nmero de nodos a los que un nodo
est directamente unido.
A. Marco Base
El marco base y los supuestos necesarios para llevar a cabo
nuestro ataque son:
Una ronda est formada de grupos de emisores y
receptores, el atacante obtiene cuntos mensajes enva y
recibe cada usuario. Dicha ronda puede definirse por
intervalos regulares de tiempo en los que el atacante
observa la red o bien por el sistema (batches).
Se considera cada una de las rondas como eventos
independientes.
El algoritmo est considerado para un sistema mix simple.
No existen limitantes respecto al nmero de receptores o
amigos de cada usuario, as como tampoco de la
distribucin de mensajes enviados. Ambas variables se
consideran desconocidas.
Se asume que el atacante controla a todos los usuarios de
la red.
En la Figura 2 representamos una ronda conformada
solamente por 6 usuarios para efectos didcticos.
Figura 2. Ejemplo de ronda
202
La informacin de una roonda puede ddefinirse a travvs de

unna tabla de ccontingencia ccomo se muestra en la Taabla II,
doonde los renglones son los emisores y laas columnas sson los
reeceptores. Cadda celda (i, j) contiene el nnmero de meensajes
ennviados del ussuario i al usuuario j. Por ejjemplo, el usuuario 1
ennva 2 mensajees al usuario 6 y 1 al usuariio 7. Sin embaargo, el
attacante solo vee las marginalles de la tabla que corresponnden al
nmero de meensajes enviaddos o recibiddos. El objetivvo del
attacante es deeducir las celdas sombreaddas de la Taabla II.
Exxisten mltipples solucionnes que coorresponden a las
m
marginales; nuuestro algorittmo calcula el mayor nnmero
poosible de tabblas-solucioness con el objjeto de deduccir las
reelaciones de loos usuarios quue conforman lla red. A cadaa tablasoolucin le llam
mamos tabla faactible.
El algoritmoo arroja comoo resultado informacin rellevante
dee la existenciaa de la relacinn (o no relacin) entre cada par de
ussuarios. Los pasos a seguir son
s los siguienntes:
Tabla II. Ejemplo
E
de una roonda
1..
2..
3..
4..
5..
Emisores/ Recceptores
U1
U6
U7
U1
U3
U5
Total de men
nsajes
recibidoos
0
1
0
2
0
2
1
1
0
T
Total de mensajees
enviados
3
2
2
El atacantee obtiene la infformacin de n rondas a traavs de

la observaccin de la red ttal como se deescribe en [10].
Se generann las tablas faactibles para cada ronda a travs
del algoritm
mo utilizado een [11].
Se construuye una tabla agregada A qque correspondde a la
suma de toodas las rondass considerandoo todos los meensajes
enviados y recibidos poor cada usuario en el intervvalo de
tiempo dell ataque. Cadaa celda (i, j) reepresenta el nnmero
total de meensajes enviaddos de i a j.
Se calculann los elementoos que tienen mayor probabbilidad
de ser ceroo, en base al poorcentaje de taablas factibles donde
el elementoo es cero en las rondas en donde
d
est preesente.
El elementto ser cero een la tabla finnal A si es ccero en
todas las roondas.
Se lleva a cabo la clasifi
ficacin de cadda celda (i, j) en una
matriz estiimada donnde 1 indica que existe reelacin
entre el usuario i y el usuario j, y 0 indica
i
que no existe
relacin enntre ellos.
V. REPRESENTA
ACIN DE RESU
ULTADOS
mo a datos prroporcionados por el

Aplicamos nnuestro algoritm
Centro de Clcculo de la Uniiversidad Com
mplutense de M
Madrid
quue fueron preeviamente annonimizados. Tal informaccin la
diividimos en 32
3 subdominioos o facultadees que compoonen el
siistema de corrreo electrnicco. Para efecttos de demosttracin
heemos elegido ssolamente la F
Facultad A.
En la Tabla III presentam
mos los resultaddos obtenidoss luego
dee aplicar nuesttro algoritmo para la Faculttad A con datoos de 3
m
meses y en la Tabla IV parra 12 meses. Hemos considderado
taamaos de lotte de 10, 30 y 50. Podem
mos observar que
q los
vaalores estimaddos con lotes de mensajes menores se aacercan
m
ms a los valorres reales de lla red.
Taabla III
Resulttados de la Faculttad A con datos dde 3 meses
Batch Noodos
Estim
mado
Reeal
10
30
50
-
85
85
85
85
Aristas
406
406
403
406
Media
Grado
4.776
4.776
4.741
4.776
Densidad
0.0057
0.0057
0.0056
0.0057
Coeficientte de
Agrupamiento
0.3355
0.3355
0.3344
0.3355
Taabla IV
Resultaados de la Facultaad A con datos dee 12 meses
Batch N
Nodos Aristas
Estim
mado
R
Real
10
30
50
-
116
116
116
116
929
923
924
929
Media
Grado
8.009
7.957
7.966
8.009
dad
Densid
0.0700
0.0669
0.0669
0.0770
Coeficientee de
Agrupamieento
0.482
0.490
0.479
0.482
E la Figura 3 se muestra el grafo estim

En
mado y real de
d la
Facuultad A con 855 usuarios, coon un horizontte temporal dee tres
messes. En la Figgura 4 se muuestran los reesultados paraa un
perodo de 12 meeses. Las diferrencias son pooco perceptiblees es
por ello que hem
mos colocado llos dos grafos superpuestoos en
dondde las aristas de color verdde correspondeen a las relacioones
que nuestro algorritmo no ha deetectado tanto en 3 y 12 meeses.
mbin podem
mos notar que ambas redes exhhiben
Tam
caraactersticas proopias de munddo pequeo y eescala libre.
Figura 3. Grrafo simulado y reeal de la Facultadd A de un horizontte

temporaal de 3 meses.
F
Figura 4. Grafo siimulado y real dee la Facultad A dee un horizonte tem
mporal
de 112 meses.
A hacer un anlisis paara conocer los nodos ms

Al
importantes de caada uno de los grafos dondde vara el tam
mao
mismos resulttados. Esto quuiere
del lote se obtiennen casi los m
deciir que nuestro algoritmo es capaz de recoonocer quiness son
los nodos ms influyentes dentro una red a pesarr de
mero de nodos.
incrrementar el nm
E
En la Tabla V presentamoss los cinco graados ms altoos de
cenntralidad calcuulado para caada red estimaada con diferrente
lotee (10, 15, 20 y 30), la ltima columna corrresponde a loos de
la rred real. Por ootro lado, en laa Tabla VI moostramos los ccinco
grados de centrallidad ms bajoos.
203
SILVA et al.: Ataque estadstico Redes Sociales
Tabla V
Los cinco nnodos con mayor grado de centraliidad de la Facultaad A
Batch 10
Batch 30
Batch 50
Reall
0.286
0.214
0.190
0.167
0.167
0.286
0.214
0.190
0.167
0.167
0.286
0.214
0.190
0.167
0.167
0.2866
0.2144
0.1900
0.1677
0.1677
Tabla VI
Los cinnco grados de centtralidad ms bajoss de la Facultad A
Batch 10
Batch 15
B
Batch
20
Real
0.012
0.012
0.012
0.012
0.012
0.012
0.012
0.012
0.012
0.012
0.012
0.012
0.012
0.012
0
0.012
0.012
0.012
0.012
0.012
En la Figuraa 5 presentam
mos la comparrativa de los grados
esstimados y reaales de la Faccultad A para 3 y 12 mesess; entre
m
ms cercano est un punnto a la diaggonal mejor es la
esstimacin. En caso contrariio los puntoss aparecen muuy por
enncima o debajoo de la diagonnal.
Figura 5. Comparativo de llos grados estimaddos y reales.
IV. CON
NCLUSIONES
S
En este docuumento describbimos un ataqque probabilsttico de
reevelacin de identidades para un ssistema de correo
ellectrnico aannimo unniversitario, asimismo hemos
reepresentado taal sistema com
mo una red soccial. Al llevar a cabo
unn anlisis dee redes sociales y obteneer las mtricaas que
peermiten conoccer la centraliidad de los ussuarios involuucrados
poodemos deteectar aquelloss elementos ms imporrtantes,
quuines controllan el flujo dee la informaciin, quines sson los
quue pueden inflluenciar al restto de la red.
De los resulttados obtenidoos pudimos obbservar que el ataque
ess mejor en llotes pequeoos, as comoo tambin el grafo
esstimado es basstante similar aal real.
Dentro de llos trabajos futuros
f
a reallizar est el uutilizar
puuntos de cortee ms amplios para la classificacin de cceldas,
paara observar si se obtienenn mejores ressultados en lootes de
m
mayor tamao.
REFE
ERENCIAS
[1]
J. Imizcoz, Introduccin actores

a
sociales y redes de rellaciones:
d Pas
reflexiones ppara una historiaa global, Bilbaoo: Universidad del
Vasco, 2001, pp. 19-30.
J. Tyler, D. W
Wilkinson, B. H
Huberman, Emaail as sprectroscopy:
automated discoovery of communnity structure witthin organizationns in
Proceedings of C
Communities and technologies, 20003, pp. 81-96.
[3] C. Bekkerman, and A. McCalllum, Extracting social networkss and
contact informattion from email aand the web, in P
Proceedings of C
CEAS1, 2004.
EmailNet: autorm
matically mining ssocial
[4] M. Van.Alstyne, and J.Zhang, E
o
email communicatioons, in Proceedinngs of
networks from organizational
Annual Conferrence of the North Americcan Association for
Computational Social and Orgganizational Scieences (NAACSOSS03),
Pittsburg, PA, 20003.
M. Corney, O.de Vel, and G. Moohay, Identifyinng the
[5] A. Anderson, M
Authors of Suspect E-mail, Com
mmunications of thhe ACM, 2001.
X. Wang, and A.. Corrada-Emmannuel, Topic and Role
[6] A. McCallum, X
Discovery in Social
S
Networkss Journal of A
Artificial Intelliggence
Research 30, 20007, pp. 249-272.
Olovsson and P. T
Tsigas, Towardss Modeling Legittimate
[7] F. Moradi, T. O
and Unsolicitedd Email Traffic U
Using Social Neetwork Propertiess, in
Proceedings of the Fifth Workshop on Social Network
N
Systems (SNS
w York, 2012.
12). ACM, New
w
mixes on unnstructured netwoorks,
[8] S. Nagaraja, Annonymity in the wild:
In Proceedings of
o the 7th Workshhop on Privacy En
Enhancing technollogies
(PET 2007), Ottaawa, Canada, Junne 20-22, 2007.
Diaz, C. Troncosoo, and B. Laurie, Drac: an architeecture
[9] G, Danezis, C. D
for anonymous low-volume com
mmunications, iin Proceedings oof the
10th Privacy Enhhancing Technoloogies Symposium (PETS 2010).
[10] G. Danezis, Statistical Disclossure Attacks: Traaffic Confirmatioon in
Open Enviroments, Security annd Privacy in thee Age of Uncertaainty,
IFIP Advances in Information andd Communicationn Technology (Saabrina
de Capitani di V
Vimercati, Pieranngela Samarati, SookratisKatsikas, E
Eds.),
pp. 421-426, Appril 2003.
Garca Villalba, A
A. G. Silva Trujilllo, A.
[11] J. Portela Garcaa-Miguel, L. J. G
L. Sandoval Oroozco and T.-H. Kim,
K
Extracting A
Association Patterrns in
Network Commuunications in Sennsors Vol. 15, Isssue 2, February 20015.
[2]
Alejan
ndra Guadalupe Silva Trujillo received the Com
mputer
Sciencee Engineering deegree from Univversidad Autnom
ma de
San Luuis Potos (Mexicco). She works ass Security Engineeer in
the Staate Government. S
She is also a Lectuurer in the Departtment
mputer Science oof the Faculty oof Engineering oof the
of Com
Univerrsidad Autnoma de San Luis Pootos (UALSP). S
She is
Spain)
curreently a Ph.D. studdent at the Univerrsidad Complutennse de Madrid (S
and a Research Assistant
A
at Coomplutense Reseearch Group G
GASS
(http://gass.ucm.es). Her
H main researchh interests are privvacy and anonymiity.
Javier Portela Garca-Miguel receivved the Mathem
matics
degree from the Univerrsidad Complutennse de Madrid (Sppain).
from the Univerrsidad
He hoolds a Ph.D. in Mathematics fr
Compllutense de Maddrid. He is currrently an Assoociate
Professsor in the Depaartment of Statisstics and Operattional
Researrch of the Facculty of Statisttical Studies off the
Univversidad Compluutense de Madrrid and a Meember Researcheer at
Comp
mplutense Researcch Group GASS (http://gass.ucm
m.es). His professsional
experrience includes pprojects with Nokkia, Safelayer Seecure Communicaations
and H
H2020. His mainn research interests are privacy and anonymity.
Luis JJavier Garca Viillalba received a Telecommuniccation
Engineeering degree from
m the Universidaad de M\'alaga (S
Spain)
in 19933 and holds a M.S
Sc. in Computer N
Networks (1996) and a
Ph.D. iin Computer Scieence (1999), bothh from the Univerrsidad
Polit\'ecnica de Madridd (Spain). Visitinng Scholar at CO
OSIC
(Compuuter Security andd Industrial Crypptography, Departtment
of Electrical Engineeering, Faculty off Engineering, K
Katholieke Univerrsiteit
Leuvven, Belgium) in 2000 and Visitinng Scientist at IB
BM Research Divvision
(IBM
M Almaden Reseaarch Center, San JJose, CA, USA) inn 2001 and 2002,, he is
curreently Associate Prrofessor of the Deepartment of Soft
ftware Engineering and
Artifficial Intelligence at the Universidaad Complutense de
d Madrid (UCM
M) and
Headd of Complutensee Research Groupp GASS (Group of Analysis, Seccurity
and S
Systems, http://gaass.ucm.es) whichh is located in thee Faculty of Com
mputer
Sciennce and Engineerring at the UCM
M Campus. His prrofessional experrience
incluudes projects with Hitachi, IBM, Nokia,, Safelayer S
Secure
Com
mmunications and H2020. His maiin research intereests are cryptogrraphy,
codinng, information seecurity and its appplications.
204
205
Procedimiento metodolgico para la Implementacin de

Seguridades contra Ataques de Inyeccin SQL en PYMES
Francisco Gallegos, Pablo Herrera, Rosa Ramrez, Silvana Vargas, Walter Fuertes
Sangolqu, Ecuador
panchito_one@hotmail.com, pablo.herrera.ec@gmail.com, ayrut_ramirez@hotmail.com,
litzy_vargas@hotmail.com, wmfuertes@espe.edu.ec
Resumen Este artculo presenta un procedimiento
metodolgico para implementar seguridades en redes de
pequeas y medianas empresas que permita mitigar
ataques de Inyeccin SQL. Para lograrlo fueron
identificados las tareas, recursos y fases requeridas para
el anlisis, planificacin, organizacin, direccin y control
de los aspectos que debe tener una red bsica segura.
Como plataforma experimental se utiliz un entorno de
red virtualizado con una Aplicacin Web. Con ello se
inyectaron ataques de Inyeccin SQL obtenindose la
lnea base. Esto permiti determinar los daos y nivel de
intrusin del atacante al tener acceso a la base de datos de
la Aplicacin Web. A continuacin se procedi a
configurar un muro de fuegos de aplicaciones Web de
cdigo abierto llamado ModSecurity. En l se mejoraron
las polticas de seguridad y se evalu la seguridad que
ofrece, verificndose que todos los ataques de inyeccin
sean neutralizados. Como fundamento se aplicaron las
reglas bsicas provistas por el Proyecto abierto de
seguridad de aplicaciones Web OWASP. Los resultados
muestran que esta solucin es adecuada para PYMES que
tienen un presupuesto limitado.
Palabras ClaveSQL Injection, ModSecurity, SQLMap,
Seguridad Informtica, Ciberseguridad.
Abstract This study shows a methodologic procedure to
implement network securities in small and medium
enterprises, which allows to mitigate SQL Injection attacks.
In order to do this it was identified tasks, resources and
phases, all these required for the analysis, planning,
organization, direction and control of all the topics that a
basic secure network has to have. As an experimental
platform it was used a virtualized environment with a Web
Application installed on it. So, several SQL Injections
attacks were sending to the server and that was the baseline.
This allowed to determine damages and level intrusion of
the attacker, who had free Web application database access.
Then, an open source Web Application Firewall was
configured, this was ModSecurity. In this firewall the
security policies were improved and the security level was
evaluated, checking that all those kind of attacks were
neutralized. The basic rules provided for the Open Web
Application Security Project OWASP were applied as a
base. The results show that this solution is appropriate for
small and medium-sized enterprises with limited budget.
KeywordsSQL Injection, ModSecurity, SQLMap, Security.
Cybersecurity.
I.
INTRODUCCIN
En la actualidad, las empresas cada vez dependen ms de

la tecnologa y de la informacin que se genera en torno al
negocio. En el Ecuador, una importante fuente de ingresos y
dinamizador de la economa constituyen las PYMES. Esto lo
demuestra un estudio del Directorio de empresas [1], donde
en el universo de 733.977 empresas el 98,8% constituyen
microempresas (89,6%), pequeas empresas (8,2%) y
medianas empresas (1,0%). Esta cifra se ve mermada con el
poco o nulo conocimiento para proteger los recursos y bienes
informticos de las PYMES, caracterizndolas como
vulnerables y un blanco fcil para los hackers y otros
delincuentes informticos.
En total en Amrica Latina, ms de 552 millones de
identidades se expusieron durante el 2013 en todo el mundo,
lo que permiti a distintos delincuentes acceder a
informacin sobre tarjetas de crdito, fechas de nacimiento,
nmeros de documentos de identidad, domicilios particulares,
historias clnicas, nmeros de telfono, informacin
financiera, direcciones de correo electrnico, claves de
acceso, contraseas y otra clase de informacin personal [2].
Una de las formas ms comunes con las que los
delincuentes informticos atacan los sistemas Web son los
llamados SQL Injection, que se basan en conocimientos
avanzados del lenguaje de consulta de la base de datos
vctima y en la cual una pgina Web vulnerable, puede
obtener informacin, acceder a los equipos y violar la
integridad del servidor fcilmente [3].
Para contrarrestar este problema, se requiere medios de
deteccin y mitigacin de este tipo de ataques. Frente a este
escenario, se proponen diferentes mtodos los que van desde
equipos sofisticados de hardware y software sumamente
costosos, hasta soluciones simples pero muy eficientes que
estn al alcance del presupuesto de las PYMES.
El presente estudio realiza la evaluacin y anlisis
necesario para determinar que la solucin de software libre
es adecuado y conveniente para un control bsico de ataques
de inyeccin SQL. Se experimenta realizando ataques a una
pgina para determinar su vulnerabilidad utilizando SQLMap.
Luego se obtienen mediciones para obtener la lnea base,
determinando todos los posibles daos o informacin vital
que se pueda sustraer. Posteriormente, se configura la
herramienta ModSecurity en un servidor Web Linux y se
evala si los ataques son exitosos. Los resultados muestran
que al aplicar las reglas bsicas de seguridad del estndar
OWASP, la pgina disminuye su vulnerabilidad alcanzando
un nivel de seguridad aceptable para una Pyme.
206
GALLEGOS et al.:Ataques de inyeccin SQL en PYMES
El resto del artculo ha sido organizado como sigue: el

captulo 2 muestra el marco terico. El captulo 3 presenta el
diseo y la implementacin de la solucin. En el captulo 4 se
expone la evaluacin de resultados y discusin. El
captulo 5 describe la evaluacin de los resultados y la
discusin. El captulo 6 trata sobre las conclusiones y el
trabajo futuro.
II. MARCO TERICO
A. Ley sobre delitos informticos
La Tabla I contiene una sntesis de los delitos informticos
de acuerdo a la Ley de Comercio Electrnico, Mensaje de
Datos y Firmas Electrnicas del Ecuador, publicada en la Ley
N. 67. Registro Oficial. Suplemento 557 de 17 de Abril del
2002:
TABLA I Sanciones delitos informticos
Definicin
Violacin de claves o sistemas
Informacin extrada sobre
seguridad nacional o industrias.
Divulgacin de informacin
Falsificacin electrnica
Dao provocado a informacin
en un sistema.
Uso de recursos tecnolgicos
para apropiacin de bien ajeno
Estafa con medios electrnicos:
Sancin
Carcelaria
6 m 1a
3a
Sancin
Pecuniaria
$500-$1000
$1000-$1500
3a 6a
6a
6m 3 a
$2000-$10000
X
$60-$150
6m5a
$500-$1000
1a5a
$1000-$2000
B. Tipos de Ciber-delincuentes
Los ciber-delincuentes son las personas o grupo de
personas que realizan actividades ilegales haciendo uso de las
computadoras y en perjuicio de terceros, en forma local o a
travs de Internet [4]. Entre ellos se pueden citar: (1) Hacker:
Persona que disfruta aprendiendo los detalles de los sistemas
de informacin y como extender la capacidad de estos; (2)
Cracker: Persona que utiliza sus conocimientos de hacking
con fines maliciosos; (3) Phreaker: Es el especialista en
telefona (i.e. utiliza las telecomunicaciones gratuitamente);
A esto se suma que la mayora de las personas no comprende
que las aplicaciones Web son vulnerables. Por esa razn, es
cada vez ms comn que los ciber-delincuentes realicen
ataques sin el conocimiento y consentimiento de sus dueos
[5].
C. SQL Injection
Es un tipo de vulnerabilidad que se produce cuando a un
atacante se le da la facilidad de enviar sentencias SQL desde
la aplicacin hacia la base de datos [6].
Todas las bases de datos y lenguajes de programacin son
potenciales vctimas de este ataque. La vulnerabilidad se
genera en el desarrollo de aplicaciones cuando no se toman
en cuenta las buenas prcticas, como por ejemplo: las
consultas parametrizadas a la base de datos, la utilizacin de
procedimientos almacenados para ejecutar sentencias o la
creacin de usuarios de transaccin [7].
D. Lenguaje Estructurado de Consultas SQL

La sigla que se conoce como SQL corresponde a la
expresin inglesa Structured Query Language (entendida en
espaol como Lenguaje de Consulta Estructurado), la cual
identifica a un tipo de lenguaje vinculado con la gestin de
bases de datos de carcter relacional. Gracias a la utilizacin
del lgebra y de clculos relacionales, el SQL brinda la
posibilidad de realizar consultas con el objetivo de recuperar
informacin de las bases de datos de manera sencilla [8].
E. Ataques a Aplicaciones Web
Los ataques a las aplicaciones Web provocan deterioro de
la pgina Web, robo de informacin, modificacin de datos y
Suplantacin de identidad.
Existen varias investigaciones que se preocupan por buscar
la manera de detectar los ataques a las aplicaciones Web.
Segn Abdul Razzaq [9], los marcos de trabajo de seguridad
modelados con un enfoque ontolgico son una forma ms
efectiva de detectar los ataques. Abdul Bashah [10] propone
una herramienta para anlisis de vulnerabilidades de
Inyeccin SQL enfocado a la base de datos MySQL.
F. Mod Security
Es un muro de fuegos de aplicaciones Web de cdigo
abierto. Cuenta con un conjunto de herramientas que
permiten monitorear, llevar un registro de logs y controlar el
acceso a las aplicaciones Web en tiempo real.
G. SQLMap
Es una herramienta de cdigo abierto que permite realizar
pruebas de penetracin, automatiza los procesos de deteccin
y explota las fallas de Inyeccin SQL encontradas en los
sistemas Web, apoderndose as de los servidores de base de
datos [11].
H. Probabilidad de Ocurrencia
Estadsticamente, la probabilidad de ocurrencia de un
evento, es la razn entre el nmero de resultados en que se
presenta el evento y el nmero total de resultados posibles
[12]. Dentro del contexto de seguridades, la probabilidad de
ocurrencia corresponde al nivel de probabilidad que el riesgo
o problema se suscite.
III. DISEO E IMPLEMENTACIN DE LA SOLUCIN
Para la elaboracin de la metodologa, se consider que la
mayora de PYMES carecen de recursos para la adquisicin o
implementacin de tecnologa de avanzada para asegurar la
infraestructura que sustenta sus procesos tecnolgicos. Por
esta razn, los micro-empresarios no se encuentran
motivados en realizar una inversin para asegurar sus datos
expuestos al pblico. Adems, muchas veces las PYMES no
pueden asumir el costo que implica el cambio en el desarrollo
tecnolgico para solventar el problema de la inseguridad. En
vista de esto, se presenta la siguiente metodologa que busca
el ahorro en costos y recursos para implementar una red
segura bsica y mitigar los ataques de SQL Injection.
A. Diseo de la Solucin de Seguridad
Para este estudio, se dise un modelo de una red segura
bsica que una PYME debera implementar en su
207
infraestructura tecnolgica, la misma, que se utiliz para

realizar la simulacin de ataques de Inyeccin SQL hacia el
servidor Web que se encuentra en la DMZ. Se emple
servidores virtualizados basados en el trabajo propuesto por
Fuertes [13] et al., con sistema operativo Linux y un muro de
fuegos de aplicaciones Web (Web Application Firewall,
WAF) de software libre ModSecurity [14].
B. Topologa Propuesta de Investigacin
La Fig. 1 muestra la topologa experimental propuesta para
este proyecto. Como se puede apreciar la plataforma es
virtualizada y tiene a Linux como sistema operativo base.
TABLA II Matriz de probabilidades

Matriz de Probabilidades
Nombre del
Probabilidad de
Recurso
Ocurrencia (PO)
SERVIDOR WEB
Posible
SERVIDOR DE
Probable
BASE DE DATOS
Backtrack
Mod Security
Red Local
Servidor Web
Matriz de Riesgo
Nombre del
Impacto
Recurso
(IM)
SERVIDOR
WEB
SERVIDOR
DE BASE DE
DATOS
Servidor BDD
Fig.1. Plataforma experimental para la mitigacin de ataques

SQL Injection
C. Implementacin de la Metodologa
Los ataques de Inyeccin SQL se encuentran en el primer
lugar del Top Ten presentado por OWASP e histricamente
se ha mantenido as. Esta metodologa se enfoca en describir
cmo las PYMES deberan implementar las seguridades
necesarias para protegerse ante este tipo de ataques. A
continuacin se presenta una leve descripcin de las fases:
Fase 1: Anlisis y Evaluacin de la situacin actual.
Se realiz un levantamiento de la documentacin
disponible sobre la infraestructura de una PYMES, sobre la
cual se encuentran desplegadas las aplicaciones Web. En caso
de no existir dicha documentacin, se recomienda hacer un
levantamiento inicial de la misma.
Con la informacin obtenida se analizaron las debilidades
y posibles vulnerabilidades que podran tener las aplicaciones
Web. Se procedi con la evaluacin de los riesgos a travs
del uso de las Matrices de Riesgo y Probabilidades. Ver
Tabla II y Tabla III.
Fase 2: Planificacin y Configuracin de una Red
Bsica Segura
Para la planificacin y configuracin de la red, se
identificaron los riesgos, estableciendo prioridades,
organizando actividades y verificando los recursos que
participaran en la implementacin de las seguridades de los
sistema que se exponen al usuario final.
Como se indic, la configuracin de la red estuvo basada
en la topologa propuesta en esta investigacin. Se
implementaron dos zonas uno para los servidores y otro para
la red interna. Se configur el firewall para el acceso desde el
exterior por medio de Internet.
0.5
0.75
TABLA III Matriz de Riesgo
Probabilidad de
Ocurrencia
(PO)
0.5
Riesgo
(IM*
PO)
3.5
0.75
Internet
Firewall Linux
Valoracin
Fase 3: Pruebas bsicas de Intrusin

Fueron ejecutadas pruebas de intrusin y se verific que el
sitio era vulnerable a ataques de Inyeccin SQL. Los ataques
con tcnicas manuales no son recomendables, la forma
correcta es utilizar herramientas, avanzadas por ejemplo:
SQLMap, The Mole, Pagolin, SQL Power Injector, entre
otras.
Se documentaron los resultados obtenidos en las pruebas.
Estos incluyeron los parmetros identificados como
vulnerables, los cuales fueron obtenidos por las herramientas
de pruebas automatizadas. Estos datos fueron comparados
con los datos obtenidos en las pruebas de comprobacin, las
cuales se realizarn luego de haber implementado una
solucin de mitigacin a este tipo de vulnerabilidad.
Fase 4: Implementacin de Seguridades para las
Aplicaciones Web
Se configur de manera bsica un dispositivo que realice
las funciones de proteccin del servidor Web que posee
visibilidad hacia el Internet. En este caso particular se emple
un firewall de aplicaciones Web (Web Application Firewall,
WAF). En esta investigacin se aplic la herramienta llamada
ModSecurity, la misma que est configurada utilizando las
reglas de acceso obtenidas desde el OWASP, las cuales
controlan de manera satisfactoria las intrusiones por
inyecciones de cdigo SQL.
Fase 5: Pruebas de Comprobacin
El objetivo de esta fase consisti en ejecutar el ataque de
Inyeccin SQL en un ambiente que previamente se ha
preparado, tomando en cuenta las recomendaciones de la
metodologa.
Las pruebas de comprobacin tambin validaron que la
funcionalidad de la aplicacin no se vea afectada. En algunos
casos las aplicaciones WAF bloquean peticiones vlidas por
contener una estructura que concuerda con algunas de las
reglas de validacin. Si se llegara a detectar este escenario, se
debe reprogramar la regla para aadir excepciones, sin que se
208
vea afectado el bloqueo efectivo de los ataques; para lo cual

hay que volver a realizar las pruebas de comprobacin que
sean necesarias hasta validar que todo funcione
correctamente.
Otro tipo de prueba que se efectu, fue una de carga, para
validar que el rendimiento o desempeo de la aplicacin Web
no haya sido afectado al instalar el WAF. Se recomienda el
uso de herramientas especializadas en Performance Testing.
Para el caso de PYMES se podra emplear JMeter, que es de
cdigo abierto y permite automatizar las pruebas de
aplicaciones Web simulando la interaccin de varios usuarios
concurrentes, obteniendo el tiempo de respuesta de las
transacciones que se deseen analizar.
D. Implementacin de la Solucin de Seguridad
Para experimentar ataques de este tipo se cre una
aplicacin Web vulnerable. Luego se realiz una prueba
manual inyectando una sentencia SQL para comprobar que se
puede tener acceso a la base de datos. El resultado obtenido
del ataque fue exitoso. Se pudo conseguir la lista completa de
productos. La sentencia inyectada se pude visualizar en la
Fig.2 y su resultado est plasmado en la Fig.3.
Mediante esta prueba manual, se determin que uno de los
campos de entrada de datos es vulnerable, en este caso la
variable txtCodigo que est siendo enviada mediante una
peticin GET.
Si bien los ataques de SQL Injection se los puede realizar
de forma manual, existen herramientas que permiten hacerlo
de forma automatizada, entre ellas se puede mencionar a: The
Mole, Pagolin, SQLMap, entre otras. Para realizar el
experimento se utiliz SQLMap, la cual es una herramienta
escrita en Python que ejecuta de forma automtica peticiones
a los parmetros URL de una direccin especfica.
Fig. 4. Ejecucin de SQLMap.

En el experimento se utiliz la opcin dump, como se
aprecia en la Fig.4, lo cual permiti apoderarse el listado de
tablas del sistema y extraer la informacin de las Bases de
Datos, sus tablas y registros. Los datos extrados son
almacenados dentro de archivos segn la estructura en la que
est configurado SQLMap, generalmente en la ruta
SQLMap/output/. Lo primero que realiza SQLMap es
buscar si alguno de los parmetros GET o POST es
inyectable.
Durante ese proceso se identific el motor de Base de
Datos utilizando mecanismos como sentencias UNION o
consultas apiladas. Como se muestra en la Fig. 5. se detect
que el parmetro vulnerable se llama "txtCodigo".
Fig. 5. Identificacin de parmetro vulnerable.

Una vez que se localiz el parmetro vulnerable, SQLMap
lo utiliz para ir obteniendo la informacin completa de
tablas y registros de todas las Bases de Datos del servidor al
que se accedi (ver Fig. 6).
Fig. 2. Inyeccin SQL en aplicacin Productos.
Fig. 6. Obtencin de registros de una tabla.
Fig. 3. Resultado Inyeccin SQL.

El objetivo de ataques de este tipo es inyectar cdigo SQL
dentro de la aplicacin Web para obtener o manipular
informacin de una base de datos.
Para mitigar ataques de este tipo se instal ModSecurity,

que es un WAF de cdigo abierto, el cual utiliza un conjunto
de reglas propuestas por OWASP [15], evitando que el
atacante consiga su objetivo. En la Fig. 7, se muestra el
mensaje obtenido al haber lanzado nuevamente el ataque,
indicando que el parmetro ya no es vulnerable. ModSecurity
recolect un Log de los ataques realizados, detallando el tipo
de ataque y lo mape con la regla respectiva.
209
Tiempos de respuesta
Milisegundos
Finalmente se ejecutaron las pruebas funcionales

necesarias, comprobando que el comportamiento sea el
correcto. Tambin se realizaron pruebas de carga para validar
que el rendimiento de la aplicacin no se haya visto
implicado, para esto se utiliz la herramienta JMeter.
80
70
60
50
40
30
20
10
0
10
20
30
40
50
60
Nmero de usuarios
SIN WAF Tiempo (ms)
CON WAF -Tiempo (ms)
Fig. 8. Comparacin tiempos de respuesta.
IV. EVALUACIN DE RESULTADOS Y DISCUSIN

A. Evaluacin de Resultados
ModSecurity mitig el ataque de Inyeccin SQL y en las
pruebas se evidenci que el funcionamiento de la aplicacin
Web no se vio afectado. Para medir el comportamiento de la
aplicacin antes y despus de instalar el WAF se manej
JMeter. Se evalu la transaccin de bsqueda de productos
cuyos resultados se muestran en la Tabla IV. La informacin
obtenida fue el tiempo de respuesta medido en milisegundos
y el nmero de transacciones por segundo que se alcanzaron
a procesar segn el nmero de usuarios concurrentes.
TABLA IV Medicin de Tiempos de respuesta
SIN WAF
CON WAF
Nro.
Usuarios
Concurrentes
Tiempo
(ms)
Trans /
Segundo
Tiempo
(ms)
Trans /
Segundo
10
20
30
40
50
60
1
1
1
1
1
2
362
560
671
685
741
763
3
9
23
40
57
82
353
509
527
541
569
591
Observando los resultados, se puede apreciar que sin

utilizar un WAF el tiempo de respuesta es mucho menor que
al hacer uso de uno de ellos. Esto se debe a que al tener
activado el WAF, este tiene que analizar cada una de las
peticiones enviadas hacia la aplicacin Web. Por lo tanto al
incrementar el nmero de usuarios, el tiempo de respuesta se
incrementa. Al no utilizarlo, el tiempo de respuesta no se ve
afectado, debido principalmente a que la transaccin que se
est evaluando es una consulta que obtiene nicamente un
registro de la base de datos y por tanto no le toma mucho
tiempo de proceso al servidor. Esto significa que la mayor
parte de proceso de una peticin la realiza el WAF por el
anlisis que debe hacer de las distintas reglas que tiene que
validar para determinar si se trata de ataques o no. Este
comportamiento puede ser apreciado en la Fig. 8.
Respecto al nmero de transacciones por segundo que

pueden procesar los usuarios concurrentes, igualmente el
nmero de transacciones que se procesa por segundo es
menor al utilizar el WAF. En la Fig. 9, se puede apreciar una
grfica comparativa.
Nro. Transacciones / segundo
Fig. 7. Bloqueo del ataque mediante WAF ModSecurity.
Transacciones por segundo

800
700
600
500
400
300
10
20
30
40
50
60
Nmero de usuarios
SIN WAF Tx / Seg
CON WAF Tx / Seg
Fig. 9. Comparacin tiempos de respuesta

B. Discusin
Lo primero que se puede apreciar es que la aplicacin Web
mejora la seguridad considerablemente ante los ataques. Por
otro lado, si bien el tiempo de respuesta aumenta al utilizar
un WAF, este es mnimo (despreciable) tomando en cuenta
que se tratan de milisegundos. Es decir puede llegar a ser
imperceptible por el usuario final. Por lo que, se puede
afirmar que una PYME tiene una buena alternativa de
seguridad al hacer uso de un WAF, pues no exige mucho
esfuerzo en realizar su configuracin, no representa mayor
inversin y no tiene un impacto negativo sobre el
funcionamiento de la aplicacin Web.
Finalmente, sobre la base de esta investigacin se podra
deducir que no existe una cultura de proteccin sobre los
datos en las PYMES, aunque la mayora de los negocios se
apoyan en las TICs. Esto impide que las PYMES prioricen la
prevencin, el control y la mitigacin de ataques de
Inyeccin SQL. Se debe considerar que la velocidad de
evolucin de los ataques es directamente proporcional al
avance de la tecnologa. Adems, es necesario que el
gobierno del Ecuador realice campaas que promulguen las
mejores prcticas de seguridad e incentiven al desarrollo de
soluciones de bajos costos.
210
V.
TRABAJOS RELACIONADOS
Es importante mencionar que durante la investigacin se

encontr el trabajo propuesto por G. Delgado [16] que se
enfoca en una metodologa de pruebas de Inyeccin SQL.
Comparado con el nuestro, este no abarca las fases desde el
anlisis hasta la mitigacin de los ataques de este tipo. Existe
tambin el estudio propuesto por Abdul Razzaq et al., [9],
cuyo proyecto de investigacin se bas en la aplicacin de un
enfoque ontolgico expresando que es una forma ms
efectiva para detectar los ataques a las Aplicaciones Web. En
nuestro caso se busc una herramienta de cdigo abierto que
aplique los mecanismos de deteccin y que pueda ser usada
en las PYMES. El trabajo presentado por de M. A. Abdul
Bashah [10] se enfoc a herramientas de escaneo de
vulnerabilidades de Inyeccin SQL para la base de datos
MySQL. Nuestra investigacin en cambio, busca un medio
de mitigacin sin importar el motor de base de datos. En el
trabajo de K. Martinez [17] se describe que las PYMES
requieren de proteccin para afrontar riesgos de seguridad
informtica y proponen que una solucin inicial y de bajo
costo es el uso de un Firewall en Linux. En nuestro trabajo
proponemos un mecanismo adicional para un tipo de ataque
especfico. En la investigacin de W. Fuertes et al., [13]
sobre la evaluacin de ataques UDP Flood, se menciona la
implementacin y uso de entornos virtuales para percibir el
impacto que estos generan en la red. Esta tcnica sirvi de
gua para el diseo e implementacin de la plataforma
experimental.
Este artculo estuvo enfocado en establecer un
procedimiento metodolgico para implementar seguridades
en redes de PYMES que permita mitigar ataques de
Inyeccin SQL. Para llevarlo a cabo, se configur un WAF
libre y gratuito para aplicaciones Web. Como plataforma se
utiliz un entorno de red virtualizado con una Aplicacin
Web. Con esta plataforma se obtuvo la lnea base,
determinando los daos y nivel de intrusin del atacante al
tener acceso a la base de datos de la Aplicacin Web. Se
evalu la seguridad que ofrece ModSecurity para verificar
que todos los ataques de inyeccin sean neutralizados, de
conformidad con las reglas bsicas provistas por OWASP. Se
demostr que siguiendo una metodologa para la seguridad en
redes, es posible implementar una herramienta eficiente para
la proteccin de seguridades en las PYMES con recursos de
software libre, y que es una opcin viable con respecto a
costos y tiempo de implementacin.
Como trabajo futuro se plantea investigar la aplicabilidad
de esta metodologa en la mitigacin de ataques de
denegacin de servicio (Denial of Service, DoS) que
imposibilite el acceso a un recurso de la organizacin y que
atente contra la seguridad de las TICs en las PYMES.
AGRADECIMIENTOS
Computacin de la Universidad de las Fuerzas Armadas
ESPE de Sangolqu, Ecuador; y de manera especial al Grupo
de Investigacin de Sistemas Distribuidos, Ciberseguridad y

Gestin y Mitigacin de Ataques a la Ciberseguridad",
Cdigo: ESPE-2015-PIC-019.
REFERENCIAS BIBLIOGRFICAS
[1] Inec, Senplades, Ecuador en Cifras, 2012. [En lnea].
Available
at:
http://issuu.com/publisenplades/docs/140210_dirempresas_fina
l4.
[2] Symantec, El 2013 fue el ao de la Gran Violacin de la
Seguridad Ciberntica, Tendencias de Seguridad Ciberntica
en Amrica Latina y el Caribe, p. 99, 2014.
[3] Appelt, Dennis, Cu D. Nguyen, and Lionel Briand. "Behind an
Application Firewall, Are We Safe from SQL Injection
Attacks?." Software Testing, Verification and Validation
(ICST), 2015 IEEE 8th International Conference on. IEEE,
2015.
[4] Rogfel Thompson Martnez, Metodologa para elevar los
niveles de seguridad informtica en aplicaciones web mediante
el anlisis de inyecciones SQL con el empleo de tcnicas de
minera de datos, Habana, 2012. Master Tesis.
[5] Fuertes, Walter, et al. "Repowering an Open Source Firewall
Based on a Quantitative Evaluation." International Journal of
Computer Science and Network Security (IJCSNS) 14.11
(2014): 118.
[6] J. Clarke y A. Rodrigo Marcos, SQL Injection Attack and
Defense, USA: Syngress, 2012.
[7] J. Clarke, SQL Injection Attacks and Defense, Elsevier, Inc.,
2012.
[8] Ben-Gan, Microsoft SQL Server 2012 T-SQL Fundamentals,
Microsoft, 2012.
[9] R. Abdul, A. Zahid, A. H. Farooq, L. Khalid y M. Faisal,
Ontology for attack detection: An intelligent approach to Web
application security, Computers & Security, 2014.
[10] M. A. Abdul Bashah, SQL-injection vulnerability scanning
tool for automatic creation of SQL-injection attacks, Procedia
Computer Science, 2011.
[11] OWASP, Automated Audit using SQLMap, 01 22 2013. [En
lnea].
Available
at
https://www.owasp.org/index.php/Automated_Audit_using_SQ
LMap. [ltimo acceso: 10 02 2015].
[12] Levin, Richard I. y Rubin, David S. Estadstica para
Administracin y economa., Mxico 2004.
[13] Fuertes, Walter, Fernando Rodas, and Deysi Toscano.
"Evaluacin de ataques UDP Flood utilizando escenarios
virtuales como plataforma experimental." Facultad de
Ingeniera 20.31 (2012): 37-53.
[14] Risti, ModSecurity Handbook, London: Feisty Duck Limited,
2012.
[15] OWASP, OWASP ModSecurity Core Rule Set Project, 2013.
[En
lnea].
Available
at:
https://www.owasp.org/index.php/Category:OWASP_ModSec
urity_Core_Rule_Set_Project. [ltimo acceso: 19 Febrero
2015].
[16] G. Delgado, Metodologa de Pruebas de Inyeccin SQL para
entornos Web, Facultad de Ingeniera, Universidad
Pedaggica y Tecnolgica de Colombia, Revista Digital
Apuntes de Investigacin Vol. 3, 2012, ISSN: 2248-787.
[17] K. Martnez, Firewall-Linux: Una Solucin De Seguridad
Informtica Para Pymes (Pequeas Y Medianas Empresas),
Revista UIS Ingenieras, 2009.
211
SecBP&P: Hacia la obtencin de Artefactos

UML a partir de Procesos de Negocio Seguros
y Patrones de Seguridad
Matas Zapata1, Alfonso Rodrguez2,3, Anglica Caro2,3,
1
Magister en Ciencias de la Computacin
2
Departamento de Ciencias de la Computacin y Tecnologas de la Informacin,
3
Business Process Engineering Research Group
Universidad del Bio Bo, Chilln,
email: matzapat@alumnos.ubiobio.cl,{alfonso,mcaro}@ubiobio.cl
Resumen La incorporacin de conceptos de seguridad

dentro de los modelos de procesos de negocio ha resultado ser un
factor interesante para el proceso de desarrollo de software. Esta
especificacin temprana de requisitos permite evitar problemas
relacionados con la seguridad que sera costoso corregir en
etapas posteriores. Por otro lado, dentro del rea de la seguridad
en ingeniera de software, existen los patrones de seguridad, que
son importantes pues guan el proceso de desarrollo de software
seguro. En este trabajo se utilizarn, en conjunto, los modelos de
proceso de negocio con especificaciones de seguridad y los
patrones seguridad, con el objeto de generar artefactos valiosos
para la construccin de software. Especficamente, se crearn un
conjunto de clases de anlisis UML que incluyan la seguridad.
Palabras Clave Proceso de Negocio Seguro, Patrones de
Seguridad
I. INTRODUCCIN
Uno de los factores de crecimiento de las organizaciones es
el rpido avance de las tecnologas de informacin y la fuerte
integracin de los diferentes departamentos dentro de esta
misma. Este desarrollo de las organizaciones, trae consigo un
incremento de la vulnerabilidad pues aumenta el nmero de
intentos de ataque, y lo ms probable es que, tarde o temprano
uno de los ataques realizados, tendr xito [1]. Esta situacin
puede generar grandes prdidas de informacin y daos al
sistema en s, razn por la cual resulta imprescindible contar
con cierto nivel mnimo de seguridad.
Consecuentemente, la seguridad no puede ser considerada
como un objetivo independiente, motivo por el cual las
organizaciones deben coordinar, desplegar y orientar muchas
de sus capacidades esenciales para alcanzar soluciones que
brinden soporte a la seguridad desde una perspectiva deseada.
Un punto de vista sobre el tratamiento de la seguridad, es
incluirla en los procesos de negocio [2][8], entre otros.
Especficamente, se trata de incluir requisitos de seguridad
dentro de los Procesos de Negocio (BP por sus siglas en
ingls, Business Process), obteniendo como resultado un
Proceso de Negocio Seguro (SBP por sus siglas en ingls
Secure Business Process). La descripcin de un SBP puede ser
utilizada dentro de la construccin de un software seguro y
una perspectiva interesante es complementar los aspectos de
seguridad del software utilizando patrones de seguridad. Por
su parte, los patrones de seguridad representan las mejores

prcticas y experiencias de los expertos a fin de detener o
limitar ataques. Tambin brindan soporte para proteger la
confidencialidad, integridad y disponibilidad de los datos
dentro de un sistema [9]. La importancia de dichos patrones
recae en la forma en que guan el proceso de desarrollo de
software seguro desde sus inicios.
El resto de este artculo se ha organizado de la siguiente
forma; en la Seccin 2 se abordan los principales trminos
relacionados, donde se abarca la seguridad en los procesos de
negocio y patrones de seguridad; en la Seccin 3 se muestran
los trabajos relacionados; en la Seccin 4 se presenta nuestra
propuesta y la relacin de los requisitos de seguridad con los
patrones; en la Seccin 5 se muestra un ejemplo ilustrativo
que permite explicar nuestra propuesta, para finalmente, en la
Seccin 6 mostrar las conclusiones.
II. TRMINOS RELACIONADOS
Para contextualizar nuestra propuesta, en esta seccin se
discuten temas relacionados con la seguridad, presentados en
las siguientes subsecciones; A) se muestran los requisitos de
seguridad de forma genrica y se mencionan trabajos que
abordan la seguridad dentro de los BP y B) donde se presentan
los principales patrones de seguridad descritos en la literatura,
orientados tanto a los modelos de control de acceso como a las
arquitecturas de control de acceso.
A. Seguridad en Procesos de Negocio
Las organizaciones poseen diferentes perspectivas de la
seguridad que subyace en los sistemas de informacin. No
obstante, al considerar un alto grado de abstraccin, todos los
sistemas tienden a poseer los mismos tipos bsicos de activos
valiosos y potenciales vulnerabilidades de los mismos [10].
En la literatura existe una propuesta que permite identificar
estos requisitos de seguridad, descompuestos como sub
factores de calidad, donde se incluyen conceptos de seguridad
de forma genrica [10]. Dichos factores y sub factores de
seguridad son; control de acceso (identificacin, autenticacin
y autorizacin), no repudio, deteccin de ataques/amenazas,
auditora de seguridad, privacidad (confidencialidad y
212
ZAPATA et al.: SecBP&P
anonimato), proteccin fsica, recuperacin, prosecucin e

integridad (datos, hardware, personal y software). Diferentes
autores incluyen temas relacionados con la seguridad dentro
de los BP [2][8]. En este trabajo se utilizar la extensin
BPSec propuesta por Rodrguez et al. en [6], debido a que
permite representar de forma explcita los requisitos de
seguridad dentro del modelado de BP con BPMN.
Notacin
TABLA I
REQUISITOS DE SEGURIDAD- BPSEC
Requisito de
Elemento
Descripcin
Seguridad
BPMN
Pool, Lane,
Group y
Activity
Limitacin de acceso
a recursos slo a
usuarios autorizados
Pool, Lane,
Group, Activity,
Message Flow,
y Data Object
Deteccin, registro y
notificacin de una
tentativa de ataque
Integrity
Message Flow
y Data Object
Proteccin de
componentes de
corrupcin intencional
y no autorizada.
Non
Repudiation
Message Flow
Necesidad de evitar la
denegacin de
cualquier aspecto de
una interaccin
Pool, Lane y
Group
Proteccin de la
informacin, limitando
el acceso a entidades
no autorizadas
Pool, Lane,
Group, Activity,
Message Flow,
y Data Object
Capacidad de recoger
y analizar informacin
sobre el uso de
mecanismos de
seguridad.
AC
Access
Control
AD
Attack Harm
Detection
Ix
NR
Px
Privacy
Audit
Register (AR)
En la Tabla I se muestra un resumen de los requisitos de

seguridad que se pueden representar con BPSec y los
elementos en los cuales se puede especificar con respecto a
BPMN.
subsistemas y sus respectivas responsabilidades. En este

nivel se encuentran los patrones NICO PUNTO DE ACCESO,
PUNTO DE CONTROL Y SESIN DE SEGURIDAD.
Patrones de diseo: nivel de abstraccin menor que los de

arquitectura, es decir, ms prximos al cdigo. Su uso no
refleja la estructura global del sistema como tal. En este
nivel se encuentran los patrones AUTORIZACIN, CONTROL DE
ACCESO BASADO EN ROLES (RBAC, del ingls Role-Based
Access Control), SEGURIDAD MULTINIVEL Y MONITOR DE
REFERENCIA.
Patrones de interaccin/interfaz: soluciones exitosas a

problemas relacionados con la interfaz de usuario. Forman
un medio de comunicacin expresado en notacin sencilla,
para ser entendida por el equipo de diseo. En este nivel se
encuentras los patrones ACCESO TOTAL CON ERRORES Y ACCESO
LIMITADO.
En este trabajo nos centraremos en los patrones de

seguridad recopilados en [9], enfocndonos en los niveles de
diseo, arquitectura e interfaz, especficamente, los patrones
de seguridad mencionados en dichos niveles.
A continuacin se muestran los patrones de seguridad desde
una perspectiva general. En la Figura 1, se pueden ver los
principales patrones orientados al MODELO DE CONTROL DE
ACCESO y la manera en que se relacionan entre s.
hace cumplir
los derechos
hace cumplir
los derechos
hace cumplir
los derechos
estructura
de
Fig. 1. Patrones de Seguridad - Modelo de Control de Acceso [9].
La Figura 2 muestra los patrones de seguridad orientados a

DE CONTROL DE ACCESO y como se
relacionan entre ellos.
ARQUITECTURAS
B. Patrones de Seguridad
La definicin de patrn de seguridad no vara demasiado de
la definicin de patrn en general. Un patrn de seguridad
describe un problema de seguridad recurrente y particular, que
surge en contextos especficos y presenta una solucin
genrica que ha sido probada para dicho problema [9].
Schumacher et al. [9], recopila una serie de patrones de
seguridad y describe un formato genrico para dichos
patrones.
Bonillo [12] propone una taxonoma de patrones, los que
son agrupados en los siguientes niveles de abstraccin:
Patrones de anlisis: grupos de conceptos que forman parte
de una construccin comn en el mundo del modelado
conceptual, son relevantes a un dominio o pueden ser
adaptados a otros. Visin ms conceptual y estructural,
identificando la naturaleza de las situaciones. En este nivel
no se encuentran patrones de seguridad definidos.
Patrones de arquitectura: esquemas fundamentales de la
organizacin de un sistema, identificando una serie de
inicializa/usa
crea
usa
define
Fig. 2. Patrones de Seguridad Arquitecturas de Control de Acceso [9].
En ambas figuras no se representa la estructura interna de

los patrones de seguridad, pero es posible distinguir las
relaciones que existen entre ellos.
213
III. TRABAJOS RELACIONADOS

A continuacin se describen algunas propuestas que
abordan el uso de patrones de seguridad en los BP,
considerando especificaciones de seguridad en dichos
procesos.
Ahmed y Matuleviius [14], proponen un mtodo que
introduce requisitos de seguridad en los procesos de negocio, a
travs de la colaboracin entre los analistas empresariales y de
seguridad. Para apoyar dicha colaboracin, utilizan un
conjunto de patrones orientados a los riesgos de seguridad.
Li et al. [15], proponen un proceso sistemtico para analizar
y aplicar patrones de seguridad mediante el estudio de
requisitos de seguridad especificados. A pesar de que hablan
de requisitos de seguridad, utilizan objetivos de seguridad con
atributos de seguridad, donde slo consideran; integridad,
confidencialidad y disponibilidad.
Como se puede apreciar, existen pocos trabajos que tengan
como punto de partida un SBP, particularmente Ahmed y
Matuleviius [14], proponen una buena aproximacin al uso
de patrones dentro del modelado de SBP.
IV. PROPUESTA
Nuestra propuesta, SecBP&P (del ingls Secure Business
Process and Security Patterns), parte de la premisa de que a
nivel de BP, los principales involucrados (clientes, usuarios
finales o analistas de negocios) son capaces de expresar
necesidades y/o requisitos de seguridad existentes dentro del
proceso [17]. Por ejemplo: saber qu datos necesitan proteger,
que tareas deben ser ejecutadas slo por el personal
autorizado. En base a esto, se cree que es factible que, usando
estos requisitos de seguridad, se pueda seleccionar patrones de
seguridad para mejorar la especificacin de artefactos tiles en
el desarrollo software.
SecBP&P
Proceso de Negocio
Seguro
Anlisis de equivalencia
Patrones/Requisitos de seguridad
Seleccin y Personalizacin de patrones
Patrones de Seguridad
2
Refinamiento
2.1
Eliminacin de
patrones repetidos
Unin de clases equivalentes
2.2
Unin de sub-patrn a
macro-patrn
UML
2.3
Clase de Anlisis
Aspectos de Seguridad
Unin de patrones
resultantes
Fig. 3. Resumen Propuesta.
El objetivo que se busca con esta propuesta es definir un

mtodo que permita generar artefactos que complementen el
proceso de creacin de software, considerando como punto de
partida un proceso de negocio seguro y un conjunto de
patrones de seguridad, los cuales sern seleccionados y
personalizados con la informacin obtenida desde la
especificacin del proceso de negocio seguro
En la Figura 3 se muestran las diferentes fases del mtodo
propuesto. Como entrada se recibe un modelo SBP y los
patrones de seguridad. Las especificaciones de seguridad del
modelo SBP se realizarn con la extensin BPSec [6]. En base
a dichas especificaciones se proceder a realizar la:
Fase-1: ANLISIS DE EQUIVALENCIA DE PATRONES/REQUISITOS DE
SEGURIDAD, de la cual se obtiene la informacin del modelo
mediante reglas de transformaciones (propuestas por
Rodrguez et al. [18]). Dichas reglas permiten obtener el
diagrama de clases desde el SBP a partir de los requisitos de
seguridad especificados. Luego se analiza para cada
pool/lane (que equivale a una clase) y los patrones de
seguridad que son equivalentes en cuanto a los requisitos de
seguridad (ver Tabla II), asignando un patrn para cada
pool/lane.
Fase-2: REFINAMIENTO, esta fase se encuentra dividida en dos
sub-fases. En la Sub-Fase 2.1), se eliminan patrones
repetidos y se realiza la unin de clases equivalentes, es
decir, se reduce la herencia de clases para disminuir la
complejidad al momento de analizar el diagrama resultante,
todo esto, a travs de unificacin de clases. Posteriormente,
se procede a Sub-Fase 2.2), en donde se seleccionan aquellos
patrones que poseen un subconjunto de los requisitos de
seguridad comn, para luego ser unidos a aquel patrn
(macro patrn) que posea dichos requisitos. Finalmente,
en la Sub-Fase 2.3) se unen los patrones generando un
diagrama de clases de anlisis que refleja la totalidad del
diagrama modelado inicialmente.
La etapa de refinamiento se base en el anlisis que se hizo
de la relacin que estableci entre los Requisitos de Seguridad
y los Patrones de Seguridad la cual se detalla en la Tabla II.
Se habla de Monitoreo de Control de Acceso, cuando un
requisito de seguridad es especificado sobre un Pool, Lane o
Group, debido a que estos representan una entidad dentro de
BPMN y no forma parte de un recurso. Por otro lado, se habla
de Monitoreo de Recursos, cuando un requisito de seguridad
es especificado sobre un Activity, Message Flow o Data
Object, debido a que representan recursos dentro de BPMN,
ya sean tareas/funciones, mensajes y datos respectivamente.
Considerando los tipos de monitoreo que se puede realizar
dentro de un SBP, se puede relacionar los requisitos de
seguridad con los patrones antes descritos.
INTEGRIDAD est asociada a todos los patrones a nivel de
arquitectura e interfaz, debido a que dichos patrones velan
para que slo los usuarios autorizados puedan acceder y/o
modificar los datos que les correspondan. En cuanto a los
patrones a nivel de diseo, este requisito est asociado a
los ltimos dos patrones de dicho nivel.
214
Acceso Total
con Errores
Acceso
Limitado
M. R.
Auditora de Seguridad
M. R.
Privacidad - Confidencialidad
M. CA
M. CA
Deteccin de Ataques/Amenazas
RBAC
Monitor de
Referencia
Autorizacin
Seguridad
Multinivel
No Repudiacin
M. R.
PATRONES DE
SEGURIDAD
A NIVEL DE INTERFAZ
Sesin de
Seguridad
Integridad
Tipo de
Monitoreo
PATRONES DE SEGURIDAD A
NIVEL DE DISEO
Punto de
Control
Requisitos de Seguridad
BPSec
PATRONES DE SEGURIDAD
A NIVEL DE ARQUITECTURA
nico Punto
de Acceso
TABLA II
RELACIN PATRONES DE SEGURIDAD - REQUISITOS DE SEGURIDAD.
M. R.
AC Identificacin
M. CA
AC Autenticacin
M. CA
AC - Autorizacin
M. CA
AC - Autorizacin
M. R
M. CA: Monitoreo de Control de Acceso M. R: Monitoreo de Recursos
NO REPUDIACIN est vinculado directamente con el monitoreo
PRIVACIDAD est asociada con la confidencialidad, y se da para
de los recursos y no est explcitamente relacionado con

algn patrn en particular. Pero debido a que hay patrones
que analizan si una entidad posee derechos de acceso, se
puede agregar un Log y almacenar informacin referente a
quin accede a los datos del sistema, para luego ser
analizada. Al implementar esta estrategia, en cuanto a los
patrones de arquitectura, slo SESIN DE SEGURIDAD permite
un monitoreo de recurso. Por otro lado, a nivel de diseo,
los patrones SEGURIDAD MULTINIVEL y MONITOR DE
REFERENCIA, estn encargados de la asignacin de los
recursos e interceptar las solicitudes hacia los mismos
respectivamente. Finalmente, en cuanto a los patrones de
interfaz, todos poseen no repudiacin de los recursos.
AUDITORA DE SEGURIDAD, al igual que en el requisito anterior,
se puede un Log para auditar al sistema con respecto al
acceso de la informacin. En cuanto a los patrones a nivel
de arquitectura, NICO PUNTO DE ACCESO y PUNTO DE
CONTROL, se pueden auditar a nivel de control de acceso
solamente y SESIN DE SEGURIDAD permite auditora a nivel
de control de recursos. En cuanto a los patrones a nivel de
diseo, SEGURIDAD MULTINIVEL y MONITOR DE REFERENCIA
permiten saber quin est accediendo a los recursos. Por
ltimo, en cuanto a los patrones de interfaz ACCESO TOTAL
CON ERRORES y ACCESO LIMITADO, ambos permiten realizar
auditora, pero solo a nivel de recursos.
todos los patrones debido a que todos ellos velan para que
la informacin est disponible slo a personas autorizadas.
DETECCIN DE ATAQUES/AMENAZAS, se puede aplicar la
estrategia de utilizar un Log. Al aplicar dicha estrategia, en
cuanto a los patrones a nivel de arquitectura, los patrones
NICO PUNTO DE ACCESO y PUNTO DE CONTROL, pueden
implementar slo deteccin a nivel de control de acceso.
Por otro lado SESIN DE SEGURIDAD permite implementar una
deteccin a nivel de control de acceso y de recursos. En
cuanto a los patrones a nivel de diseo, los patrones a los
cuales se puede aplicar dicho Log son SEGURIDAD
MULTINIVEL y MONITOR DE REFERENCIA y slo se da para el
monitoreo de recursos. Por ltimo, a nivel de interfaz, el
patrn ACCESO TOTAL CON ERRORES puede implementar
deteccin de ataques a nivel de recursos.
CONTROL DE ACCESO (AC), los patrones a nivel de arquitectura
cumplen con identificacin, autenticacin y autorizacin
con respecto al monitoreo de control de acceso y slo con
autorizacin en el caso del monitoreo de los recursos. En
cuanto al nivel de diseo, todos los patrones de dicho nivel
coinciden slo con autorizacin, y se puede realizar tanto
para monitoreo de control de acceso como el de los
recursos. Finalmente en cuanto a los patrones a nivel de
diseo, slo coincide autorizacin y se puede realizar tanto
para el monitoreo de control de acceso como para el de los
recursos. Por otro lado, los patrones a nivel de interfaz,
cumplen slo con autorizacin tanto para el monitoreo de
control de acceso como para el de los recursos.
215
Recibir
Informacin
Clnica
Paciente
Rellenar Solicitud
de Admisin
Chequear Datos
Clnicos
Existe?
Crear Datos
Clnicos
Vacios
No
Captura de informacin
de seguros
Llenar informacin
de Costos
Datos de
Contabilidad
Evaluacin
Mdica
Examenes
rea Mdica
Evalua cin
M dica
Revisar Solicitud de
Admisin
Contabilidad
rea de Administracin
Admisin
Solicitu d
de A dmisin
Pruebas de
Pre-Admisin
Informacin
Cln ica
Evaluacin de
Examenes de
Paciente
Examenes?
Rellenar
Informacin Clnica
Rellenar
Informacin de
Paciente
Si
Completar
Informacin de
Contabilidad
Realizar
Examenes
Completar
Informacin Clnica
Informacin
Cln ica
Fig. 4. Admisin de Pacientes [6].
Examenes
InformacionClinica
EvaluacionMedica
CompletarInformacionDeContabilidad()
RealizarExamenes()
CompletarInformacionClinica()
PruebasDePre-Admision()
EvaluacionDeExamenes()
RellenarInformacionClinica()
RellenarInformacionDePaciente()
DeteccionDeAtaquesDaos
EvaluacionMedica
AreaMedica
SistemaProtegido
provee acceso a
Paciente
PuntoDeControl
RellenarSolicitudDeAdmision()
RecibirInformacionClinica()
entrar al
sistema
SolicitudDeAdmision
UnicoPuntoDeAcceso
Registrarse()
Salir()
NoRepudiacion
AreaDeAdministracion
comprobar
derechos
crear
sesion
InformacionContable
Administrador
Admision
RevisarSolicitudDeAdmision()
Contabilidad
RellenarInformacionDeCostos()
ChequearDatosClinicos()
CapuraDeInformacionDeSeguros()
CrearDatosClinicosVacios()
obtener
sesion
Sesion
crearSesion()
eliminarSesion()
verSesion()
comprobarTiempo()
idPaciente: Integer
tiempo: TimeStamp
administrar
Fig. 5. Diagrama resultado de SecBP&P.
V. EJEMPLO ILUSTRATIVO
Como ejemplo utilizaremos el diagrama de BP de la Figura
4. Dicho modelo refleja un proceso de admisin de pacientes
dentro de un establecimiento de salud y la evaluacin mdica
del paciente. Se identifican 3 Pools principales (Paciente,
rea de Administracin y rea Mdica). Sobre el pool
Paciente, se identifican 3 requisitos de seguridad, los cuales
son; i) Privacidad - anonimato sobre todo el pool, ii) No
repudiacin sobre Solicitud de Admisin, y iii) Deteccin de
Ataques/Amenazas sobre Evaluacin Mdica.
La informacin anterior se obtiene en la FASE-1: ANLISIS
DE EQUIVALENCIA DE PATRONES/REQUISITOS DE SEGURIDAD. En
base a dicha informacin, se realiza un anlisis con respecto a
la Tabla II, buscando coincidencia sobre algn patrn y sus

respectivos requisitos de seguridad. En este caso, SESIN DE
SEGURIDAD coincide con los requisitos especificados.
El proceso de analizar los requisitos de seguridad con
respecto a los patrones se debe realizar para los pool rea de
Administracin y rea Mdica, donde se seleccionan los
patrones NICO CONTROL DE ACCESO y SEGURIDAD EN MULTINIVEL
respectivamente.
Una vez asignado para cada pool un patrn de seguridad, se
procede a la FASE-2: REFINAMIENTO, donde se comienza con la
SUB-FASE 2.1, en la cual se eliminan los patrones repetidos,
con el objeto de unificar el diagrama.
Posteriormente, se procede a la SUB-FASE 2.2, donde se
seleccionan aquellos patrones que posean un subconjunto de
requisitos de seguridad comn, para luego ser unidos a aquel
216
patrn (macro patrn) que posea dichos requisitos. En esta

fase queda solamente el patrn SESIN DE SEGURIDAD, debido a
que abarca todos los requisitos de seguridad que poseen los
dems patrones. Finalmente, en la SUB-FASE 2.3, se unifican
todos los patrones con el objetivo de que el diagrama creado
refleje la totalidad del modelo de BP inicial.
En la Figura 5 se muestra la unin de todos los patrones,
reflejando la totalidad del diagrama de clases de anlisis. Las
clases marcadas con color ms oscuro representan la
informacin obtenida desde el SBP. Cabe destacar que el
patrn SESIN DE SEGURIDAD utiliza el patrn PUNTO DE CONTROL,
y este ltimo a su vez implementa un NICO PUNTO DE ACCESO.
[4]
[5]
[6]
[7]
VI. CONCLUSIONES Y TRABAJOS FUTIROS

En la literatura existen pocos trabajos que incluyen patrones
de seguridad dentro de los procesos de negocio.
Especficamente, en [14] se utilizan patrones orientados a los
riesgos de seguridad de forma explcita, pero se limita a un
conjunto de patrones establecidos previamente por los mismos
autores. En [15], se obtienen patrones de seguridad modelados
como objetivos contextuales que incluyen objetivos de
seguridad.
Sin embargo, no se registran trabajos en los cuales se
aborde directamente el uso de patrones de seguridad
considerando los niveles de diseo, arquitectura o interfaz, en
relacin con un BP. Se cree que es importante el uso de los
procesos de negocio seguro, pues han demostrado ser una
fuente de requisitos definidos por los expertos del negocio. Se
cree adems, que la relacin con los patrones de seguridad
permitir aprovechar al mximo dicha especificacin de
seguridad. Esta investigacin trata de llenar ese espacio,
brindando un soporte en etapas tempranas del desarrollo de
software.
El trabajo futuro se enfoca en dos lneas. En primer lugar
generar un prototipo que apoye la aplicacin del mtodo
propuesto. Y en segundo lugar, en la realizacin de un caso de
estudio que permita validar la utilidad del artefacto generado.
[8]
[9]
[10]
[11]
[12]
[13]
[14]
[15]
AGRADECIMIENTOS
Esta investigacin es parte del proyecto BuPERG (DIUBB
152419 G/EF) financiado con fondos de la Direccin de
Investigacin de la Universidad del Bo-Bo.
[16]
REFERENCIAS
[1]
[2]
[3]
G. Quirchmayr, Survivability and business continuity

management, in Proceedings of the second workshop
on Australasian information security, Data Mining
and
Web
Intelligence,
and
Software
Internationalisation-Volume 32, 2004, pp. 36.
J. Jrjens, UMLsec: Extending UML for secure
systems development, in UML 2002 The Unified
Modeling Language, Springer, 2002, pp. 412425.
D. Basin, J. Doser, and T. Lodderstedt, Model driven
security: From UML models to access control
infrastructures, ACM Trans. Softw. Eng. Methodol.,
vol. 15, no. 1, pp. 3991, 2006.
[17]
[18]
P. Herrmann and G. Herrmann, Security requirement

analysis of business processes, Electron. Commer.
Res., vol. 6, no. 34, pp. 305335, 2006.
A. Rodrguez, E. Fernndez-Medina, and M. Piattini,
Towards a UML 2.0 extension for the modeling of
security requirements in business processes, in Trust
and Privacy in Digital Business, Springer, 2006, pp.
5161.
A. Rodrguez, E. Fernndez-Medina, and M. Piattini,
A BPMN extension for the modeling of security
requirements in business processes, IEICE Trans. Inf.
Syst., vol. 90, no. 4, pp. 745752, 2007.
C. Wolter, M. Menzel, and C. Meinel, Modelling
Security Goals in Business Processes., in
Modellierung, 2008, vol. 127, pp. 201216.
J. Mlle, S. von Stackelberg, and K. Bhm, A security
language for BPMN process models. KIT, University
of the State of Baden-Wuerttemberg and National
Research Center of the Helmholtz Association, 2011.
M. Schumacher, E. Fernandez-Buglioni, D.
Hybertson, F. Buschmann, and P. Sommerlad,
Security Patterns: Integrating security and systems
engineering. John Wiley & Sons, 2013.
D. Firesmith, Specifying Reusable Security
Requirements, Journal of Object Technology, vol. 3,
pp. 6175, 2004.
M. Fowler, Analysis patterns: reusable object models.
Addison-Wesley Professional, 1997.
P. Bonillo, Metodologa para la gerencia de los
procesos del negocio sustenda en el uso de patrones,
J. Inf. Syst. Technol. Manag., vol. 3, no. 2, pp. 143
162, 2006.
N. Ahmed and R. Matuleviius, Securing business
processes using security risk-oriented patterns,
Comput. Stand. Interfaces, vol. 36, no. 4, pp. 723733,
2014.
N. H. Khan, APattern-Based Development of Secure
Business Processes, Masters Thesis, University of
Tartu, 2012.
T. Li, J. Horkoff, and J. Mylopoulos, Integrating
Security Patterns with Security Requirements Analysis
Using Contextual Goal Models, in The Practice of
Enterprise Modeling, Springer, 2014, pp. 208223.
T. Li and J. Horkoff, Dealing with security
requirements for socio-technical systems: A holistic
approach, in Advanced Information Systems
Engineering, 2014, pp. 285300.
J. Lopez, J. A. Montenegro, J. L. Vivas, E. Okamoto,
and E. Dawson, Specification and design of advanced
authentication and authorization services, Comput.
Stand. Interfaces, vol. 27, no. 5, pp. 467478, 2005.
A. Rodrguez, I. G.-R. de Guzmn, E. FernndezMedina, and M. Piattini, Semi-formal transformation
of secure business processes into analysis class and
use case models: An MDA approach, Inf. Softw.
Technol., vol. 52, no. 9, pp. 945971, 2010.
217
A Diffie-Hellman Compact Model Over NonCommutative Rings Using Quaternions

J. A. Kamlofsky J. P. Hecht O. A. Hidalgo Izzi S. Abdel Masih
Abstract The key exchange cryptographic protocol
created by Whitfield Diffie and Martin Hellman was one of
the pioneers of asymmetric cryptography (AC). Many of
the asymmetric cryptography protocols are based on
operations performed in commutative algebraic structures.
Today many of them are vulnerable to subexponential or
quantum attacks. The development of algorithms in noncommutative structures can strengthen these protocols. This
line of development is an actual growing trend.
In particular Hecht (2009) has presented a key exchange
model based on the Diffie-Hellman protocol over noncommutative rings using matrices of order four with Z 256
elements, particularly interesting to provide cryptographic
security to devices with low computing power.
The set of quaternions, like the set of all the matrices
form non-commutative ring structures. However,
quaternions have more compact notation and shown lower
runtimes in many comparable operations.
In this paper we propose the use of quaternions in this
key exchange protocol, and present experimental results
showing lower run-times in this cryptosystem when using
quaternions at equivalent security.
algortmico. El sistema se ha caracterizado como compacto

porque no requiere el uso de bibliotecas de precisin
extendida y por ende es aplicable a entornos de bajo poder
computacional y memoria RAM reducida (smartcards, token
USB criptogrficos, etc.)
Keywords Asymmetric cryptography, quaternions

in cryptography, quaternions, non-commutative
cryptography, post-quantum cryptography.
Definicin 3: Un anillo (A, + , .) es un anillo con identidad o

unidad si existe un elemento neutro o identidad multiplicativa, denotado con 1, tal que
a . 1 = 1 . a = a a A
I. INTRODUCCIN: ESTADO DEL ARTE Y TRABAJOS

RELACIONADOS
A. Tendencias en la criptografa asimtrica

esde la dcada pasada ha crecido el inters en el
desarrollo de criptosistemas asimtricos alternativos
que sean resistentes a los ataques de complejidad
subexponencial [1, 2] y los potenciales ataques va
computadora cuntica [3] que afectan a la actual generacin
de algoritmos basados en campos numricos [4] y de campos
algebraicos reducibles a ellos [5]. La mayora de estos
esquemas coinciden en lo que se denomina colectivamente
como criptografa post-cuntica [6] y por su naturaleza
algebraica como criptografa no conmutativa [7]. En tal
sentido se han logrado importantes avances en la definicin
de estructuras que planteen nuevas funciones trampa de una
va para las cuales no se conocen y probablemente no existan
ataques de complejidad polinmica, lgicamente esta ltima
conjetura debe tomarse con sumo recaudo. En esta lnea se ha
presentado un esquema de distribucin de claves DiffieHellman [8] basado en un anillo de polinomios matriciales
cuya seguridad reside en el problema de la descomposicin
simtrica generalizada (GSDP) [9]. En el citado trabajo se
presentan los antecedentes del mtodo y el desarrollo
B. Estructuras de Anillo:
Definicin 1: Sea A un conjunto no vaco y dos operaciones
internas, usualmente llamadas suma (+) y producto (.).
La terna (A, + , .) es un anillo si y slo si
I) (A, + ) es un grupo conmutativo.
II) (A, . ) es un semigrupo.
III) El producto es distributivo a izquierda y derecha respecto
de la suma.
Definicin 2: Un anillo (A, + , .) es conmutativo si
a, b A a . b = b . a
Por lo tanto, el anillo ser no conmutativo si
a, b A : a. b b . a
Definicin 4: Un anillo con identidad es un anillo de divisin

si sus elementos no nulos son inversibles. Es decir,
a A : a 0 x, y A : a. x = 1 y. a = 1
El primer anillo de divisin no conmutativo fue el anillo
de los cuaterniones [10].
La importancia de destacar la no conmutatividad de un
anillo de divisin radica en el teorema de Wedderburn [11]
que establece que todo anillo de divisin finito es conmutativo
[12]. Luego, disponer de infinitos elementos en el anillo a
utilizar agregar mayor complejidad a la resolucin del
algoritmo de cifrado.
Otros ejemplos de anillos de divisin no conmutativos son
los siguientes:
I) Sean (A, + , .) un anillo y n N. El conjunto de matrices
cuadradas de orden n con coeficientes en A, simbolizado por
Mn(A), es un anillo con respecto a las operaciones usuales de
suma y producto de matrices. Si n>1, entonces Mn(A) no es
conmutativo.
II) Los Octoniones o nmeros de Cayley pertenecen tambin a
este tipo de anillos. Son la extensin no asociativa de los cua-
218
KAMLOFSKY et al.: A Diffie-Hellman Compact Model
terniones y cada octonin forma y representa una combinacin lineal de la base: 1, e1, e2, e3, e4, e5, e6, e7.
III) Sedeniones, Tessarines, cocuaterniones o bicuaterniones
son otros ejemplos de anillos no conmutativos.
C. Algebra de Cuaterniones:
Definicin 5: Sea (A, + , .) un anillo conmutativo con
unidad. Un cuaternin con coeficientes en A es un nmero q
de la forma
q= a + i .b + c. j + d .k
Forma Matricial:
a b d c
b
a c d
q=
d c
a b
c
d
b
a
Forma exponencial:
eq = ea+b.i+c.j+d.k. Si q = s + v eq = es (cos|v|+v.sen|v| )
Definiciones Bsicas:
Sea un cuaternin q = (a , b , c ,d) entonces
Donde
a, b, c, d A
i, j, k son unidades imaginarias que verifican las igualdades
i 2 = j 2 = k2 = - i . j . k = - 1
y adems
i . j = -j . i = k;
j . k = -k . j = i;
i . k = -k .i = j.
Cuaternin conjugado de q:
El conjunto de los cuaterniones es H, es decir,
Opuesto del cuaternin q: - q = (-a , -b , -c , -d)
H = { a + i . b + c . j + d . k : a, b, c , d A }
stos fueron creados en 1843 por William Hamilton [13]
para poder demostrar el Teorema de Euler, que afirmaba que
todo nmero natural n puede escribirse como suma de cuatro
cuadrados perfectos. Ms precisamente,
El conjugado del cuaternion q es: q* = (a , -b , -c , -d).

Norma del cuaternin q:
|q| = (q.q*)1/2 = (q*.q)1/2 = (a2+ b2 + c2 +d2)1/2
Cuaternin unitario (o normalizado):
Si q (0, 0, 0, 0) , el cuaternin unitario asociado a q es:
q1 = q / |q|
Inverso del cuaternin q:
Si q (0, 0, 0, 0) entonces su inverso es: q-1 = q / |q| 2
Cuaternin puro:
El cuaternin q es puro si su parte real es nula. Es decir,
si a = 0.
Si n N entonces n = a2 + b2 + c2 + d2 , con a, b, c, d Z
Operaciones bsicas con cuaterniones:
Los cuaterniones forman una estructura de Anillo de

divisin no conmutativo.
Tienen una notacin compacta y resultan muy sencillos
para trabajar. Son muy eficientes en comparacin con la
operacin de matrices: requieren menor cantidad de
operaciones bsicas y menor espacio de almacenaje. Adems,
solucionan el problema de prdida de dimensionalidad
conocido como gimbal lock [14].
Se los utiliza mayormente en aplicaciones que requieran
secuencias de rotaciones en el espacio en tiempo real:
navegacin aeroespacial, realidad virtual, y visin robtica
[15-18]. En [19] se muestra una comparacin de tiempos de
ejecucin en la realizacin de rotaciones en el espacio con
matrices y con cuaterniones. Hay varios trabajos que
presentan aplicaciones e implementaciones criptogrficas
mediante el uso de cuaterniones [2023].
Suma, resta y producto de un escalar por un cuaternin:

Se realiza de la misma forma que para cualquier vector de 4
dimensiones.
Diferentes notaciones o representaciones de cuaterniones:

Forma Vectorial:
q = a + i .b + c. j + d .k
Forma Cartesiana:
q = (a, b, c, d)
Forma Trigonomtrica:
q =|q|.( cos(/2) + v'. sen( /2))
con: |q| =(a2+ b2 + c2 + d2)1/2
= arccos(a/|q|)
v = (b , c , d)/ ( b2 + c2 +d2)1/2
Producto:
Sean q1 = (w1, x1, y1, z1) y q2 = (w2, x2, y2, z2), el producto
q1 .q2 se define:
q1 .q2 = (w1.w2 -x1.x2 - y1.y2 - z1.z2 , w1.x2 + x1.w2 + y1.z2 - z1.y2 ,
w1.y2 - x1.z2 + y1.w2 + z1.x2 , w1.z2 + x1.y2 - y1.x2 + z1.w2)
Nota: El producto de cuaterniones no es conmutativo.
Cociente:
Sean dos cuaterniones q1 = (w1, x1, y1, z1) y q2 = (w2, x2, y2, z2),
su cociente q3 = (w3, x3, y3, z3) = q1 / q2 se define:
q3 = q1 / q2 = q1.(q2 )-1 = q1.(q2 / |q2|2)
Potencia:
Sea el cuaternin expresado en forma trigonomtrica:
q = |q| . [cos(/2) + v'.sen(/2)] y sea n entero. Entonces
qn = |q|n . [cos (n./2) + v'.sen(n. /2)]
Algunas particularidades:
Vectores en el espacio:
Dado un vector v = (x , y , z) en el espacio, se le puede asociar
un cuaternin puro de la forma q = (0, x , y , z). Por esta
razn, a los vectores del espacio se los llama Cuaterniones
puros.
Producto entre cuaterniones puros:
Sean: q1= (0, x1, y1, z1), q1 = (0, x2, y2, z2). Su producto ser:
q3 = q1 . q2 = (0, x1, y1, z1) . (0, x2, y2, z2) = (w3, x3, y3, z3) con:
w3 = -x1.x2 - y1.y2 - z1.z2, x3 = y1.z2 - z1.y2, y3 = z1.x2 - x1.z2, z3 =
219
x1.y2 - y1.x2, de donde: w3 es la expresin del producto escalar

multiplicado por (-1) y (x3, y3, z3) es el producto vectorial tal
como hoy se lo conoce.
La anti-conmutatividad del producto de cuaterniones puros:
Se puede verificar fcilmente que q1. q2 q2. q1 ya que
q1. q2 = ( w3, x3, y3, z3) , q2. q1 = ( w3, - x3, - y3, - z3).
Producto del cuaternin puro y su conjugado:
Sean q = (0, x, y, z) y q* = (0, -x, -y, -z), entonces:
q.q* = (x2 + y2 + z2 , 0, 0, 0)
II. OBJETIVO DEL TRABAJO, MOTIVACION Y RELEVANCIA
DEL TEMA
A. Objetivo del trabajo:

El objetivo del presente trabajo es el desarrollo de una
mejora al modelo compacto original DH-C [9], empleando
una estructura algebraica de cuaterniones en reemplazo de las
matrices modulares.
B. Motivacin:
El uso de Cuaterniones ya present ventajas frente al uso
de matrices cuadradas en diversas aplicaciones [14 19].
Tambin se presentaron aplicaciones criptogrficas con
cuaterniones [20 - 23]. En el trabajo de Hecht [9] se usaron
polinomios de grado 16 como claves privadas. Y el clculo de
las claves de sesin se inician con el clculo de polinomios de
matrices de orden 4 con elementos en Z256. A la complejidad
de estos clculos se contrapone la gran simpleza del clculo
de potencias de cuaterniones unitarios. As result evidente
que podra obtenerse una importante mejora en los tiempos
de cmputo de este protocolo.
C. Relevancia del tema:
Este desarrollo se puede aplicar directamente al
intercambio de claves en plataformas de porte reducido. La
optimizacin que se presenta mejora significativamente el
desempeo algortmico y representa un avance en este campo
de la criptografa asimtrica. Cabe destacar que la misma
algoritmia podr ser empleada en otras aplicaciones
criptogrficas tales como cifrado ElGamal generalizado,
firma digital, transporte de claves y pruebas de autenticacin
de conocimiento cero [4].
III. IMPLEMENTACIN DEL PROTOCOLO CON

CUATERNIONES
A. Acerca de esta implementacin:
El protocolo aqu presentado tiene mucha similitud con el
protocolo DH-C presentado en [9]. Difiere en dos etapas de
normalizacin presentes en esta implementacin con
cuaterniones, y en la longitud de 32 bits de cada porcin de
clave generada, adems de usarse cuaterniones en lugar de
matrices.
Las dos normalizaciones realizadas permiten que el
clculo de las potencias de cuaterniones se limiten a
multiplicaciones del argumento de senos y cosenos por el
valor del exponente logrando operaciones mucho ms
sencillas que potencias de matrices, manteniendo an la
esencia del cuaternin original.
Las normalizaciones mencionadas, permiten tambin,

mantener los clculos dentro de numeracin de precisin
simple, lo cual es necesario para operar en procesadores de
menor porte.
B. El protocolo DH-C con cuaterniones:
Inicializacin:
(a) ALICE elige dos cuaterniones A y B no nulos con
coeficientes en Z256 y m, n elementos no nulos de Z16.
(b) ALICE calcula qA, qB: la normalizacin de A y B.
(c) ALICE elige como clave privada, un polinomio no nulo
entero f(x) en Z16(x) con exponentes y coeficientes en Z16 tal
que f(qA) 0.
(d) BOB elige como clave privada, un polinomio no nulo
entero h(x) en Z16(x) con exponentes y coeficientes en Z16 tal
que h(qA) 0.
(e) ALICE enva a BOB qA, qB, m, n por el canal inseguro.
Clculo de tokens:
(f) ALICE calcula su token: Con f(qA) normalizacin de f(qA),
luego: rA = f(qA)m . qB . f(qA)n y lo enva a BOB por el canal
inseguro.
(g) BOB calcula su token: Con h(qA) normalizacin de h(qA),
luego: rB = h(qA)m . qB . h(qA)n y lo enva a ALICE por el
canal inseguro.
Clculo de Claves de sesin:
(h) ALICE calcula su clave: kA = f(qA)m . rB . f(qA)n.
(i) BOB calcula su clave: kB = h(qA)m . rA . h(qA)n.
Puede verificarse: kA = f(qA)m . h(qA)m . qB . h(qA) . f(qA)n
Y adems: kB = h(qA)m . f(qA)m . qB . f(qA)n . h(qA)n
(j) ALICE calcula: KA = (kA.256)(mod 256)
(k) BOB calcula: KB = (kB.256)(mod 256)
Finalmente: KA = KB.
La Fig. 1 muestra un esquema de funcionamiento del
protocolo.
C. Un Ejemplo numrico
Inicializacin:
(a) ALICE elige : m = 14, n = 9, y los cuaterniones:
A = (175, 157, 200, 46), B = (236, 121, 118, 26).
(b) ALICE Normaliza los cuaterniones A y B (se muestran
con 3 decimales):
qA=(0.560, 0.503, 0.640, 0.147)
qB=(0.809, 0.415, 0.404, 0.089)
(c) ALICE elige clave privada:
f(x) = 12x15 + 6x11 + 3x7 + 12
(d) Bob elige clave privada:
h(x) = x14 + 15x10 + 3x8 + 10x5 + 3x + 7
(e) Alice enva a Bob: 14, 19, (0.560, 0.503, 0.640, 0.147),
220
KAMLOFSKY et al.: A Diffie-Hellman Compact Model
(0.809, 0.415, 0.404, 0.089) por el canal inseguro.
Alice:
Bob:
-----------------------------------------Inicializacin:
A, B: cuaterniones
qA, qB: normalizacin de A y B
-------------------------------------------Inicializacin:
m, n: nmeros no nulos de Z16
Envo de
qA, qB, m y n
f(x): polinomio no nulo en Z16(x)

-----------------------------------------Clculo de token:
f'(qA) = normalizacin de f(qA)
Envo de rA
rA = f'(qA)m . qB . f'(qA)n
Envo de rB
h(x): polinomio no nulo

-------------------------------------------Clculo de token:
h'(qA) = normalizacin de h(qA)
rB = h'(qA)m . qB . H'(qA)n
-----------------------------------------Clculo de Clave de Sesin:

K1= f'(qA)m . rB . f'(qA)n
-------------------------------------------Clculo de Clave de Sesin:

K2= h'(qA)m . rA . H'(qA)n
KA = 256 . KA*
KB = 256 . KB*
(KA: es la clave de sesin)
(KB: es la clave de sesin)
------------------------------------------
--------------------------------------------
Figura 1. Diagrama de funcionamiento del protocolo Diffie-Hellman Compacto

usando cuaterniones.
Clculo de tokens:
(f) Alice calcula su token:
f(0.560, 0.503, 0.640, 0.147) = 12.(0.560, 0.503, 0.640,
0.147)15 + 6.(0.560, 0.503, 0.640, 0.147) 11 + 3.(0.560, 0.503,
0.640, 0.147)7 + 11 = (-4.709, 3.181, 4.053, 0.932). Su
normalizacin: f(qA) = (-0.668, 0.451, 0.575, 0.132 )
rA = (-0.668, 0.451, 0.575, 0.132) 14 . (0.809, 0.415, 0.404,
0.089) . (-0.668, 0.451, 0.575, 0.132)9
rA = (-0.661, 0.043, -0.093, 0.029) y lo enva a Bob.
(g) Bob calcula su token:
h(0.560, 0.503, 0.640, 0.147) = (0.560, 0.503, 0.640, 0.147)14
+ 15(0.560, 0.503, 0.640, 0.147)10 + 3.(0.560, 0.503, 0.640,
0.147)8 + 10.(0.560, 0.503, 0.640, 0.147)5 + 3.(0.560, 0.503,
0.640, 0.147) + 7 = (-10.252, -4.205, -5.357, -1.232). Su
normalizacin: h(qA) = (-0.828, -0.339, -0.433, -0.067)
rB = ((-0.828, -0.339, -0.433, -0.067) 14 . (0.809, 0.415, 0.404,
0.089) . ((-0.828, -0.339, -0.433, -0.067)9
rB = (0.317, -0.201, -0.319, -0.067) y lo enva a Alice.
Clculo de Claves de sesin:
(h) Alice calcula su clave:
kA = (-0.668, 0.451, 0.575, 0.132) 14 . (0.317, -0.201, -0.319,
-0.067) . (-0.668, 0.451, 0.575, 0.132)9 = (-0.069, 0.200,
-0.319, 0.082)
KA = ((-0.069, 0.200, -0.319, 0.082).256) (mod 256)
KA = (239, 51, 62, 21)
(i) Bob calcula su clave:
kB = ((-0.828, -0.339, -0.433, -0.067) 14 . (-0.661, 0.043,
-0.093, 0.029) . ((-0.828, -0.339, -0.433, -0.067)9 = (-0.069,
0.200, 0.243, 0.082)
KB = ((-0.069, 0.200, -0.319, 0.082).256) (mod 256)
KB = (239, 51, 62, 21)
IV. RESULTADOS EXPERIMENTALES

El experimento realizado consiste en 25 pruebas en las
cuales, en cada una de ellas, se obtuvieron 10.000 claves de
128 bits usando matrices y 10.000 claves de 128 bits usando
cuaterniones. Durante cada prueba se midieron los tiempos de
ejecucin.
A. Equipamiento Usado
El computador usado contiene un procesador AMD
FX(tm)-8320 Eight-Core Processor 8 de 64 bits con 8Gb de
memoria RAM.
En el mismo se instal una distribucin de Ubuntu 14.04
LTS (Long Time Support) de Cannonical, el cual tiene un
ncleo Linux Debian.
Ambos algoritmos se programaron en Python 2.7.6.
B. Comparacin Experimental
La tabla 1 muestra 25 registros de mediciones de tiempos
de ejecucin necesarios para obtener claves de 128 bits
usando el protocolo Diffie-Hellman Compacto con matrices y
con cuaterniones. Por cada experimento se realizaron 10.000
operaciones de obtencin de claves de 128 bits.
El tiempo de ejecucin promedio para la obtencin de
10.000 claves de 128 bits usando matrices fue de 8,585102
segundos mientras que con la implementacin con
cuaterniones, ese tiempo se redujo a 4,928539 segundos.
TABLA 1: TIEMPOS DE EJECUCIN EN LA IMPLEMENTACIN DEL
PROTOCOLO DIFIE-HELLMAN COMPACTO USANDO MATRICES Y
CUATERNIONES.
CPU Time (s)
CPU Time (s)
N test
Matrices
Cuaterniones
N test
Matrices
Cuaterniones
8,600102
4,837513
14
8,581125
4,946582
8,506882
4,878939
15
8,627992
4,953737
8,693089
4,859479
16
8,606326
4,937578
8,597678
4,905438
17
8,607832
4,970296
8,699418
4,913928
18
8,481426
4,930410
8,563409
4,914061
19
8,492134
4,894224
8,584500
4,869740
20
8,499029
4,913316
8,499618
4,923639
21
8,677493
4,914754
8,659884
5,120607
22
8,565197
4,925393
10
8,550620
4,946923
23
8,607323
4,886488
11
8,662200
4,866079
24
8,648141
5,111923
12
8,529670
4,899871
25
8,617395
4,941260
13
8,469057
4,951300
Nota 1: Como el coeficiente de variabilidad para ambos

casos es menor a 0,10 se acepta al promedio como un
indicador de tendencia central adecuado.
Nota 2: En este experimento se obtuvieron 1.000.000 de
claves de 32 bits sin error.
V. VENTAJAS DE LA SOLUCIN PROPUESTA
A. Mejora global en los tiempos de cmputo
Con los resultados experimentales aqu presentados y en
las condiciones del experimento, puede afirmarse que la
implementacin del protocolo Diffie-Hellman Compacto con
cuaterniones es 42,59% ms veloz que empleando matrices,
tal cual fue presentado originalmente.
B. Flexibilidad para la obtencin de claves de longitud
menor a 128 bits
Como cada cuaternin resultado presenta porciones de 32
221
bits de clave, la implementacin aqu presentada puede usarse

para la obtencin claves de mdulos de 32 bits en lugar de
mdulos de 128 bits, reduciendo an ms los tiempos de
obtencin para claves de longitud distinta a k x128 bits.
C. Inmunidad a ataques cunticos y a ataques de
complejidad subexponencial
Dado que los cuaterniones conforman estructuras
algebraicas de anillos no conmutativos, para estas clases de
estructuras, no se conocen ataques mediante computadoras
cunticas ni de complejidad subexponencial.
D. Solucin apta para procesadores de bajo porte
Los clculos se realizaron dentro de numeracin de
precisin simple, lo cual es necesario para que puedan
realizarse en procesadores de menor porte.
VI. CONCLUSIONES
En este trabajo se present una implementacin con
cuaterniones del modelo DH-C [9], inmune a ataques de
complejidad subexponencial y de computadoras cunticas y
apto para procesadores de menores portes.
Se logr la obtencin de claves de sesin de 128 bits con
menores tiempos de cmputo en comparacin con la solucin
original. Dado que con cada cuaternin se obtienen bloques
de 32 bits de clave, en caso de requerirse claves con longitud
diferente a 128 bits, esta solucin proporciona mejoras
adicionales en los tiempos de cmputo.
En sntesis, se presenta un aporte significativo para el
desarrollo de criptosistemas asimtricos en plataformas
reducidas, sin sacrificar la seguridad criptogrfica.
REFERENCIAS
[1] Magliveras S.S., Stinson D.R., van Trung T.: New approaches to designing
[2]
[3]
[4]
[5]
[6]
[7]
[8]
[9]
[10]
[11]
[12]
[13]
[14]
public key cryptosystems using one-way functions and trapdoors in finite

groups, Technical Report CORR, 2000-2049 (2000)
Shpilrain V., Zapata G.: Combinatorial group theory and public-key cryptography, Preprint arXiv/math.gr, 0410068 (2004)
Shor P.: Polynomial-time algorithms for prime factorization and discrete
logarithms on a quantum computer, SIAM J. Comput., 5, 1484-1509
(1997)
Menezes A.J., van Oorschot P.C., Vanstone S.A.: Handbook of Applied
Cryptography. CRC Press (1997)
Shikata J. et al, Optimizing the Menezes-Okamoto-Vanstone (MOV) Algorithm for Non-Supersingular Elliptic Curves, K. Y. Lam, E. Okamoto and
C. Xing (Eds.): ASIACRYPT99, LNCS 1716, pp. 86102, (1999)
Barreto,P. et al, Introduo criptografia ps-quntica, Minicursos do XIII
Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2013, Cap.2 (2013).
Gerritzen L. et al (Editors), Algebraic Methods in Cryptography, Contemporary Mathematics, AMS, Vol. 418, (2006)
Diffie W., Hellman M.E: New directions in cryptography, IEEE
Transactions on information theory, 22, 644-654, (1976).
Hecht J.P., Un modelo compacto de criptografa asimtrica empleando anillos no conmutativos. V Congreso Iberoamericano de Seguridad informtica
CIBSI, Montevideo, (2009).
Gentile, E. R. "Estructuras algebraicas I." (1977): 77.
Wonenburger, M. J. Anillos de division. Gaceta Matemtica, 13 (1961):
131-136.
Wedderburn, J. H. (1921). On division algebras. Transactions of the
American Mathematical Society, 22(2), 129-135.
Hamilton, W. R.: Lectures on Quaternions: Containing a Systematic Statement of a New Mathematical Method, Hodges and Smith, (1853).
Salmern Quiroz, Bernardino Bernardino, et al. "REPORTE DEL DESARROLLO TECNICO DE LA INVESTIGACION PROYECTO SIP
[15]
[16]
[17]
[18]
[19]
[20]
[21]
[22]
[23]
20082294 Proyecto Autogeneracin de equipo Educativo en Robtica,

usando Modelado va Cuaterniones (2009).
Kuipers, J. B. Quaternions And Rotation Sequences: A Primer With Applications To Orbits, Aerospace And Virtual Reality Princeton University
Press, Princeton, New Jersey, (1999).
Snchez-Pea R. S., Alonso R., Control de vehculos espaciales. RIAII 2.3:
6-24, (2005).
Serrano E., Sirne R,, y La Mura G. Rotaciones, secuencia aeroespacial y
cuaterniones Una revisin de las relaciones fundamentales. Ciencia y Tecnologa 1.14 (2014).
Torres del Castillo, G., La representacin de rotaciones mediante cuaterniones. Miscelanea Matemtica 29 (1999): 43-50.
Kamlofsky J., Bergamini L. Cuaterniones en Visin Robtica. V Congreso
de Matemtica Aplicada, Computacional e Industrial MACI, Tandil,
(2015).
Sankar V., Selvakumar A., Analyse and implement of cryptography
with high security using cuaternion. International Journal of Innovative Research in Information Security. 1: 2 (2014).
Malekian E., Zakerolhosseini A, and Mashatan A. QTRU: A Lattice At tack Resistant Version of NTRU PKCS Based on Quaternion Algebra.
Preprint, Available from the Cryptology ePrint Archive: http://eprint.
iacr. org/2009/386. Pdf (2009).
Anand, PM Rubesh, Gaurav Bajpai, and Vidhyacharan Bhaskar. Realtime symmetric crypto graphy using quaternion julia set. Int J Comp
Sci Network Security 9.3 (2009): 20-26.
Czaplewski, Bartosz, Mariusz Dzwonkowski, and Roman Rykaczewski.
"Digital Fingerprinting Based on Quaternion Encryption Scheme for GrayTone Images." Journal of Telecommunications & Information Technology 2014.2 (2014).
Jorge Kamlofsky. Se gradu de Licenciado en Matemtica en

la Universidad Abierta Interamericana (UAI) y de Especialista
en Criptografa y Seguridad Teleinformtica en la Facultad de
Ingeniera del Ejrcito (EST-IUE). Se encuentra finalizando la
Maestra en Tecnologa Informtica (UAI) e iniciando un
Doctorado en Ingeniera en la Universidad Nacional de Lomas
de Zamora (UNLZ). Actualmente es profesor adjunto de
Matemtica Discreta y Fsica II y Auxiliar Docente de
Seguridad Informtica en la Facultad de Tecnologa
Informtica de la UAI. Tambin es investigador en el Centro
de Altos Estudios en Tecnologa Informtica (CAETI), dependiente de la UAI.
Pedro Hecht (M2012). Se gradu como Licenciado en
Anlisis de Sistemas (ESIO-DIGID), y Doctor de la
Universidad de Buenos Aires (UBA). Actualmente es
Profesor Titular de Criptografa I y II de la Maestra en
Seguridad Informtica dependiente de las Facultades de Cs.
Econmicas, Cs. Exactas y Naturales y de Ingeniera de la
Universidad de Buenos Aires (UBA) e idntico cargo en la
Facultad de Ingeniera del Ejrcito (EST-IUE). Adems es el Coordinador
Acadmico de la citada Maestra (UBA), Profesor titular de Biofsica (UBA),
Director de proyectos e investigador en modelos matemticos de UBACyT y
Director titular de EUDEBA. Es miembro de Criptored, IEEE Argentina, ACM
SIGCSE, ACM SIGITE y otras. rea de inters: lgebra no conmutativa
aplicada a la criptografa.
Oscar Hidalgo Izzi (L.51064). Estudiante de la Licenciatura
en Matemtica en la Universidad Abierta Interamericana
(UAI). Actualmente elaborando el Trabajo final de grado.
Samira Abdel Masih. Se gradu de Licenciada en Matemtica en la Facultad

de Matemtica, Astronoma y Fsica de la Universidad
Nacional de Crdoba (UNC), y de Doctora en Ciencias
Matemticas en la Facultad de Ciencias Exactas y Naturales
de la Universidad de Buenos Aires (UBA). Actualmente es
Profesora Titular de Clculo Infinitesimal II en la Facultad de
Tecnologa Informtica de la Universidad Abierta
Interamericana (UAI). Tambin es investigadora en el Centro
de Altos Estudios en Tecnologa Informtica (CAETI),
dependiente de la UAI.
222
Quitando el Velo a la Memoria: Estructuras

Ocultas y Malware
BIP-M, un Framework de Extraccin de Informacin de Memoria
A. H. Di Iorio, G. M. Ruiz De Angeli, J. I. Alberdi, B. Constanzo, A. Podest, M. Castellote
AbstractForensic analysis of a computers
volatile memory has become a major area of interest,
with relatively few solutions outside closed
commercial packages. This branch of digital forensics
is full of challenges: the memory has a different
layout depending on the Operating System, hardware
architecture and even on features of the
microprocessor. After extensive research, the BIP-M
project is close to presenting a framework for the
forensic analysis of RAM memory, and a tool built on
top of it.
Keywords Anlisis forense en memoria,
estructuras ocultas, malware, hooks.
I. INTRODUCCIN AL ANLISIS FORENSE

EN MEMORIA
N los ltimos aos el anlisis forense de
la memoria voltil se ha convertido en
una herramienta fundamental de la
informtica forense por distintas razones. En
primer lugar, el incremento en la capacidad de
almacenamiento de los discos rgidos, combinado
con la lentitud inherente a este tipo de tecnologas,
impone tiempos de anlisis cada vez mayores para
estas fuentes de evidencia. Si a esto se suma la
creciente utilizacin de tecnologas de cifrado para
los medios de almacenamiento, la situacin
presenta serios obstculos para superar.
El anlisis de memoria en cambio es mucho ms
rpido para realizar, ya que los dumps de memoria
son mucho ms pequeos que una imagen de disco,
al punto que en ocasiones es posible cargarlos en su
totalidad dentro de la memoria de la computadora
del investigador. En el caso que el sistema
analizado utilizara tecnologas de cifrado, estas
claves por lo general se encuentran almacenadas en
la memoria, o es posible deducirlas en base a
informacin que se encuentra presente en la misma.
Tambin en la memoria se encuentran artefactos
propios de ella que es imposible encontrar en otras
fuentes de evidencia digital: informacin de las
conexiones del equipo, los procesos que se estn
ejecutando al momento de realizar la imagen (junto
con toda la informacin que haban cargado), e
informacin administrativa del sistema operativo,

entre otras.
Las ventajas que brinda el anlisis de memoria
se contraponen con el profundo conocimiento que
es necesario para poder realizar este tipo de
investigaciones. Se debe conocer los esquemas,
jerarquas y modos de memoria que brindan las
distintas arquitecturas de hardware, cmo
construyen sobre ellas sus mdulos de
administracin de memoria los distintos sistemas
operativos y cmo son las estructuras propias de
cada sistema y aplicaciones que se desee analizar.
Considerando la potencia de estas tcnicas, la
prevalencia de opciones comerciales de cdigo
cerrado, y la necesidad de desarrollar conocimiento
en esta rea [1], es que se decidi investigarlas en
el marco de un proyecto final de graduacin, junto
con el soporte del Grupo de Investigacin en
Sistemas Operativos e Informtica Forense de la
Universidad FASTA.
II. BIP-M: UN FRAMEWORK DE ANLISIS DE
MEMORIA
El proyecto BIP-M: Bsqueda de Informacin
de Procesos en Memoria tuvo por objetivo el
estudio del marco terico y la implementacin de
un framework de anlisis de memoria voltil. El
proyecto se plante de forma que sus resultados
formen una base sobre la cual nuevos proyectos
puedan construir nuevo conocimiento y nuevas
funcionalidades. Actualmente se encuentra en la
fase de testeo y validacin de las funcionalidades
implementadas, que se limitaron al sistema
operativo Windows 7 en sus ediciones de 32 y 64
bits. Ese Sistema Operativo fue elegido por ser un
producto muy presente en el mercado, y a nivel
tcnico tiene grandes similitudes con las versiones
ms recientes.
El objetivo de la etapa de desarrollo, es el diseo
e implementacin de un framework extensible y
adaptable, apoyndose en patrones de diseo
orientados a objetos con el propsito de lograr bajo
acoplamiento, alta cohesin y definiendo
223
DI IORIO et al.: Quitando el velo a la memoria
claramente las diferentes responsabilidades de cada

mdulo. El framework pretende brindar un marco
para analizar la memoria y encontrar cualquier tipo
de objeto que se requiera, denominado
genricamente entidades. Un objeto, ya sea un
proceso, mdulo, conexin, driver, archivo o un
nuevo artefacto que se desee contemplar, puede
considerarse un tipo especial de entidad y esto
permite extender funcionalidad para la bsqueda de
nuevos objetos.
Por otra parte, BIP-M framework ofrece desde
su diseo la posibilidad de adaptarse a varios
formatos de volcado de memoria, as como tambin
a diferentes Sistemas Operativos con sus
correspondientes
versionados.
Adems,
implementa persistencia en bases de datos MySQL,
lo que permite un procesamiento de informacin
ms poderoso para lograr un anlisis ms profundo.
Adems, tambin permite desarrollar a futuro
nuevas maneras de persistir la informacin, dado
que esta funcionalidad est completamente
desacoplada del resto de las clases.
Desde el punto de vista arquitectnico, BIP-M
framework define entities, dump managers, parsers
y seekers, cada uno de los cuales representan:
objetos a buscar, objetos que tienen la
responsabilidad y el conocimiento necesario para
extraer informacin del volcado de memoria y
parsearla, y objetos que deben obtener los datos
que el usuario solicite de la informacin extrada
previamente por los managers.
III.A. PROCESOS
La estructura _EPROCESS[2] representa a los
procesos en los sistemas operativos Windows, y
contiene, los atributos que se presentan en este
esquema, tiles en un anlisis forense.
III. ESTRUCTURAS EN MEMORIA

Los artefactos que se pueden encontrar en
memoria son variados y, por consecuencia, tambin
las estructuras que los representan. En memoria es
posible encontrar, entre otras cosas: procesos, hilos
(threads), mdulos, archivos, conexiones, sockets,
entradas de registro, drivers y timers.
Cada uno de estos artefactos est representado
por una o varias estructuras que poseen un
determinado formato, el cual puede diferir de un
sistema operativo a otro. El conocimiento y estudio
de estas estructuras es el punto de partida para
llevar adelante un anlisis forense de cada objeto
que presentes en memoria. Antes de avanzar en un
anlisis de estas caractersticas, se debe entender
cada uno de los artefactos y cmo se relacionan
entre s para lograr obtener informacin coherente a
partir de los datos identificados. A continuacin se
presentan ejemplos de las estructuras para
Windows 7 de 32 bits.
+0x000
+0x010
+0x018
+0x02C
+0x078
+0x088
+0x08C
+0x094
_EPROCESS
Windows 7 x86
+0x000 Pcb
: _KPROCESS
+0x098 ProcessLock
: _EX_PUSH_LOCK
+0x0a0 CreateTime
: _LARGE_INTEGER
+0x0a8 ExitTime
: _LARGE_INTEGER
+0x0b0 RundownProtect
: _EX_RUNDOWN_REF
+0x0b4 UniqueProcessId : Ptr32 Void
+0x0b8 ActiveProcessLinks : _LIST_ENTRY
+0x140 InheritedFromUniqueProcessId : Ptr32
_______________________________________Void
+0x16c ImageFileName
: [15] UChar
+0x188 ThreadListHead
: _LIST_ENTRY
+0x198 ActiveThreads
: Uint4B
+0x1a8 Peb
: Ptr32 _PEB
Entre estos atributos, el PCB (Process Control

Block), se representa por una estructura
_KPROCESS, embebida dentro del _EPROCESS,
y almacena valores de vital importancia: el puntero
al Process Environment Block (PEB) y el puntero a
la cabeza de la lista de threads del proceso:
_KPROCESS
Windows 7 x86
struct _DISPATCHER_HEADER Header;
struct _LIST_ENTRYProfileListHead;
ULONG32
DirectoryTableBase;
struct _LIST_ENTRYThreadListHead;
struct_LIST_ENTRYProcessListEntry;
ULONG32
KernelTime;
ULONG32
UserTime;
UINT8
_PADDING0_[0x4];
Los siguientes atributos son algunos de los ms

importantes dentro de la estructura _KPROCESS:
CretateTime: fecha de creacin del
proceso.
ExitTime: fecha de terminacin del
proceso.
UniqueProcessID: indica el id del
proceso.
ActiveProcessLinks: puntero a la cabecera
de la lista circular doblemente enlazada de
procesos activos.
224
InheritedFromUniqueProcessId:
identificador del proceso padre.
Los atributos CreateTime y ExitTime son

estructuras de tipo WindowsFileTime[3], un
formato de timestamp definido por Microsoft
donde se utiliza un entero de 64 bits para contar
intervalos de 100 nanosegundos desde el 1ro de
Enero del ao 1601. Dependiendo las
caractersticas del sistema, si es de 32 o 64 bits y la
endianness, la estructura puede ser representada de
distinta forma. Por simplicidad se considerar un
entero sin signo de 64 bits.
III.B. MDULOS
Los mdulos, por ejemplo las DLLs, se
almacenan en memoria con una estructura
denominada _LDR_DATA_TABLE_ENTRY, la
cual contiene los siguientes atributos:
IV. CMO SE ALMACENAN LAS

ESTRUCTURAS EN MEMORIA
La memoria se divide en kernel pools, que a su
vez se dividen en pools, donde se almacenan las
estructuras vistas anteriormente o distintos tipos de
datos. Un pool de memoria puede verse como un
conjunto de capas que se apilan y se representa con
una estructura Kernel Pool Layout:
TABLA I. KERNEL POOL LAYOUT
ESTRUCTURA
WIN7 X86
WIN7 X64
Presencia
_POOL_HEADER
8 elementos,
0x8 bytes
9 elementos,
0x10 bytes
Obligatorio
_OBJECT_HEADER_PROCESS_INFO
2 elementos,
0x8 bytes
2 elementos,
0x10 bytes
_OBJECT_HEADER_QUOTA_INFO
4 elementos,
0x10 bytes
5 elementos,
0x20 bytes
_OBJECT_HEADER_HANDLE_INFO
2 elementos,
0x8 bytes
2 elementos,
0x10 bytes
_OBJECT_HEADER_NAME_INFO
3 elementos,
0x10 bytes
3 elementos,
0x20 bytes
_OBJECT_HEADER_CREATOR_INFO
4 elementos,
0x10 bytes
4 elementos,
0x20 bytes
_OBJECT_HEADER
12 elementos,
0x20 bytes
12 elementos,
0x38 bytes
Windows x86
+0x000
+0x008
+0x010
+0x018
+0x01c
+0x020
+0x024
+0x02c
...
+0x070
InLoadOrderLinks : _LIST_ENTRY
InMemoryOrderLinks : _LIST_ENTRY
InInitializationOrderLinks:_LIST_ENTRY
DllBase
: Ptr32 Void
EntryPoint
: Ptr32 Void
SizeOfImage
: Uint4B
FullDllName
: _UNICODE_STRING
BaseDllName
: _UNICODE_STRING
LoadTime
: _LARGE_INTEGER
Los primeros 3 atributos son punteros a

diferentes listas enlazadas de mdulos cargados en
memoria, que se mencionaran ms adelante.
Adems de esos punteros, los atributos de mayor
inters son:
DllBase: es el puntero a la direccin de
memoria donde est cargado el mdulo
propiamente dicho.
FullDllName: es la direccin de memoria
donde se encuentra almacenado el nombre
del mdulo completo (path + filename).
BaseDllName: direccin de memoria
donde se encuentra almacenado el nombre
del mdulo.
Estos ltimos dos atributos, apuntan a una
estructura _UNICODE_STRING, que lleva el largo
de la cadena, el tamao mximo y un buffer de
caracteres.
OBJECT (_EPROCESS,
_FILE_OBJECT...)
Opcionales
Obligatorio
Obligatorio
Para estructura el encabezado almacena un tag

que permite identificar qu tipo de objeto se
almacena en ella:
TABLA II. POOL-TAG DE ESTRUCTURAS EN MEMORIA
Estructura
Etiqueta en memoria (tag)
Process
Pro
Thread
Thr
File
Fil
SymbolicLink
Lin
Driver
Dri
Desktop
Des
WindowStation
Win
TCPConnection
TcpE
TCPSocket
TcpL
UDPConnection
UdpA
RegistryEntry
CM10
Ms all que las estructuras en memoria ocupen

uno o varios pools de memoria existe una relacin
lgica entre distintos artefactos: los procesos
activos y los mdulos se vinculan formando parte
de una lista circular doblemente enlazada, donde
cada uno de ellos es un tem de la misma.
Figura
1. Lista doblemente enlazada de procesos activos
225
En la Fig. 1 se ilustra la lista de procesos

activos, que permite recorrer los procesos a travs
de los atributos FLINK y BLINK de la estructura
_EPROCESS. PsActiveProcessHead es la cabecera
de dicha lista y se la puede encontrar como atributo
del KDBG (KernelDebugger Data Block), una
estructura de Windows que lleva informacin
administrativa del sistema.
PsActiveProcessHead es una estructura del tipo
_LIST_ENTRY que contiene dos punteros, FLINK
y BLINK. Cada atributo FLINK apunta al atributo
FLINK del tem que le sigue en la lista, y cada
atributo BLINK apunta al atributo FLINK del tem
que lo precede en la lista.
Los mdulos activos tambin se vinculan entre
s, pero a travs de 3 listas circulares doblemente
enlazadas, que parten tambin del KDBG. Estas
listas difieren una de otra en el orden de los
elementos: la lista InLoadMemoryOrder se
organiza en base al orden en que se cargan los
mdulos, InMemoryOrderLinks en base al orden
que
se
encuentran
en
memoria,
e
InInitializationOrder
segn
el
orden
de
inicializacin.
V. ESTRUCTURAS OCULTAS Y MALWARE
Los procesos ocultos, a diferencia de los
procesos activos mencionados anteriormente, son
aquellos procesos que no mantienen sus referencias
en la lista de procesos, por lo que al recorrer la
misma, no pueden ser identificados. Esta situacin
usualmente se asocia con malware o rootkits, y se
ilustra en la siguiente figura:
Figura 2. Proceso oculto, fuera de la lista de procesos activos
De igual manera sucede con los mdulos, se

puede ocultar uno de ellos quitndole las
referencias a la lista de mdulos activos,
encabezada por la estructura PsActiveModuleList.
Es en este punto es donde resulta de gran

utilidad lo visto en el captulo anterior sobre los
pools de memoria y sus encabezados para
determinar qu tipo de estructura se encuentra
almacenado en ste. Este conocimiento permite
llevar adelante una tcnica de bsqueda de
estructuras basada en los tags de los diferentes
artefactos en sus respectivos encabezados de los
pools que ocupan[4, 5]. Por ejemplo para encontrar
procesos se debe buscar el tag Pro dentro del
volcado de memoria a analizar. Una vez
encontrado, evaluar si se trata de un pool que
contiene una estructura _EPROCESS y descartar
falsos positivos. Para ello, es necesario tener en
cuenta los siguientes detalles:
a) La pila de estructuras que puede haber dentro
del pool (ver TABLA I), para evaluar en qu
offset se puede encontrar el objeto
_EPROCESS.
b) Qu longitud tiene la estructura OBJECT.
c) Qu datos esperamos segn el offset en la
estructura OBJECT.
Respecto al punto c), en el caso de los procesos,
un criterio a tener en cuenta para descartar falsos
positivos es el valor DTB (DirectoryTable Base)
que posee cada proceso dentro de su estructura
_KPROCESS. Dicho valor debe coincidir con el
valor que posee un proceso conocido, como es el
caso del proceso System. Sin embargo, si el
volcado de memoria a analizar es del tipo
CrashDump, en el encabezado del archivo se
cuenta con dicho valor, con lo cual la validacin se
puede hacer directamente con ese valor[6].
Una vez recorrido el dump de memoria e
identificados todos los objetos de tipo
_EPROCESS, se puede construir una lista de los
mismos que se compara con la lista de procesos
activos para encontrar los procesos ocultos.
Si bien es una tcnica costosa, resulta
sumamente til para detectar estructuras ocultas, ya
que recorre todo el contenido disponible de la
memoria y se independiza de las estructuras lgicas
como las listas de procesos o mdulos.
Si el malware simplemente se extrajera de la
lista de procesos activos, no podra ejecutarse ms.
Previo a ocultarse, debe corromper alguna llamada
del sistema a travs de la cual pueda ganar control
de ejecucin en el sistema, y privilegios elevados.
Esta tcnica se denomina hooking y existen
diferentes tcnicas para hacerlo[7]:
226
a.
b.
c.
IDT Hooking (sobre todo en versiones

ms antiguas de Microsoft Windows)
SYSENTER Hooking
SSDT Hooking
Actualmente, el hooking a la SSDT

(SystemServiceDispatchTable) es ampliamente
utilizado por los rootkits. Podramos nombrar tres
formas de realizar hooking a la SSDT:
1.
2.
3.
Reemplazar punteros de la SSDT: se

reemplazan punteros en la SSDT para
realizar hooks a funciones especficas.
Duplicar la tabla SSDT: esto permite que
el malware pase desapercibido ms
fcilmente, dado que crea una copia de la
SSDT original, realiza hook sobre las
funciones que desea y actualiza la
referencia a la ServiceTable del/los
thread/s que desea. Dado que la mayora
de las herramientas analiza la existencia
de hooks verificando las ServiceTable
originales y no las copias, la deteccin de
este tipo de hooks en muchos casos falla.
Realizar hook dentro de una entrada vlida
de la SSDT (Inline Hook): en este caso, el
hook se realiza modificando una
instruccin dentro de una funcin
existente y vlida de la SSDT.
Figura 3. Hook a la SSDT
La Figura 3 muestra cmo el rootkit reemplaza

la entrada en la SSDT una llamada al sistema por
un puntero a su propio cdigo.
Un ejemplo prctico de cmo lograr un hook a la
SSDT, consiste en deshabilitar el WP bit
(WriteProtection bit) del registro CR0 del
procesador. Cuando este bit se encuentra en 0,
cualquier cdigo en el kernel tiene acceso de
lectura/escritura en todas las pginas de memoria.
Esto se puede lograr simplemente con instrucciones

de assembler. De esta forma, se puede modificar la
SSDT obteniendo permisos de escritura.
Otra alternativa, que no requiere la alteracin
del WP bit, consiste en modificar la SSDT sin
necesidad de habilitar los permisos de escritura
sobre la memoria.
Se accede a la SSDT desde la estructura
KeServiceDescriptorTable, un array que posee 4
valores DWORD. El primer valor es la direccin
virtual de memoria que apunta directamente a la
SSDT y el tercer valor indica la cantidad de
funciones que contiene la SSDT.
Si bien la zona de la SSDT est protegida contra
escritura, la zona de memoria que contiene al
KeServiceDescriptorTable que apunta a la SSDT
no lo est. Se puede acceder a la SSDT y hacer una
copia exacta de todas las direcciones de las APIs
contenidas en la SSDT original sobre una nueva
zona de memoria. Luego se realiza el hook ala API
elegida y luego se modifica el primer DWORD de
la estructura KeServiceDescriptorTablecon con la
direccin de la nueva SSDT[8][9].
En el caso de Windows 7, para analizar si
existen hooks a la SSDT, es necesario adoptar dos
alternativas diferentes segn la arquitectura. En
Windows 7 x86 cada thread posee un puntero a una
determinada ServiceTable, por lo que es posible
obtener todos los punteros nicos a las
ServiceTable listando previamente todos los
threads y analizando su estructura. En particular, el
TCB (ThreadEnvironment Block) es el que posee el
puntero a una ServiceTable. Veamos su ubicacin
dentro de la estructura _ETHREAD y, a
continuacin, el detalle de la estructura que
representa al bloque, llamada _KTHREAD:
typedefstruct _KTHREAD
{
/*0x000*/
struct_DISPATCHER_HEADER Header;
/*0x090*/
struct_KTIMER Timer;
/*0x0BC*/
VOID*
ServiceTable;
/*0x18C*/
VOID*
Win32Thread;
/*0x1E0*/
struct_LIST_ENTRYThreadListEntry;
/*0x1E8*/
struct_LIST_ENTRYMutantListHead;
/*0x1F4*/
struct_KTHREAD_COUNTERS*
ThreadCounters;
/*0x1F8*/
struct_XSTATE_SAVE* XStateSave;
}KTHREAD, *PKTHREAD;
De esta manera, analizando todos los threads,

podemos ubicar los punteros a las SSDT y, desde
estos, analizar la existencia de algn tipo de hook.
227
VI. CONCLUSIN
Adems de los rootkits, existen otros tipos de
malware, como backdoors, troyanos y botnets.
Cualquiera sea su tipo, debe considerarse que el
malware moderno siempre busca ocultarse, sin
embargo, deja indefectiblemente rastros en la
memoria. Es as que se torna fundamental hacer un
anlisis forense de la memoria voltil para poder
detectar la presencia de malware.
BIP-M framework permite realizar bsqueda de
estructuras ocultas y anlisis de hooks, y brinda la
posibilidad de extender su funcionalidad,
agregando parsers y seekers que puedan colaborar
para realizar bsqueda de nuevos objetos y/o
distintos tipos de malware. En su implementacin
actual, el framework demuestra que es apto para
este tipo de anlisis y extensibilidad, lo que deja
abierta la posibilidad de incorporar nuevas clases
para soportar tanto nuevas versiones como otros
sistemas operativos.
El conocimiento adquirido en esta temtica ha
fortalecido las bases del Grupo de Investigacin en
Sistemas Operativos e Informtica Forense de la
Universidad FASTA, permitiendo definir futuros
proyectos que continuarn esta lnea.
Se espera que la nueva herramienta desarrollada,
colabore con la tarea de los analistas forenses
facilitando la tarea de anlisis de memoria, y con el
mundo acadmico, desde el aporte de un
framework factible de ser utilizado y extendido.
REFERENCIAS
[1] A. H. Di Iorio, R. E. Sansevero, M. Castellote, A. Podest,
F. Greco, B. Constanzo, J. Waimann., Determinacin de
aspectos carentes en un Proceso Unificado de Recuperacin
de Informacin digital., p. 12, 2012.
[2] M. Russinovich, D. A. Solomon, A. Ionescu, Windows
Internals Part 1 6th Edition, 2012.
[3] Microsoft, Windows Dev Center, [En lnea]. Available:
https://msdn.microsoft.com/enus/library/windows/desktop/ms724284%28v=vs.85%29.asp
x. [ltimo acceso: 20 Abril 2015].
[4] A. Schuster, Searching for processes and threads in
Microsoft, Deutsche Telekom AG, Friedrich-Ebert-Allee
140, D-53113 Bonn, Germany, 2006.
[5] M. H. Ligh, A. Case, J. Levy, A. Walters, The Art of
Memory Forensics: Detecting Malware and Threats in
Windows, Linux, and Mac Memory, 2014, pp. 129-142.
lnea]. Available:
http://www.elladodelmal.com/2014/03/ssdt-hookingv2.html. [ltimo acceso: 24 Abril 2015].
[9] G. Hoglund, J. Butler, Rootkits: Subverting the Windows
Kernel, 2015.
Ana Haydee Di Iorio es Ingeniera en
Informtica de la Universidad FASTA y
Directora del InFo-Lab: Laboratorio de
Investigacin y Desarrollo de Tecnologa
en Informtica Forense. Es miembro de la
Comisin Asesora de la Red de
Laboratorios Forenses de Ciencia y
Tecnologa del Ministerio de Ciencia
Tecnologa e Innovacin Productiva de la
Repblica Argentina. Ha participado, presidido y dictado
conferencias en numerosos congresos nacionales e
internacionales.
Gonzalo Ruiz de Angeli es Tcnico en

Informtica de la Universidad FASTA,
estudiante avanzado de Ingeniera en
Informtica de la Universidad FASTA
y participa como investigador alumno
en el Grupo de Investigacin en
Informtica Forense. Proyecto final en
curso: BIP-M.
Juan Ignacio Alberdi es Tcnico en
Informtica de la Universidad FASTA
y estudiante avanzado de Ingeniera en
Informtica de la Universidad FASTA.
Proyecto final en curso: BIP-M.
Bruno Constanzo es Ingeniero en

Informtica, Investigador del InFo-Lab y
docente e Investigador del Grupo de
Investigacin en Sistemas Operativos e
Informtica Forense de la Facultad de
Ingeniera de la Universidad FASTA.
Ariel Podest es Ingeniero en
profesor Adjunto de la ctedra de
Informtica Aplicada de la Licenciatura
en Criminalstica, en la Facultad de
Ciencias Jurdicas y Sociales, y participa
como investigador en el Grupo de
Investigacin en Informtica Forense.
Martn Catellote es Ingeniero en
jefe de Trabajos Prcticos en la ctedra
de Sistemas Operativos, en la Facultad
de Ingeniera de la Universidad
FASTA, y participa como investigador
en el Grupo de Investigacin en
Informtica Forense.
[6] Q. Zhao, T. Cao, Collecting Sensitive Information from

Windows, 2009.
[7] M. H. Ligh, A. Case, J. Levy, A. Walters, The Art of
Memory Forensics: Detecting Malware and Threats in
Windows, Linux, and Mac Memory, 2014, pp. 390-395.
[8] D. P. Castro, Un informtico en el lado del mal, [En
228

1
Deteccion de Ataques de Denegacion de Servicio

en Tor
Ignacio Gago Padreny, Jorge Maestre Vidal, Luis Javier Garca Villalba, Senior Member, IEEE
AbstractTo protect our privacy, Tor, a popular anonymity

system, forwards traffic through multiple relays. This network
has been subject of numerous attacks trying to disclose user
identities, being denial of service attacks one of the most
widespread. Not only this attacks have been very popular on
Tor, but also on the Internet. In the present work, an anomalybased detection system is proposed for detecting such attacks.
Traffic is analized without concerning users privacy and from
it some metrics are extracted which enable to model traffic as
time series in order to find out anomalies.
Index TermsAnomalies, DDoS, Entropy, Predictive Models,
Time Series, Tor.
I. I NTRODUCCI ON
En la actualidad la privacidad esta tomando cada vez un
papel mas importante. Desde hace unos anos se aplican
en Internet protocolos basados en criptografa con el fin
de proteger el contenido de los mensajes intercambiados a
traves de la red. Sin embargo, es bastante mas reciente y
novedoso el uso de redes anonimas o PETs (del ingles Privacy
Enhancing Technologies) que se basan en proteger la identidad
del usuario. En el campo de las PETs se ha realizado bastante
trabajo teorico y aplicado pero los retardos que anaden al
intercambio de mensajes hace que muchas de las propuestas
queden obsoletas. Uno de los precursores en este campo fue
David Chaum con las redes mix [1], que propuso un nodo
intermedio que recibe mensajes de multiples clientes, los
reordena, y los enva en un orden aleatorio. En la actualidad
la red anonima mas utilizada es Tor.
La red Tor (del ingles The Onion Router) [2] es una red
de comunicaciones distribuida de baja latencia y superpuesta
sobre Internet, en la que el encaminamiento de los mensajes
intercambiados entre los usuarios no revela su identidad. En
la red Tor los mensajes viajan desde su origen a su destino, a
traves de una serie de encaminadores especiales, denominados
encaminadores de cebolla (del ingles onion routers). Su
desarrollo y mantenimiento es posible gracias a un conjunto de
organizaciones e individuos que donan su ancho de banda y capacidad de procesamiento, y a una importante comunidad que
lo respalda. El objetivo principal del proyecto Tor es conseguir
que Internet pueda usarse de forma anonima, de manera que el
encaminamiento proteja la identidad de los usuarios. Es decir,
persigue que no se pueda rastrear la informacion que enva
Ignacio Gago Padreny, Jorge Maestre Vidal y Luis Javier Garca Villalba,
Grupo de Analisis, Seguridad y Sistemas (GASS, http://gass.ucm.es), Departamento de Ingeniera del Software e Inteligencia Artificial (DISIA), Facultad
de Informatica, Despacho 431, Universidad Complutense de Madrid (UCM),
Calle Profesor Jose Garca Santesmases, 9, Ciudad Universitaria, 28040
Madrid, Espana. E-mail: {igago, jmaestre}@ucm.es, javiergv@fdi.ucm.es.
un usuario para llegar hasta e l. Esto permite que sea usada

por periodistas de investigacion, activistas, agentes de la ley
que actuan en operaciones de infiltracion de bandas, etc. Sin
embargo, la anonimidad que provee Tor suscita el interes por
descifrar ciertas comunicaciones. Por ello numerosos ataques
se plantean con el fin de desanonimizar Tor. Entre ellos cabe
destacar a los ataques de denegacion de servicio o ataques DoS
(del ingles Denial of Service Attacks) que intentan inutilizar
nodos de Tor para que el trafico pase por nodos maliciosos
del atacante y poder as observar dicho trafico.
Los ataques de denegacion de servicio no son solamente
frecuentes en Tor, habiendo aumentado su cantidad en un
70 % en los anos 2013 y 2014 [3]. Algunas de las razones
que se hallan detras de esto son la frecuente amenaza de
redes de ordenadores zombi conocidas como botnets, el uso
de elementos amplificantes o reflectantes como podra ser
el protocolo DNS y el aumento del crimen organizado, que
permite obtener beneficios economicos.
Con el fin de contribuir en su mitigacion, en este artculo se
propone una estrategia para la identificacion de amenazas DoS
en la red anonima Tor. En ella las variaciones de la entropa del
trafico monitorizado son modeladas como una serie temporal
usando el metodo de ARIMA y las comparaciones de los
valores observados con intervalos de prediccion. Para evaluar
la propuesta se han considerado las colecciones CAIDA07 y
CAIDA08.
El documento se estructura en 7 secciones, siendo la primera
la presente introduccion. La seccion II explica el funcionamiento de la red Tor. La seccion III describe los ataques de
denegacion de servicio y tecnicas de deteccion. Los ataques
de denegacion de servicio que pretenden desanonimizar Tor
se muestran en la seccion IV. En la seccion V se especifica
el sistema basado en anomalas. La seccion VI describe la
experimentacion realizada y los resultados. Finalmente, en la
seccion VII se presentan las conclusiones.
II. L A RED T OR
Para la comprension del sistema basado en anomalas primero es necesario conocer el funcionamiento de la red Tor
[4]. En la red Tor los paquetes se conocen como celulas y
viajan a traves de unos encaminadores especiales conocidos
como nodos OR. La informacion de estos nodos OR como
puede ser su ancho de banda se almacena en los servidores
de directorio. Estos servicios son accedidos por los nodos OP,
que actuan como el cliente, para a partir de dicha informacion
elegir tpicamente tres nodos de la red Tor a traves de los que
se encaminara el trafico. Estos nodos seran conocidos como
el nodo de entrada, el nodo intermedio y el nodo de salida.
229
GAGO et al.: Ataques DDoS en Tor
Una vez elegidos los nodos, el nodo OP debe intercambiar

claves simetricas con cada uno de ellos para cifrar los mensajes
usando algoritmos de clave asimetrica. Cuando el nodo OP
ya dispone de dichas claves estara en posicion de realizar
peticiones. Cifrara la peticion en primer lugar con la clave
compartida con el nodo de salida, y sobre este mensaje ya
cifrado volvera a cifrarlo aplicando la clave que comparte con
el nodo intermedio, repitiendo posteriormente este proceso con
la clave compartida con el primer nodo. De esta forma, cuando
el primer nodo recibe el mensaje, lo descifra utilizando la clave
que comparte con el nodo OP quitandole su capa de cebolla
y lo enviara al segundo. El segundo nodo procedera igual y
de esta forma el nodo de salida tras quitar la u ltima capa de
cebolla realizara la peticion del cliente.
En consecuencia, cada nodo de la red Tor solo conoce el
nodo anterior y el siguiente nodo, pero ninguno conoce el
camino completo, impidiendo as que nadie pueda enlazar el
cliente con el servidor final.
DE SERVICIO
III. ATAQUES DE DENEGACI ON
Segun [5], existen dos tipos de inyeccion de trafico capaces
de inutilizar un sistema por inundacion. La primera de ellas
se basa en la generacion constante y continuada de grandes
volumenes de informacion, y es conocida como inundacion
de tasa alta. Es un metodo efectivo pero muy ruidoso. Por
otra parte, la vctima puede ser comprometida mediante envos
menos ruidosos capaces de explotar vulnerabilidades en los
protocolos de comunicacion. Esto es conocido como inundacion de tasa baja, siendo un ejemplo tpico los ataques en rafagas ON/OFF dirigidos contra el protocolo TCP [6]. En ambos
casos, el trafico malicioso puede ser enviado directamente a
la vctima, o de manera reflectada [7] [8]. La mayor parte
de los esfuerzos dirigidos contra la denegacion de servicio
asumen estos comportamientos y proponen esquemas para su
deteccion, mitigacion y la identificacion del origen.
La deteccion de los ataques es necesaria para llevar a cabo
cualquiera de las otras dos acciones. Habitualmente se basa en
el analisis de trafico que circula a traves del entorno protegido,
en busca de patrones de ataques conocidos o comportamientos
anomalos.
Con este fin se han propuesto diferentes tecnicas, tales
como modelos probabilistas basados en Markov [9], algoritmos geneticos [10], teora del caos [11], analisis estadstico
CUSUM con transformadas de partculas (wavelets) [12],
tecnicas forenses basadas en visualizacion [13], logica difusa
[14] o estudio de las variaciones en la entropa [15], [7].
En aproximaciones como [16], se trata el problema de la
similitud de la naturaleza de ataques DoS con eventos no
malintencionados. Este es el caso de las situaciones conocidas
como flash crowds, producidas cuando una gran cantidad de
usuarios legtimos convergen en un determinado servicio en
un intervalo pequeno de tiempo.
A lo largo de los anos se han publicado una gran cantidad de
metodologas para la evaluacion de este tipo de herramientas.
Estas se basan principalmente en aplicar colecciones de ataques de dominio publico (KDD99, DARPA99, FIFA World
Cup98, etc.) o metodos de generacion de trafico que imitan el
comportamiento de los ataques (Curl-loader, DDOSIM, etc.).

En [17] se revisa cada una de ellas y concluyen en que las
capturas de ataques utilizadas tradicionalmente son obsoletas y
muy dispares de los modelos de trafico actuales; recomiendan
u nicamente el uso de CAIDA07 [18].
IV. ATAQUES D O S EN T OR
A pesar de que la forma de realizar los ataques de denegacion de servicio es muy amplia todos tienen el mismo objetivo:
inutilizar nodos de Tor para que al crearse nuevas conexiones
por las que enrutar los mensajes se tengan comprometidos el
primer y el tercer nodo del camino, puesto que el primer nodo
conoce el cliente y el tercer nodo el servidor destino, y de esta
forma relacionarlos.
El ataque Sniper [19] se aprovecha del protocolo de control
de congestion de Tor, para deshabilitar nodos arbitrariamente
partiendo de tener nodos comprometidos. En el artculo los
autores proponen diversas defensas pero todas ellas suponen
cambiar el protocolo de Tor.
Por otro lado el ataque Replay [20] se basa en aprovechar
una particularidad del protocolo de cifrado AES en modo
CTR, no pudiendose realizar el ataque con otro esquema de
cifrado diferente.
En [21] se propone otro tipo de ataque DoS y como
defensa se proponen puzzles para que los usuarios legtimos
se autentiquen.
En [22] y en [23] se proponen defensas a ciertos ataques
de denegacion de servicio que implican inyectar trafico en la
red.
La diversidad de ataques DoS que existen en Tor hace
que defensas especficas para cada problema no solucione el
problema general que existe. Ademas, la inyeccion de trafico
en la red o la utilizacion de mecanismos de autenticacion del
usuario basados en puzzles anaden retardos a la comunicacion
en una red que fue disenada para actuar con poco retardo.
V. F ORTALECIMIENTO DE T OR FRENTE A ATAQUES D O S
La arquitectura de la propuesta esta representada en la
Figura 1. En ella destacan tres bloques de procesamiento de
informacion: monitorizacion, modelado y analisis.
En la etapa de monitorizacion se observa el trafico que
fluye a traves del sensor. Asumiendo que sera desplegado en
nodos OR, el trafico de interes es el entrante y el saliente.
El proceso de modelado es llevado a cabo en tres pasos: en
primer lugar, se extraen las caractersticas mas importantes.
A partir de dichas caractersticas es posible la construccion
de metricas, las cuales son alineadas en el tiempo formando
series temporales. Al concluir esta etapa, a partir de una serie
temporal se modelan las caractersticas del trafico.
La deteccion de ataques se basa en la identificacion de
anomalas en las series temporales construidas a partir de las
metricas. Con este fin, la etapa de analisis construye modelos
predictivos capaces de pronosticar el valor que alcanzaran las
metricas en observaciones futuras. Cuando se produce un error
en alguna prediccion se emite una alerta.
230

3
Modelado
Anlisis
Extraccin de
caractersticas
Modelo predictivo
Mtrica
Umbrales
adaptativos
Series temporales
Decisin
Monitorizacin
Alertas
Figura 1. Arquitectura del sistema de deteccion de DoS en Tor.
A. Extraccion de caractersticas
La mayor parte de las propuestas en el a rea de la deteccion
de ataques DoS se basan en el estudio de las caractersticas
de las conexiones observadas. De entre ellas cabe destacar
el uso de los flujos de infomarcion, conocidos como flows.
Dados los buenos resultados obtenidos en trabajos previos, la
informacion extrada en esta aproximacion trata de adaptar el
concepto de IP flow a las limitaciones de la red Tor.
Los IP flows estan construidos por una direccion IP origen,
una direccion IP destino, y el numero de datagramas que
durante un intervalo de tiempo de observacion han sido
enviados entre ellos [24]. Las caractersticas que hacen de
Tor una red anonima eficaz, impiden el conocimiento de estos
valores. En su lugar, en este trabajo se propone por primera
vez el concepto de Tor flow.
Los Tor flows quedan determinados a partir de la conexion
TLS y al identificador de circuito o circid al que pertenece
la celula monitorizada. Esto es debido a que todo nodo
OR establece una conexion TLS con los demas nodos de
la red Tor. Para cada conexion TLS, el circid de la celula
entrante determina de que circuito llega dicha celula, ya que
se multiplexan diversos circuitos a partir de la misma conexion
TLS. De esta manera, a pesar de que los Tor flows no aportan
tanta informacion como los IP flows, s que permiten distinguir
el origen del trafico, y si e ste sigue un mismo circuito en
comun, a pesar de no conocerse el camino completo.
Formalmente, sea T el conjunto de los identificadores de
las conexiones TLS y sea C el conjunto de los circid en
un momento dado. Por lo tanto, el Tor Flow asociado a una
conexion TLS ti y a un circid cj es representado a partir de
la expresion:
fij = {(ti , cj )|ti T, cj C}
B. Metrica
La metrica que aplica el sistema propuesto es la adaptacion
de la entropa de Shannon, a la medicion de la incertidumbre
de la cantidad y tipo de Tor flows que fluyen a traves del
sensor. Intuitivamente, en un ataque de denegacion de servicio
al haber muchos paquetes pertenecientes a unos pocos flows

atacantes y pocos paquetes de una cantidad mayor de usuarios
legtimos, la incertidumbre expresada a traves de la entropa
es mucho mas baja que en el caso de trafico usual.
Para definir la entropa primero tenemos que definir la
probabilidad asociada a cada Tor flow.
Nij (ti , cj )
pij (ti , cj ) = X X
Nij (ti , cj )
i
donde (ti , cj ) representa el Tor Flow fij y Nij (ti , cj ) representa el numero de celulas relativas al Tor Flow fij . A partir
de esto es posible el calculo de la entropa:
H(F ) =
pij (ti , cj ) log2 pij (ti , cj )
i,j
C. Modelado y analisis
Tras recoger los valores observados de la entropa se
modelaran usando las series temporales. De este modo es
posible comparar los patrones del modo de uso legtimo de la
red, con aquellos que revelan comportamientos anomalos. La
deteccion de anomalas se basa en la prediccion de la proxima
observacion a realizar. Cuando esta no corresponde con el
comportamiento esperado y sobrepasa un cierto intervalo de
prediccion, el sistema emite una alerta.
La prediccion se realiza mediante un modelo autorregresivo
integrado de media movil o ARIMA (del ingles Autoregressive
Integrated Moving Average). En su construccion se aplica el
metodo propuesto en [25]. A continuacion se calculan dos
umbrales adaptativos. El primero limita las cotas superiores
del umbral de prediccion, mientras que el segundo limita las
cotas inferiores. En realidad, estos umbrales adaptativos son
los extremos del intervalo de confianza de grado 1 , donde
(0, 1), que es calculado a partir de una distribucion normal
obtenida a partir de la serie original y de la serie de los errores.
231
GAGO et al.: Ataques DDoS en Tor
VI. E XPERIMENTACI ON
En la implementacion del sistema, las observaciones son
delimitadas por un numero fijo de paquetes cuyo orden de
llegada es consecutivo. Una frecuente alternativa a esto es la
acotacion mediante intervalos de tiempo de monitorizacion.
Ambos presentan ventajas e inconvenientes, siendo la primera
mas eficiente en el analisis de colecciones de trazas de
dimensiones previamente conocidas, tal y como sucede en
este escenario de evaluacion [15]. De este modo, el uso de
observaciones acotadas por tiempo queda fuera del alcance de
este trabajo.
Debido a la falta de colecciones de trazas de trafico atacante
y legtimo en la red Tor por sus implicaciones e ticas, se ha
optado por utilizar colecciones de trafico IP respaldadas por
la comunidad cientfica, utilizando el concepto de IP flow en
este caso.
Por una parte se ha tomado la coleccion CAIDA07, trazas
que contienen ataques de inundacion (principalmente ICMP,
SYN y HTTP), monitorizadas en Agosto del ano 2007;
estan divididos en archivos de extension pcap, y separadas
en intervalos de 5 minutos. Tal y como se describe en su
documentacion, tras su captura se ha tratado de eliminar el
contenido no malintencionado. En consecuencia, es frecuente
su complementacion mediante la coleccion de capturas pasivas
de trafico CAIDA08 [26] [14]. Estas u ltimas reunen trafico
habitual de los centros de procesamiento de datos Equinix de
San Jose y Chicago (Estados Unidos). Ambas constituyen el
esquema de evaluacion basado en capturas reales mas parecido
al trafico de las redes actuales, por lo que permiten el contraste
de los resultados obtenidos, e involucran un contexto mas
actualizado. Para esta experimentacion se han llevado a cabo
200 combinaciones distintas de trafico legtimo-malicioso, que
fueron analizadas con el sistema propuesto, donde se ha
medido la entropa cada 1000 paquetes, y se ha introducido
trafico atacante a partir de 100 mediciones de entropa.
Tras analizar las 200 combinaciones de trafico legtimo
seguido de trafico de ataque con la herramienta se observa:
Una tasa de aciertos del 97 %. En la mayora de los casos
el sistema de deteccion identifica que se produce una
anomala. Como se puede ver en la Figura 2 se produce
un cambio brusco en la entropa cuando se han analizado
101000 paquetes, que es justo cuando se ha analizado por
primera vez trafico atacante.
Una tasa de falsos positivos del 2 %, debido a variaciones
bruscas en el trafico legtimo que ocasionan que la
herramienta lo detecte y emita una alerta. En la Figura 3
se puede ver este cambio, a pesar de no ser tan brusco
como en la Figura 2. Hay que tener en cuenta que
al combinar un mismo fichero de trafico legtimo con
varios de trafico de ataque, en caso de producirse un
falso positivo se producira en todas sus combinaciones.
Debido a esto a pesar de haberse realizado 200 pruebas,
para los falsos positivos solo tienen sentido 48 de ellas,
ya que se tomaron 48 ficheros de trafico atacante.
Como se puede ver, en la practica la entropa sufre una grave
disminucion al producirse un ataque de denegacion de servicio,
como se haba previsto anteriormente de forma teorica.
Figura 2. Serie temporal de la entropa para la deteccion de un Ataque (trafico

legtimo del ano 2013 y ataque cada)
Figura 3. Variacion de la tasa de falsos positivos detectadas al analizar una

coleccion de 96.000 paquetes
VII. C ONCLUSIONES
En este trabajo se ha introducido un metodo para la deteccion de ataques de denegacion de servicio en Tor, que combina
las metricas clasicas propuestas en inundacion, con estrategias
de prediccion sobre series temporales. Concretamente se ha
combinado el analisis de las variaciones en la entropia de
R`
enyi con el modelado de ARIMA y sus intervalos de
prediccion. Para evaluar la propuesta se ha experimentado
con colecciones de muestras ampliamente utilizadas en la
literatura obteniendo resultados que demuestran que el sistema
desarrollado presenta una alta capacidad de deteccion de
ataques verdaderos (97 %). Tambien indican que su tasa de
emision de falsos positivos es baja (2 %).
El trabajo realizado deja abierta una gran cantidad de
futuras lneas de investigacion. La primera de ellas estan
relacionados con la propia estrategia de deteccion: sera
de interes valorar el comportamiento del sistema al aplicar
otro tipo de metricas, modelos predictivos o algoritmos
de inicializacion. Por otro lado, y de cara a mejorar su
integracion en Tor, sera conveniente el uso de estrategias
de rastreo de ataques o estrategias de mitigacion, dentro de
dicha infraestructura. Ambas proponen interesantes desafos,
relacionadas tanto con alcanzar una buena eficacia, como en
preservar la privacidad de los extremos de las comunicaciones.
Finalmente, y en relacion a la experimentacion, sera de
interes ampliar el conjunto de pruebas realizadas incluyendo
su aplicacion directa en Tor. Ademas, existen diferentes
aspectos relacionados con el rendimiento, o la calidad de
servicio que no han sido evaluados. Tambien sera importante
estudiar la capacidad de deteccion del sistema frente a
diferentes tipos de ataques de denegacion de servicio, e
incluso tecnicas de evasion.
232

5
AGRADECIMIENTOS
Los autores tambien agradecen la infraestructura proporcionada por el Campus de Excelencia Internacional (CEI) Campus
Moncloa - Cluster de Cambio Global y Nuevas Energas
R EFERENCIAS
[1] D. Chaum. Untraceable electronic mail, return addresses, and digital
pseudonyms, Communications ACM, pp. 84-90, February 1981.
[2] Tor Project (2015). Available: https://www.torproject.org
[3] L. Marinos, ENISA (2015). Threat Landscape 2014. Available: https:
//www.enisa.europa.eu/
[4] R. Dingledine, N. Mathewson, P. Syverson. Tor: the second-generation
onion router, in Proceedings of the 13th Conference on USENIX
Security Symposium, San Diego, CA, US, vol. 13, August 2004.
[5] W. Wei, F. Chen, Y. Xia, G. Jin. A rank correlation based detection
against distributed reflection DoS attacks, IEEE Communications Letters, vol. 17 (1), pp. 173-175, January 2013.
[6] Y. Tang, X.Luo, Q. Hui, R.K.C. Chang, Modeling the Vulnerability of
Feedback-Control Based Internet Services to Low-Rate DoS attacks,
IEEE Transactions on Information Forensics and Security, vol. 9, no. 3,
pp. 339-353, January 2014.
[7] M.H. Bhuyan, D. K. Bhattacharyya, J.K. Kalita. An empirical evaluation of information metrics for low-rate and high-rate DDoS attack
detection, Pattern Recognition Letters, vol. 51, no. 1, pp. 1-7, January
2015.
[8] M. Anagnostopoulos, G. Kambourakis, P. Kopanos, G.Louloudakis, S.
Gritzalis. DNS amplification attack revisited, Computers & Security,
vol. 39, part B, pp. 475-485, November 2013.
[9] S. Shin, S. Lee, H. Kim, S. Kim. Advanced probabilistic approach
for network intrusion forecasting and detection, Expert Systems with
Applications, vol. 40, no. 1, pp. 315-322, January 2013.
[10] S.M. Lee, D.S. Kim, J.H. Lee, J.S. Park. Detection of DDoS attacks
using optimized traffic matrix, Computers & Mathematics with Applications, vol. 63, no. 2, pp. 501-510, September 2012.
[11] Y. Chen, X. Ma, X. Wu. DDoS detection algorithm based on preprocessing network traffic predicted method and chaos theory, IEEE
Communications Letters, vol. 17, no. 5, pp. 1052-1054, May 2013.
[12] C. Callegari, S. Giordano, M. Pagano, T. Pepe. Wave-cusum: improving
cusum performance in network anomaly detection by means of wavelet
analysis, Computers & Security, vol. 31, no. 5, pp. 727-7J5, July 2012.
[13] Y. Cai, R.M. Franco, M. Garca-Herranz. Visual latency-based interactive visualization for digital forensics, Journal of Computational Science,
vol. 1, no. 2, pp. 115-120, June 2010.
[14] P.A.R. Kumar, S. Selvakumar. Detection of distributed denial of service
attacks using an ensemble of adaptive and hybrid neuro-fuzzy systems,
Computer Communications, vol. 36, no. 3, pp. 303-19, February 2013.
[15] I. Ozcelik, R.R. Brooks. Deceiving entropy based DoS detection,
Computers & Security, vol. 48, no. 1, pp. 234-245, February 2015.
[16] W. Zhou, W. Jia, S. Wen, Y. Xiang. Detection and defense of
application-layer DDoS attacks in backbone web traffic, Future Generation Computer Systems, vol. 38, pp. 36-46, September 2014.
[17] S. Bhatia, D. Schmidt, G. Mohay, A. Tickle, A framework for generating realistic traffic for Distributed Denial-of-Service attacks and Flash
Events, Computers & Security, vol. 40, no. 1, pp. 95-107, February
2014.
[18] The CAIDA UCSD (2015), DDoS Attack 2007 Dataset. Available:
http://www.caida.org/data/passive/ddos-20070804 dataset.xml
[19] R. Jansen, F. Tschorsch, A. Johnson, B. Scheuermann, The Sniper
Attack: Anonymously Deanonymizing and Disabling the Tor Network,
in Proceedings of the 18th Symposium on Network and Distributed
System Security (NDSS), San Diego, Ca, USA, August 2014.
[20] R. Pries, W. Yu, X. Fu, W. Zhao. A New Replay Attack Against
Anonymous Communication Networks, in Proceedings of the IEEE
International Conference on Communications (ICC08), Beijing, Chine,
pp. 1578-1582, May 2008.
[21] M.V. Barbera, V.P. Kemerlis, V. Pappas, A.D. Keromytis, Cellflood:
Attacking Tor Onion Routers on the Cheap, Computer Security, vol.
8134, pp. 664-681, September 2013.
[22] N. Danner, S. Defabbia-Kane, D. Krizanc, M. Liberatore, Effectiveness
and detection of denial-of-service attacks in tor, ACM Transactions on
Information and Security, vol. 15, issue 3, no. 11, November 2012.
[23] A. Das, N. Borisov, Securing Anonymous Communication Channels
under the Selective DoS Attack, Financial Cryptography and Data
Security, pp. 362-370, 2013.
[24] A. Sperotto, G. Schaffrath, R. Sadre, C. Morariu, A. Pras, B. Stiller. An
overview of IP flow-based intrusion detection, IEEE Communications
Surveys & Tutorials, vol. 12(3), pp. 343-356, July 2010.
[25] A. Maravall, D. Perez. Applying and interpreting model-based seasonal
adjustment, The Euro-Area Industrial Production Series, N. 1116, July
2011.
[26] The CAIDA UCSD (2015), Anonymized Internet Traces 2008. Available: http://www.caida.org/data/passive/passive 2008 dataset.xml
Ignacio Gago Padreny received a Computer Science Engineering degree and a Mathematics degree,
(Spain) in 2015. He is currently a M.Sc. student
in the Universidad Complutense de Madrid (UCM)
and a Research Assistant at Complutense Research
Group GASS (http://gass.ucm.es), which is located
in the Faculty of Computer Science and Engineering
at the UCM Campus. His main research interests are
computer security and computer networks.
Jorge Maestre Vidal received a Computer Science
Engineering degree from the Universidad Complutense de Madrid (Spain) in 2012. He holds a M.Sc.
in Research in Computer Science from the Universidad Complutense de Madrid (Spain) in 2013.
He is currently a Ph.D. student at the Universidad
Complutense de Madrid (Spain) and a Research
Assistant at Complutense Research Group GASS
(http://gass.ucm.es). His main research interests are
computer security and computer network.
233

1
Algoritmo para el Mapeo de Clasificaciones de

Vulnerabilidades Web
Fernando Roman Munoz, Luis Javier Garca Villalba, Senior Member, IEEE
AbstractDue to the widespread use of the World Wide Web,

the amount and kinds of application level web vulnerabilities
have increased. In order to sort web vulnerabilities, many web
vulnerability classifications have been developed. There are also
mappings that relate the vulnerabilities of various classifications.
Until the authors knowledge any full mapping between web
vulnerability classifications has been done. In this paper a new
method to map web vulnerability classifications is proposed.
As classifications change over time, this new method could be
executed when the existing classifications change or when new
classifications are developed. The result of get the mappings
between web vulnerability classifications also involves a process
to simplify each web vulnerability description into a unique and
small group of words. The vulnerabilities describe this way can
also be seen as a web vulnerability classifications that includes
all vulnerabilities in the classifications taken into account.
Index TermsClassification Mappings, Vulnerability Classification, Web Vulnerability, Web Vulnerability Relationships.
I. I NTRODUCCI ON
Hay organizaciones que se encargan de desarrollar listas
que clasifican los problemas, pruebas o algun otro concepto
de seguridad que pueden darse en las aplicaciones Web.
Estas listas pueden contener desde unos pocos problemas o
pruebas de seguridad hasta varios cientos, y suelen incluir
la descripcion del problema, algun ejemplo y metodos de
deteccion. Aunque estos elementos de seguridad se definen
bajo diferentes conceptos como pueden ser vulnerabilidades,
amenazas o riesgos, todos ellos estan relacionados y de hecho
se pueden relacionar los de unas listas con los de otras. En
algunos casos, estas mismas organizaciones u otras, elaboran
mapeos entre las clasificaciones para relacionar en la medida
de lo posible los problemas de seguridad que aparecen en las
clasificaciones. De esta forma es posible reconocer un mismo
problema en cada una de ellas, y obtener toda la informacion
disponible al respecto. Las dos principales carencias de estos
mapeos son, por un lado, que no se mantienen actualizadas
las relaciones, aunque si se actualicen las clasificaciones, y
por otro lado que no hay constancia de que sean exhaustivos
y hayan tenido en cuenta toda la informacion existente. Para
intentar afrontar estas dos carencias, en este artculo se describe un nuevo metodo para encontrar las relaciones que existan
entre los problemas de seguridad incluidos en las diferentes
clasificaciones, de forma que se puedan mantener actualizas
las relaciones y se tenga en cuenta toda la informacion
Fernando Roman Munoz y Luis Javier Garca Villalba, Grupo de Analisis,
Seguridad y Sistemas (GASS, http://gass.ucm.es), Departamento de Ingeniera
del Software e Inteligencia Artificial (DISIA), Facultad de Informatica,
Despacho 431, Universidad Complutense de Madrid (UCM), Calle Profesor
Jose Garca Santesmases, 9, Ciudad Universitaria, 28040 Madrid, Espana. Email:froman@ucm.es, javiergv@fdi.ucm.es.
disponible. La estructura del resto del artculo es como sigue:

en la seccion 2 se indican los conceptos de seguridad que
se emplean y como se relacionan y se describen las clasificaciones de vulnerabilidades en aplicaciones Web existentes
y las relaciones entre ellas. En la seccion 3 se explica el
metodo desarrollado para relacionar las vulnerabilidades Web
de diferentes clasificaciones y en la u ltima seccion de incluyen
las conclusiones y el trabajo futuro.
II. A NTECEDENTES
Las listas existentes de problemas, pruebas u otro tipo de
concepto de seguridad los clasifican segun diferentes conceptos como: vulnerabilidades, amenazas, debilidades, riesgos,
controles, caractersticas de auditora o patrones de ataque. Todos estos conceptos estan relacionados entre ellos como puede
verse en los glosarios de la gua NIST Special Publication 80030 [1], de la norma internacional ISO/IEC 27000:2014 [2] o de
la herramienta de analisis de riegos Pilar [3]. Una amenaza es
cualquier evento que en caso de suceder tendra consecuencias
negativas sobre el activo, en este artculo el activo es la
aplicacion Web. Las amenazas pueden explotar o hacer uso
de debilidades, es decir vulnerabilidades, que pueda tener la
aplicacion Web para afectarle negativamente. La existencia de
vulnerabilidades implica cierto riesgo para la aplicacion que
se puede medir segun el impacto negativo que le pueda causar
a la aplicacion y la probabilidad o frecuencia de que ocurra.
Para proteger a los activos frente a las amenazas se pueden
aplicar controles de seguridad que reducen o mitigan el riesgo.
Adicionalmente los patrones de ataque son descripciones de
metodos para probar la explotacion de vulnerabilidades, y las
caractersticas de las herramientas de analisis automatico de
vulnerabilidades serviran para detectarlas. Como todos estos
conceptos estan relacionados, aunque son distintos y no sea del
todo correcto, en este artculo se hace referencia a todos ellos
como vulnerabilidades. Cuando se hable de vulnerabilidades
estara haciendo referencia realmente al concepto correspondiente de la clasificacion que se este teniendo en cuenta en
ese momento.
A. Clasificaciones de vulnerabilidades
En esta subseccion se enumeran las principales clasificaciones de vulnerabilidades, aportando tambien sus principales
caractersticas y prestando especial atencion en las que clasifican vulnerabilidades en aplicaciones Web.
La organizacion WASC proporciona una clasificacion de 49
amenazas en aplicaciones Web (WASC TC) [4]. Divide las
amenazas entre debilidades y ataques, e incluye la fuente de
las amenazas: diseno, implementacion o desarrollo. Contiene
234
ROMN et al.: Algoritmo Mapeo Vulnerabilidades
Tabla I
C ARACTERI STICAS DE LAS CLASIFICACIONES DE VULNERABILIDADES W EB
Clasificacion
WASC TC
OWASP Top 10
Gua de pruebas
OWASP v3
Gua de pruebas
OWASP v4
NIST Special
Publication 500-269
WASSEC
SecToolMarket
Desarrollado por
WASC
OWASP
OWASP
OWASP
NIST
WASC
Shay Chen
Prueba de
vulnerabilidad
Prueba de
vulnerabilidad
Problema de
seguridad
Caratersitica
de auditora
66
88
14
55
33
1.0
(2009)
2012
Concepto
Amenaza
Riesgo
Vulnerabilidad
Numero
49
Version actual
2.0
(2010)
2013
2008
2014
1.0
(2007)
Descripcion
S-brevemente
No
S-brevemente
Ejemplo
No
No
No
Deteccion
No
No
No
No
Mitigacion
No
No
No
S-brevemente
No
No
Referencias
No
No
10
descripciones y ejemplos. La u ltima version es la 2.0 liberada

en 2010. En 2009 la organizacion WASC tambien elaboro el
Web Application Security Scanner Evaluation Criteria (WASSEC) [5], que incluye una lista de problemas de Seguridad
que una herramienta de analisis de aplicaciones Web debe
detectar. Los extrae principalmente de WASC TC, e incluye 55
problemas agrupados en varias categoras: autenticacion, autorizacion, ataque del lado del cliente, ejecucion de comandos
y revelacion de informacion.
La organizacion OWASP mantiene actualizada la lista
OWASP Top 10 [6], que incluye los diez riesgos de seguridad
mas crticos en las aplicaciones Web segun su criterio. Obtiene
sus datos de empresas de consultora y de fabricantes de
herramientas de deteccion de vulnerabilidades. La version
actual es del 2013. Esta lista incluye la deteccion y ejemplos
de cada vulnerabilidad, y tambien metodos para mitigar su
impacto.
OWASP tambien desarrolla la Gua de Pruebas de OWASP
[7] que describe un conjunto de pruebas que se pueden realizar
sobre las aplicaciones Web para detectar vulnerabilidades.
Contiene 66 pruebas agrupadas en diez categoras:
recopilacion de informacion, gestion de configuracion,
autenticacion, gestion de sesiones, autorizacion, logica de
negocio,validacion de datos, denegacion de servicio,servicios
Web y Ajax. La version v3 es del 2008. Incluye la descripcion
de las vulnerabilidades, ejemplos y metodos de deteccion.
No se indican metodos para mitigar su impacto, pero si
incluye referencia a otra informacion de interes de OWASP.
Recientemente en 2014 esta gua ha sido actualizada con
la version v4. Al igual que la anterior version describe
un conjunto de pruebas que se pueden realizar sobre las
aplicaciones Web para detectar vulnerabilidades. En este
caso tiene 88 pruebas distribuidas en 11 categoras. Con
respecto a la version anterior se crean nuevas categoras:
configuracion y gestion del desarrollo, gestion de identidades,
gestion de errores, criptografa y pruebas del lado del cliente,
y desaparecen otras: gestion de configuracion, gestion de
sesiones, denegacion de servicio, servicios Web y Ajax.
Como parte del proyecto NIST SAMATE en 2007 se elabora

la gua NIST Special Publication 500-269 [8] que describe
las tareas que debe realizar una herramientas de deteccion de
vulnerabilidades Web. En su anexo A se incluye una lista de
14 vulnerabilidades Web que estas herramientas deberan ser
capaces de identificar. Las vulnerabilidades de esta lista se han
incluido segun su probabilidad de ser explotadas. En el anexo
B se sugieren brevemente metodos para mitigarlas.
La clasificacion Common Weakness Enumeration (CWE)
[9] desarrollada por la Corporacion MITRE, es un conjunto
de debilidades software en todo tipo de software, no solo
aplicaciones Web. La version existente en el momento de este
documento, la 2.8 en 2015, inclua 1003 debilidades. Tambien
se citan ejemplos, metodos de deteccion y de mitigacion y
referencias a otras clasificaciones de vulnerabilidades.
SANS y MITRE han desarrollado la clasificacion
CWE/SANS TOP 25 de los errores software mas peligrosos
(SANS CWE/25) [10], que fue actualizada por u ltima vez en
2011. Es un subconjunto de CWE e igualmente incluye vulnerabilidades de todo tipo de aplicaciones. Incluye ejemplos
y metodos de deteccion.
Otra clasificacion que incluye vulnerabilidades en todo tipo
de software es Common Attack Patterns Enumeration and
Classification (CAPEC) [11] que mantiene la corporacion
MITRE. Contiene patrones de ataque y la u ltima version
durante la elaboracion de este documento es la 2.6 de 2014
y contiene 463 patrones. Incluye ejemplos y descripciones de
flujos de ataque.
Por ultimo Shay Chen mantiene la clasificacion SecToolMarket [12] donde se incluye una clasificacion de 33 caractersticas de auditoria de las herramientas de analisis de
aplicaciones web. Se actualiza normalmente cada ano e incluye referencias a WASC TC v2.0 y a la gua de pruebas
v3 de OWASP. En Sectoolmarket tambien se analizan 62
herramientas, para determinar cuales de esas 33 caractersticas
de auditora detecta cada una.
Las Tablas I y II resumen las caractersticas de estas listas
de vulnerabilidades.
235

3
En la Tabla I estan las que clasifican solo vulnerabilidades

en aplicaciones Web, y en la tabla II las que incluyen vulnerabilidades en todo tipo de aplicaciones. Como puede verse,
las clasificaciones de vulnerabilidades no se actualizan muy
frecuentemente, de hecho, u nicamente dos clasificaciones de
vulnerabilidades CWE y CAPEC se mantienen actualizadas
mas o menos de forma continua. Tambien resalta el hecho de
que las clasificaciones de problemas o pruebas de seguridad
en aplicaciones Web contienen un numero muy pequeno de
elementos comparadas con las que incluyen todo tipo de
aplicaciones.
Tabla II
C ARACTERI STICAS DE LAS CLASIFICACIONES DE VULNERABILIDADES NO
SOLO W EB .
Clasificacion
SANS CWE/25
CWE
CAPEC
Proveedor
SANS-MITRE
MITRE
MITRE
Concepto
Debilidad
Debilidad
Patron de ataque
Numero
25
1003
463
Version actual
3.0
(2011)
2.8
(2015)
2.6
(2014)
Descripcion
Ejemplo
Deteccion
Mitigacion
No
Referencias
Aunque cada clasificacion utiliza un concepto diferente para

referirse al problema de seguridad, se puede establecer una
relacion entre ellos. Por ejemplo las dos vulnerabilidades mas
conocidas, Cross Side Scripting e inyeccion SQL, figuran
como ataques en la clasificacion WASC TC v2 (WASC-8
y WASC-19), como debilidades de CWE (CWE-79 y
CWE-89), como pruebas en OWASP TG v4 (OTG-INPVAL001 y OTG-INPVAL-005) o como riesgos en el OWASP
Top 10 (A3-Cross-Site Scripting (XSS) y A1-Injection).

En cada caso se da la informacion correspondiente, si es una
prueba de seguridad se indica como probarla o si es un riesgo
como mitigarlo.
B. Mapeos entre clasificaciones
En el apartado anterior se indicaban las principales clasificaciones de vulnerabilidades. Para relacionar las vulnerabilidades de unas clasificaciones con otras se han realizado varios
trabajos de mapeo. Estos trabajos de mapeo entre diferentes
clasificaciones de vulnerabilidades los hacen o bien las propias
organizaciones que desarrollan y mantienen las clasificaciones,
o bien otros organismos o empresas dedicados a la seguridad
de la informacion. Suelen incluir todas las vulnerabilidades
de una clasificacion, relacionando las que sean posibles con
vulnerabilidades de otras clasificaciones. A continuacion se
ofrece una breve descripcion de los principales mapeos entre
clasificaciones.
Denim Group [14] realizo en 2010 un mapeo entre las vulnerabilidades de WASC TC v1.0, SANS CWE/25, y OWASP
Top 10 2004 y 2007.
Jeremiah Grossman [15] mapeo en 2009 las clasificaciones
WASC TC v2.0 y OWASP Top 10 2010.
Threat Classification Taxonomy Cross Reference View (Webappsec) [16] es una vista de la clasificacion WASC actualizada en 2013, que relaciona las vulnerabilidades en WASC
TC v2.0 con las de CWE, CAPEC, OWASP Top Ten (2004,
2007 y 2010) y SANS CWE/25. Para ello usan la informacion
de los dos mapeos indicados antes: Denim Group y Jeremiah
Grossmans.
La clasificacion que incorpora la gua NIST Special Publication 500-269 en su anexo A incluye un mapeo con
CWE, OWASP Top 10 2007 y Common Vulnerabilities and
Exposures (CVE) [17].
Tabla III
M APEOS ENTRE CLASIFICACIONES DE VULNERABILIDADES .
Mapeo
Clasificaciones
Clasificacion maestra
Fuente externa
ultima
actualizacion
Denimgroup
OWASP Top 10 (2004),

SANS CWE/25,
WASC TC (v1)
Todas
No
2010
Webappsec
WASC TC (v2),
CWE, CAPEC,
SANS CWE/25,
OWASP Top 10 (2010)
WASC TC (v2)
NIST
NIST, CWE,
OWASP Top 10 (2007) [13]
NIST
No
2008
Telligent
OWASP TG v3,
WASC TC (v2)
None
No
2011
Jeremiahgrossman

WASC TC (v2)
None
No
2010
Sectoolmarket,
OWASP TG (v3),
WASC TC (v2)
Sectoolmarket
No
2012
Sectoolmarket
Denimgroup
y
Jeremiahgrossman
2013
236
Securing Telligent Evolution [18] es un documento creado

por Telligent en 2012, que describe las amenazas que se
prueban en la plataforma Telligent Evolution, incluyendo un
mapeo entre la gua de pruebas de OWASP TG v3 y WASC
TC v2.
Finalmente SecToolMarket incluye relaciones entre las vulnerabilidades de WASC TC v2.0 y la gua de pruebas de
OWASP.
La informacion de todos estos mapeos se puede resumir
para determinar que clasificaciones estan mas relacionadas.
La clasificacion WASC TC v2.0 esta relacionada con otras
8 en los mapeos analizados, SANS CWE/25 con 5 clasificaciones, OWASP Top 10 2007, OWASP Top 10 2010 y WASC
TC v1.0 con tres, y la gua de pruebas de OWASP, CWE,
CVE, y CAPEC solo con otra clasificacion.
En la Tabla III se muestran un resumen de las caractersticas
de los mapeos aqu indicados. En la columna clasificacion
maestra se indica la clasificacion que se ha usado como base
para el mapeo.
Web, son paginas que tratan una vulnerabilidad en exclusiva

e intentan aportar toda la informacion disponible sobre ella.
Para encontrar estos u ltimos mapeos en este trabajo se propone
reducir las descripciones que existan de cada vulnerabilidad a
un conjunto reducido de palabras que la describan de forma
u nica, con el objetivo de que no existan dos vulnerabilidades
con las mismas palabras asignadas. A continuacion estas
palabras se usaran para buscar en Internet mapeos con las
vulnerabilidades de las clasificaciones seleccionadas.
En el paso (4) de la version del algoritmo utilizada en este
artculo se buscaran relaciones en las paginas de las organizaciones que hacen las clasificaciones, relaciones adicionales a
las que proporcionan en forma de mapeos entre clasificaciones,
y que suelen estar incluidas en informacion detallada que
elaboran sobre una vulnerabilidad concreta.
En la Figura 1 se explican esquematicamente estos pasos y
en la Figura 2 las tareas que se realizan en el u ltimo paso (4).
En la siguiente subseccion se detallan las tareas a realizar en
el u ltimo paso (4).
III. A LGORITMO PARA EL MAPEO DE CLASIFICACIONES DE

VULNERABILIDADES W EB
Esta seccion se describe el metodo desarrollado para conseguir tener una clasificacion actualizada de vulnerabilidades
Web y un mapeo de las clasificaciones existentes. El punto
clave del algoritmo aqu descrito es la simplificacion de cada
vulnerabilidad distinta a un conjunto reducido de palabras que
la describan de forma u nica, y que pueda usarse a continuacion
para buscar en Internet relaciones entre las clasificaciones.
El primer paso (1) para obtener una clasificacion de vulnerabilidades actualiza consiste en seleccionar las u ltimas versiones de las clasificaciones de vulnerabilidades en aplicaciones
Web. Esta tarea se lleva a cabo buscando clasificaciones de
vulnerabilidades en las organizaciones mas conocidas como
OWASC, WASC o MITRE, ya mencionadas en el apartado
anterior y resumidas en las Tablas I y II.
El objetivo del segundo paso (2) es encontrar mapeos entre
clasificaciones proporcionados por las propias organizaciones
que elaboran las clasificaciones. Es habitual que adicionalmente al desarrollo de una clasificacion de vulnerabilidades, estas
organizaciones intenten relacionar sus vulnerabilidades con las
que aparecen en otras clasificaciones. Esta relacion puede estar
en un u nico documento que incluye las relaciones, o como
parte de un conjunto de documentos.
El tercer paso (3) consiste en encontrar relaciones entre las
vulnerabilidades de diferentes clasificaciones en otras organizaciones o estudios previos. Existen organizaciones y estudios
previos que no tratan de elaborar su propia clasificacion sino
que proporcionan informacion sobre las relaciones entre las
vulnerabilidades de diferentes clasificaciones. A partir de estas
relaciones se elabora una lista de vulnerabilidades en las que
se agrupan bajo una misma entrada las que estan relacionadas.
El u ltimo paso (4) trata de buscar relaciones adicionales
entre vulnerabilidades de diferentes clasificaciones. Estas relaciones adicionales se pueden encontrar en los sitios Web de
las organizaciones que elaboran las listas o en otras paginas
de Internet. Estas paginas, de las organizaciones u otros sitios
Figura 1. Metodo para encontrar los mapeos entre clasificaciones de vulnerabilidades Web.
A. Busqueda de relaciones entre vulnerabilidades

El objetivo del paso (4) del algoritmo descrito anteriormente
es localizar relaciones que puedan existir entre vulnerabilidades, pero que no se encuentran en los repositorios de relaciones
conocidos. Son relaciones que se encontraran habitualmente en
paginas Web que traten en detalle una u nica vulnerabilidad y
que incluyan informacion sobre las vulnerabilidades de otras
clasificaciones existentes con las que esten relacionadas. Para
buscar este tipo de relaciones entre vulnerabilidades se buscan
en Internet los prefijos de los codigos de las vulnerabilidades
de cada clasificacion, por ejemplo OWASP- o WASC-,
junto con la descripcion de cada vulnerabilidad. Las respuestas
obtenidas se analizan para encontrar los mapeos.
El problema en este punto es determinar que llamamos la
descripcion de una vulnerabilidad. En las clasificaciones cada
237

5
Figura 2. Mapeos proporcionados por consultas en Internet: Fases del proceso de encontrar un conjunto de palabras que describa cada vulnerabilidad y
busqueda de relaciones en Internet.
codigo de vulnerabilidad, por ejemplo OTG-INPVAL-006

en la version v4 de la gua de pruebas OWASP o WASC-19
en WASC TC v2, lleva asociado una frase o un conjunto de
palabras que la describen, habitualmente todas en el idioma
ingles. Estas descripciones pueden contener palabras que se
repitan en varias clasificaciones para una misma vulnerabilidad, como por ejemplo SQL injection, pero tambien en otros
casos cada clasificacion asocia una descripcion con palabras
distintas para la misma vulnerabilidad, por ejemplo OWASP
relaciona la vulnerabilidad Testing for CAPTCHA de la gua
de OWASP v3 con Testing for Weak password policy de la
misma gua pero en la u ltima version v4.
Para resolver este problema en este artculo se propone
reducir las descripciones existentes de cada vulnerabilidad a un
conjunto mnimo de palabras que la describa de forma u nica.
Estas palabras estan asociadas a la vulnerabilidad y deberan
aparecer si se busca esa vulnerabilidad, y no aparece al buscar
otra vulnerabilidad distinta. Para encontrar estas palabras clave
de cada vulnerabilidad se aplica la idea descrita en [19].
En ese artculo se considera que las palabras que se repiten
con mas frecuencia son las menos importantes al ser las que
menos ayudan a discriminar un concepto de otro. Aplicando
esa idea a las descripciones de vulnerabilidades, se tiene que
las palabras clave de una vulnerabilidad seran las menos
frecuentes y las que podran usarse para discriminar una
vulnerabilidad de otra. El conjunto mmino de palabras de
una vulnerabilidad se obtendra a partir de todas las palabras
incluidas en todas sus descripciones en el mismo idioma
(siempre estaran en ingles).
Para encontrar el conjunto mnimo de palabras asociado a
cada vulnerabilidad se siguen los siguientes pasos:
4.1 Elaborar una lista que incluya todas las palabras que
aparecen en cada una de las descripciones de todas las
vulnerabilidad en las clasificaciones seleccionadas en el
apartado (1).
4.2 Calcular la frecuencia de aparicion de cada palabra en
la lista obtenida en el paso anterior (4.1) y elaborar
una segunda lista en las que aparezca cada palabra y
su frecuencia, ordenadas por este u ltimo valor.
4.3 Eliminar artculos, preposiciones y caracteres como comas, corchetes y comillas.
4.4 Para cada vulnerabilidad distinta obtenida en el paso
(3) se obtiene un conjunto de palabras formado por
todas las descripciones que aparezcan en alguna de las
clasificaciones donde figure.
4.5 Se eliminan las palabras repetidas del conjunto asociado
a cada vulnerabilidad.
4.6 A partir del conjunto de palabras de las descripciones
de cada vulnerabilidad hay que conseguir un conjunto
distinto de palabras para cada una de ellas. Para ello
primero los conjuntos que tienen el numero buscado de
palabras se llevan a la lista definitiva. A continuacion
la palabra con mayor frecuencia se elimina de todos los
grupos restante y tambien de la lista de palabras. Este
paso se repite hasta que todos los grupos de palabras
asociados a vulnerabilidades tienen el numero de palabras buscado. De esta forma con cada iteracion del punto
(4.6) se van dejando las palabras menos frecuentes, que
son las que mejor describiran las vulnerabilidades de
forma u nica. La lista de grupos de palabra que resumen
cada vulnerabilidad sera la lista de vulnerabilidades
definitiva.
238
4.7 Por u ltimo, se detiene a partir del conjunto reducido

de palabras que describe cada vulnerabilidad, encontrar
nuevos mapeos de las vulnerabilidades con las de las
clasificaciones seleccionadas. Para ello se deben realizar
consultas en Internet buscando en los sitios web de
las clasificaciones los prefijos de los codigos de las
vulnerabilidades junto con la descripcion resumida.
IV. CONCLUSIONES Y TRABAJO FUTURO
Despues de enumerar e indicar las principales caractersticas
de las clasificaciones actuales de vulnerabilidades y de los
mapeos entre ellas, en este artculo se propone un metodo
para obtener una clasificacion actualizada de vulnerabilidades
en aplicaciones Web que incluya las relaciones entre las
clasificaciones existentes. Los mapeos que hay hasta la fecha
entre clasificaciones son bastantes estaticos y en este trabajo
se intenta progresar en la direccion de poder tener actualizadas
las relaciones entre las clasificaciones con la informacion
disponible en cada momento.
A continuacion este algoritmo debe ser probado para comprobar si realmente las relaciones que encuentra son reales.
Este metodo debe proporcionar informacion buena a lo largo
del tiempo, por lo que seria interesante que obtuviera informacion en tiempo real. Tambien debera de implementarse en una
pagina web que pueda ser consultada por profesionales de la
seguridad de la informacion y desarrolladores, de forma que
encuentren en un lugar centralizado informacion de utilidad
sobre las vulnerabilidades existentes.
AGRADECIMIENTOS
Los autores tambien agradecen la infraestructura proporcionada por el Campus de Excelencia Internacional (CEI) Campus
Moncloa - Cluster de Cambio Global y Nuevas Energas
R EFERENCIAS
[1] National Institute of Standards and Technology, Nist special publication
800-30 revision 1: Guide for conducting risk assessments, NIST special
publication, p. 95, 2011.
[2] International Organization for Standardization, International standard
iso/iec 27001, 2005.
[3] A.L.H. J. Manas S.L., Pilar analisis y gestion de riesgos glosario
de terminos, 2011. [Online]. Available: http://www.ar-tools.com/es/
glossary/index.html
[4] Web Application Security Consortium, The WASC threat
classification, 2010. [Online]. Available: http://projects.webappsec.
org/w/page/13246978/ThreatClassification
[5] , Web application security scanner evaluation criteria, 2009. [Online]. Available: http://projects.webappsec.org/w/page/13246986/Web%
20Application%20Security%20Scanner%20Evaluation%20Criteria
[6] O. T. T. Project, Open web application security project, 2013.
[Online]. Available: ttps://code.google.com/p/owasptop10
[7] OWASP Testing Guide, Open web application security project, 2015.
[Online]. Available: https://www.owasp.org
[8] National Institute of Standards and Technology, Software assurance

tools: Web application security scanner functional specification version
1.0. NIST special publication 500-26.
[9] T. M. Corporation, Common weakness enumeration, 2013. [Online].
Available: http://cwe.mitre.org
[10] SANS, Cwe/sans top 25 most dangerous software errors, 2011.
[Online]. Available: http://www.sans.org/top25-software-errors
[11] The MITRE Corporation, Common attack patterns enumeration and
classfication, 2013. [Online]. Available: http://capec.mitre.org/
[12] S. Chen, General features comparison - web application scanners,
2012. [Online]. Available: http://www.sectoolmarket.com
[13] PCI SSC data security standards, 2010. [Online]. Available:
https://www.pcisecuritystandards.org
[14] D.
Cornel, Mapping
between owasp
top 10
(2004,
2007), wasc 24+2 and sans cwe/25, 2010. [Online].
Available:
http://blog.denimgroup.com/denim group/2010/01/
mapping-between-owasp-top-10-2004-2007-wasc-242-and-sans-cwe25.
html
[15] J. Grossman, Wasc threat classification to owasp top ten rc1
mapping, 2013. [Online]. Available: http://jeremiahgrossman.blogspot.
com.es/2010/01/wasc-threat-classification-to-owasp-top.html
[16] Web
Application
Security
Consortium,
Threat
classification
taxonomy
cross
reference
view,
2012.
[Online]. Available: http://projects.webappsec.org/w/page/13246975/Threat%
20Classification%20Taxonomy%20Cross%20Reference%20View
[17] T. M. Corporation, Cwe, 2013. [Online]. Available: http://cve.mitre.org
[18] Telligent, Telligent evolution platform, 2013. [Online]. Available: https://community.zimbra.com/documentation/telligentcommunity/
w/community7/24580.securing-telligent-evolution
[19] X. L. X. Jiang, Y. and W. Meng, Discword: Learning discriminative
topics, web intelligence (wi) and intelligent agent technologies (iat), in
Proceedings of the International Joint Conferences on IEEE/WIC/ACM,
vol. 2, 2014, pp. 6370.
received a Mathematics
Fernando Roman Munoz
degree from the Universidad Complutense de Madrid (Spain) and holds a M.Sc. in Artificial Intelligence from the Universidad Nacional de Educacion
a Distancia (Spain). He is currently a Ph.D. student
at Complutense Research Group GASS and a Senior Engineer at Indra Sistemas. His tasks include
vulnerability analysis and information security compliance. In the past he has worked for BT Global
Services and Telefonica S.A. His main interest is
in web security and vulnerability assessment. He is
Certified Information Systems Security Professional (CISSP) by (ISC)2.
239

1
Ataque y Estimacion de la Tasa de Envos de

Correo Electronico mediante el Algoritmo EM
Alejandra Guadalupe Silva Trujillo, Javier Portela Garca-Miguel, Luis Javier Garca Villalba
AbstractMonitoring a communication channel is an easy

task, with appropriate tools anyone can gain information, an
attacker can eavesdrop the communication such that the communicators cannot detect the eavesdropping. An attacker is capable
of observing the network and deduces users communication
patterns, even when data is incomplete, communication patterns
can be used to infer information about a specific subject. The
attacker is able to know who communicates whom, what time,
frequency, among others. Traffic analysis is a powerful tool
because it is difficult to safeguard against. The purpose of this
work is to develop an attack and estimate the sending rate of an
email system using the EM algorithm.
Index TermsAnonymity, EM Algorithm, Privacy, Statistical
Disclosure Attack.
DE
II. ATAQUES P ROBABILI STICOS DE R EVELACI ON
I DENTIDADES
A partir del concepto de una red mix [6] se han desarrollado
multiples sistemas y contramedidas o ataques. Una red mix
se conforma por una serie de servidores llamados mixes que
se encargan de recolectar mensajes de diversos emisores o
usuarios, luego los mensajes son reordenados y finalmente
enviados de forma aleatoria a sus respectivos remitentes.
El objetivo de una red mix es prevenir que terceras personas
puedan deducir el patron de comunicaciones de la red. A los
usuarios del sistema anonimo se les conoce tambien como el
conjunto anonimo. En la Figura 1 se muestra graficamente el
modelo.
I. I NTRODUCCI ON
Por definicion, la privacidad en terminos simples es la
proteccion de nuestros datos ante terceras partes [1]. Se puede
garantizar la proteccion del contenido de un mensaje a traves
de mecanismos de cifrado. Sin embargo en relacion al envo
de paquetes de datos se tiene poco control, dado que un
adversario al observar la red, puede deducir los patrones de
comportamiento de comunicacion de los usuarios que la integran, saber quien se comunica con quien, con que frecuencia,
cuando se comunican, entre otros mas detalles; todo ello a
partir de un analisis de trafico y aun cuando tales patrones
esten incompletos. En este sentido, el algoritmo EM es un
metodo para encontrar la maxima probabilidad estimada de los
parametros de modelos probabilsticos con datos incompletos,
y ha sido utilizado en analisis de flujo de traficos [2], deteccion
de botnets [3], desarrollo de algoritmos para proteccion de
intimidad en minera de datos [4] y eliminacion de spammers
[5].
En el presente trabajo nos enfocamos en llevar a cabo un
ataque y calcular la estimacion de tasa de envos entre los
usuarios de correo electronico de una universidad a traves
del algoritmo EM. En la seccion II damos una breve introduccion describiendo la base de dichos ataques. La seccion
III describira el modelo de nuestro ataque. En la seccion IV
presentamos los resultados de la aplicacion de nuestro atraque
y finalmente, en la seccion V desarrollamos las conclusiones.
Alejandra Guadalupe Silva Trujillo, Javier Portela Garca-Miguel y Luis
Javier Garca Villalba, Grupo de Analisis, Seguridad y Sistemas (GASS,
http://gass.ucm.es), Departamento de Ingeniera del Software e Inteligencia
Artificial (DISIA), Facultad de Informatica, Despacho 431, Universidad
Complutense de Madrid (UCM), Calle Profesor Jose Garca Santesmases,
9, Ciudad Universitaria, 28040 Madrid, Espana. E-mail: asilva@fdi.ucm.es,
jportela@estad.ucm.es, javiergv@fdi.ucm.es.
Figura 1. Modelo de red mix.
Suponiendo que Alicia desea enviar un mensaje a Bob a

traves de un sistema de mixes, se realiza lo siguiente:
i. Preparar la ruta de transmision del mensaje, tal ruta es la
que se utiliza iterativamente antes que el mensaje llegue
a su destino.
ii. Cifrar el mensaje a traves de las llaves publicas de cada
uno de los mixes elegidos como ruta en el orden inverso,
como se muestra en la Figura 2.
Figura 2. Funcionamiento de una red mix.
El receptor descifra el mensaje a traves de la llave privada

correspondiente y toma la direccion del siguiente mix.
Los ataques probabilsticos de revelacion tambien son conocidos como ataques de interseccion, su base radica en un
240
SILVA et al.: Ataque mediante algoritmo EM
ataque a una red mix simple de lotes, cuyo objetivo es obtener

informacion de un emisor particular mediante la vinculacion
de los emisores con los mensajes que envan, los receptores
con los mensajes que reciben, o enlazar a emisores con
receptores [7]. Un atacante puede derivar dichas relaciones
a traves de la observacion de la red, retrasando o modificando
los mensajes para comprometer los sistemas mix.
El analisis de trafico pertenece a una familia de tecnicas
utilizadas para deducir patrones de informacion en un sistema
de comunicacion. Se ha demostrado que el cifrado de datos
por s solo no garantiza el anonimato [8].
La base de los ataques de interseccion asume que Alicia
cuenta con m amigos (o receptores), a quienes enva mensajes
con la misma probabilidad a cada uno de ellos. Ademas
tambien asume enviar un mensaje en cada lote de b mensajes.
El modelo usa algoritmos numericos de conjuntos disjuntos
para identificar los receptores de Alicia. En nuestro ataque,
no existen tales restricciones.
En el ataque probabilstico propuesto en [8], los receptores se ordenan en terminos de probabilidad. Y para que el
algoritmo propuesto derive a buenos resultados, Alicia debe
mantener patrones de envo consistentes en un largo plazo.
III. M ODELO DE ATAQUE
A. Terminos y Definiciones
Se dice que un emisor o un receptor estan activos cuando
reciben o envan un mensaje en un perodo de tiempo determinado.
Nuestro ataque no se centra en un usuario en concreto dada
la interdependencia de los datos, por lo que nos centramos en
obtener la maxima informacion de todos los usuarios.
La informacion utilizada es el numero de mensajes enviados
y recibidos por cada uno de los usuarios. Dicha informacion
se puede establecer por intervalos de tiempo de una longitud
determinada o por lotes de mensajes del mismo tamano, e
incluso por ambos para conformar rondas.
Para formar las rondas, el atacante puede construir un
conjunto de posibles emisores y/o receptores, tomando en
cuenta a aquellos usuarios que estan activos; tal conjunto
de usuarios es el conjunto anonimo.
En la Figura 3 mostramos el ejemplo de la representacion
grafica de una ronda y cuya tabla de contigencia es la Tabla
I. La Tabla II representa las marginales para la ronda de
ejemplo, donde para fines practicos hemos incluido a pocos
usuarios. Se denomina tablas factibles a aquellas tablas donde
las marginales coinciden con las de la tabla de contingencia.
Figura 3. Relacion entre emisores y receptores.
Tabla I
E JEMPLO DE TABLA DE CONTINGENCIA
Emisores
U2
Receptores
U4
U5
Total Enviados
U1
U2
U3
Total recibidos
Tabla II
E JEMPLO DE TABLA DE CONTINGENCIA CON MARGINALES
Emisores
U2
Receptores
U4
U5
Total Enviados
U1
U2
U3
Total recibidos
Para el desarrollo de nuestro ataque hemos considerado lo

siguiente:
El atacante conoce el n
umero de mensajes enviados y
recibidos por cada usuario para cada ronda.
Cada ronda se toma como un evento independiente.
El atacante controla a todos los usuarios del sistema.
Las rondas pueden establecerse a trav
es de lotes o por
intervalos de tiempo.
Nuestro modelo es aplicable a un sistema mix simple.
No existe restricci
on alguna respecto al numero de usuarios del sistema, as como tampoco tenemos restriccion
del numero de amigos o receptores de cada usuario.
No existe restricci
on en el numero de mensajes enviados.
En una red de comunicacion con N usuarios, existen en
total N emisores y receptores potenciales. El resultado de las
simulaciones es una tabla de dimension N 2 conformada por
receptores y emisores. Cada uno de los elementos de la tabla
i, j puede ser 0 o 1. Donde 1 indica que existe comunicacion
entre el usuario i y el usuario j, y 0 en caso contrario.
B. Algoritmo
Cada usuario i enva mensajes en cada ronda al usuario j
segun una distribucion de Poisson con tasa i,j . El numero
de mensajes enviados por ronda por el P
usuario i seguira una
receptores
distribucion Poisson con tasa i =
ij y el
j=1
numero de mensajes recibidos por ronda porPel usuario j
emisores
seguira una distribucion de Poisson j =
ij .
i=1
Hay que remarcar que usuarios que no se comunican entre
s tendran una tasa fija ij = 0, con lo que ese trata de una
distribucion generada que asigna una probabilidad uno al valor
0.
Cada ronda es una realizacion independiente de envos de
mensajes. En cada ronda r al atacante observa P
el numero de
n
mensajes enviados porPcada usuario i, xi = n1 r=1 xri . Del
n
1
r
mismo modo yi = n r=1 yi es un estimador insesgado de
j . Un estimador inicial de e ij puede obtenerse asumiendo
la hipotesis de independencia entre emisores y receptores. En
este caso, y utilizando los resultados estadsticos conocidos
241

3
en tratamiento de tablas de contingencia, el numero promedio

de mensajes enviados por el usuario i al usuario j podra ser
bij = xi yj . Obviamente la hipotesis de
aproximado por
n
independencia no se cumple, al tener cada emisor preferencias
distintas sobre sus receptores, pero a falta de mas informacion
previa sirve como primer punto de partida objetivo.
Para refinar la estimacion de los ij se utilizara el algoritmo
EM [9]. Este algoritmo permite estimar parametros por maxima verosimilitud en condiciones en las cuales es complicado
obtener soluciones directamente de las ecuaciones. En general,
se dispone de un modelo probabilstico donde X son datos
observados, es un vector de parametros, y Z son datos
latentes no observados.
Si se conociera Z, la funcion de verosimilitud sera
L(; X, Z) = p(X, Z | ). Al no conocerla,P
la funcion de
verosimilitud de se calcula como L(, X) = P (X, Z | )
z
pero en general no se puede maximizar facilmente debido

a la complejidad de sumar en Z (que a menudo es multidimensional). El algoritmo EM (Expectation-Maximization)
permite abordar el problema en fases iterativamente, tras
asignar inicialmente un valor 1 . En cada paso t se realizan
las siguientes operaciones:
1. Expectation Step (E-Step): Se calcula la esperanza de
L(, X, Z) bajo la distribucion de Z condicionada a los
valores deX y (t : Q( | (t) ) = EZ|X,(t) [L(, X, Z)].
2. Maximization Step (M-Step): Se maximiza Q( | (t) )
en , obteniendo un vlor nuevo (t+1 para el parametro
.
El proceso se realiza iterativamente hasta su convergencia,
monitorizada por diferentes criterios de parada.
En el problema planteado, X r es la informacion observada
por el atacante y representa los valores marginales de cada
ronda r (denotadas anteriormente por xri y yir . Z r son las
realizaciones desconocidas (los valores de las celdas en cada
ronda). El vector de parametros es .
Los valores Z r en una ronda son independientes entre s,
y las rondas se suponen generadas independientemente unas
de otras. Ademas, aquellos valores de Z r que no suman las
marginales X r tienen probabilidad 0. Se tiene que:
r
P (Z = z | X , )
Y zijij eij
i,j
r )!
(zij
para todo Z r compatible con los valores marginales X r . La

proporcionalidad esta referida a lar suma sobre todas las tablas
P Q zijijt eij
r
factibles de la ronda r:
(z r )! , donde T representa
tT r i,j
ijt
el conjunto de todas las tablas factibles con marginales X r y

r
zijt
se refiere a los valores de las celdas para cada tabla t del
conjunto T r .
Llamando X y Z a la informacion de todas las rondas:
1 r
r
z
n Y
Y
X Y zijijt eij
ijij eij
P (Z | X, ) =
r )!
r )!
(zijt
(zij
r i,j
r=1 i,j
tT
para todo Z r compatible con los valores marginales X r .
r
son valores latentes, no
En la expresion anterior los zij
observados. El algoritmo EM se aplica en este contexto para
estimar por maxima verosimilitud los valores de los ij . El
valor inicial de ij sera el mencionado anteriormente, la
bij = xi yj .
estimacion basica bajo hipotesis de independencia
n
1. E-Step: En este paso es necesario aproximar la esperanza de L(, X, Z) bajo la distribucion P (Z | X, ). Para
obtener una aproximacion a esta esperanza se puede ver
que es
X
EZ|X,(t) [L(, X, Z)] =
L(, X, Z)P (Z | X, )
Z
Si es posible obtener muestras de Z bajo la distribucion

condicionada P (Z | X, ),, se puede utilizar el metodo
de Monte Carlo para aproximar EZ|X,(t) [L(, X, Z)]
Pm
1
por m
k=1 L(, X, Zk ). Habitualmente se trabaja con
el logaritmo de la verosimilitud, En este caso la aproximacion quedara finalmente
r
z
m X
n X
X
ijijk eij
1
bZ|X,(t) [L(, X, Z)] =
E
log
r )!
m
(z
ijk
r=1 i,j
k=1
Para obtener las muestras de P (Z | X, ) en cada ronda

se utiliza el algoritmo en [10], generando tablas factibles
bajo las restricciones de las marginales pero en este
caso alterando la probabilidad bajo la cual se obtiene
cada celda, que en este caso se obtendra a partir de una
distribucion de Poisson con parametro ij truncada por
las restricciones de las marginales.
2. M-Step: Resta maximizar la verosimilitud dados
los valores de Z muestreados. Desarrollando
bZ|X,(t) [L(, X, Z)] y maximizando la expresion
E
en ij se obtiene facilmente que para cada celda, el
maximo de ij se alcanza en la media muestral obtenida
bij = z ij .
de zij sobre todas las rondas. Es decir
Los pasos 1. y 2. se realizan iterativamente hasta la convergencia del algoritmo.
El funcionamiento del algoritmo se ve afectado por los
siguientes factores:
i. El numero de rondas obtenido por el atacante.
ii. El tamano de las tablas de cada ronda, y el numero de
usuarios.
iii. El numero de tablas factibles generadas en cada ronda.
iv. El numero de ij ceros en la tabla agregada final (ij =
0 significa que el usuario i nunca enva mensajes a j).
C. Aplicacion del algoritmo: Datos simulados
Para efectos pedagogicos establecimos una tabla de lambdas
suponiendo un sistema de solamente 3 usuarios. En la Tabla
III se muestran las verdaderas que hemos utilizado.
En este caso y solo para propositos de demostracion no
hemos restringido el hecho de que un usuario pueda enviarse
mensajes a s mismo. Por ejemplo, de acuerdo a la Tabla III
se considera que el usuario U1 tiene una tasa de envo de 5 a
s mismo, y de 3 mensajes al usuario U3. En tanto el usuario
U2 tiene una tasa de 2, 1 y 2 para los usuarios U1, U2 y U3
respectivamente.
242
Tabla III
E JEMPLO DE LAMBDAS INICIALES
Emisores
U1
Receptores
U2
U3
U1
U2
U3
Considerando las probabilidades de envo y recepcion de

los usuarios, construimos rondas de diferentes tamanos y que
genera tambien diferente numero de tablas factibles. Dado un
vector de valores estimados, y el vector de reales, la
distancia entre ellos se denota por,
X
b ) =
bi,j i,j )2
d(,
(
i,j
En la Figura 4 hemos llevado a cabo simulaciones con diferente numero de rondas para ver en que casos se obtienen los
mejores resultados. Lo que pudimos observar es que cuando
se calcula un mayor numero de tablas factibles, el algoritmo
arroja mejores resultados pues se cuenta con mas informacion
para refinar las soluciones.
Figura 4. Aplicacion del algoritmo en rondas simuladas.
D. Aplicacion del Algoritmo: Datos de Email Reales

Para la aplicacion del algoritmo hemos utilizado los datos de
correo electronico proporcionados por el Centro de Calculo de
la Universidad Complutense de Madrid del ano 2010. Los datos se entregaron luego de ser anonimizados. Se categorizaron
los correos por subdominio o facultad, siendo un total de 32.
Se consideraron aquellos correos enviados entre los usuarios
de la misma facultad. El numero de usuarios de cada facultad
es diferente. Hemos tomado un horizonte temporal de un mes
para llevar a cabo las simulaciones.
Los datos email tienen caractersticas peculiares que hacen
necesario introducir ciertas modificaciones en el proceso anteriormente expuesto. Concretamente, existen numerosas celdas
cero (pares de usuarios que nunca se comunican entre s) y
ademas, los i,j que corresponden al numero de mensajes
enviados por ronda, pueden llegar a ser muy pequenos dependiendo del tamano de la ronda o de la ventana temporal
en la cual el atacante recoge datos, con lo cual es necesario
introducir correcciones para evitar problemas de overflow.
Para refinar el resultado, en este caso se utilizan conjuntamente el algoritmo mencionado en [10] con el algoritmo EM
presentado en este artculo.
Concretamente, se realizan los siguientes pasos:
1. Un proceso inicial utilizando el algoritmo mencionado
en [10] para determinar celdas con ceros fijos (usuarios
que nunca se comunican) o extremadamente probables.
Estas celdas quedaran catalogadas como celdas con
i,j = 0.
2. A continuacion se modifica el algoritmo EM utilizado simulando igualmente de distribuciones de Poisson
truncadas en cada celda factible pero dejando como
ceros los prefijados en el paso anterior. Se realiza un
cierto numero de iteraciones del algoritmo con esta
modificacion.
3. Para ilustrar el cambio en la estimacion de , al no
disponer de los reales, se presentan los graficos que
muestran como evoluciona la distancia a los estimados
por el promedio del valor de las celdas calculado sobre
todas las rondas. Esta informacion se presenta en la
Figura 5, donde se observa que en cada una de las
facultades conforme aumenta el numero de iteraciones
la distancia de lo estimado y lo real decrece.
4. Aparte de la estimacion de los por celda, la utilizacion del algoritmo EM conjuntamente con el algoritmo
presentado en [10] permite un refinamiento de la clasificacion de las celdas en 0 y 1. Se calcula la tasa de error
de clasificacion basada en estos resultados.
Los factores que afectan a los resultados del algoritmo son
los siguientes: El tamano de las rondas, el numero de usuarios,
el horizonte temporal y el numero de iteraciones del algoritmo.
En la Figura 6 mostramos la relacion que existe del numero
de usuarios por cada subdominio o facultad. Por ejemplo
la Facultad 18 y 30 tiene un numero de usuarios bajo en
comparacion con las Facultades 11, 14, 17, 19 y 22.
Podemos notar que a diferencia de la aplicacion del ataque
con datos simulados, se obtienen mejores resultados al llevarlo
a cabo con datos reales. Esto puede estar relacionado al hecho
de que hay muchos ceros en los datos reales, es decir que en
el perodo de tiempo de muestreo los usuarios se comunicaron
poco.
Cabe senalar que un cero fijo se puede deducir si un usuario
i no coincide en ninguna ronda con un usuario j. En la Figura
7 se muestra el numero de ceros fijos de cada facultad, como
se puede observar es bastante alto, lo que quiere confirma la
poca comunicacion entre usuarios.
En la Figura 8 mostramos el porcentaje de ceros que existe
y que representa la no comunicacion entre usuarios.
Finalmente la Figura 9 nos muestra la tasa de aciertos de
clasificacion obtenida, es decir la capacidad del algoritmo
de detectar si existe comunicacion entre i, j. Una metrica
intuitiva sobre la calidad de un metodo de clasificacion lo
constituye la tasa de aciertos. Nuestro algoritmo obtuvo tasas
de clasificacion superiores a 0,95 para todas las facultades.
243

5
considerar ampliar el muestreo a mas meses.
(a)
(b)
Figura 6. Numero de usuarios por facultades.
(c)
Figura 5. Aplicacion del algoritmo en datos de correo electronico
IV. C ONCLUSIONES
Con la aplicacion del algoritmo EM pudimos realizar un
ataque a un sistema anonimo de correo electronico y estimar la
tasa de envos. Observamos que nuestro algoritmo arroja mejores estimaciones con datos reales debido a la caractersticas
particulares de los datos email tales como que existen muchas
celdas con cero. Por otro lado, factores como: el numero de
usuarios, el horizonte temporal, el tamano de las rondas y el
numero de iteraciones afectan directamente los resultados. A
pesar de estas variables, nuestro algoritmo obtuvo una tasa de
clasificacion de aciertos superior a 0,95 en todas las facultades.
Dentro de los trabajos futuros consideramos llevar a cabo mas
simulaciones para observar el refinamiento de los resultados,
dado que la tasa de clasificacion mejora al aumentar el numero
de iteraciones y con ello se puede deducir mayor informacion
del sistema de comunicacion. As como tambien habra que
Figura 7. Ceros fijos por facultades.
244

6
[3]
[4]
[5]
[6]
[7]
[8]
[9]
[10]
Figura 8. Porcentaje de Ceros por facultad.
work traffic, in Proceedings of IEEE 28th Conference on Computer

Comunications, pp. 819827, April 2009.
S. Garca, A. Zunino, and M. Campo, Detecting botnet traffic from a
single host, Handbook of Research on Emerging Developments in Data
Privacy, pp. 426446, aug 2015.
D. Agrawal and C. C. Aggarwal, On the design and quantification
of privacy preserving data mining algorithms, in Proceedings of the
Twentieth ACM SIGMOD-SIGACT-SIGART Symposium on Principles
of Database Systems, PODS 01, (New York, NY, USA), pp. 247255,
ACM, 2001.
V. C. Raykar and S. Yu, Eliminating spammers and ranking annotators
for crowdsourced labeling tasks, J. Mach. Learn. Res., vol. 13, pp. 491
518, Feb. 2012.
D. L. Chaum, Untraceable electronic mail, return addresses, and digital
pseudonyms, Communications of the ACM, vol. 24, pp. 8488, feb
1981.
D. Agrawal and D. Kesdogan, Measuring Anonymity: The Disclosure
Attack, IEEE Security & Privacy, vol. 1, no. 6, pp. 2734, 2003.
G. Danezis, Statistical Disclosure Attacks: Traffic Confirmation in
Open Environments, in Proceedings of Security and Privacy in the
Age of Uncertainty (Gritzalis, Vimercati, Samarati, and Katsikas, eds.),
(Athens), pp. 421426, IFIP TC11, Kluwer, May 2003.
A. P. Dempster, N. M. Laird, and D. B. Rubin, Maximum Likelihood
from Incomplete Data via the EM Algorithm, Journal of the Royal
Statistical Society. Series B (Methodological), vol. 39, no. 1, pp. 138,
1977.
J. Portela, L. J. Garca Villalba, A. G. Silva Trujillo, A. L. Sandoval Orozco, and T.-h. Kim, Extracting Association Patterns in Network
Communications, Sensors, vol. 15, no. 2, pp. 40524071, 2015.
Alejandra Guadalupe Silva Trujillo received the

Computer Science Engineering degree from Universidad Autonoma de San Luis Potos (Mexico).
She works as Security Engineer in the State Government. She is also a Lecturer in the Department
of Computer Science of the Faculty of Engineering
of the Universidad Autonoma de San Luis Potos
(UALSP). She is currently a Ph.D. student at Complutense Research Group GASS (http://gass.ucm.
es). Her main research interests are privacy and
anonymity.
Javier Portela Garca-Miguel received the Mathematics degree from the Universidad Complutense de
Madrid (Spain). He holds a Ph.D. in Mathematics
from the Universidad Complutense de Madrid. He
is currently an Associate Professor in the Department of Statistics and Operational Research of the
Faculty of Statistical Studies of the Universidad
Complutense de Madrid and a Member Researcher
at Complutense Research Group GASS (http://gass.
ucm.es). His main research interests are privacy and
anonymity.
Figura 9. Tasa de clasificacion por facultades.
R EFERENCIAS
[1] A. F. Westin, Privacy and Freedom, Washington and Lee Law Review,
vol. 25, no. 1, p. 166, 1968.
[2] L. L. Chen, A. and J. Cao, Tracking cardinality distribution in net-
Computer Networks (1996) and a Ph.D. in Computer Science (1999), both from the Universidad
Politecnica de Madrid (Spain). Visiting Scholar at
COSIC (Computer Security and Industrial Cryptography, Department of Electrical Engineering, Faculty of Engineering, Katholieke Universiteit Leuven,
Belgium) in 2000 and Visiting Scientist at IBM
Research Division (IBM Almaden Research Center,
San Jose, CA, USA) in 2001 and 2002, he is currently Associate Professor of
the Department of Software Engineering and Artificial Intelligence at the Universidad Complutense de Madrid (UCM) and Head of Complutense Research
245
246
TIBETS 2015 - ECUADOR, NOVIEMBRE 2015
Proyecto MESI en Centro Amrica:

Los primeros pasos
H. R. Jara, Member, IEEE y A. Sobko
Abstract La oferta asociada a las carreras relacionadas con la
seguridad de la informacin es difcil de encontrar por el comn
de los estudiantes que buscan desarrollar su carrera profesional
en esta disciplina. En Espaa, el Proyecto MESI es un excelente
trabajo que tiene como uno de sus pilares, el relevamiento de las
distintas opciones acadmicas en dicho campo. El presente
artculo tiene por objetivo extender el trabajo realizado en Espaa
a Centro Amrica, indicando las distintas opciones que disponen
los estudiantes, como as tambin los nuevos desafos que se
presentaron al momento de realizar la investigacin. Finalmente
se presenta una versin Beta de una herramienta desarrollada
para tal fin.
Abstract Academic offers associated to security information
careers are hard to find for students looking forward to improve
their skills and profession. In Spain, the MESI Project is a great
work, based on the research of different academic options in this
field. This article focus on extending the work done in Spain to
Central America, describing the options for students as well as the
new challenges that appear during the research in this region.
Finally, a Beta version of a web application tool to help students
find security academic options is presented.
Keywordsinformation
security,
education,
education, universities, MESI, Central America.
1.
2.
3.
4.
5.
6.
security
7.
I. INTRODUCCIN
AS all de las necesidades especficas de pblico

conocimiento en el mbito pblico y privado de contar
con profesionales especializados en Seguridad de la
Informacin y reas de conocimiento relacionadas, la oferta
acadmica en este sentido es muy limitada y a veces inexistente
en pases de habla hispana. Esta situacin fue expuesta ya en el
ao 1999 por el Dr. Jorge Rami Aguirre [1], con la primera
encuesta realizada para dar inicio a la primera versin del
Proyecto MESI (Mapa de Enseanza de Seguridad de la
Informacin) [2].
El proyecto fue desarrollado basado en 7 (siete) pilares, sobre
la base de que las Tecnologas de la Informacin estn
omnipresentes en la vida de todas las personas, desde
actividades masivas como la navegacin por Internet y el uso
de las redes sociales, pasando por el uso comercial y la
ejecucin de transacciones econmicas y financieras, hasta el
control de dispositivos Industriales y mdicos en forma remota.
Por ello es necesario que la sociedad en su conjunto tenga
acceso a la educacin, formacin y entrenamiento adecuados,
para poder utilizar la tecnologa en forma correcta y segura. Los
7 pilares en los cuales descansa el proyecto son:
Enseanza Bsica en edades tempranas. El foco en

este punto est puesto en las asignaturas y contenidos
dictados en instituciones de enseanza primaria y
secundaria.
Concientizacin y Formacin a la Sociedad. Esta rama
de investigacin est enfocada en los aspectos
sociolgicos de la sociedad actual y su tendencia a la
confianza.
Enseanza Universitaria. Este pilar tiene por objetivo
presentar y analizar la oferta acadmica de grado y
posgrado en la materia.
Formacin Profesional No Universitaria. Este pilar es
similar al anterior, pero enfocado en los centros de
formacin No Universitarios.
Certificaciones Profesionales. El objetivo de este
punto es presentar y analizar la oferta de
certificaciones profesionales presentes en el mercado.
Perfiles Profesionales y Mercado Laboral. Esta lnea
de investigacin tiene por objetivo identificar el
mercado laboral para profesionales de la seguridad de
la informacin y perfiles relacionados.
Investigacin y Desarrollo. Este pilar se enfoca en la
presentacin de las lneas de investigacin y desarrollo
en seguridad.
Los 7 pilares que representan la formacin global en Seguridad

de toda la sociedad pueden verse representados grficamente en
la Figura 1.
Figura 1. Representacin grfica de los 7 pilares del Proyecto MESI.

Fuente: Proyecto MESI
247
JARA et al.: Proyecto MESI en Centro Amrica
Considerando este contexto y como primera etapa, en el

presente trabajo nos hemos enfocado en el tercer pilar,
Enseanza Universitaria orientada al mercado acadmico,
tanto de Universidades Pblicas como Privadas, en Centro
Amrica. Adicionalmente, tambin se consideraron los cursos
y especializaciones dictados a travs de Universidades
(habitualmente conocidos como de extensin Universitaria),
pero no as los dictados en centros de formacin privados.
Para ello y tal como se profundizar ms adelante, se han
relevado las propuestas en materia de Seguridad de la
Informacin, considerando tanto las materias de carreras
tradicionales como ingenieras y licenciaturas, como tambin
las carreras de grado y posgrado especficas en seguridad de las
Universidades ms importantes de la regin.
La organizacin del trabajo es la siguiente: en la Seccin II
se describe el relevamiento realizado en distintas Universidades
de Centro Amrica. La Seccin III presenta los desafos con los
que nos hemos encontrado. La Seccin IV presenta una
aplicacin web simple, desarrollada para facilitar el anlisis.
Finalmente, se pueden encontrar las conclusiones en la Seccin
V.
II. RELEVAMIENTO REALIZADO
En la Figura 2 se puede apreciar un Diagrama con el mtodo
utilizado para relevar los datos en crudo. Estos datos luego se
cargaron en una planilla de clculo, se normalizaron los datos y
se almacenaron para luego importarlos desde una Base de
Datos, tal como se ver en la Seccin IV. Finalmente se
desarroll una aplicacin web para facilitar la visualizacin.
El primer paso de este trabajo consisti en realizar un
relevamiento de las Universidades ms importantes de los
pases de Centro Amrica. El relevamiento por pases se realiz
en el siguiente orden:
1. Panam
2. Costa Rica
3. Guatemala
4. Honduras
5. Nicaragua
6. El Salvador
En cada uno de los casos, primeramente se identificaron las
Universidades ms importantes de cada pas. En el caso de
Panam, las Universidades relevadas fueron:
Universidad Americana [3]
Universidad Autnoma del Chiriqu [4]
Universidad de Cartago [5]
Universidad de Panam [6]
Universidad del Istmo de Panam [7]
Universidad Interamericana de Panam [8]
Universidad ISAE [9]
Universidad Latina de Panam [10]
Universidad Tecnolgica de Panam [11]
Universidad tecnolgica OTEIMA [12]
Figura 2. Diagrama que representa el mtodo utilizado para relevar la

informacin analizada en este artculo.
Por Costa Rica, las Universidades relevadas fueron:

Universidad Catlica de Costa Rica [13]
Universidad CENFOTEC [14]
Universidad Central [15]
Universidad Fidlitas [16]
Universidad Hispanoamericana [17]
Universidad Internacional de las Amricas [18]
Universidad Latina [19]
Universidad Latinoamericana de Ciencia y
Tecnologa [20]
Universidad Metropolitana Castro Carazo [21]
Universidad para la Cooperac. Internacional [22]
Universidad Politcnica Internacional [23]
Universidad Tecnolgica Costarricense [24]
Instituto Tecnolgico de Costa Rica [25]
248
Universidad Estatal a Distancia (UNED) [26]
En Guatemala se relevaron las siguientes Instituciones

acadmicas:
Universidad del Valle de Guatemala [27]
Universidad Galileo [28]
Universidad Inter Naciones [29]
Universidad Mariano Glvez [30]
Universidad Panamericana [31]
Universidad Rafael Landvar [32]
Universidad San Pablo de Guatemala [33]
Por Honduras, las Universidades identificadas fueron:
Laureate International Universities UNITEC [34]
Universidad Catlica de Honduras [35]
Universidad Cristiana de Honduras [36]
Universidad de San Pedro SULA [37]
Universidad Tecnolgica de Honduras [38]
En el caso de Nicaragua, las Casas de estudio relevadas
fueron las siguientes:
American College [39]
Universidad Americana [40]
Universidad de Ciencias Comerciales [41]
Universidad de Managua (UDEM) [42]
Universidad de Tecnologa y Comercio [43]
Universidad del Norte de Nicaragua [44]
Universidad del Valle [45]
Universidad Hispanoamericana [46]
Universidad Iberoamericana de Ciencia y
Tecnologa (UNICIT) [47]
Universidad Martin Lutero [48]
Universidad Metropolitana (UNIMET) [49]
Universidad Nacional Autnoma de Nicaragua
(UNAN) [50]
Universidad Nicaragense de Ciencia y Tecnologa
[51]
Universidad Politcnica de Nicaragua [52]
Universidad Tcnica de Comercio [53]
Universidad Tecnolgica la Salle [54]
Finalmente, por El Salvador, se identificaron las siguientes
Universidades:
Universidad Catlica de El Salvador [55]
Universidad Francisco Gavidia [56]
Universidad Dr. Andrs Bello [57]
Universidad Evanglica de El Salvador [58]
Universidad Gerardo Barrios [59]
Universidad Don Bosco [60]
Universidad Politcnica de El Salvador [61]
Universidad de El Salvador [62]
Universidad Modular Abierta [63]
Universidad Centroamericana J. S. Caas [64]
Universidad Salvadorea Alberto Masferrer [65]
Universidad Luterana Salvadorea [66]

Universidad Tecnolgica de El Salvador [67]
El siguiente paso fue conseguir los planes de estudio de las

carreras de Ingeniera o Licenciatura en Telecomunicaciones,
informtica o afines, y en caso que existiesen, las carreras de
grado y posgrado especficas en Seguridad. Para ello, primero
se relevaron los sitios web oficiales, en caso de no encontrarlos,
se buscaron en portales estudiantiles y/o se solicitaba la
informacin directamente a las Universidades en cuestin.
Adicionalmente, tambin se buscaron carreras de grado y
posgrado orientadas directamente a una titulacin en Seguridad
de la Informacin. Salvo en algunos pocos casos que se
mencionarn posteriormente, no se encontraron casos
representativos.
La informacin estandarizada que se relev para cada caso
se describe a continuacin:
Pas
Universidad
Carrera
Duracin
Grado Acadmico
Materia
Enlace al plan de estudio
Enlace a la Universidad/Carrera
Detalles u Observaciones
Esta informacin, inicialmente era volcada a una Planilla de
Clculo, para luego importarla desde una Base de Datos para
facilitar su procesamiento.
En la Tabla I se muestra la cantidad de Universidades
relevadas por pases y la cantidad de materias relacionadas con
la seguridad de la informacin. En este ltimo caso, las materias
que tienen el mismo nombre se cuentan una nica vez.
TABLA I
CLASIFICACIN DE UNIVERSIDADES POR PASES
Pas
Cant. de Universidad
relevadas
Cant. de Materias
relacionadas
Panam
10
16
Costa Rica
14
27
Guatemala
Honduras
Nicaragua
16
El Salvador
13
12
En total, se relevaron 132 (ciento treinta y dos) materias

entre los 6 (seis) pases, de las cuales solamente 42 (cuarenta y
dos) tenan nombres de materias distintas.
249
En forma anloga al ANEXO 4: Listado de nombres de

asignaturas de seguridad en grado en las Universidades
Espaolas de la Tesis Doctoral La enseanza universitaria en
seguridad TIC como elemento dinamizador de la cultura y la
aportacin de confianza en la sociedad de la informacin en
Espaa [68] del Dr. Rami Aguirre, en la Tabla II se muestran
los 5 nombres de las materias ms utilizados encontrados en
este relevamiento.
Vale la pena remarcar que debido a que en la regin, en
muchas ocasiones se usa el concepto de Auditora relacionado
al de Seguridad, e incluso en una amplia variedad de materias
de Auditora, se tocan temas relacionados a la Seguridad de la
Informacin, como parte del relevamiento se consideraron
tambin las materias de Auditora de Sistemas, Auditora
Informtica y similares.
TABLA II
FRECUENCIA DE REPETICIN DE LOS NOMBRES DE LAS 5 MATERIAS QUE MS
VECES SE REPITEN
Nombre de la Materia
Auditora de Sistemas (de informacin) (AS)
Auditora Informtica (AI)
Seguridad Informtica (SI)
Seguridad en Redes (SR)
Auditora en Sistemas Computacionales (ASC)
Frecuencia
de aparicin
32 (24,2%)
20 (15,1%)
13 (9,8%)
12 (9,1%)
7 (5,3%)
Adicionalmente, tambin se identific que son muy pocas

las Universidades que ofrecen Posgrados, ya sean Maestras
Universitarias o Programas de Especializacin en Seguridad y
Ciberseguridad. Incluso aquellas que lo ofrecen, tienen solo uno
o dos aos de hacerlo, con lo cual el nivel de madurez de los
mismos es bajo.
En la Tabla IV se pueden apreciar los pases que disponen
de Posgrados (Maestras y Programas de especializacin) en
Seguridad. A diferencia de Espaa y otros pases de
Sudamrica, la oferta es muy baja.
TABLA IV
UNIVERSIDADES QUE OFRECEN POSGRADOS EN SEGURIDAD DE LA
INFORMACIN O CIBERSEGURIDAD
Universidad
Grado (1)
Pas
Universidad Tecnolgica de Panam

Universidad del Istmo (2) (3)
Universidad CENFOTEC
Universidad Galileo
Maestra
Especializacin
Ambas
Maestra
PA
PA
CR
GT
(1)
Las posibilidades pueden ser Especializacin o Maestra.

Doble Titulacin con la Universidad Alfonso X El Sabio de Espaa.
(3)
Existe la posibilidad de realizar la Maestra en Ingeniera De Seguridad
De La Informacin Y Las Comunicaciones, tambin con Doble Titulacin, pero
no es una opcin que est abiertamente disponible.
(2)
Si bien como se mencion previamente, las materias de

Auditora incorporan conceptos generales de seguridad,
justamente las que ms se repiten son stas, por sobre las que
son exclusiva y puramente de Seguridad.
De todas estas opciones, nicamente la Universidad

Tecnolgica de Panam ofrece la Maestra bajo la modalidad
presencial, mientras que la Universidad CENFOTEC de Costa
Rica la ofrece en ambas modalidades.
A modo de ejemplo, en la Tabla III se muestra esta misma

informacin desagregada para Panam (PA), Costa Rica (CR),
Guatemala (GT), Honduras (HN), Nicaragua (NI) y El Salvador
(SV).
Finalmente, en varias Universidades de la regin se

identific que estn realizando acuerdos con otras
Universidades extranjeras o con empresas privadas para
extender la oferta acadmica en Seguridad de la Informacin.
Por ejemplo y tal como se menciona en la Tabla IV, la
Universidad del Istmo de Panam [7], por un lado tiene un
Acuerdo con la Universidad Alfonso X El Sabio [69] por una
especializacin con la posibilidad de acceder a la Maestra.
TABLA III
FRECUENCIA DE REPETICIN DE LAS 5 MATERIAS MS COMUNES,
DESAGREGADAS POR PAS
Nombre de
la Materia
AS
PA
CR
GT
HN
NI
SV
3,8%
8,3%
0,75%
2,3%
4,5%
4,5%
AI
5,3%
2,3%
0,75%
1,5%
3,8%
1,5%
SI
1,5%
2,3%
3,8%
2,3%
SR
2,3%
2,3%
0,75%
0,75%
3%
ASC
1,5%
0,75%
3%
En una prxima etapa, tambin se alimentar con

informacin sobre las certificaciones profesionales ms
solicitadas en la regin y los Centros de Formacin que
preparan para las mismas, y el impacto que stas tienen en el
mercado laboral de Centro Amrica.
Por otro lado, tambin tiene un acuerdo con la firma Deloitte

para el acceso a cursos online provistos por dicha compaa.
III. MESSI (MAPA DE ENSEANZA EN SUD Y CENTRO AMRICA
DE LA SEGURIDAD DE LA INFORMACIN)
Adems del objetivo principal, orientado a conocer el estado
general de la oferta Acadmica en Seguridad de la Informacin
en Centro Amrica, un segundo objetivo era el de facilitar a
aquellos estudiantes que estn interesados en interiorizarse en
esta disciplina, la obtencin de informacin para que puedan
tomar la mejor decisin. En este sentido desarrollamos una
primera versin de una Aplicacin Web que interactuaba con
una Base de Datos que contiene la informacin que relevamos.
250
IV. PROBLEMAS Y DESAFOS IDENTIFICADOS

La versin Beta de la implementacin se realiz sobre un
Servidor Web Apache [70], la Base de Datos MySQL [71] y la
aplicacin corriendo sobre Python [72]. Para la integracin se
utiliz el Micro Framework Flask [73]. En la Figura 3 puede
verse una captura de pantalla de la pgina inicial de la
aplicacin.
Muchos de los desafos encontrados como parte del

relevamiento, est relacionado con el acceso a la informacin
de las carreras, algo que tambin sucedi en el proyecto
original.
En este sentido, no repetiremos los ya mencionados en el
proyecto MESI sino que nos centraremos en los especficos de
este relevamiento.
El primer problema con que nos encontramos es que los
sitios web de las Universidades (en especial las pblicas) no
disponen de informacin actualizada respecto de las carreras y
menos an de las materias y los planes de estudio. Incluso en el
caso de que exista, muchas veces se encuentra desactualizada.
En ese sentido, adems del acceso a la informacin, la falta
de normalizacin de la informacin provista por las
Universidades y los sistemas educativos tambin ha presentado
problemas al momento de documentar el relevamiento.
Figura 3. Captura de pantalla de la aplicacin web.
A modo de ejemplo, en la Figura 4 se puede apreciar los

resultados de una bsqueda por pas.
Otro de los desafos identificados, es que a excepcin de los

mencionados en el presente artculo, muchos de los posgrados
no tienen valides de maestra, sino que son cursos de extensin
Universitaria. Si bien esto puede ser til en el corto plazo, ya
que permite a los estudiantes una inmersin rpida en los
contenidos de seguridad, no aporta valor a largo plazo. Esto es
as porque por un lado, los contenidos son vistos muy
superficialmente y no se obtiene un dominio profundo de los
temas. Es ms cercano a un proceso informativo que a uno
formativo. Por otro lado y relacionado con el punto anterior, no
provee herramientas a los profesionales recibidos para que se
puedan insertarse en las Universidades como docentes de
posgrado.
Pero ms all de los problemas y desafos mencionados
previamente, uno que requiere especial atencin es la
complejidad al momento de medir la calidad de la oferta
acadmica, en especial la relacionada con posgrados.
Figura 4. En la captura de pantalla se muestra un extracto del resultado de la

bsqueda por Pas = Panam.
En breve esta aplicacin estar publicada en Internet para

que pueda ser accedida y probada por la comunidad.
Adicionalmente la siguiente etapa del proyecto es extender el
relevamiento en dos sentidos:
Universidades de Sudamrica: Extrapolar el
relevamiento realizado en Centro Amrica a las
Universidades de Sudamrica.
Certificaciones Profesionales: Incluir un apartado

con las Certificaciones Profesionales ms
solicitadas en la regin.
Al no existir historial ni experiencias previas, la madurez de

estos programas es baja y desde el relevamiento realizado no se
identific la presencia de metodologas aplicadas, ni evidencias
de anlisis previos antes de armar o mejorar la oferta
acadmica.
La necesidad de definir y normalizar indicadores y mtricas
para poder comparar las distintas propuestas de las
Universidades es clave para poder ofrecer programas
educativos de calidad. Adicionalmente, en el relevamiento no
se identificaron mecanismos de consulta y realimentacin
adecuados para que tanto los alumnos, egresados y el pblico
en general pudiese hacer consultas, sugerencias o reclamos.
Una gua que puede ser utilizada como referencia es la ISO
10015:1999 [74], la cual consiste en una serie de guas para
entrenamientos asociadas a los sistemas de gestin de la
Calidad. Si bien no est orientada especficamente al mbito
251
Universitario, puede utilizarse como referencia.
V. CONCLUSIONES
En ese sentido tambin se trabajar sobre la propuesta de un

conjunto de indicadores y mtricas que sirvan para medir la
calidad de la oferta acadmica propuesta por las Universidades.
En este trabajo hemos presentado los primeros pasos en el

relevamiento de materias y carreras Universitarias relacionadas
con la Seguridad de la Informacin en Centro Amrica.
REFERENCIAS
[1]
Desde el punto de vista de las materias y contenidos

relevados, a diferencia del trabajo realizado en Espaa, en
Centro Amrica el nombre de la materia que ms veces se repite
es el de Auditora de Sistemas, de acuerdo a lo mencionado
previamente. En cuanto a Seguridad especficamente, el
nombre que ms veces aparece es Seguridad Informtica,
seguido de cerca por Seguridad en Redes.
[2]
[3]
[4]
En todo el relevamiento realizado, existen solo 5 materias de

las 132 relevadas e incluyendo las de posgrado, donde se hace
referencia a la Gestin de la Seguridad de la Informacin, ya
que en la mayor parte de los casos, todava se asocia a la
seguridad de la informacin con contenidos meramente
tcnicos (o de auditora).
En cuanto al desarrollo acadmico de la Seguridad de la
Informacin, existe un largo camino por recorrer en el mbito
Universitario en Centro Amrica para ofrecer a los estudiantes
contenidos que les permitan incorporar los conceptos de
seguridad a sus disciplinas.
[5]
[6]
[7]
[8]
[9]
[10]
[11]
[12]
En este sentido, ms all de alguna orientacin puntual a una

Licenciatura en Sistemas de Informacin, no existen carreras de
grado especficas sobre Seguridad, pero si algunas pocas
opciones a nivel de posgrado.
[13]
A partir de los resultados del relevamiento, es posible

concluir que la Oferta de Carreras y especializaciones en Centro
Amrica en la regin es muy baja, solamente unas pocas
Universidades ofrecen abiertamente estas opciones y stas son
relativamente nuevas.
[16]
[14]
[15]
[17]
[18]
[19]
Adicionalmente, el acceso a profesionales locales con

experiencia en la regin, el tamao del mercado y la madurez
del mismo, son impedimentos al momento de desarrollar un
programa acadmico integral en Seguridad de la Informacin.
Una buena alternativa es desarrollar estas especializaciones
a travs de programas de Educacin en Lnea desde la propia
Universidad. De esta forma se ampla el mercado y por otro
lado no es necesario contar con profesionales locales.
En este sentido lo importante es remarcar que el programa
debe pensarse, desarrollarse e implementarse desde la ptica de
un programa en lnea, y no clonar el programa presencial a una
plataforma online.
Finalmente, en relacin al proyecto y el actual relevamiento,
los prximos pasos son extender dicho relevamiento a
Sudamrica e incorporar las certificaciones profesionales como
parte del mismo.
[20]
[21]
[22]
[23]
[24]
[25]
[26]
[27]
[28]
[29]
[30]
RAMI, Jorge; CABALLERO, Pino (1999). "Enseanza de la

Criptografa y Seguridad de la Informacin: primer Informe sobre perfiles
de asignaturas". Revista SIC n 34, abril, pp. 85-90. Versin resumida
publicada en el suplemento Ciberp@s del peridico El Pas, 28 de
octubre de 1999 (no existe versin electrnica). Disponible en (ltima
consulta 22/04/2014):
http://www.criptored.upm.es/investigacion/informe.htm
Proyecto MESI.
Sitio Web Oficial de la Universidad Americana (de Panam). Disconible
en: http://www.uam.ac.pa
Sitio Web Oficial de la Universidad Autnoma de Chiriqu. Disponible
en: http://www.unachi.ac.pa
Sitio Web Oficial de la Universidad de Crtago. Disponible en:
http://www.ucapanama.org
Sitio Web Oficial de la Universidad de Panam. Disponible en:
http://www.up.ac.pa
Sitio Web Oficial de la Universidad del Istmo. Disponible en:
http://www.udi.edu
Sitio Web Oficial de la Universidad Interamericana de Panam.
Disponible en: http://www.uip.edu.pa
Sitio Oficial de la Universidad ISAE. Disponible en:
http://www.isaeuniversidad.ac.pa
Sitio Web Oficial de la Universidad Latina (Panam). Disponible en:
http://www.ulat.ac.pa
Sitio Web Oficial de la Universidad Tecnolgica de Panam. Disponible
en: http://www.fisc.utp.ac.pa
Sitio Web Oficial de la Universidad Tecnolgica OTEIMA. Disponible
en: http://www.oteima.ac.pa
Sitio Web Oficial de la Universidad Catlica de Costa Rica. Disponible
en: http://www.ucatolica.ac.cr
Sitio Web Oficial de la Universidad CENFOTEC. Disponible en:
http://www.ucenfotec.ac.cr
Sitio Web Oficial de la Universidad Central. Disponible en:
http://www.universidadcentral.com
Sitio Web Oficial de la Universidad Fidelitas. Disponible en:
http://ufidelitas.ac.cr
Sitio Web Oficial de la Universidad Hispanoamericana. Disponible en:
http://www.uhispanoamericana.ac.cr
Sitio Web Oficial de la Universidad Internacional de las Amricas.
Disponible en: http://www.uia.ac.cr
Sitio Web Oficial de la Universidad Latina (Costa Rica). Disponible en:
http://www.ulatina.ac.cr
Sitio Web Oficial de la Universidad Latinoamericana de Ciencia y
Tecnologa. Disponible en: http://www.ulacit.ac.cr
Sitio Web Oficial de la Universidad Metropolitana Castro Carazo.
Disponible en: http://www.umca.net
Sitio Web Oficial de la Universidad para la Cooperacin Internacional.
Disponible en:
Sitio Web Oficial de la Universidad Politcnica Internacional. Disponible
en: http://www.upolitecnica.cr
Sitio Web Oficial de la Universidad Tecnolgica Costarricense.
Disponible en: http://www.utccr.com
Sitio Web Oficial del Instituto Tecnolgico de Costa Rica. Disponible en:
http://www.tec.ac.cr
Sitio Web Oficial de la Universidad Estatal a Distancia (UNED).
Disponible en: http://www.uned.ac.cr
Sitio Web Oficial de la Universidad del Valle de Guatemala. Disponible
en: http://www.uvg.edu.gt
Sitio Web Oficial de la Universidad Galileo. Disponible en:
http://www.galileo.edu
Sitio Web Oficial de la Universidad InterNaciones. Disponible en:
http://uni.edu.gt
Sitio Web Oficial de la Universidad Mariano Glvez. Disponible en:
http://umg.edu.gt
252
[31] Sitio Web Oficial de la Universidad Panamericana. Disponible en:

http://www.upana.edu.gt
[32] Sitio Web Oficial de la Universidad Rafael Landvar. Disponible en:
http://www.url.edu.gt
[33] Sitio Web Oficial de la Universidad San Pablo de Guatemala. Disponible
en: http://uspg.edu.gt
[34] Sitio Web Oficial de la Laureate International Universities UNITEC.
Disponible en: http://www.unitec.edu
[35] Sitio Web Oficial de la Universidad Catlica de Honduras. Disponible en:
http://www.unicah.edu
[36] Sitio Web Oficial de la Universidad Cristiana de Honduras. Disponible
en: http://www.ucrish.org
[37] Sitio Web Oficial de la Universidad de San Pedro SULA. Disponible en:
http://www.usap.edu
[38] Sitio Web Oficial de la Universidad Tecnolgica de Honduras. Disponible
en: http://www.uth.hn
[39] Sitio Web Oficial del American College. Disponible en:
http://www.americancollege.edu.ni
[40] Sitio Web Oficial de la Universidad Americana (Nicaragua). Disponible
en: http://www.uam.edu.ni
[41] Sitio Web Oficial de la Universidad de Ciencias Comerciales. Disponible
en: http://www.ucc.edu.ni
[42] Sitio Web Oficial de la Universidad de Managua (UDEM). Disponible
en: http://web.udem.edu.ni
[43] Sitio Web Oficial de la Universidad de Tecnologa y Comercio
(UNITEC). Disponible en: http://www.unitec.edu.ni
[44] Sitio Web Oficial de la Universidad del Norte de Nicaragua. Disponible
en: http://www.unnnicaragua.org
[45] Sitio Web Oficial de la Universidad del Valle. Disponible en:
http://www.univalle.edu.ni
[46] Sitio Web Oficial de la Universidad Hispanoamericana (Nicaragua).
Disponible en: http://www.uhispam.edu.ni
[47] Sitio Web Oficial de la Universidad Iberoamericana de Ciencia y
Tecnologa (UNICIT). Disponible en: http://www.unitec.edu.ni
[48] Sitio Web Oficial de la Universidad Martin Lutero. Disponible en:
uml.edu.ni
[49] Sitio Web Oficial de la Universidad Metropolitana (UNIMET).
Disponible en: http://www.unimetonline.com
[50] Sitio Web Oficial de la Universidad Nacional Autnoma de Nicaragua.
Disponible en: http://www.unan.edu.ni
[51] Sitio Web Oficial de la Universidad Nicaragense de Ciencia y
Tecnologa. Disponible en: http://www.ucyt.edu.ni
[52] Sitio Web Oficial de la Universidad Politcnica de Nicaragua. Disponible
en: http://www.upoli.edu.ni
[53] Sitio Web Oficial de la Universidad Tcnica de Comercio. Disponible en:
http://www.utc.edu.ni
[54] Sitio Web Oficial de la Universidad Tecnolgica La Salle. Disponible en:
http://ulsa.edu.ni
[55] Sitio Web Oficial de la Universidad Catlica de El Salvador. Disponible
en: http://www.catolica.edu.sv
[56] Sitio Web Oficial de la Universidad Francisco Gavidia. Disponible en:
http://www.ufg.edu.sv
[57] Sitio Web Oficial de la Universidad Dr. Andrs Bello. Disponible en:
http://www.unab.edu.sv
[58] Sitio Web Oficial de la Universidad Evanglica de El Salvador.
Disponible en: http://www.uees.edu.sv
[59] Sitio Web Oficial de la Universidad Gerardo Barrios. Disponible en:
http://www.ugb.edu.sv
[60] Sitio Web Oficial de la Universidad Don Bosco. Disponible en:
http://www.udb.edu.sv
[61] Sitio Web Oficial de la Universidad Politcnica de El Salvador.
Disponible en: http://www.upes.edu.sv
[62] Sitio Web Oficial de la Universidad de El Salvador. Disponible en:
https://www.ues.edu.sv
[63] Sitio Web Oficial de la Universidad Modular Abierta. Disponible en:
http://www.uma.edu.sv
[64] Sitio Web Oficial de la Universidad Centroamericana Jos Simen Caas.
Disponible en: http://www.uca.edu.sv
[65] Sitio Web Oficial de la Universidad Salvadorea Alberto Masferrer.
Disponible en: http://www.usam.edu.sv
[66] Sitio Web Oficial de la Universidad Luterana Salvadorea. Disponible en:
http://www.uls.edu.sv
[67] Sitio Web Oficial de la Universidad Tecnolgica de El Salvador.
Disponible en: http://www.utec.edu.sv
[68] RAMI, Jorge (2013). "La enseanza universitaria en seguridad TIC

como elemento dinamizador de la cultura y la aportacin de confianza en
la sociedad de la informacin en Espaa". Tesis de Doctorado. Disponible
en (ltima consulta 12/06/2015):
[69] Sitio Web Oficial de la Universidad Alfonso X El Sabio. Disponible en:
http://www.uax.es
[70] Sitio Web Oficial del Servidor Web Apache. Disponible en:
http://www.apache.org/
[71] Sitio Web Oficial del Motor de Base de Datos MySQL. Disponible en:
https://www.mysql.com/
[72] Sitio Web Oficial del Lenguaje de Programacin Python. Disponible en:
https://www.python.org/
[73] Sitio Web Oficial de Micro Framework para Python Flask. Disponible en:
http://flask.pocoo.org/
[74] ISO 10015:1999 Quality Management Guidelines for Training.
Disponible
en:
http://www.iso.org/iso/catalogue_detail.htm?csnumber=21231
Hctor Roberto Jara received the Engineering degree in
Telecommunications from Universidad Argentina De la
Empresa, Buenos Aires, Argentina and a Specialization in
Educacin y Nuevas Tecnologas from FLACSO. He also
earn the CISSP, CEH and ISO 27001 Leader Auditor
Certifications. He is Founder and Director of ENFINITY,
CORP, a Panamenian Security firm.
Alejandro Sobko is a student in Software Development

Bachelors in Science Degree from Universidad Nacional de
Quilmes, Buenos Aires, Argentina. He is interested in
software development and data security.
253
Desarrollo de un Sistema Experto para la valoracin del

Curriculum de los alumnos a partir de las competencias
L. E. Snchez, A. Santos-Olmo, E. lvarez, M. Huerta, E. Fernandez-Medina
Abstract During the reform of computer engineering degrees,
the emergence of the concept of competence has not brought
benefits to companies in order to select most suitable candidates
for their jobs. This article aims to show some of the research that
has been conducted to determine the causes of companies not
found useful these skills and how they can align both. Finally, we
show the development of an Expert System to provide companies
the proper selection of candidates for their jobs, considering
personal and social skills as well as technical knowledge. This
prototype will serve as a basis to align with the competencies
defined in the curricula, allowing a true alignment between the
races and the needs of professional company profiles.
Resumen Durante la reforma de los grados de ingeniera
informtica, la aparicin del concepto de competencias no ha
aportado ventajas a las empresas a la hora de poder seleccionar
candidatos ms adecuados para sus puestos de trabajo. Este
articulo pretende mostrar parte de la investigacin que se ha
realizado para determinar las causas por las que las empresas no
encontraron tiles estas competencias y cmo se pueden alinear
ambas. Por ltimo se muestra el desarrollo de un Sistema
Experto orientado a facilitar a las empresas la seleccin adecuada
de candidatos para sus puestos de trabajo, teniendo en cuenta
competencias personales y sociales, as como conocimientos
tcnicos. Este prototipo servir de base para alinearlo con las
competencias definidas en las mallas curriculares, permitiendo
un autntico alineamiento entre las carreras y las necesidades de
perfiles profesionales de las empresas.
Keyword European Higher Education, EHE, Degree in

Computer Engineering, General Skills, Specific General Skills,
Expert System, e-HRM
Palabras clave Espacio Europeo de Educacin Superior
EEES, Grado en Ingeniera Informtica, Competencias
Generales, Competencias Generales Especficas, Sistemas
Expertos, e-GRH

Santos-Olmo, Departamento I+D+i, Sicaman Nuevas Tecnologas,
Tomelloso (Ciudad Real), Espaa, asolmo@sicaman-nt.com
E. lvarez, Fundacin In-Nova, Toledo, Espaa, ealvarez@in-nova.org
I. INTRODUCCIN
Actualmente, Europa se encuentra inmersa en el proceso
de convergencia de la educacin superior, que es fundamental
para el futuro de algunas carreras, y por ello es muy
importante ser capaces de adaptar los nuevos planes de estudio
a las necesidades reales del mercado en este sector. En el caso
de la Ingeniera Informtica, las empresas y los profesionales
estn demandando perfiles cada vez ms especializados y que
se adapten a una o varias certificaciones profesionales
internacionales, pero el problema es cmo seleccionar a estos
candidatos.
A esto se suma la importancia cada vez mayor que estn
tomando los e-HRM (e-Human Resource Management), es
decir, los sistemas automatizados de gestin de recursos
humanos, que permiten importantes reducciones de costes y
mejoras de nivel de servicio [1-3]. Las organizaciones estn
realizando importantes inversiones de tiempo y recursos para
desarrollar este tipo de aplicaciones [4-7] y modelos para
evaluar su efectividad [8].
En el ao 2002, al menos el 91% de las PYMES de
EE.UU. utilizaban la tecnologa basada en la web para mejorar
su gestin de recursos humanos de alguna manera [9]. A
partir del ao 2010 y debido a la madurez alcanzada por
algunas compaas, se empieza a analizar la posibilidad de
utilizar tcnicas de inteligencia artificial para mejorar los
procesos de seleccin de personal, utilizando el potencial
ofrecido por el Cloud Computing y tcnicas como los
Sistemas Expertos, Redes Neuronales, etc. [10-14].
El problema es que la evolucin de las competencias de las
mallas curriculares y de los sistemas e-HRM en las empresas
privadas estn siguiendo lneas divergentes, en lugar de
converger para dar solucin a un problema comn: Preparar a
los alumnos para maximizar su capacidad profesional en su
futuro puesto de trabajo.
Por lo tanto, nuestra investigacin se ha centrado en
analizar las competencias definidas dentro de la malla
curricular de la carrera de Ingeniera del Software de la
Universidad de Castilla-la Mancha y las competencias que
actualmente estn teniendo en cuenta las empresas privadas
para la seleccin de personal. Y a partir de los resultados
obtenidos, construir un Prototipo de Sistema Experto que
permita a las empresas obtener el personal mejor cualificado
para un puesto de trabajo determinado, no slo basndonos en
sus conocimiento tcnicos, sino analizando tambin sus
competencias personales y sociales.
Esta investigacin ha supuesto la creacin de equipos
docentes multidisciplinares, con experiencia acadmica pero
tambin con experiencia profesional y complementa los
254
SNCHEZ et. al.: Valoracin del Curriculum
resultados obtenidos anteriormente [15-19]. Los resultados

estn siendo aplicados en empresas privadas y validados por el
equipo de investigadores.
En la segunda seccin se analizar la importancia del
momento actual en el que se estn definiendo las
competencias y en el que es vital su alineamiento con el sector
privado. En la tercera seccin se expone el mtodo que se ha
seguido para realizar el anlisis de las competencias en el
sector privado, su aplicacin a un prototipo de e-HRM para
seleccin de candidatos y, por ltimo, el intento de alinearlas
con las competencias de la Universidad. Finalmente, en la
ltima seccin describiremos las principales conclusiones
obtenidas hasta el momento.
II. ESTADO DEL ARTE
El Espacio Europeo de Educacin Superior (EEES) se
inicia con la Declaracin de la Sorbona de 1998, que destac
el papel de las Universidades en el desarrollo de la dimensin
cultural y de la Europa del conocimiento, y se ampla con las
Declaraciones de Bolonia (Junio de 1999), de Praga (2001) y
de Berln (Septiembre de 2003) y Bergen (Mayo de 2005). En
ellas se acord promover y desarrollar en los pases
participantes la reforma de la estructura y la organizacin de
las enseanzas universitarias para estimular la construccin de
un Espacio Europeo de Educacin Superior con el objetivo de
favorecer la movilidad y las oportunidades de empleo, y
adems hacer que estos nuevos planes de estudio y su
implantacin se adaptasen a las demandas de las empresas
[20], de forma que sirvan para hacer que los nuevos
profesionales aumenten la productividad del tejido empresarial
Europeo [21].
Actualmente, la mayor parte de los grados ya se han
definido, pero gran parte de las Universidades Europeas se
encuentran en pleno proceso de implantacin de los nuevos
planes de estudio del Grado en Ingeniera Informtica,
basndose para ello en las intensificaciones propuestas por la
ACM [22], las cuales estn muy orientadas a competencias
excesivamente complejas y difusas.
En el caso del grado en ingeniera informtica, los nuevos
planes se han orientado a la existencia de un grado nico con
cinco especialidades o intensificaciones. Estas cinco
intensificaciones se corresponden con las Tecnologas
Especficas de la Resolucin de 8 de junio de 2009 de la
Secretara General de Universidades, por la que se da
publicidad al Acuerdo del Consejo de Universidades que
establece recomendaciones para la propuesta por las
Universidades de memorias de solicitud de ttulos oficiales del
mbito de la Ingeniera Tcnica Informtica (BOE Num. 187
del 4/8/2009), y las propuestas por la ACM [22], y que son:
Ciencias de la Computacin [23], Ingeniera del Software
[24], Ingeniera de Computadores [25], Sistemas de
Informacin [26] y Tecnologas de la Informacin [27].
Actualmente, muchas instituciones e investigadores estn
trabajando para unificar y complementar el grado de
ingeniera informtica, tomando como base el modelo USA
[28] o el modelo Europeo [29]. Algunas investigaciones han
considerado que el problema no estaba tanto en el contenido
de los dominios sino en el mecanismo de aprendizaje,

centrndose en buscar metodologas de enseanza giles [30].
La investigacin que hemos realizado de las competencias
se ha centrado principalmente en la intensificacin de
Ingeniera del Software propuesta para el nuevo grado en
ingeniera informtica, que est basada en la "Gua para la
creacin del Cuerpo de Ingeniera de Software para el
Conocimiento (SWEBOK)" [31, 32], donde se definen las
competencias y conocimientos que, segn el IEEE, un
Ingeniero del Software debera haber obtenido al finalizar los
estudios (ej.: proyectos de Ingeniera del Software, Seguridad
y Auditora, cubriendo todos los aspectos del ciclo de vida
relacionados con ellos...).
El objetivo perseguido es ser capaces de sacar el mximo
provecho del nuevo concepto de competencias, que
actualmente no se est mostrando muy til para los alumnos y
las empresas.
A esto se suma la importancia que tiene ser capaces de
adaptar los nuevos planes de estudio a las necesidades reales
del mercado [33], siendo capaces de implantarlos de una
forma correcta que permita alinearlos con las competencias a
las que se orientan y a las necesidades de las empresas.
En el caso de la Ingeniera Informtica, las empresas y los
profesionales estn demandando perfiles cada vez ms
especializados [34], por lo que es muy importante que los
nuevos estudios estn muy enfocados a poder obtener una
serie de competencias objetivas y medibles y que stas estn
alineadas con las necesidades profesionales [35], sin perder el
rigor cientfico exigible en una ingeniera, as como contar con
sistemas que permitan seleccionar de forma sencilla y
econmica estos perfiles.
Para conseguir este objetivo es fundamental que la
implantacin de estos nuevos planes de estudio tenga una
orientacin que facilite la identificacin y automatizacin de
sub-competencias medibles que puedan vincularse con los
contenidos de las asignaturas, de forma que pueda
determinarse en qu medida una asignatura contribuye al
cumplimiento de la competencia, en qu medida un alumno
consigue dicha competencia y en qu medida esa competencia
satisface la necesidad de las empresas para un determinado
puesto de trabajo.
III. MTODO DE ANLISIS DE COMPETENCIAS
Dentro de los objetivos marcados en la investigacin, y
por cuestiones de espacio, nos centraremos en el presente
artculo en mostrar el mtodo que se ha seguido para la
adecuacin de las competencias.
Esta fase del proyecto ha sido bastante compleja y
laboriosa:
Fase I - En la primera parte de la actividad se ha
procedido a la extraccin de las sub-competencias del
sector privado.
Fase II - La segunda parte de la actividad ha permitido
demostrar que se puede llegar a automatizar el proceso
de valoracin de sub-competencias subjetivas de
manera que las empresas puedan seleccionar de forma
automtica a los candidatos ms adecuados
255
Fase III - Finalmente en la tercera parte se ha

intentado correlacionar las sub-competencias del
sector privado, con las desarrolladas en la universidad.
de relacionarnos con los dems.

TABLA I. TABLA RESUMEN DE LAS COMPETENCIAS PERSONALES
SELECCIONADAS
A. Fase I: Extraccin de las sub-competencias del sector

privado.
Competencia
De las entrevistas y encuestas realizadas en empresas, y

tomando como base las competencias recomendadas por Peter
Senge en su libro La Quinta Disciplina en la prctica [36],
se han extrado un conjunto de sub-competencias que estn
siendo valoradas en las entrevistas de los departamentos de
RRHH de las empresas. Del anlisis final de esa informacin
se ha obtenido un primer resultado de los aspectos que se
valoran en las empresas privadas.
Conciencia de unos
mismo
Conciencia de uno
mismo
Conciencia de uno
mismo
1) CP Competencias personales:
Es la parte encargada de describir la personalidad del
recurso como ente individual, es decir, el modo de
relacionarnos con nosotros mismos. En la Tabla I, se puede
ver un resumen de las sub-competencias personales
seleccionadas y el sistema de valoracin utilizado (A Alta,
M Media, B Baja):
CP.1 - Conciencia de uno mismo: Conciencia de
nuestros propios estados, internos, recursos e
intuiciones.
o CP.1.1 - Conciencia emocional: Reconocer
nuestras emociones y sus efectos.
o CP.1.2 - Adecuada valoracin de s mismo:
Conocer
nuestros
recursos,
nuestras
capacidades y nuestras limitaciones internas.
o CP1.3 - Confianza en s mismo: Una
sensacin muy clara de nuestro valor y de
nuestras capacidades.
CP.2 - Autorregulacin: Control de nuestros estados,
impulsos y recursos internos.
o CP2.1 - Autocontrol: Mantener bajo control
las emociones e impulsos conflictivos.
o CP2.2 - Confiabilidad e Integridad: Ser
ntegro y ser responsable.
o CP2.3 - Innovacin y adaptabilidad:
Permanecer abierto a las ideas y los enfoques
nuevos y lo suficientemente flexibles como
para responder rpidamente a los cambios.
CP.3 - Motivacin: Las tendencias emocionales que
guan o facilitan el logro de nuestros objetivos.
o CP3.1 - Logro: El impulso director para
mejorar o satisfacer un modelo de excelencia.
o CP3.2 - Compromiso: Sintonizar con los
objetivos de un grupo o de una organizacin.
o CP3.3 - Iniciativa y optimismo: Previsin y
persistencia.
2) CS Competencia social.
Es la parte encargada de describir la personalidad del recurso
como ente englobado en un grupo de trabajo, es decir, el modo
Sub-competencia
Valores
Sistema
Experto
Conciencia emocional
A/M/B
Valoracin de s mismo
A/M/B
Confianza en s mismo
A/M/B
Autorregulacin
Autocontrol
A/M/B
Autorregulacin
Confiabilidad e Integridad
A/M/B
Autorregulacin
Innovacin y adaptabilidad
A/M/B
Motivacin
Logro
A/M/B
Motivacin
Compromiso
A/M/B
Motivacin
Iniciativa y optimismo
A/M/B
En la Tabla II, se puede ver un resumen de las subcompetencias sociales seleccionadas y el sistema de
valoracin utilizado (A Alta, M Media, B Baja):
CS.1 - Empata: Conciencia de los sentimientos,
necesidades y preocupaciones ajenas.
o CS.1.1 - Comprender a los dems: Percibir
los sentimientos y puntos de vista de los
dems e interesarse por sus preocupaciones.
o CS.1.2 - El desarrollo de los dems: Darse
cuenta de las necesidades del desarrollo de
los dems y ayudarles a fomentar sus
habilidades.
o CS.1.3 - Orientacin hacia el servicio:
Anticiparse, reconocer y satisfacer las
necesidades del cliente.
o CS.1.4 - Aprovechamiento de la diversidad:
Cultivar las oportunidades que nos brindan
las diferentes personas.
o CS.1.5 - Conciencia poltica: Cobrar
conciencia de las corrientes sociales y
polticas subterrneas.
CS.2 - Habilidades sociales: Capacidad para inducir
respuestas deseables en los dems.
o CS.2.1 - Influencia: Poseer herramientas
eficaces de persuasin.
o CS.2.2
Comunicacin:
Escuchar
abiertamente
y
mandar
mensajes
convincentes.
o CS.2.3 - El manejo de los conflictos:
Negociacin y resolucin de desacuerdos.
o CS.2.4 - Liderazgo: Inspirar y guiar a los
individuos o a los grupos.
o CS.2.5 - Catalizadores del cambio: Iniciar o
controlar el cambio.
o CS.2.6 - Establecer vnculos: Forjar
relaciones instrumentales.
o CS.2.7 - Colaboracin y cooperacin:
256
Trabajar con los dems en la consecucin de

objetivos compartidos.
CS.2.8 - Capacidades de equipo: Creacin de
una sinergia laboral enfocada hacia la
consecucin de objetivos colectivos.
TABLA II. TABLA RESUMEN DE LAS COMPETENCIAS SOCIALES SELECCIONADAS

Competencia
Sub-competencia
Valores
Sistema
Experto
Empata
Comprender a los dems
A/M/B
Empata
El desarrollo de los dems
A/M/B
Empata
Orientacin hacia el servicio
A/M/B
Empata
Aprovechamiento de la
diversidad
A/M/B
Empata
Conciencia poltica
A/M/B
Habilidades sociales
Influencia
A/M/B
Comunicacin
A/M/B
Manejo de conflictos
A/M/B
Liderazgo
A/M/B
Catalizadores de cambio
A/M/B
Establecer vnculos
A/M/B
Colaboracin y cooperacin
A/M/B
Capacidades de equipo
A/M/B
3) CT Conocimientos Tcnicos.
Engloba las fichas personales clsicas del recurso, es decir,
los estudios y prcticas adquiridos a lo largo de su vida. Y
estar formada por los siguientes elementos:
CT.1 - Nivel de estudios.
CT.2 - reas de las que posee conocimiento: Distintas
especialidades de informtica. Valoraremos por
separado los Conocimientos Tericos, Prcticos y
Exhaustivo de cada rea. Las reas en que se pueden
dividir los estudios de informtica y algunas de las
asignaturas que se engloban dentro de esas reas son:
o CT.2.1 - Matemtica Aplicada: Estadstica,
Investigacin Operativa, Anlisis Numrico,
Algebra, Calculo, Lgica.
o CT.2.2 - Tcnicas de programacin:
Estructura de datos, Grafos y Algoritmos,
Herramientas y Entornos de Programacin
o CT.2.3 - Arquitectura y Tecnologa de
Computadoras: Arquitectura no clsicas,
Estructura, Tecnologa y Arquitectura de los
computadoras, Diseo de sistemas con
microprocesador, Electrnica, Procesamiento
de la Seal, Diseo y Sntesis de Hardware,
Microelectrnica, Sistemas y Seales, Teora
de Circuitos, tecnologa e instrumentacin
electrnica.
o CT.2.4 - Procesamiento del lenguaje:
CT.3.1
Autmatas
y
lenguajes
Formales,
Programacin declarativa, Compiladores e
Intrpretes, Procesadores de lenguajes,
Computabilidad.
CT.2.5 - Sistemas de Control: Automtica,
Robtica, Informtica Industrial, Sistemas de
Control, Robtica Industrial, Control por
Computador.
CT.2.6 - Bases de datos: Bases de datos,
Modelos Avanzados de Bases de Datos,
Desarrollo de Aplicaciones con Sistemas de
Bases de Datos, Administracin de base de
datos.
CT.2.7 - Sistemas Operativos: Sistemas
Operativos
Avanzados,
Programacin
Concurrente, Administracin de un sistema
operativo, administracin de un entorno
multiusuario, sistemas en tiempo real,
Sistemas operativos avanzados.
CT.2.8 - Desarrollo de sistemas: Diseo y
explotacin de sistemas, Ingeniera de la
programacin, Ingeniera del Software,
Tcnicas de simulacin, Diseo y control de
modelos, Evaluacin y Explotacin de
Sistemas Informticos, Interfaces de Usuario,
Desarrollo de Componentes Software.
CT.2.9 - Redes: Redes, Sistemas distribuidos,
Interfaces y Perifricos, Arquitectura de
Sistemas Distribuidos, Dispositivos Fsicos
para la Interaccin Persona-Computador,
Tecnologa Internet, Administracin de
Servicios Internet/Intranet.
CT.2.10 - Inteligencia Artificial: Inteligencia
Artificial, Modelos y Aplicaciones de la
Inteligencia Artificial, Lenguajes de la IA,
Modelos de la Inteligencia Artificial,
Ingeniera del Conocimiento, Resolucin del
problema,
Sistemas
de
Aprendizaje,
Programacin lgica y funcional, Visin por
Computador.
CT.2.11 - Informtica Grfica: Diseo
Asistido por Computadora, Informtica
Grfica, Sistemas de Produccin Integrados
por Computador.
CT.2.12 - Tcnicas de codificacin:
Auditora
y
Seguridad
Informtica,
Almacenamiento
y Recuperacin
de
Informacin, Teora de la Informacin y la
codificacin, Criptografa, Complejidad
Algortmica,
CT.2.13
Multimedia:
Multimedia,
Hipermedia
y
Realidad
Virtual,
Procesamiento de Datos Multimedia
CT.2.14 - Informtica de gestin: Derecho
Informtico,
Informtica
de
gestin,
Contabilidad, Control de Gestin.
- Lenguajes de programacin con los que ha
257
trabajado: Lista de lenguajes de programacin que el

candidato conoce.
CT.3.2 - Programas manejados: Lista de los
programas y aplicaciones que el candidato ha
aprendido.
CT.3.3 - Puesto de trabajo.
CT.3.4 - Idiomas que habla: Segn el idioma y el
nivel.
TABLA III. TABLA DE VARIABLES CODIFICAS PARA LA VALORACIN DE

CANDIDATOS
Variable
TPUES_TRABAJO
TIPO_TRABAJO
DEDICACION
DIS_EMPEZA
EXP_SALARI
COM_PERSON
COM_SOCIAL
NESTUDIOS
AC_TEORICO
AC_PRACTIC
AC_EXHAUST
LENG_INTER
LENG_GENER
PM_AUTOEDI
PM_GES_BD
PM_GRA_MUL
PM_SIS_OPE
PM_ING_ELE
PM_INTERNE
PT_EXPERIE
IDIOMAS
Descripcin
tipo puesto trabajo
tipo trabajo
dedicacin
disponibilidad empezar
expectativa salariales
Competencias
personales:
[CP.1.1][CP.1.2][CP.1.3]
[CP.2.1][CP.2.2][CP.2.3]
[CP.3.1][CP.3.2][CP.3.3]
Competencias
sociales:
[CS.1.1][CS.1.2][CS.1.3][CS.1.
4][CS.1.5][CS.2.1][CS.2.2][CS.
2.3][CS.2.4][CS.2.5][CS.2.6][C
S.2.7][CS.2.8]
Nivel de estudios
matemtica aplicada terico,
tcnica programacin terico,
tcnica computadores terico,
procesamiento lenguaje terico,
matemtica aplicada practico,

tcnica programacin practico,
tcnica computadores practico,
matemtica
aplicada
exhaustivo,
tcnica
programacin
exhaustivo,
tcnica
computadores
exhaustivo,
procesamiento
lenguaje exhaustivo,
actives, HTML, cgi, java,
dhtml, javascript, frontpage,
vbscript
ada, fortran, powerbuilder,
ensamblador, ideafix, python,
adobe pagemak, publisher,

excel, word,
access, informix, ca clipper,
oracle, dbase, sql server,
adobe photoshop, autocad,
aix,
linux,
sco,
as400,
macintosh, unix, beo,
matlab, promax, Simulink,
Crome, Firefox,
jefe
proyecto,
analista,
consultor,
infografista,
programador,
castellano, ingles, frances,
alemn,
Valor de Ejemplo
v1=0
v2=N
v3=N
v4=N
v5=0
v6=NNNNNNNN
N
v7=NNNNNNNN
NNNNN
v8=0
v9=NNNNNNNN
NNNNNN
v10=NNNNNNN
NNNNNNN
B. Fase II: Automatizacin de la seleccin de personal

mediante la valoracin de sub-competencias subjetivas.
Una vez identificado el conjunto de competencias y subcompetencias del sector privado, se ha analizado cmo se
poda automatizar el trabajo que realizaban de forma manual
los departamentos de RRHH, para crear un e-HRM que
redujese el coste de este proceso, aumentando la tasa de
aciertos. Para ello se ha analizado in-situ cmo se realizaban
las entrevistas y se vio que el proceso consista bsicamente en
ir analizando las sub-competencias y ponderndolas. Para ello
se desarroll en cinco fases un primer conjunto de mtricas y
mecanismos de valoracin:
Sub-Fase 1: Discretizacin de las competencias y
sub-competencias valoradas por las empresas. Se han
programado 21 variables inicialmente para definir el
currculo de un candidato, codificando en cadenas de
enteros o caracteres las competencias sociales,
personales y tcnicas que tiene cada candidato. Dichas
cadenas son variables y pueden aumentar segn
aumenten los tipos de conocimientos o competencias.
En la Tabla III se puede ver un extracto, de las
variables que se han utilizado en este primer prototipo.
Sub-Fase 2: En esta fase se ha elaborado un primer
conjunto de frmulas para la valoracin automtica de
candidatos en base a sus currculos basada en
competencias. En la Tabla IV se puede ver un extracto
del algoritmo desarrollado para valorar las
competencias del candidato, en base a la seleccin de
la empresa.
TABLA IV. ALGORITMO PARA VALORACIN DE CANDIDATOS
v11=
NNNNNNNNNN
NNNN
v12=
NNNNNNNN
Ej:
v13=NNNNNNN
NNNNNNNNNN
NNNNNNNNNN
v14=NNNNNNN
NN
v15=NNNNNNN
N
v16=NNNNN
v17=NNNNNNN
NNNNNNNN
v18=NNNNNNN
v19=NNN
v20=000000
v21=NNNN
Evalua_curriculum = ((Evalua_CTecnicos() +
Evalua_puesto_trabajo()) * 10) + Evalua_PrefDisp() +
Evalua_CPersonal_CSocial()
Evalua_CTecnicos() = ((Evalua_areas_conocimiento() +
Evalua_lenguajes_programacion() +
Evalua_programas_y_aplicaciones() + Evalua_idiomas()
+ Peso_Nivel_Estudios()) * 100 / 6)
o
Evalua_areas_conocimiento() =
(Evalua_area(AC_TEORICO,
CURRI_AC_TEORICO) +
Evalua_area(AC_PRACTIC,
CURRI_AC_PRACTIC) +
Evalua_area(AC_EXHAUST,
CURRI_AC_EXHAUST)) / 3
Evalua_Area(0-1) = (2 *
Numero_areas_activas (Valor_formulario Valor_curriculum)) / (2 *
Numero_areas_activas + 1)
o
Evalua_lenguajes_programacion() =
(Evalua_lenguajes_y_programas(LENG_INT
ER, CURRI_LENG_INTER) +
Evalua_lenguajes_y_programas(LENG_GEN
ER, CURRI_LENG_GENER)) / 2
Evalua_lenguajes_y_programas(
0-1) = Valor_curriculum /
Numero_activas -- No afecta la
posicin.
o
Evalua_programas_y_aplicaciones() =
(Evalua_lenguajes_y_programas(PM_AUTO
EDI, CURRI_PM_AUTOEDI) +
Evalua_lenguajes_y_programas(PM_GES_B
258
D, CURRI_PM_GES_BD) +
Evalua_lenguajes_y_programas(PM_GRA_M
UL, CURRI_PM_GRA_MUL) +
Evalua_lenguajes_y_programas(PM_SIS_OP
E, CURRI_PM_SIS_OPE) +
Evalua_lenguajes_y_programas(PM_ING_EL
E, CURRI_PM_ING_ELE) +
Evalua_lenguajes_y_programas(PM_INTER
NE, CURRI_PM_INTERNE)) / 6
Evalua_idiomas() =
NIdiomas_Coincidentes_Con_Solicitados /
Numero_idiomas_solicitados
Peso_Nivel_Estudio(): Si (NESTUDIOS >
CURRI_NESTUDIOS) => - 1; Si
(NESTUDIOS = CURRI_NESTUDIOS) =>
1; Sino 2
Evalua_puesto_trabajo() = ((Valor_curriculum >

Valor_formulario) =>
CInt(CURRI_PUESTO_TRABAJO) * 4; Si
(Valor_curriculum = Valor_formulario)=>
CInt(CURRI_PUESTO_TRABAJO) * 3.25; Sino
CInt(CURRI_PUESTO_TRABAJO) * 2) * 2 / 100
Evalua_PrefDisp() = ((tipo_de_trabajo +
tipo_de_dedicacion + disponibilidad_empezar +
expectactivas_salariales) / 4) * 100
o
Tipo_de_trabajo (TIPO_TRABAJO =
CURRI_TIPO_TRABAJO, 1, 0.03)
o
Tipo_de_dedicacion (DEDICACION =
CURRI_DEDICACION, 1, 0.03)
o
Disponibilidad_empezar
(DIS_EMPEZA<CURRI_DIS_EMPEZA, 1,
(1 - (abs_reales(DIS_EMPEZA CURRI_DIS_EMPEZA) / 3)))
o
Expectactivas_salariales (EXP_SALARI >=
CURRI_EXP_SALARI, 1, (1 abs_reales(CInt(EXP_SALARI) CInt(CURRI_EXP_SALARI)) / 4))
Evalua_CPersonal_CSocial() =
((valoracion_competencia_personal +
valoracion_competencia_social) / 2) * 100
o
Valoracion_competencia_personal = (2 *
numero_competencias_activas (Valor_formulario(COM_PERSON) Valor_curriculum(CURRI_COM_PERSON))
) / (2 * numero_competencias_activas + 1)
o
Valoracion_competencia_social = (2 *
numero_competencias_activas (Valor_formulario(COM_SOCIAL) Valor_curriculum(CURRI_COM_SOCIAL)))
/ (2 * numero_competencias_activas + 1)
Sub-Fase 3: En base a la experiencia y a las encuestas

realizadas, se establece un sistema de pesos para la
seleccin y valoracin de los candidatos. Los pesos
finales resultantes en el algoritmo se pueden ver en la
Tabla V, y permiten determinar para qu puesto de
trabajo de entre un sub-conjunto de 6 tipologas
seleccionadas inicialmente es ms apto el candidato en
base a sus competencias personales y sociales.
Sub-Fase 4: Se ha creado el prototipo de una
aplicacin en la que se puedan introducir las
caractersticas buscadas por una empresa teniendo en
cuenta las competencias personales y sociales y los
conocimientos tcnicos. En la Figura 1, se puede ver
un esquema inicial de cmo funciona dicho prototipo.
TABLA V. ALGORITMO PARA SELECCIN DE CANDIDATOS

Implementamos el sistema de reglas
Jefe_proyecto = Int(Competen_personal * 25 + Competen_social *
25)
Analista = Int(Competen_personal * 35 + (2 / (abs_reales(1 Competen_social) + 0.5)) * 7.5)
Consultor = Int(Competen_personal * 30 + (2 / (abs_reales(1 Competen_social) + 0.5)) * 10)
Infografista = Int(((2 - Competen_personal) * 25 + (2 / (abs_reales(1
- Competen_social) + 0.5)) * 12.5) * 1.05)
Programador = Int((2 - Competen_personal) * 25 + (2 /
(abs_reales(1 - Competen_social) + 0.5)) * 12.5)
Documentalista = Int((2 - Competen_personal) * 25 + (2 Competen_social) * 25)
Competencia_personal()
Valor = AMB (210)
Confianza_en_si_mismo = Real(Conciencia_emocional +
Valoracion_si_mismo + Confianza_si_mismo)/3
Autoregulacion = Real(Autocontrol + Confiabilidad_e_Integridad +
Innovacion_y_Adaptabilidad)/3
Motivacion = Real(Logro + Compromiso +
Iniciativa_y_Optimismo) / 3
Competencia_personal = (Confianza_en_si_mismo +
Autoregulacion + Motivacion) / 3
Competencia_social()
Valor = AMB (210)
Empatia = Real(Comprender_a_los_demas +
Desarrollo_de_los_demas + Orientacion_al_servicio +
Aprovechamiento_diversidad + Conciencia_politica) / 5
Habilidades_sociales = Real(Influencia + Comunicacion +
Manejo_de_conflictos + Liderazgo + Catalizadores_de_cambio +
Establecer_vinculos + Colaboracion_y_cooperacion +
Capacidades_de_equipo) / 8
Competencia_social = (Empatia + Habilidades_sociales) / 2
Figura 1. Esquema general del prototipo
Dentro de este prototipo, el usuario podr definir el tipo de

experto profesional que necesita en base a unos parmetros
mnimos y el sistema devolver las referencias del grupo de
currculos que ms se aproxima al perfil solicitado. La
insercin y modificacin de currculos de la base de datos ser
realizada por un grupo de evaluadores autorizados, siendo
stos, a su vez, introducidos en el sistema por evaluadores
previamente existentes en dicho sistema. En las Figuras 2 y 3
se pueden ver los diagramas de contexto y modelos de
comportamiento definidos para el prototipo.
259
Figura 2. Diagrama de contexto

Figura 4. Ficha de solicitud de candidato en base a sub-competencias
Figura 5. Resultado valorado a nivel de sub-competencias
C. Fase III - Listado de Competencias planteadas por la

UCLM.
Una vez que hemos extrado las sub-competencias del
sector privado y desarrollado frmulas para su valoracin
automtica, procedemos a compararlas con el conjunto
desarrollado por los profesores de la universidad dentro de la
Memoria para la solicitud de verificacin de ttulos oficiales,
propuesta para el Grado de ingeniera Informtica de las
Escuela Superior de Ingeniera Informtica de Albacete y
Ciudad Real de la Universidad de Castilla-la Mancha.
Figura 3. Modelo de comportamiento
1) Competencias transversales genricas.

Finalmente, en la Figura 4 se puede ver un ejemplo de la
ficha por medio de la cual se pueden introducir datos en el
sistema.
Sub-Fase 5: A partir de los datos introducidos por la

empresa, el sistema aplica las formulas de la Sub-Fase
3 para ofrecer un resultado valorado de las personas
que ms se aproximan al perfil solicitado en base a
competencias. En la Figura 5, se puede ver un ejemplo
del resultado que se obtendra.
Estar formada por el siguiente sub-conjunto de

competencias transversales genricas.
Segn normativa de la UCLM: i) UCLM1 - Dominio
de una segunda lengua extranjera en el nivel B1 del
Marco Comn Europeo de Referencia para las
Lenguas; ii) UCLM2 - Capacidad para utilizar las
Tecnologas de la Informacin y la Comunicacin; iii)
UCLM3 - Correcta comunicacin oral y escrita; iv)
UCLM4 - Compromiso tico y deontologa
profesional.
Instrumentales: i) INS1 - Capacidad de anlisis,
sntesis y evaluacin; ii) INS2 - Capacidad de
organizacin y planificacin; iii) INS3 - Capacidad de
260
gestin de la informacin; iv) INS4 - Capacidad de

resolucin de problemas aplicando tcnicas de
ingeniera; v) INS5 - Capacidad para argumentar y
justificar lgicamente las decisiones tomadas y las
opiniones.
Personales: i) PER1 - Capacidad de trabajo en equipo;
ii) PER2 - Capacidad de trabajo en equipo
interdisciplinar; iii) PER3 - Capacidad de trabajo en
un contexto internacional; iv) PER4 - Capacidad de
relacin interpersonal; v) PER5 - Reconocimiento a la
diversidad, la igualdad y la multiculturalidad.
Sistmicas: i) SIS1 - Razonamiento crtico; ii) SIS2 Compromiso tico; iii) SIS3 - Aprendizaje autnomo;
iv) SIS4 - Adaptacin a nuevas situaciones; v) SIS5
Creatividad; vi) SIS6 - Capacidad de liderazgo; vii)
SIS7 - Conocimiento de otras culturas y costumbres;
viii) SIS8 - Capacidad de iniciativa y espritu
emprendedor; ix) SIS9 - Tener motivacin por la
calidad; y x) SIS10 - Sensibilidad hacia temas
medioambientales.
2) Competencias especficas:
Estar formada por el siguiente sub-de competencias
especficas:
Formacin bsica: i) BA1 - Capacidad para la
resolucin de los problemas matemticos que puedan
plantearse en la ingeniera; ii) BA2 - Comprensin y
dominio de los conceptos bsicos de campos y ondas y
electromagnetismo, teora de circuitos elctricos,
circuitos electrnicos, principio fsico de los
semiconductores y familias lgicas, dispositivos
electrnicos y fotnicos, y su aplicacin para la
resolucin de problemas propios de la ingeniera; iii)
BA3 - Capacidad para comprender y dominar los
conceptos bsicos de matemtica discreta, lgica,
algortmica y complejidad computacional, y su
aplicacin para la resolucin de problemas propios de
la ingeniera; iv) BA4 - Conocimientos bsicos sobre
el uso y programacin de los ordenadores, sistemas
operativos, bases de datos y programas informticos
con aplicacin en ingeniera; v) BA5 - Conocimiento
de la estructura, organizacin, funcionamiento e
interconexin de los sistemas informticos, los
fundamentos de su programacin, y su aplicacin para
la resolucin de problemas propios de la ingeniera; y
BA6 - Conocimiento adecuado del concepto de
empresa, marco institucional y jurdico de la empresa.
Organizacin y gestin de empresas.
Comunes a la rama de la informtica: i) CO1 Capacidad para disear, desarrollar, seleccionar y
evaluar aplicaciones y sistemas informticos,
asegurando su fiabilidad, seguridad y calidad,
conforme a principios ticos y a la legislacin y
normativa vigente; ii) CO2 - Capacidad para
planificar, concebir, desplegar y dirigir proyectos,
servicios y sistemas informticos en todos los mbitos,
liderando su puesta en marcha y su mejora continua y

valorando su impacto econmico y social; iii) CO3 Capacidad para comprender la importancia de la
negociacin, los hbitos de trabajo efectivos, el
liderazgo y las habilidades de comunicacin en todos
los entornos de desarrollo de software; iv) CO4 Capacidad para elaborar el pliego de condiciones
tcnicas de una instalacin informtica que cumpla los
estndares y normativas vigentes; v) CO5 Conocimiento, administracin y mantenimiento
sistemas, servicios y aplicaciones informticas; vi)
CO6 - Conocimiento y aplicacin de los
procedimientos algortmicos bsicos de las tecnologas
informticas para disear soluciones a problemas,
analizando la idoneidad y complejidad de los
algoritmos propuestos; vii) CO7 - Conocimiento,
diseo y utilizacin de forma eficiente de los tipos y
estructuras de datos ms adecuados para la resolucin
de un problema; viii) CO8 - Capacidad para analizar,
disear, construir y mantener aplicaciones de forma
robusta, segura y eficiente, eligiendo el paradigma y
los lenguajes de programacin ms adecuados; ix)
CO9 - Capacidad de conocer, comprender y evaluar la
estructura y arquitectura de los computadores, as
como los componentes bsicos que los conforman; x)
CO10 - Conocimiento de las caractersticas,
funcionalidades y estructura de los Sistemas
Operativos y disear e implementar aplicaciones
basadas en sus servicios; xi) CO11 - Conocimiento y
aplicacin de las caractersticas, funcionalidades y
estructura de los Sistemas Distribuidos, las Redes de
Computadores e Internet y disear e implementar
aplicaciones basadas en ellas; xii) CO12 Conocimiento y aplicacin de las caractersticas,
funcionalidades y estructura de las bases de datos, que
permitan su adecuado uso, y el diseo y el anlisis e
implementacin de aplicaciones basadas en ellos; xiii)
CO13 - Conocimiento y aplicacin de las herramientas
necesarias para el almacenamiento, procesamiento y
acceso a los Sistemas de informacin, incluidos los
basados en web; xiv) CO14 - Conocimiento y
aplicacin de los principios fundamentales y tcnicas
bsicas de la programacin paralela, concurrente,
distribuida y de tiempo real; xv) CO15 Conocimiento y aplicacin de los principios
fundamentales y tcnicas bsicas de los sistemas
inteligentes y su aplicacin prctica; xvi) CO16 Conocimiento y aplicacin de los principios,
metodologas y ciclos de vida de la ingeniera de
software; xvii) CO17 - Capacidad para disear y
evaluar interfaces persona computador que garanticen
la accesibilidad y usabilidad a los sistemas, servicios y
aplicaciones
informticas;
xviii)
CO18
Conocimiento de la normativa y la regulacin de la
informtica en los mbitos nacional, europeo e
internacional; xix) CO19 - Ejercicio original a realizar
individualmente y presentar y defender ante un
261
tribunal universitario, consistente en un proyecto en el

mbito de las tecnologas especficas de la Ingeniera
en Informtica de naturaleza profesional en el que se
sinteticen e integren las competencias adquiridas en
las enseanzas.
Tecnologa especfica. Ingeniera de computadores: i)
IS1 - Capacidad para desarrollar, mantener y evaluar
servicios y sistemas software que satisfagan todos los
requisitos del usuario y se comporten de forma fiable
y eficiente, sean asequibles de desarrollar y mantener
y cumplan normas de calidad, aplicando las teoras,
principios, mtodos y prcticas de la Ingeniera del
Software; ii) IS2 - Capacidad para valorar las
necesidades del cliente y especificar los requisitos
software para satisfacer estas necesidades; iii) IS3 Capacidad de dar solucin a problemas de integracin
en funcin de las estrategias, estndares y tecnologas
disponibles; iv) IS4 - Capacidad de identificar y
analizar
problemas
y
disear,
desarrollar,
implementar, verificar y documentar soluciones
software sobre la base de un conocimiento adecuado
de las teoras, modelos y tcnicas actuales; v) IS5 Capacidad de identificar, evaluar y gestionar los
riesgos potenciales asociados que pudieran
presentarse; vi) IS6 - Capacidad para disear
soluciones apropiadas en uno o ms dominios de
aplicacin utilizando mtodos de la ingeniera del
software que integren aspectos ticos, sociales, legales
y econmicos.
Tecnologa especfica. Sistemas de Informacin: i)
IC1 - Capacidad de disear y construir sistemas
digitales, incluyendo computadores, sistemas basados
en microprocesador y sistemas de comunicaciones; ii)
IC2 - Capacidad de desarrollar procesadores
especficos y sistemas empotrados, as como
desarrollar y optimizar el software de dichos sistemas;
iii) IC3 - Capacidad de analizar y evaluar arquitecturas
de computadores, incluyendo plataformas paralelas y
distribuidas, as como desarrollar y optimizar software
para las mismas; iv) IC4 - Capacidad de disear e
implementar
software
de
sistema
y
de
comunicaciones; v) IC5 - Capacidad de analizar,
evaluar y seleccionar las plataformas hardware y
software ms adecuadas para el soporte de
aplicaciones empotradas y de tiempo real; vi) IC6 Capacidad para comprender, aplicar y gestionar la
garanta y seguridad de los sistemas informticos; vii)
IC7 - Capacidad para analizar, evaluar, seleccionar y
configurar plataformas hardware para el desarrollo y
ejecucin de aplicaciones y servicios informticos; y
viii) IC8 - Capacidad para disear, desplegar,
administrar y gestionar redes de computadores.
Tecnologa especfica. Tecnologas de la informacin:
i) CM1 - Capacidad para tener un conocimiento
profundo de los principios fundamentales y modelos
de la computacin y saberlos aplicar para interpretar,
seleccionar, valorar, modelar, y crear nuevos

conceptos, teoras, usos y desarrollos tecnolgicos
relacionados con la informtica; ii) CM2 - Capacidad
para conocer los fundamentos tericos de los
lenguajes de programacin y las tcnicas de
procesamiento lxico, sintctico y semntico
asociadas, y saber aplicarlas para la creacin, diseo y
procesamiento de lenguajes; iii) CM3 - Capacidad
para evaluar la complejidad computacional de un
problema, conocer estrategias algortmicas que puedan
conducir a su resolucin y recomendar, desarrollar e
implementar aquella que garantice el mejor
rendimiento de acuerdo con los requisitos
establecidos; iv) CM4 - Capacidad para conocer los
fundamentos, paradigmas y tcnicas propias de los
sistemas inteligentes y analizar, disear y construir
sistemas, servicios y aplicaciones informticas que
utilicen dichas tcnicas en cualquier mbito de
aplicacin; v) CM5 - Capacidad para adquirir, obtener,
formalizar y representar el conocimiento humano en
una forma computable para la resolucin de problemas
mediante un sistema informtico en cualquier mbito
de aplicacin, particularmente los relacionados con
aspectos de computacin, percepcin y actuacin en
ambientes o entornos inteligentes; vi) CM6 Capacidad para desarrollar y evaluar sistemas
interactivos y de presentacin de informacin
compleja y su aplicacin a la resolucin de problemas
de diseo de interaccin persona computadora; y vii)
CM7 - Capacidad para conocer y desarrollar tcnicas
de aprendizaje computacional y disear e implementar
aplicaciones y sistemas que las utilicen, incluyendo las
dedicadas a extraccin automtica de informacin y
conocimiento a partir de grandes volmenes de datos.
Tecnologa especfica. Sistemas de Informacin: i) SI1
- Capacidad de integrar soluciones de Tecnologas de
la Informacin y las Comunicaciones y procesos
empresariales para satisfacer las necesidades de
informacin de las organizaciones, permitindoles
alcanzar sus objetivos de forma efectiva y eficiente,
dndoles as ventajas competitivas; ii) SI2 - Capacidad
para determinar los requisitos de los sistemas de
informacin y comunicacin de una organizacin
atendiendo a aspectos de seguridad y cumplimiento de
la normativa y la legislacin vigente; iii) SI3 Capacidad para participar activamente en la
especificacin,
diseo,
implementacin
y
mantenimiento de los sistemas de informacin y
comunicacin; iv) SI4 - Capacidad para comprender y
aplicar los principios y prcticas de las
organizaciones, de forma que puedan ejercer como
enlace entre las comunidades tcnica y de gestin de
una organizacin y participar activamente en la
formacin de los usuarios; v) SI5 - Capacidad para
comprender y aplicar los principios de la evaluacin
de riesgos y aplicarlos correctamente en la elaboracin
y ejecucin de planes de actuacin; vi) SI6 262
Capacidad para comprender y aplicar los principios y

las tcnicas de gestin de la calidad y de la innovacin
tecnolgica en las organizaciones.
Tecnologa especfica. Tecnologas de la informacin:
i) TI1 - Capacidad para comprender el entorno de una
organizacin y sus necesidades en el mbito de las
tecnologas de la informacin y las comunicaciones;
ii) TI2 - Capacidad para seleccionar, disear,
desplegar, integrar, evaluar, construir, gestionar,
explotar y mantener las tecnologas de hardware,
software y redes, dentro de los parmetros de coste y
calidad adecuados; iii) TI3 - Capacidad para emplear
metodologas centradas en el usuario y la organizacin
para el desarrollo, evaluacin y gestin de
aplicaciones y sistemas basados en tecnologas de la
informacin que aseguren la accesibilidad, ergonoma
y usabilidad de los sistemas; iv) TI4 - Capacidad para
seleccionar, disear, desplegar, integrar y gestionar
redes e infraestructuras de comunicaciones en una
organizacin; v) TI5 - Capacidad para seleccionar,
desplegar, integrar y gestionar sistemas de
informacin que satisfagan las necesidades de la
organizacin, con los criterios de coste y calidad
identificados; vi) TI6 - Capacidad de concebir
sistemas, aplicaciones y servicios basados en
tecnologas de red, incluyendo Internet, web, comercio
electrnico, multimedia, servicios interactivos y
computacin mvil; vii) TI7 - Capacidad para
comprender, aplicar y gestionar la garanta y
seguridad de los sistemas informticos.
A. Comparacin de sub-competencias del sector privado y

las de la UCLM.
Finalmente se han intentado correlacionar las
competencias identificas y desarrollas en el sistema experto,
con las propuestas por la Escuela Superior de Ingeniera
Informtica de la UCLM, pero como se puede ver en la Tabla
VI es muy difcil alinear ambas familias de competencias:
Las competencias que ha definido la universidad como
personales y sistmicas se mezclan en el sector
privado dentro de lo que denominan competencias
personales y sociales, e incluso a nivel de subcompetencia no valoran los mismos factores.
El sector privado est obviando actualmente
competencias
muy
importantes
como
las
instrumentales.
El sector privado no est valorando todas las
competencias tcnicas de una forma objetiva, sino que
confunde los temarios con las competencias. La
solucin propuesta a este problema ha sido introducir
las competencias y sub-competencias tcnicas
ofrecidas por la UCLM, y valorar tambin en la
Universidad que un alumno, adems de obtener una
competencia, obtiene la capacidad de manejar ciertas
tecnologas que deben ser valorables.
TABLA VI. CORRELACIN DE COMPETENCIAS ENTRE LAS IDENTIFICADAS EN

LAS EMPRESAS Y LAS PROPUESTAS POR LA UCLM
Competencias UCLM
UCLM
PER
SIS
INS
BA
CO
IS
IC
CM
SI
TI
Competencias Sector Privado

No contemplada
CP
CS
No contemplada
CT
IV. CONCLUSIONES Y TRABAJOS FUTUROS

Durante la presente investigacin se ha conseguido
elaborar un conjunto de competencias sociales y personales,
as como de capacidades tcnicas que suelen requerir las
empresas a la hora de seleccionar candidatos en el campo de la
Ingeniera Informtica.
Para la elaboracin de las competencias sociales y
personales se han tenido en cuenta los principios que presento
Peter Senge en su libro La Quinta Esencia en la Prctica, y
se han contrastado con empresas privadas, lo que ha permitido
dar la valoracin a cada una de estas competencias con
respecto a un sub-conjunto de perfiles que hemos establecido.
Posteriormente, hemos conseguido crear un e-HRM
mediante un sistema experto que permite a las empresas
introducir las competencias y capacidades que desea que tenga
una persona y el sistema es capaz de ofrecer una lista de
candidatos valorados. Para la elaboracin del algoritmo y el
establecimiento de los pesos por perfiles se ha tenido en
cuenta la informacin recogida en un conjunto de microfactoras de software que han servido de base en la
investigacin.
Por ltimo, el principal problema de la investigacin ha
estado al intentar unificar las competencias que usa el sector
privado con las competencias de la Universidad, que son las
que obtendr el alumno en su malla curricular. Hemos visto
cmo a-priori es muy difcil establecer un mapa de correlacin
directa, por lo que la investigacin continuar intentando
analizar cmo se puede llegar a crear ese mapa, para hacer que
el Sistema Experto pueda tomar directamente en consideracin
como entrada las competencias de las empresa privada, pero
sea capaz de transformarlas en las competencias adquiridas
por los alumnos.
Los prximos pasos de la investigacin buscaran
establecer una correlacin al nivel ms bajo entre las subcompetencias generales y especficas de las diferentes
asignaturas que conforman la malla curricular, y las
competencias personales y sociales establecidas por la
empresa, para los diferentes perfiles que actualmente se estn
ofertando en el campo relacionado con la ingeniera del
software (Ej: Experto en seguridad, analista, consultor, ).
263
AGRADECIMIENTOS
Esta investigacin es parte de los proyectos de innovacin
docente Proceso de Reificacin de las Competencias
Generales y Especficas para el Grado de Ingeniera
Informtica y Definicin de un Plan de Mtricas de
Evaluacin de dichas Competencias, y Implantacin y
Orquestacin de los Contenidos de Seguridad en el Grado en
Ingeniera Informtica que Favorezca en Acercamiento a las
Principales Certificaciones Profesionales de Seguridad y
Auditora, Utilizacin de mtricas asociadas a las
competencias generales y especficas del Grado de Ingeniera
Informtica para ayudar a los alumnos en su orientacin
profesional concedidos dentro de la 6 y 7 Convocatoria de
Ayudas para Proyectos de Innovacin Docentes promovidos
por el Vicerrectorado de Ordenacin Acadmica y Formacin
Permanente de la Universidad de Castilla-la Mancha. Tambin
es parte de los siguientes proyectos: SIGMA-CC (TIN201236904) and GEODAS (TIN2012-37493-C03-01) financiados
por el Ministerio de Economa y Competitividad (Espaa),
del proyecto SERENIDAD (PEII14-2014-045-P) financiados
por la Consejera de Educacin, Ciencia y Cultura de la Junta
de Comunidades de Castilla-la Mancha, y del proyecto
PROMETEO financiado por la Secretara Nacional de
Educacin Superior, Ciencia, Tecnologa e Innovacin
(SENESCYT) del Gobierno de Ecuador.
Referencias
Erdomu, N. and M. Esen, An Investigation of the Effects of
Technology Readiness on Technology Acceptance in e-HRM.
Procedia - Social and Behavioral Sciences, 2011. 24(0): p. 487495.
[2] Kundu, S. and R. Kadian, Applications of HRIS in Human Resource
Management in India: A Study. European Journal of Business and
Management, 2012. 4(21): p. 34-41.
[3] SWAROOP, M.K.R., E-HRM and how it will reduce the cost in
organisation. Asia Pacific Journal of Marketing & Management
Review ISSN, 2012. 2319: p. 2836.
[4] Schalk, R., V. Timmerman, and S.v. den Heuvel, How strategic
considerations influence decision making on e-HRM applications.
Human Resource Management Review, 2013. 23(1): p. 84-92.
[5] Kulkarni, S.R., Human Capital Enhancement through E-HRM.
IBMRD's Journal of Management & Research, 2014. 3(1): p. 5974.
[6] Vivas, T., A. Zambrano, and M. Huerta. Mechanisms of security based
[7] Puma, J.P., et al. Mobile Identification: NFC in the Healthcare Sector. in
Andean Region International Conference (ANDESCON), 2012 VI.
2012.
[8] Sanayei, A. and A. Mirzaei, Designing a model for evaluating the
effectiveness of e-hrm (Case Study: Iranian organizations).
International Journal of Information Science and Management
(IJISM), 2012. 6(2): p. 79-98.
[9] Ruel, H.J., T.V. Bondarouk, and M. Van der Velde, The contribution of
e-HRM to HRM effectiveness: Results from a quantitative study in
a Dutch Ministry. Employee relations, 2007. 29(3): p. 280-291.
[10] Stone, D.L. and J.H. Dulebohn, Emerging issues in theory and research
on electronic human resource management (eHRM). Human
Resource Management Review, 2013. 23(1): p. 1-5.
[11] Navimipour, N.J., et al., Expert Cloud. Comput. Hum. Behav., 2015.
46(C): p. 57-74.
[1]
[12] Jafari Navimipour, N., et al., Expert Cloud: A Cloud-based framework to

share the knowledge and skills of human resources. Computers in
Human Behavior, 2015. 46(0): p. 57-74.
[13] Strohmeier, S. and F. Piazza, Artificial Intelligence Techniques in
Human Resource ManagementA Conceptual Exploration, in
Intelligent Techniques in Engineering Management, C. Kahraman
and S. evik Onar, Editors. 2015, Springer International
Publishing. p. 149-172.
[14] Strohmeier, S. and F. Piazza, Domain driven data mining in human
resource management: A review of current research. Expert
Systems with Applications, 2013. 40(7): p. 2410-2420.
[15] L.E. Snchez, et al., Ingeniera del Software: Tendencias Profesionales.,
in I European Workshop on Computing and ICT Professionalism
(EWCIP10).2010: Santiago de Compostela, Espaa. p. 529-536.
[16] L.E. Snchez, et al., Papel de las certificaciones profesionales en la
enseanza universitaria de ingeniera de software en Espaa, in
Revista Espaola de Innovacin, Calidad e Ingeniera del
Software (REICIS)2010. p. 6-24.
[17] L.E. Snchez, et al., Proceso de Reificacin de las Competencias
Generales y Especficas para el Grado en Ingeniera Informtica y
Definicin de un Plan de Mtricas de Evaluacin de dichas
Competencias, in XVII Jornadas de Enseanza Universitaria de la
Informtica (JENUI11), C.d.O.d.l.X.J.d.E.U.d.l. Informtica,
Editor 2011: Sevilla (Espaa). p. 51-58.
[18] L.E. Snchez, et al., Mtricas para la medicin de las Competencias
Generales y Especficas para el Grado en Ingeniera Informtica,
in XVIII Jornadas de Enseanza Universitaria de la Informtica
(JENUI12), C.d.O.d.l.X.J.d.E.U.d.l. Informtica, Editor 2012:
Ciudad Real (Espaa). p. 145-152.
[19] Rosado, D.G., et al., Content related to Computing Security on
Computer Engineering Degree according to International
Professional Certificates. IEEE Transactions Latinoamerica, 2015.
13(6).
[20] Pereira, C., et al. The European Computer Science Project: A Platform
for Convergence of Learning and Teaching. in DLC&W 2006.
2006. Lisbon, Portugal: October 2006.
[21] Forbes, N.M., P, Computer science today in the European Union.
Computing in Science & Engineering, 2002. 4(1): p. 10-14.
[22] ACM, Computer science curriculum 2008: An interim revision of CS
2001, in Review Task Force, R.f.t. Interim, Editor 2008, ACM.
[23] CC2001, Computing Curricula 2001. Computer Science, I.C.S.a.A.f.C.
Machinery, Editor 2001.
[24] SE2004, Curriculum Guidelines for Undergraduate Degree Programs in
Software Engineering, I.C.S.A.f.C. Machinery, Editor 2004.
[25] CE2004, Curriculum Guidelines for Undergraduate Degree Programs
in Computer Engineering, I.C.S.A.f.C. Machinery, Editor 2004.
[26] Gorgone, J., et al., MSIS 2006: Model Curriculum and Guidelines for
Graduate Degree Programs in Information Systems.
Communications of AIS, 2006. 38(2): p. 121-196.
[27] Lunt, B., et al., Curriculum Guidelines for Undergraduate Degree
Programs in Information Technology, in Association for
Computing Machinery (ACM), I.C. Society, Editor 2008.
[28] Pyster, A., et al., Masters Degrees in Software Engineering: An
Analysis of 28 University Programs. IEEE Software, 2009: p. 95101.
[29] Lago, P., et al. Towards a European Master Programme on Global
Software Engineering. in 20th Conference on Software
Engineering Education & Training (CSEET'07). 2007.
[30] Rico, D. and H. Sayani. Use of Agile Methods in Software Engineering
Education. in Agile Conference, 2009. 2009. Chicago, USA.
[31] Tripp, L., SWEBOK: Guide to the Software Engineering Body of
Knowledge, I.C. Society, Editor 2004: Los Alamitos, California.
[32] Lavrischeva, E.M. Classification of Software Engineering Disciplines. in
Kibernetika i Sistemnyi Analiz. 2008.
[33] Thompson, J. Software Engineering Practice and Education An
International View. in SEESE08. 2008. Leipzig, Germany.
[34] Garca Garca, M.J. and L. Fernndez Sanz, Opinin de los
profesionales TIC acerca de la formacin y las certificaciones
personales, in Certificaciones profesionales en las TIC2007,
mayo-junio 2007: Novtica. p. 32-39.
[35] Seidman, S.B. Software Engineering Certification Schemes. in
Computer, 2008. 2008.
[36] Senge, P.M., The fifth discipline fieldbook: Strategies and tools for
building a learning organization2014: Crown Business.
264

ISACA. He is the Director of Professional Services and
R&D departments of the company Sicaman Nuevas
Tecnologas S.L. COIICLM board or committee member
and responsible for the professional services committee. His research
Antonio Santos-Olmo is MsC in in Computer Science
and is an Assistant Professor at the Escuela Superior de
eSEC, INTECO, etc).
Eduardo Fernndez-Medina holds a PhD. and an MSc.

in Computer Science from the University of Sevilla. He
is associate Professor at the Escuela Superior de
Informtica of the University of Castilla-La Mancha at
Ciudad Real (Spain), his research activity being in the
field of security in databases, datawarehouses, web
services and information systems, and also in security
metrics. Fernndez-Medina is co-editor of several books
and chapter books on these subjects, and has several dozens of papers in
national and international conferences (DEXA, CAISE, UML, ER, etc.).
Author of several manuscripts in national and international journals
(Information Software Technology, Computers And Security, Information
Systems Security, etc.), he is director of the GSyA research group of the
Information Systems and Technologies Department at the University of
Castilla-La Mancha, in Ciudad Real, Spain. He belongs to various
professional and research associations (ATI, AEC, ISO, IFIP WG11.3 etc.).
Esther lvarez President of Private Foundation In-nova

and Research of the UPM. Consultant in strategic
CLM, representative of Castilla La Mancha in the groups
of the free and COIT New Technologies of the National
Coordinator of the Treatment Research Chair in Digital Image at the Madrid
Polytechnic University of Madrid. PhD in Information Systems specializing in
Business ETSI Industriales (UPM) and the Specialty Program
SSR ETSI Telecomunicaciones (UPM). It Telecommunications Engineering
from UPM. Specialty Communications.
societies. She is currently professor at the Salesian University (Ecuador). Her
research focuses on wireless networks, sensor networks, telemedicine and
optical communications.
265
Ctedra en Seguridad de Datos como una

aproximacin desde la arquitectura empresarial
C. P. Santiago1
Resumen Este artculo presenta el diseo del curso de Seguridad
de Datos, el cual fue concebido como una aproximacin de la seguridad
de la informacin desde la arquitectura empresarial AE, de tal manera
que durante el diseo de las arquitecturas de negocio, datos, aplicaciones
y tecnologa se hiciera una revisin de los aspectos de seguridad
relacionados y as conseguir un diseo de seguridad alineada
directamente al negocio, sus estrategias, sus metas y sus fortalezas, y
apoyada en tecnologas de informacin TI. Adicionalmente, en el
artculo se presentan resultados de la puesta en operacin del curso, en
donde los estudiantes llevaron a la prctica los conceptos aprendidos
obteniendo resultados de divulgacin y de introduccin o mejora para
las organizaciones en donde trabajan.
Abstract This paper presents the design of data security course.
The course was intended as an approximation of the information
security from the enterprise architecture - EA, so that during the design
of each four architectures (business, data, applications and technology
architectures), review the information security aspects related and thus
get a security design directly aligned to business strategies, goals and
strengths, and supported by information technologies - IT. In addition,
in this paper I present results of the course offered in 2015, where
students applied the concepts learned in the class room and they were
obtained dissemination results and the introduction or improvement
for organizations in which they work.
Palabras claves Arquitectura empresarial, seguridad de datos,
seguridad de la informacin, arquitectura de seguridad.
Keywords Enterprise architecture, data security, information
security, security architecture.
I. INTRODUCCIN
l diseo de la ctedra en seguridad de datos est motivado

desde dos perspectivas, la primera, la necesidad de
formacin y culturizacin de las organizaciones y personas en
el tema de seguridad y privacidad de la informacin y la otra,
la oferta acadmica a nivel de posgrado que una institucin
colombiana hace a la sociedad buscando formar profesionales
que hagan uso de las tecnologas de informacin y
comunicaciones en pro del desarrollo de las organizaciones.
Por un lado, la seguridad de la informacin hace parte de los
temas que las organizaciones, la academia y el estado tienen en
la mira. Cada da que pasa, esta temtica ha incrementado su
nivel de criticidad dentro de las organizaciones que
administran, almacenan, manipulan, procesan, transmiten y
hasta destruyen datos. Organizaciones como el NIST, la ISO y
el OpenGroup adelantan esfuerzos en la construccin de
recomendaciones que permitan a las organizaciones entender,
disear e implementar medidas de seguridad de la informacin

al interior de sus negocios. De igual forma, desde el punto de
vista de la privacidad, las organizaciones se ven cada vez ms
abocadas a cumplir con legislaciones que les exigen hacer una
adecuada proteccin de los datos personales de sus empleados,
socios de negocios y clientes. En el caso Colombiano, a partir
de 2008 aparece la ley de Habeas Data y ms adelante, en 2012,
se promulga la ley de proteccin de datos personales y una
entidad del gobierno vigila el cumplimiento de dichas leyes.
Por el otro lado, desde el sector acadmico, la Escuela
Colombiana de Ingeniera Julio Garavito ubicada en la ciudad
de Bogot D.C, Colombia, ha ofrecido desde 2011 la Maestra
en Gestin de Informacin como un programa a nivel de
posgrado. Esta Maestra, de carcter interdisciplinario, busca el
desarrollo avanzado de conocimientos y competencias tanto de
ingenieros de sistemas como de administradores y
profesionales afines, para lograr la coherencia entre las
estrategias del negocio y las de Tecnologa de Informacin (TI)
en las organizaciones. As se integran los procesos de negocio
y los servicios de TI que generen las ventajas competitivas con
el fin de mejorar sustancialmente el posicionamiento de la
organizacin en su mercado natural. [1]
A principios del ao 2014 la direccin del programa tom la
decisin de incluir dentro de su abanico de cursos electivos una
nueva ctedra en el rea de seguridad de la informacin y
solicit que durante el ao 2014 se diseara la ctedra de
Seguridad de datos, la cual fue puesta en ejecucin por primera
vez durante el primer semestre de 2015. Este artculo presenta
el diseo de la asignatura en cuanto a las temticas que se
abordaran y la metodologa a utilizar durante el desarrollo de
la misma, as como tambin se presenta la ejecucin de la
asignatura durante 2015 y los resultados obtenidos a partir del
trabajo con los estudiantes.
Para esto, la presentacin del trabajo en este artculo est
organizado de la siguiente manera: en la seccin II se presenta
el contexto en el cual se concibi la asignatura y para el cual
deba convertiste en un aporte a la formacin de los estudiantes
de la maestra. La seccin III contiene un resumen del marco
terico que se utiliz durante el diseo de la asignatura. El
diseo como tal se presenta en la seccin IV y en la seccin V
se presenta la puesta en ejecucin de la asignatura y los
resultados obtenidos con los estudiantes. Finalmente, este
escrito termina con las conclusiones del trabajo, lo cual se
encuentra en la seccin VI.
1
C P Santiago. Escuela Colombiana de Ingeniera Julio Garavito, Bogot
D.C., Colombia. claudia.santiago@escuelaing.edu.co.
266
SANTIAGO et al: Ctedra en Seguridad de Datos
II. CONTEXTO
Desde la Decanatura de Ingeniera de Sistemas de la Escuela
Colombiana de Ingeniera se concibi el programa de Maestra
en Gestin de Informacin con la visin de ofrecer a la sociedad
un programa innovador que permitiera formar a profesionales
de diversas reas en el uso de la informacin y la tecnologa
informtica de tal manera que permita proporcionar la
informacin correcta a la persona correcta en el momento
oportuno y en el lugar adecuado [1].
Con este propsito en claro, se construy un programa
compuesto por un conjunto de asignaturas obligatorias (55%),
otro de cursos electivos (30%) y un trabajo de grado (15%).
Dentro del conjunto de asignaturas obligatorias se tratan temas
como Gestin de conocimiento, inteligencia de negocios,
gobierno de tecnologa, gestin estratgica, arquitectura
empresarial y ley y tica.
Ahora, dentro de la porcin electiva se dise un conjunto
de asignaturas que complementan la formacin de los futuros
graduados del programa, tanto en reas de gestin empresarial
(gestin financiera, gestin del recurso humano, gestin del
cambio y gestin de proyectos de TI entre otros) como en el
rea de gestin de datos (minera de datos, estrategia de datos y
seguridad de datos, entre otros).
A partir de esto se plantea el diseo de la asignatura objeto
de este artculo, la cual debera partir de los objetivos
planteados por la maestra, en busca de aportar al perfil del
graduado del programa, quien ser un profesional con
excelentes condiciones de comunicacin en todos los niveles de
la organizacin (directivos, operarios, clientes, y proveedores),
quien descubre las necesidades de informacin de la
organizacin e integra la estrategia de gestin de informacin y
su tecnologa asociada con la estrategia del negocio para definir
el portafolio de servicios de tecnologa de informacin que
apoyan los procesos de negocio, ahorran costos y los hacen ms
productivos; crea y canaliza la informacin para generar
conocimiento mediante el uso que le dan las personas y que la
convierte en la inteligencia del negocio, lo que genera ventajas
competitivas y capital intelectual en la organizacin. [1].
III. MARCO TERICO
Teniendo claro que el principal objetivo de la seguridad de
la informacin en la organizacin es proteger los activos ms
importantes de la misma organizacin (sean estos, personas,
datos, informacin, edificios o dinero, entre otros) y que stos
estn definidos en el marco de los activos de informacin dentro
de la arquitectura empresarial [2], para el diseo del curso se
toma como punto de partida, en primera instancia el significado
de seguridad de la informacin, en segunda instancia el entorno
regulatorio y de estandarizacin en el rea y en tercera instancia
el marco de arquitectura empresarial y arquitectura de
seguridad.
En relacin a seguridad de informacin, se parte de tres
definiciones dadas por importantes organizaciones como son el
instituto SANS - SysAdmin Audit, Networking and Security, el
NIST y la ISO.
La primera, dada por la SANS, en donde se indica que la
seguridad de la informacin hace referencia a los procesos y

metodologas que son diseadas e implementadas para proteger
informacin o datos confidenciales, privados o sensibles sea
electrnicos, impresos o de cualquier otro tipo de acceso o uso
no autorizado, divulgacin, destruccin, modificacin o
alteracin [3].
La segunda, dada por el NIST, vista como la proteccin de
la informacin y los sistemas de informacin de acceso o uso
no autorizado divulgacin, alteracin, modificacin o
destruccin con el objetivo de proveer confidencialidad,
integridad y disponibilidad [4].
Finalmente, la tercera, entendida por la ISO como la
preservacin de la confidencialidad, integridad y disponibilidad
de la informacin [5].
A partir de estas tres definiciones, se presentan como
requerimientos fundamentales de la seguridad de la
informacin: la disponibilidad, la integridad y la
confidencialidad de los datos. Entendidas como:
Disponibilidad: Propiedad de la informacin de estar
accesible y utilizable cuando lo necesite una entidad
autorizada [5]. O Asegurar el acceso y uso oportuno y
fiable a la informacin [4].
Integridad: Propiedad de la informacin relacionada con la
exactitud y completitud de la misma [5]. O la proteccin
contra la modificacin o destruccin no autorizada de la
informacin garantizando el no repudio y la autenticidad
de la misma [4].
Confidencialidad: Propiedad de la informacin que busca
no hacerla disponible o divulgarla a individuos, entidades
o procesos no autorizados [5]. O la preservacin de las
restricciones autorizadas sobre el acceso y divulgacin de
la informacin, lo cual debe incluir la proteccin de la
privacidad de las personas y la propiedad de la informacin
[4].
Por otro lado, alrededor del tema de seguridad de la
informacin se cuenta con estndares y buenas prcticas que se
convierten en marcos de referencia para el abordaje del tema y
para su aplicacin en las organizaciones. Es as como se
encuentran diversas instituciones, organizaciones y empresas
que dedican recursos y esfuerzos para generan dichos
estndares y recomendaciones, entre las cuales pueden citarse
las siguientes:
ISO, International Organization for Standardization, con
su familia de estndares ISO 27000, los cuales tiene como
objetivo ayudar a las organizaciones de todos los tipos y
tamaos de implementar y operar un SGSI Sistema de
Gestin de Seguridad de la Informacin [5] dentro de las
organizaciones.
NIST, National Institute of Standard and Technology, con
la serie 800, la cual es de inters general para la comunidad
de seguridad informtica y contiene reportes de
investigaciones, directrices y actividades de los
investigadores del rea de TI en colaboracin con la
industria, el gobierno y la academia [6].
ISACA, Information Systems Audit and Control
Association, con recomendaciones como CobiT 5
267
framework for the governance and management of

enterprise IT, el cual incluye Auditora y cumplimiento,
gestin de riesgos y seguridad de la informacin, BMIS
Business Model for Information Security.
AXELOS Ltd, consorcio dueo de ITIL - Information
Technology Infrastructure Library, que constituye una
recomendacin de amplia aceptacin a nivel mundial en el
rea de gestin de TI y las cuales incluyen
recomendaciones y diversas necesidades hacia el rea de
seguridad.
BSI, Business Continuity Institute, con recomendaciones
para el manejo de continuidad de negocios.
En relacin a conformidad y cumplimiento, se encuentra
legislacin a nivel internacional relevante como son HIPPA y
Sabanes-Oxley en Estados Unidos y regulaciones de otros
pases en materia de delito informtico y proteccin de datos
entre otros.
En el caso de Colombia, se encuentra legislacin relacionada
con mensajes de datos, comercio electrnico y firmas digitales,
delito informtico y proteccin de datos personales, los cuales
se convierten en marco regulatorio para el diseo e
implantacin de seguridad en las organizaciones.
Por su parte, la arquitectura empresarial es una organizacin
lgica de los procesos del negocio y la infraestructura de TI
reflejando la integracin y estandarizacin de los
requerimientos del modelo operativo de la empresa y a partir de
ella se puede obtener una visin a largo plazo de los procesos,
sistemas y tecnologas de la organizacin [7] que permitan
conocerla y proyectarla hacia el futuro.
Como menciona Oramas [8], la AE provee un modelo
coherente, unificador e integrador de decisiones que determina
y revela el propsito de la organizacin en trminos de:
objetivos a largo plazo, programas de accin, y prioridades en
la asignacin de recursos, tratando de lograr una ventaja
competitiva sostenible a largo plazo y respondiendo
adecuadamente a las oportunidades y amenazas surgidas en el
medio externo de la empresa, y teniendo en cuenta las fortalezas
y debilidades de la organizacin.
La arquitectura empresarial, como se observa en la figura 1
[9], est compuesta por cuatro arquitecturas as: Arquitectura
de negocios, arquitectura de datos, arquitectura de aplicaciones
y arquitectura tecnolgica.
La primera, busca modelar la organizacin, su misin, su

visin, objetivos, metas, estrategias, entorno y procesos. La
segunda, tiene como foco identificar y modelar los datos que
gestiona la organizacin, usos, fuentes, relacin con los
procesos, responsables, descripcin, condiciones especiales y
cumplimiento.
La tercera provee un modelo organizado de los sistemas de
informacin que deben soportar la operacin de la organizacin
y se incluyen caractersticas operatividad, escalabilidad,
disponibilidad, rendimiento y seguridad de las mismas [10].
Finalmente, la cuarta busca proveer la base tecnolgica que
soportar las otras tres arquitecturas, especficamente estar
relacionada con la infraestructura de TI que ser necesaria para
la implantacin de la arquitectura de aplicaciones y para el
almacenamiento de los datos definidos en la arquitectura de
datos.
Este concepto de Arquitectura empresarial se usa como base
para el desarrollo del curso, ya que se considera que permite
obtener un conocimiento adecuado de la organizacin que se
quiere estudiar y a la cual se desea apoyar en lo referente a
seguridad de su informacin.
Y complementando la AE, la Arquitectura de seguridad, que
como se menciona en [11], es un componente integral y crtico
dentro de la estructura general de una empresa, servicio,
producto o aplicacin. sta especifica las caractersticas y
artefactos necesarios para proteger la confidencialidad,
integridad y disponibilidad de la informacin.
IV. DISEO DE LA ASIGNATURA
Basado en la revisin de las fuentes presentadas en el
seccin anterior y las necesidades de la Maestra, se dise la
asignatura SEGURIDAD DE DATOS, en donde se conciben los
datos almacenados en distintos medios (fsicos y tecnolgicos)
como la base sobre la cual se genera informacin y a su vez, la
informacin como un recurso valioso dentro de la organizacin.
Estos datos, y por tanto la informacin que a partir de ellos
se puede obtener, requiere una adecuada gestin, la cual debe
incluir la seguridad y privacidad de los mismos donde se tengan
en cuenta condiciones de disponibilidad, confidencialidad y
privacidad. Y los profesionales que tengan como
responsabilidad la custodia de dichos datos deben ser
consciente de las implicaciones de esa responsabilidad y contar
con herramientas que les apoyen en su labor.
A partir de esto, para el desarrollo de la asignatura se
tuvieron en cuenta, por un lado los conceptos fundamentales
sobre la seguridad de la informacin, estndares y marco
regulatorio y por otro lado, los conceptos de arquitectura de
seguridad y de arquitectura empresarial, como base para el
conocimiento de la organizacin.
Como resultado se dise una asignatura de 3 crditos
acadmicos. Un crdito representa 48 horas de trabajo dedicado
a una asignatura por periodo, tres crditos implicaran 144 horas
por periodo, en el caso particular de la Escuela se tienen 16
semanas por periodo, as, los crditos de la asignatura estaban
distribuidas en 3 horas semanales de clase presencial y 6 horas
de trabajo semanal fuera del aula. La asignatura se construye
Figura 1. Arquitectura empresarial
268
alrededor de cinco temticas principales, ver figura 2, las

primeras dos temticas presentan conceptos generales de
seguridad y marcos regulatorios y las otras tres, cuyo objetivo
es abordar la planeacin, diseo e implementacin de la
seguridad a partir del conocimiento de la organizacin mediante
la arquitectura empresarial.
Figura 2. Estructura general del curso
El primer tema que se aborda, est relacionado con las

generalidades del tema de seguridad de informacin, es decir,
conceptos bsicos, problemtica, roles y responsabilidades,
ciberseguridad y ciberdefensa, ingeniera social y estado actual
de la seguridad.
El segundo tema, gira entorno a la legislacin ms relevante
sobre seguridad de la informacin, all se presentan legislacin
internacional, como marco general del tema y se profundiza en
la legislacin Colombiana, la cual afecta de manera ms directa
las actividades que se realizan por las empresas y los
profesionales Colombianos. Se tienen en cuenta leyes, decretos,
circulares, resoluciones y recomendaciones emitidas por el
estado en cuanta a proteccin de informacin, delito
informtico y seguridad de la informacin y seguridad
informtica.
Dados esto dos primeros temas como el marco general y el
entorno de seguridad de informacin, se procede a abordar los
siguientes tres temas del curso. Es as como el tercer tema est
relacionado con Arquitectura de seguridad de la informacin en
donde se abordan temas como clasificacin de informacin,
calidad de datos y metodologas para la construccin de
arquitecturas de seguridad.
En el cuarto tema se desarrolla el Sistema de gestin de
seguridad de informacin, haciendo nfasis en metodologas de
anlisis de riesgos y el diseo de las polticas de seguridad, en
donde se realiza una revisin de la temtica enmarcndola
dentro del contexto organizacional a partir de la arquitectura de
seguridad y utilizando como gua la familia de estndares ISO
27000. En especial se revisan los dos primeros estndares de la
serie, es decir ISO27001 Requerimientos para el sistema de
gestin de seguridad de la informacin e ISO 27002 cdigo
de buenas prcticas para los controles de seguridad de
informacin, complementndolos con otros estndares y
recomendaciones entre los cuales pueden citarse ISO 27005
gestin de riesgos de seguridad de la informacin y CobiT5.
Finalmente, el quinto tema que se aborda en el curso es
continuidad de negocios, para lo cual hace un revisin del
mismo, a la luz de la arquitectura empresarial de la
organizacin, sus objetivos, metas y estrategias, para luego

realizar un anlisis de las necesidades particulares en temas de
continuidad y as determinar el alcance del tema, a partir del
cual se determinan los elementos que sern objeto de los
procesos de continuidad. Se revisan
estndares,
recomendaciones y buenas prcticas internacionales, as como,
las temticas de gestin de incidentes, anlisis de impacto,
planes de contingencia, comunicacin y recuperacin.
Metodolgicamente hablando, el curso est diseado con la
metodologa de casos, de tal manera que los conceptos que se
estn dando en cada una de las temticas se refuercen mediante
su aplicacin. Para esto, y en especial a partir del tercer tema
del curso, los conceptos se debern aplicar por los estudiantes a
un caso particular de una empresa, se tom una arquitectura
empresarial ya definida y a partir de ella se deber ir
construyendo la arquitectura de seguridad de dicha
organizacin, su sistema de gestin de seguridad de la
informacin y su plan de continuidad de negocios.
La idea que hila el desarrollo de las temticas busca que el
trabajo que se realice desde el rea de seguridad de la
informacin est basado en la arquitectura empresarial de la
organizacin y de esa manera se aproveche y se apoye en el
trabajo realizado en la creacin de las cuatro arquitecturas que
la conforman (Arquitectura de negocio, arquitectura de datos,
arquitectura de aplicaciones y arquitectura tecnolgica) de tal
forma que la arquitectura y solucin de seguridad propuestas
respondan a las necesidades de la organizacin.
V. CURSO 2015-1
Durante el primer periodo del ao 2015 se trabaj con un
grupo de estudiantes de la Maestra en Gestin de Informacin
en el curso de Seguridad de Datos, cuyo contenido fue
explicado en el captulo anterior.
Durante el semestre fueron desarrollndose las temticas
propuestas y como estaba planeado, se realizaron una serie de
talleres de aplicacin de los conceptos tratados en el curso
usando una arquitectura empresarial ya existente para una
organizacin. A partir de estos talleres, los estudiantes fueron
interiorizando los conceptos estudiados.
Adicional a estos talleres, durante el curso los estudiantes
lograron dos productos ms, el primero de ellos fue un trabajo
de aplicacin de los temas abordados en la asignatura en las
organizaciones para las que trabajaban. El tipo de trabajo
desarrollado por cada alumno y el resultado obtenido dependi
del grado de madurez que presentaba cada organizacin en
cuanto a seguridad de la informacin y la posicin que los
estudiantes ocupaban dentro de la misma.
El segundo producto que se logr obtener fue el desarrollo
de artculos de reflexin y concientizacin de la seguridad de la
informacin, entre los cuales se encuentran:
Hacia la gestin del riesgo de la informacin.
La seguridad informtica como una cultura organizacional.
Seguridad de datos una oportunidad de mejora.
Seguridad de informacin en el desarrollo de software
Los cuales estn siendo revisados con el objetivo de que sean
compartidos con la comunidad.
269
Al final del semestre se levant informacin de los

estudiantes sobre la asignatura. Para ello se les pregunt acerca
del contenido de la asignatura, su relevancia dentro de la
Maestra, el enfoque hacia la seguridad de la informacin desde
la arquitectura empresarial, la metodologa utilizada y su
aplicacin en su vida laboral.
Un resumen que presenta el consolidado de la evaluacin de
los estudiantes se encuentra a continuacin:
La presentacin de los temas propios de seguridad a la
informacin fue actualizada, pertinente y sustentada.
Hubo una clara relacin con los temas centrales propuestos
en la maestra, en primera instancia el tema de Arquitectura
Empresarial Avanzada y de manera indirecta, Gobierno de
tecnologa, Ley y tica en Gestin de Informacin,
Inteligencia de negocios y Gestin del conocimiento.
Se logr que la visin del tema de seguridad de la
informacin cambiara desde una perspectiva meramente
tcnica hacia posicionarla dentro de la estrategia
corporativa.
Se logr una evaluacin positiva de las actividades que se
desarrollaron en el curso ya que stas les permitieron tener
mayor claridad en la aplicacin de las temticas estudiadas
y les permiti aplicar las diferentes metodologas y
recomendaciones en el proceso de diseo de seguridad de
la informacin.
Se encontr que los estudiantes lograron incluir la temtica
de seguridad de datos en sus organizaciones a diversos
niveles, desde comenzar la definicin de polticas de
seguridad, realizar anlisis de riesgos y definir proyectos
de mitigacin de riesgos a partir de los resultados
obtenidos, hasta lograr obtener la aprobacin del desarrollo
de proyectos relacionados con seguridad de datos, planes
de capacitacin de personal e implantacin de mejoras en
los procesos actuales de sus reas, con el objetivo de
fortalecerlas en lo referente a seguridad y privacidad de
datos.
IV. CONCLUSIONES
A travs de este artculo se ha presentado el diseo de una
ctedra en el rea de seguridad de informacin, denominada
seguridad de datos, para la maestra en Gestin de Informacin
la cual tiene un enfoque basado en la arquitectura empresarial,
pieza clave dentro del objetivo de formacin de profesionales
de dicho posgrado.
El hecho de partir de la AE como insumo para la
construccin de la arquitectura de seguridad permite a los
profesionales de gestin de seguridad de informacin, conocer
de forma clara y sistemtica a la organizacin que desean
intervenir, de tal manera que se pueda realizar un anlisis desde
el rea de seguridad de la misma y presentar soluciones
enfocadas hacia el negocio, sus objetivos, metas y estrategias
teniendo en cuenta condiciones internas y externas.
A partir de la ejecucin del curso, se pudo observar cmo
los estudiantes fueron madurando su concepcin de la
seguridad de datos y valorndolo desde una perspectiva de
negocios. Adicionalmente, se observ cmo, a travs de los
talleres y el proyecto de aplicacin en sus organizaciones,
lograron llevar el trabajo del aula a la prctica dentro de sus

respectivas empresas.
VI. REFERENCIAS
[1] Escuela Colombiana de Ingeniera Julio Garavito,
"Gestin de Informacin," 4 Mayo 2015. [Online].
Available:
http://www.escuelaing.edu.co/es/programas/maestria/G
esti%C3%B3n+de+informaci%C3%B3n/presentacion.
[2] J. DiDuro, R. Crosslin, D. Dennie, P. Jung, C. Louden
and D. Shepherd, A Practical Approach to Integrating
Information Security into Federal Enterprise
Architectures, McLean, Virginia: LMI, 2002.
[3] SANS Institute, "Information Security Resources,"
SysAdmin Audit, Networking and Security Institute SANS, 2000-2015. [Online]. Available:
https://www.sans.org/information-security/. [Accessed
9 Junio 2015].
[4] NIST - National Institute of Standards and Technology.
US Department of Commerce, "NISTIR 7298 Glossary of Key InformationSecurity Terms - Revision
2," Richard Kissel, Editor, Gaithersburg, MD. USA.,
2013.
[5] ISO/IEC - the International Organization for
Standardization/the International Electrotechnical,
ISO/IEC 27000:2014(E) International estandard:
Information technology Security techniques
Information security management systems Overview
and vocabulary, Switzerland: ISO/IEC, 2014.
[6] NIST - National Institute of Standards and Technology,
"Computer Security Division - Computer Security
Resource Center," Special publications (800 Series), 26
Marzo 2015. [Online]. Available:
http://csrc.nist.gov/publications/PubsSPs.html.
[Accessed 9 Junio 2015].
[7] J. W. Ross, P. Weill and D. C. Robertson, Enterprise
Architecure as strategy, Boston, Massachusetts:
Hardvard Business Press, 2006, pp. 1-8; 9; 69-89.
[8] J. E. Oramas, Notas de clase Arquitectura
Empresariales avanzadas, Bogot: Escuela Colombiana
de Ingeniera Julio Garavito, 2011.
[9] C. P. Santiago and O. Castillo, "Consideraciones
tecnolgicas como resultado de la construccin de la
arquitectura empresarial para una institucin de
educacin superior," Revista Escuela Colombiana de
Ingeniera, vol. 97, pp. 35-46, 2015.
[10] C. P. Santiago, "Propuesta de Arquitectura Empresarial
para una universidad como un apoyo a su desarrollo
frente a los retos del Siglo XXI," in The Twelfth Latin
American and Caribbean Conference For Engineering
and Technology - LACCEI, Guayaquil, 2014.
[11] S. J. Henk C.A. van Tilborg, Encyclopedia of
Cryptography and Security, vol. 1, New york: Springer,
2011.
270
Claudia Patricia Santiago Cely received the master

degree in Information Management from Escuela
Colombiana de Ingeniera Julio Garavito, Bogot D.C.,
Colombia, in 2013. She has been a professor of computer
system department at Escuela Colombiana de Ingeniera
Julio Garavito since 1997. Her current research interest
includes multi-agent systems, network management,
information security and enterprise architecture.
271
La importancia de las TIC y los Ingenieros en Informtica

para las empresas en Espaa
A. Santos-Olmo, L. E. Snchez, M. Huerta, E. lvarez, E. Fernandez-Medina
Abstract The adoption and use of ICT has a positive impact
on productivity, economic growth and social welfare, since the
emergence technologies bring opportunities for new business
development and the improvement of existing processes. The
ability to reduce costs, efficient use of resources and expand
markets have contributed to citizens are benefiting from higher
quality products at lower prices. However, penetration of ICT in
the business environment is slowly taking place in the Spanish
case, since there is no consensus between the use of ICT and
increased productivity. Ignorance, lack of training in new
technologies and the lack of adequate personnel are the main
obstacles that companies that do not perceive the usefulness for
your business considering that the technologies are not adapted
to their needs they face. In this article you are given the keys to
understanding how information technology and communication
can help improve the productivity of enterprises, and how this
increased productivity must be preceded by an increase and
specialization in staff training related to ICT.
Resumen La adopcin y utilizacin de las TIC tiene un
impacto positivo sobre la productividad, el crecimiento
econmico y el bienestar social, ya que las tecnologas traen
consigo la aparicin de oportunidades para el desarrollo de
nuevos negocios y la mejora de los procesos de los ya existentes.
La posibilidad de reducir costes, la utilizacin eficiente de
recursos y de ampliar mercados ha contribuido a que los
ciudadanos se estn beneficiando de productos de mayor calidad
a precios ms bajos. No obstante, la penetracin de las TIC en el
entorno empresarial se est realizando lentamente en el caso
Espaol, ya que no existe un consenso entre el uso de las TIC y el
aumento de productividad. El desconocimiento, la falta de
formacin en nuevas tecnologas y la falta de personal adecuado
son los principales obstculos con los que se enfrentan las
empresas, que no perciben la utilidad para su negocio al estimar
que las tecnologas no se adaptan a sus necesidades. En este
artculo se dan las claves para entender cmo las tecnologas de la
informacin y comunicacin pueden ayudar a mejorar la
productividad de las empresas, y cmo este aumento de
productividad debe ir precedido de un aumento y especializacin
en la formacin del personal relacionado con las TIC.

Computer Engineering, General Skills, Specific General Skills.
Generales, Competencias Generales Especficas.
L. E. Snchez, rea Investigacin, Universidad de las Fuerzas Armadas

(ESPE), SanGolqui, Ecuador, luisenrique@sanchezcrespo.org
E. lvarez, Fundacin In-Nova, Toledo, Espaa, ealvarez@in-nova.org
I.INTRODUCCIN
La productividad es difcil de definir y de medir. A pesar
de ello, el concepto productividad es uno de los ms
relevantes a la hora de determinar el buen estado de salud de
una compaa o la economa de un pas.
El aumento de productividad se consigue al obtener
mejores resultados invirtiendo menos recursos. En ello, las
nuevas tecnologas juegan un papel fundamental. Hoy en da,
la disponibilidad, rapidez y flexibilidad que ofrecen las nuevas
aplicaciones de telecomunicaciones a los distintos sectores
empresariales favorecen la optimizacin de muchos de sus
procesos operativos, lo que permite un incremento de la
rentabilidad y competitividad.
Pero las inversiones en tecnologas de la informacin no
revierten inmediatamente en los ndices de productividad, lo
que se convierte en un gran problema porque las compaas
desconocen si las inversiones que estn realizando tendrn
realmente un impacto futuro en la productividad de su
compaa, lo que conduce a que la percepcin de los
directivos sea que no se est obteniendo un ROI (Retorno de
Inversin) adecuado.
Este problema dio lugar a la teora denominada paradoja
de la productividad, propuesta por Steven Roach en 1987 [1]
y popularizada por Robert Solow (Nobel de Economa) que se
enunci como Las computadoras estn en todas partes
menos en las estadsticas de productividad, que pona en
duda la utilidad de las aplicaciones TIC en la mejora de la
productividad. Por tanto, segn esta teora los socilogos y
economistas podan estar hablando todo el da de las nuevas
tecnologas, pero su influencia en el crecimiento y su peso en
el aumento de la productividad especficamente no se vera
reflejado en ninguna estadstica.
Mas y Quesada en su libro Las nuevas tecnologas y el
crecimiento econmico en Espaa, Bilbao, Fundacin BBVA
[2] llegan a la conclusin de que la paradoja ocultaba en
realidad la preocupacin americana por el hecho de que la
productividad en Europa estaba teniendo tasas ms elevadas
que en EE.UU, mientras que ste ltimo estaba realizando
inversiones en TIC en unas magnitudes muy superiores a
Europa.
Posteriormente Europa entr en una severa crisis de
productividad, mientras que si en EE.UU la productividad de
las TIC an no se notaba era porque la nueva revolucin
necesitaba una masa crtica inicial para poder empezar a dar
resultados. Haba que llevar a cabo una primera fase de
alfabetizacin digital en la que no se veran los aumentos de la
productividad si la sociedad, si las normas, si la manera de
producir no se dejaba alterar por las nuevas tecnologas. Esto
272
SANTOS-OLMO et. al.: Importancia de las TIC
supona una cascada de cambios regulatorios cuyos objetivos

deban ser el aumento del grado de apertura de la economa, la
valoracin positiva de la gestin del riesgo, la aminoracin de
los costes de quiebra y de los hundidos y las facilidades para
las nuevas especializaciones productivas en las ramas
tradicionales, si es que se queran conservar sus ventajas
comparativas de antao.
A mediados de los 90, la economa americana experiment
entonces un incremento de la productividad que fue atribuido
al uso de las TIC en los aos anteriores, en los que fue
necesario un periodo de adaptacin a la tecnologa de procesos
productivos y administrativos.
Los trabajos de Jorgenson publicados en la American
Economic Review dieron al traste con la paradoja de Solow
[3]. La conclusin era clara: la ventaja inicial europea en el
nivel y crecimiento de la productividad haba desaparecido
con la penetracin de las TIC en EE.UU. Los mayores costes
laborales unitarios en todas las actividades relacionadas con
las TIC han llevado a la prctica exclusin de Europa de la
produccin de bienes relacionados con ellas.
En el ao 2006, la OIT (Organizacin Internacional de
Tecnologa) adverta que la introduccin de las nuevas
tecnologas sera un factor decisivo en el aumento de la
productividad en el sector minorista, pero al mismo tiempo
afectara a los niveles y la calidad de los empleos, ya que
requerira que los trabajadores se actualizarn y realizaran una
mayor inversin en su formacin.
En este artculo buscamos encontrar las bases que
demuestren que la inversin en TIC produce a medio plazo un
aumento de productividad en la sociedad, aunque a corto plazo
es difcilmente medible, y la importancia que tiene en la
sociedad la figura de las nuevas ingenieras y los nuevos
puestos de trabajo que se van a generar alrededor de ellas.
En la siguiente seccin del artculo se analizar la
importancia del momento actual para estos nuevos perfiles y
para la productividad de la sociedad, adems de analizar la
perspectiva europea frente a la espaola. En la tercera seccin
analizaremos el problema actual que las TIC representan para
las empresas espaolas. En la cuarta seccin veremos la
importancia que est tomando la aparicin de los Ingenieros
en Informtica para la transformacin de la sociedad.
Finalmente, en la ltima seccin describiremos las principales
conclusiones obtenidas hasta el momento.
II. ESTADO DEL ARTE
A lo largo de las dos ltimas dcadas se han realizado cada
vez ms estudios, intentando analizar la vinculacin entre las
TIC y la productividad. En la Tabla I se puede ver uno de los
estudios realizados por OCDE en 14 pases europeos (incluido
Espaa) y EEUU en el periodo 1996-2002, que mostraba de
forma clara y directa la relacin existente entre el uso de las
TIC y la productividad. Paradjicamente, estadsticas
posteriores presentadas por la propia OCDE en el periodo
2001-2007 [4] (ver Tabla II), no dejaban tan clara esta
relacin, ya que en pases como Espaa e Italia se haba
producido una cada de la productividad aunque haba
aumentado la inversin TIC.
TABLA I. OCDE. CRECIMIENTO PRODUCTIVIDAD Y TIC (1996-2002)

Crecimiento productividad y TIC (1996-2002)
Crecimiento
productividad
(%)
Contribucin de las TIC al

crecimiento de la
productividad (%)
Irlanda
3,76
1,90
Suecia
2,67
1,33
Finlandia
2,02
1,40
Estados Unidos
1,74
1,90
Austria
1,73
0,75
Noruega
1,71
0,68
Dinamarca
1,45
0,59
Alemania
1,38
0,67
Suiza
1,10
0,43
Reino Unido
1,08
1,21
Francia
1,00
1,21
Blgica
0,78
0,35
Holanda
0,77
0,48
Italia
0,56
0,36
Espaa
0,28
0,14
TABLA II. OCDE. D ISTRIBUCIN DE LOS FACTORES DE CRECIMIENTO DEL PIB,

2001-2007
Capital no
Productividad
Pas
Trabajo Capital TIC
TIC
Multifactorial
Espaa
2,00
0,44
0,90
-0,04
Alemania
-0,15
0,26
0,15
1,11
Francia
0,26
0,31
0,33
0,90
Italia
0,74
0,24
0,51
-0,35
Desde entonces se han realizado muchos estudios para

intentar demostrar y valorar esta relacin. Entre estas
investigaciones destaca la realizada en Colombia [5] para
intentar cuantificar el peso que haban tenido las TIC en la
transformacin productiva del pas, y segn la cual la
inversin en una empresa en TIC aumenta la productividad de
un trabajador entre un 7.73% y un 18%. Igualmente, las
variables relacionadas con el uso de las TIC (Internet, web,
extranet, etc.) generan un incremento en la productividad
global de la empresa que queda cuantificado entre un 3% y un
8%.
Actualmente, todos los sectores empresariales y sociales
reconocen que las nuevas tecnologas se han convertido en un
factor irremplazable para el crecimiento econmico y del
empleo.
Pero la inversin en tecnologa no slo trae asociado un
aumento de la productividad, sino que tambin ha ayudado a
incrementar el nivel socioeconmico de gran parte de las
sociedades ms desarrolladas, lo que puede ser un aliciente
para el resto de los pases.
Sin embargo, ese aumento de la productividad no le ha
salido gratis a las empresas. La distribucin de los sueldos
tiene una correlacin muy estrecha con la productividad de los
trabajadores. Los economistas han teorizado que el creciente
273
uso de las TIC ha hecho que muchos trabajadores tuvieran que

desarrollar nuevos conocimientos o funciones dentro de sus
organizaciones.
A. La visin europea frente a la visin espaola:
A la hora de implantar las nuevas tecnologas hay dos
visiones claramente enfrentadas. Por un lado, para las PYMES
europeas el aumento de su competitividad y productividad es
fundamental para la continuidad de sus negocios, pero estos
factores no son prioritarios para las PYMES espaolas, que
muestran menor preocupacin por los desafos de negocio que
el resto de pases europeos.
De esta forma, segn un estudio encargado por Cisco
Systems los 19 millones de pequeas y medianas empresas
europeas estn aprovechando con creciente inters las
tecnologas clave de su negocio para enfrentarse a un mercado
cada vez ms competitivo. Segn este estudio, las empresas
europeas han identificado como tecnologas imprescindibles
para los prximos aos un acceso a Internet por banda ancha
ms rpido, las soluciones de movilidad, de tecnologa
inalmbrica y de seguridad, y la Telefona IP. De las empresas
encuestadas se obtuvieron los siguientes resultados: i) El 80%
(15 millones de empresas) consideraron que las conexiones de
alta velocidad seran indispensables para el desarrollo de sus
negocios; ii) El 60% consideraron el acceso remoto a la red
corporativa como una tecnologa imprescindible en sus
negocios; iii) El 75% consideraron la seguridad como un
factor de xito vital.
Frente a esta visin de las empresas Europeas, para las
empresas espaolas los desafos de negocio tanto actuales
como a medio plazo son la competencia (para el 49%), la
identificacin de nuevos mercados y el desarrollo de nuevos
productos (42%) y la reputacin corporativa (29%), aunque
menos de la mitad de las empresas espaolas muestran
preocupacin por alguno de estos asuntos.
A la hora de innovar, las barreras con las que se encuentran
las PYMES espaolas son la adaptacin a las nuevas
tecnologas para el 42% de las empresas, la integracin con los
sistemas existentes para un 30% y el coste de la tecnologa
para un 35%.
Al contrario que otros pases del entorno occidental
europeo, las PYMES espaolas no muestran demasiada
preocupacin por los factores externos a su negocio a la hora
de enfrentarse al mercado y a su competencia [6]. Destaca
tambin que la adaptacin de sus servicios o productos a la
legislacin es un factor fundamental tan solo para el 25% de
las compaas espaolas, y que slo el 32% de las PYMES
espaolas cuenta con consultores externos para implantar las
TIC, utilizando normalmente personal con baja cualificacin
acadmica, lo que eleva el nmero de fracasos en los
proyectos TIC [7].
B. El problema Espaol:
Aunque ha quedado demostrado el importante impacto en
la productividad asociado a las TIC, en el caso del tejido
empresarial espaol no se perciben resultados reales, aun
cuando los estados estn realizando enormes esfuerzos de

I+D+i para intentar que las empresas se actualicen.
Espaa figura a la cabeza de la Unin Europea en trminos
de inversin en equipamiento tecnolgico y aplicacin de los
progresos tcnicos, pero se mantiene a la cola en cuanto a
productividad laboral segn el documento presentado por el
Think Tank The Lisbon Council, que mide los progresos de
las 14 mayores economas comunitarias para alcanzar los
objetivos de Lisboa, centrados en mejorar la competitividad de
la UE. As podemos ver que en el ltimo informe presentado
dentro de ITIF (The Information Technology & Innovation
Foundation) denominado Raising European Productivity
Growth Through ICT, Espaa apenas ha modificado su
posicin en el proceso de aumento de productividad en el
periodo de 2005-2013 [8].
Alfonso Arbaiza [9] remarca la existencia de una relacin
directa entre la implantacin de las TIC y el aumento de la
productividad, por lo que la baja implantacin de las
Tecnologas de la Informacin y las Comunicaciones en los
sectores que ms contribuyen al Producto Interior Bruto (PIB)
nacional lastran la productividad de la economa espaola. El
directivo va ms all al asegurar que los importantes
crecimientos de PIB de la economa espaola, en los que ha
influido decisivamente la tecnologa, contrastan con la baja
productividad de nuestro pas, que se situ en 2007 en la
ltima posicin de la Unin Europea en crecimiento de la
productividad laboral.
La Comisin Europea asegur, al hilo de estos datos, que
una de las principales causas que justifican que Espaa
muestre tasas tan bajas de productividad reside en la ausencia
de una difusin amplia de nuevas tecnologas y en la falta de
personal adecuado en las empresas. De esta forma, mejorar la
productividad se ha convertido en un objetivo prioritario para
la economa espaola que pasa, ineludiblemente, por el
incremento del uso de las TIC y una mejor formacin del
personal.
Las pequeas y medianas empresas espaolas desconocen
las virtudes de la innovacin en sus procesos de produccin.
Poco a poco, se van introduciendo en este mundo aliados con
organismos pblicos o con multinacionales.
El 36% de las empresas espaolas afirma que el
desconocimiento hacia la tecnologa y la falta de personal con
la formacin adecuada es el principal motivo por el que no se
hace un mayor uso de la informtica. Segn Enrique
Gutirrez, la PYME no incorpora nuevas tecnologas porque
no halla a nadie que le explique sus ventajas en su mismo
lenguaje [10]. Por lo tanto, la solucin es acercar la tecnologa
a las PYMES a travs de asesores con los conocimientos
adecuados, que permitan traducir el lenguaje tcnico al
lenguaje de negocio de la empresa.
Otros de los principales aspectos en los que Espaa debe
todava realizar un esfuerzo considerable es en la inversin de
I+D+i, ya que segn las conclusiones del estudio internacional
realizada por la asociacin Fedit [11, 12], las empresas
mejoraron un 56% sus ventas gracias a la investigacin,
desarrollo e innovacin aportada por los centros tecnolgicos,
lo que ha mejorado la facturacin e ingresos, creando
274
para el aprovechamiento de las TIC por parte de las

empresas, y aun cuando el Estado ha realizado
enormes inversiones en planes de formacin (como el
Programa Forintel orientado al desarrollo de
proyectos de formacin en TIC en toda Espaa, con
el fin de acelerar el acceso de los trabajadores a la
Sociedad de la Informacin), su impacto real fue muy
bajo. Por lo tanto, es necesario recurrir a
profesionales correctamente formados para poder
solucionar este problema.
productos o servicios nuevos, mejorando los anteriores y

aumentando su competitividad. Otros resultados destacables
obtenidos en este informe, fueron:
Impacto tcnico: i) El 57,6% ha desarrollado nuevos
producto o mejorado sustancialmente los que tena;
ii) El 38,4% ha creado nuevos servicios o mejorado
los que ya tena como resultado del trabajo del Centro
Tecnolgico.
Impacto econmico: i) El 56,6% de las empresas han

mejorado sus ventas gracias al Centro Tecnolgico;
ii) El 48,4% ha mejorado sus beneficios gracias al
trabajo del Centro Tecnolgico; iii) El aumento en las
ventas como resultado del trabajo del Centro
Tecnolgico es de 4 puntos porcentuales anuales (el
31,8% del aumento total en las ventas); iv) El
aumento de los beneficios como resultado del trabajo
de investigacin es de 3,2 puntos porcentuales
anuales (28,1% del aumento total de las ganancias).
Impacto en las inversiones: i) El 60,2% ha mejorado
sus inversiones internas en I+D gracias al Centro
Tecnolgico; ii) El 36,8% ha mejorado sus
inversiones en equipos gracias al Centro
Tecnolgico.
Impacto en intangibles: i) El 71,6% ha mejorado la
formacin de su personal en otras reas gracias al
Centro Tecnolgico; ii) El 64,3% ha mejorado la
planificacin y definicin de sus actividades de
innovacin; iii) El 78,1% ha mejorado la utilizacin
de otras fuentes de informacin externas
(universidades, centros de investigacin pblicos,
consultoras, etc.) gracias al trabajo del Centro
Tecnolgico.
III. PRINCIPALES PROBLEMAS DE LAS EMPRESAS CON LAS TIC

A la hora de implantar las TIC en las empresas Espaolas,
aparecen diversos riegos que debemos mitigar para aumentar
las probabilidades de xito. Segn Rafael Fernndez de
Alarcn en el n 113 de la Revista de Telecomunicaciones de
Ahciet [13], las principales causas del fracaso en el
aprovechamiento de las TIC en el mercado Espaol son:
Desconocimiento sobre los beneficios de las TIC:
Segn un estudio realizado por Red.es, un 62% de las
empresas que no tienen Internet no le ven utilidad y
entre las empresas que no disponen de PC (un 22%
de las empresas estudiadas): i) Un 76% no perciben
su utilidad; ii) Un 40% de las empresas afirman que
las nuevas tecnologas, adems de ser complejas,
complican las cosas; iii) Un 59% desconoce lo que
las nuevas tecnologas pueden hacer para su negocio;
y iv) El 41% estima que las nuevas tecnologas no se
adaptan a las necesidades de su empresa o negocio.
Falta de capacitacin de los empleados: Es preciso

que los empleados dispongan de un nivel adecuado
de
conocimientos
tecnolgicos,
obviamente
condicionados a las necesidades de cada puesto de
trabajo, si se pretende aprovechar los beneficios que
ofrece la nueva economa. Este es el mayor problema
Necesidad de cambios en la organizacin del

trabajo: La mejora de productividad en las empresas
como consecuencia de las inversiones en tecnologa
depende esencialmente de la forma en que la
organizacin se reestructure para adaptarse a los
cambios.
Cuanta de las inversiones en TIC: En el estudio

realizado por Red.es sobre las PYMES espaolas y su
interrelacin con las TIC, uno de los principales
motivos para no utilizar Internet fue el coste de la
tecnologa.
De estos cuatro factores, el que mayor peso e importancia

tiene es el poder contar con personal correctamente formado,
ya que ste puede ayudar a solucionar los otros tres problemas.
No debemos olvidar tampoco que la mejora de la
productividad en una empresa casi siempre lleva asociada la
mejora en el nivel de vida de sus trabajadores. En la siguiente
imagen se puede ver la relacin existente entre el aumento de
la productividad y la mejora del nivel de vida propuesta por el
Ingeniero Manuel Luis Zambrano Echenique [14] (ver Figura
1).
Se incrementa la
productividad
Disminuyen los costos debido a

menos equivocaciones, menos
desechos, menos retrasos y
menos tiempo improductivo
Mejora de la
calidad
Permanencia en
el negocio
Generacin de
ms trabajo
MEJORA EL
NIVEL DE VIDA
Conquista del
mercado y un
buen precio
incrementa la
productividad
Mayores
utilidades
Se distribuyen en sueldos y
salarios para los
empleados y ganancias
para los propietarios
Figura 1. Relacin entre el aumento de la productividad y la mejora del nivel

de vida
Entre los costes ms significativos que debe afrontar una

empresa en su incorporacin al mundo de las nuevas
tecnologas podemos destacar las inversiones en capital
275
humano (formacin permanente de sus empleados), as como

la adquisicin y mantenimiento de la infraestructura
informtica.
IV. IMPORTANCIA DEL INGENIERO EN INFORMTICA

Como se ha podido ver en los apartados anteriores, uno de
los aspectos principales para el xito de las TIC en las
compaas es la formacin del personal asociado a las mismas.
En este apartado, las empresas espaolas presentan un
problema frente a otros pases europeos, y es la baja inversin
en recursos cualificados. Frente a las empresas europeas que
suelen ocupar los puestos tecnolgicos por personal formado
especficamente para la labor que va a desempear, las mayor
parte de las empresas espaolas suelen reubicar personal de
otros puestos de trabajo, aun cuando su formacin no sea la
adecuada, ni dichos recursos posean las competencias
necesarias.
Esta forma de trabajo se traduce en una tasa de fracaso a la
hora de obtener rendimientos de los proyectos TIC muy
superiores a las de sus homlogos europeos. La introduccin
de los planes de estudio espaoles dentro del nuevo espacio
formativo europeo y las nuevas orientaciones de carreras
como la Ingeniera Informtica estn haciendo que cada vez
ms empresas vean la necesidad de contar con profesionales
cualificados para los puestos de trabajo asociados a las TIC.
Por ello, el momento actual en que se estn definiendo los
nuevos planes de estudio y en el que Europa se encuentra
inmersa en el proceso de convergencia de la educacin
superior es fundamental para el futuro de algunas carreras
como la Ingeniera Informtica [15-17], y por tanto es muy
a las necesidades reales del mercado. En el caso de la
Ingeniera Informtica, las empresas y los profesionales estn
demandando perfiles cada vez ms especializados,
principalmente en especialidades como la Ingeniera del
Software, que cuenten con varias especializaciones y que se
adapten a una o varias certificaciones profesionales
internacionales. Por lo tanto es muy importante que los nuevos
estudios estn muy enfocados a las necesidades profesionales,
sin perder el rigor cientfico exigible en una ingeniera, y para
conseguir este objetivo es fundamental que estos nuevos
planes de estudio tengan una orientacin que facilite la
obtencin de certificaciones profesionales [18-22].
El nuevo plan de estudios de la Ingeniera Informtica est
bsicamente compuesto de: a) un mdulo de formacin bsica
(10 asignaturas); b) un mdulo de formacin en informtica
(16 asignaturas); c) 4 mdulos de formacin especfica
(ingeniera del software, tecnologas de la informacin,
ciencias de computacin e ingeniera de computadores), con 8
asignaturas cada mdulo, de los que el alumno escoge uno; y
d) un conjunto de optativas.
Pero es muy importante demostrar a las empresas que las
asignaturas que componen las nuevas reas de especializacin
estn ofreciendo realmente lo que el mercado demanda,
estableciendo mapas de relacin entre los contenidos de estas
asignaturas y los contenidos de las principales certificaciones
profesionales (CISA, CISM, CGEIT, etc.) que el mercado est

demandando. El objetivo es mostrar a las empresas que la
orientacin de la Ingeniera Informtica es la correcta, y en
consecuencia las personas formadas en dichas materias
suponen por si mismas una inversin rentable y una ventaja
competitiva para las compaas.
El nuevo mdulo de Ingeniera del software est formado
por 8 asignaturas y ha sido orientado, entre otras cosas, de
forma que cada asignatura d lugar a una o varias
certificaciones profesionales y para posibilitar que los
Ingenieros en Informtica aporten un valor real a las
compaas frente a personas de otros sectores empresariales.
Las asignaturas son las siguientes: i) Ingeniera de requisitos;
ii) Diseo del software; iii) Desarrollo de Bases de Datos; iv)
Sistemas de Informacin Empresariales; v) Procesos de
Ingeniera del Software; vi) Seguridad de Sistemas de
Software; vii) Calidad de Sistemas Software; viii) Gestin de
proyectos software.
Asimismo, segn se muestra en el Programa Formativo de
la Universidad Cardenal Herrera (CEU), las personas que han
obtenido el ttulo de Ingeniera en Informtica son
profesionales con una formacin amplia y slida que les
prepara para dirigir y realizar las tareas de todas las fases del
ciclo de vida de sistemas, aplicaciones y productos que
resuelvan problemas de cualquier mbito de las Tecnologas
de la Informacin y las Comunicaciones, aplicando su
conocimiento cientfico y los mtodos y tcnicas propios de la
ingeniera.
Por lo tanto el Ingeniero en Informtica, segn el informe
de la UNESCO sobre las perspectivas de la educacin en el
siglo XXI, se caracteriza por:
Estar preparado para ejercer la profesin, teniendo
una conciencia clara de su dimensin humana,
econmica, social, legal y tica.
Estar preparado para, a lo largo de su carrera

profesional, asumir tareas de responsabilidad en las
organizaciones, tanto de contenido tcnico como
directivo, y de contribuir en la gestin de la
informacin y en la gestin del conocimiento.
Tener las capacidades requeridas en la prctica

profesional de la ingeniera: ser capaces de dirigir
proyectos, de comunicarse de forma clara y efectiva,
de trabajar en y conducir equipos multidisciplinares,
de adaptarse a los cambios y de aprender
autnomamente a lo largo de la vida.
Estar preparados para aprender y utilizar de forma

efectiva tcnicas y herramientas que surjan en el
futuro. Esta versatilidad les hace especialmente
valiosos en organizaciones en las que sea necesaria
una innovacin permanente.
El Ingeniero en Informtica es un experto en tecnologa del

software, en arquitectura y tecnologa de los computadores, en
tecnologa de las redes de computadores y en equipos
electrnicos, conocimientos que le capacitan para trabajar en
todo tipo de empresas y en todos los departamentos de la
empresa, aunque fundamentalmente se agrupen en el
276
departamento de informtica.
Por lo tanto, los titulados en estas carreras son los ms
adecuados para afrontar el cambio tecnolgico en las empresas
al poder incorporarse sin problemas en compaas del sector
de las Tecnologas de la Informacin y las Comunicaciones,
Departamentos de Informtica de empresas de cualquier sector
con implantacin de Nuevas Tecnologas, con las funciones de
disear, desarrollar, mantener y comercializar equipos y
sistemas que incorporen subsistemas informticos y
telemticos.
Asimismo, y segn el Programa Formativo de la
Universidad Cardenal Herrera (CEU), las funciones propias a
desarrollar por un Ingeniero en Informtica son: anlisis;
direccin de informtica y departamentos de desarrollo;
direccin y organizacin de proyectos informticos y centros
de programacin de datos; mantenimiento de infraestructuras;
arquitectura, anlisis y diseo de sistemas informticos;
tcnico de sistemas, bases de datos y comunicaciones;
consultora tcnica; auditora informtica; inteligencia
artificial y nuevas tecnologas; diseo, seleccin y evaluacin
de infraestructuras de computacin y lgica; optimizacin de
mtodos y medios de comunicacin con el computador y los
usuarios; concepcin de proyectos y aplicaciones para su
posterior anlisis y ejecucin; investigacin; formacin;
docencia; tcnicos comerciales y puestos de direccin en
cualquier rea empresarial con la realizacin de estudios de
postgrado en economa.
Por lo tanto debemos destacar la importancia que el
momento actual de creacin de planes de estudio tiene para la
Ingeniera Informtica y, por tanto, para el futuro de la
productividad y competitividad del tejido empresarial espaol,
resaltando la necesidad de que los ingenieros en Informtica
cuenten con especializacin en varias reas y cuenten con
certificaciones profesionales que les posibiliten poder aportar
a las empresas en las que trabajen los conocimientos
necesarios para que stas puedan aprovechar con garantas las
ventajas de las TIC.
V. CONCLUSIONES Y TRABAJOS FUTUROS

Puede decirse que el crecimiento de la productividad es un
elemento importante del desarrollo sostenible, puesto que se
basa en el principio de la eficacia econmica (producir mejor
con menos recursos) redundando todo ello en el bienestar
social.
Dada la estrecha relacin entre desarrollo tecnolgico y
productividad, es necesario convencer a las empresas de la
validez de las nuevas tecnologas para su negocio, mediante
actividades de divulgacin y formacin. Adems, precisan
asesoramiento que genere confianza en lo que puede ofrecerle
la aplicacin de nuevos servicios y aplicaciones basadas en el
uso de las telecomunicaciones.
La inversin en TIC no mejorar la productividad
empresarial o de la sociedad en general, a menos que
empleados y procesos de trabajo se adecuen al uso de las
mismas. No se trata slo de que las empresas se conecten a
Internet, sino de que integren de forma productiva las TIC en
sus procesos empresariales.

El factor fundamental para obtener un aumento de la
productividad derivado de la implantacin de TIC es contar
con personal cualificado y correctamente formado, siendo de
vital importancia para esto los nuevos planes de estudios
asociados a la Ingeniera Informtica.
De todas estas premisas que hemos visto es fcil deducir
que la empresa que no logre subirse al tren tecnolgico
perder en gran medida su capacidad productiva y
competitiva; por tanto, adquiere importancia capital que la
poltica econmica del pas tenga esto en cuenta para elaborar
y desarrollar medidas y estrategias destinadas a ayudar a las
empresas, a que puedan aplicar a su gestin todos los avances
y herramientas tecnolgicas que se han ido desarrollando a lo
largo de las ltimas dcadas y, de esta manera, no se queden
fuera del mercado.
AGRADECIMIENTOS
por el Ministerio de Economa y Competitividad (Espaa).
Y por el proyecto PROMETEO financiado por la Secretara
Nacional de Educacin Superior, Ciencia, Tecnologa e
Innovacin (SENESCYT) del Gobierno de Ecuador.
Referencias
[1]
[2]
[3]
[4]
[5]
[6]
Roach, S.S. and M. Stanley, America's technology dilemma: A profile of

the information economy1987: Morgan Stanley.
Mas, M. and J. Quesada, Las nuevas tecnologas y el crecimiento
econmico en Espaa2005: Fundacion BBVA.
Jorgenson, D.W. and K.J. Stiroh, Information technology and growth.
American Economic Review, 1999: p. 109-115.
Lpez, C.R., Evolucin reciente de la productividad en Espaa: hacia
la recuperacin o hacia el estancamiento? Economa industrial,
2013(390): p. 55-66.
Alderete, M. and L. Gutirrez, TIC y productividad en las industrias de
servicios en Colombia. Lecturas de Economa, 2012(77): p. 163188.
Daz-Chao, ., O. Miralbell-Izard, and J. Torrent-Sellens, Information
and Communication Technologies, Innovation, and Firm
Productivity in Small and Medium-Sized Travel Agencies New
Evidence from Spain. Journal of Travel Research, 2015: p.
0047287515583357.
277

[7]
[8]
[9]
[10]
[11]
[12]
[13]
[14]
[15]
[16]
[17]
[18]
[19]
[20]
[21]
[22]
Prez Prez, M., et al., Las TIC en la pymes: estudio de resultados y

factores de adopcin. Economa industrial, 2006(360): p. 93-105.
Miller, B. and R. Atkinson, Raising European Productivity Growth
Through ICT, T.I.T.I. Foundation, Editor 2014.
Prez, L., Entrevista a Alfonso Arbaiza, Director general de Fundetec:"
tenemos que lograr que Espaa se suba al tren tecnolgico
europeo y no lo pierda". Partida doble, 2008(204): p. 14-17.
Guevara, L.M., C. Morales Pinzn, and P.E. Gutirrez Cardoso, EL
aprendizaje organizacional: el aporte de las tecnologas de
comunicacin e informacin, 2012.
Modrego-Rico, A., et al., Evaluacin de los parques cientficos y
tecnolgicos espaoles. 2009.
Fedit, Annual Report 2010, 2011, 2012 y 2013. Technology Centers of
Spain. FEDIT, 2013.
Alarcn, R.F. and E. Trujillo, Una Sociedad de la Informacin para
todos. Revista AHCIET: revista de telecomunicaciones,
2006(105): p. 6.
Zambrano, M.E., Aumento de la Productividad y la Mejora del Nivel de
Vida. Cuadernos de la Facultad de Ingeniera e Informtica,
2007(2).
ACM, Computer science curriculum 2008: An interim revision of CS
Tripp, L., SWEBOK: Guide to the Software Engineering Body of
Lavrischeva, E.M. Classification of Software Engineering Disciplines. in
L.E. Snchez, et al., Ingeniera del Software: Tendencias Profesionales.,
L.E. Snchez, et al., Papel de las certificaciones profesionales en la
L.E. Snchez, et al., Proceso de Reificacin de las Competencias
L.E. Snchez, et al., Mtricas para la medicin de las Competencias
Rosado, D.G., et al., Content related to Computing Security on
13(6).

Informtica of the Universidad de Castilla- La Mancha
in Ciudad Real (Spain) (Computer Science Department,
eSEC, INTECO, etc).

societies. She is currently professor at the Salesian University (Ecuador). Her
research focuses on wireless networks, sensor networks, telemedicine and
optical communications.
Esther lvarez President of Private Foundation Innova and Research of the UPM. Consultant in strategic
CLM, representative of Castilla La Mancha in the
groups of the free and COIT New Technologies of the
National Coordinator of the Treatment Research Chair in Digital Image at the
Madrid Polytechnic University of Madrid. PhD in Information Systems
specializing in Business ETSI Industriales (UPM) and the Specialty Program
SSR ETSI Telecomunicaciones (UPM). It Telecommunications Engineering
from UPM. Specialty Communications.

etc.).
278
Valoracin de las Competencias en la carrera de

Ingeniera del Software para la orientacin curricular de
los alumnos
L. E. Snchez, A. Santos-Olmo, D. Garcia, D. Mellado, E. Fernandez-Medina
Abstract During the reform of computer engineering degrees,
the emergence of the concept of competence has not helped
students better understand the extent to achieve the objectives of
the different subjects, or to make better decisions about next
steps in their careers. This article is intended to show the results
obtained during the investigation, which has aimed shelling
general and specific competencies of Degree in Computer
Engineering, focusing on those related to information security, in
order to seek a much more concrete approach and detailed
subjects and consequently can adequately justified how the
subjects partially or completely allow to reach the competitions
for the grade. This approach, and its orientation to obtain
metrics on which to assess the extent to which objectives have
been achieved, will also allow students to make better decisions
when selecting the different subjects of the degree and know what
skills are better qualified.
ayudado a los alumnos a entender mejor en qu medida alcanzan
los objetivos de las diferentes asignaturas, ni a tomar mejores
decisiones sobre los pasos a seguir en su carrera profesional. En
este artculo se pretende mostrar los resultados obtenidos
durante la investigacin realizada, que ha tenido como objetivo
desgranar las competencias generales y especficas del Grado en
Ingeniera Informtica, centrndonos en las relacionadas con la
Seguridad Informtica, con el objetivo de buscar un
acercamiento mucho ms concreto y detallado con las
asignaturas y, consecuentemente, que pueda justificarse
adecuadamente la forma en que las asignaturas permiten
alcanzar parcial o completamente las competencias para el
grado. Este enfoque, y su orientacin a obtener mtricas sobre las
que valorar el grado en que se han alcanzado los objetivos,
tambin permitir que los alumnos puedan tomar mejores
decisiones a la hora de seleccionar las diferentes asignaturas del
grado y conocer para qu competencias estn mejor cualificados.
Computer Engineering, General Skills, Specific General Skills,
Metrics.
Generales, Competencias Generales Especficas, Mtricas.

D. Mellado, Agencia Tributaria, Spain, damefe@esdebian.org
I. INTRODUCCIN
de convergencia de la educacin superior, que es fundamental
para el futuro de algunas carreras, y por ello es muy
a las necesidades reales del mercado en este sector. En el caso
de la Ingeniera Informtica, las empresas y los profesionales
estn demandando perfiles cada vez ms especializados y que
se adapten a una o varias certificaciones profesionales
internacionales. Por lo tanto, es muy importante que los
nuevos estudios estn muy enfocados a las necesidades
profesionales sin perder el rigor cientfico exigible en una
ingeniera, y para conseguir este objetivo es fundamental que
estos nuevos planes de estudio tengan una orientacin que
facilite la obtencin de certificaciones profesionales.
Para lograr el objetivo propuesto se han analizado todas
las asignaturas del Grado de Ingeniera Informtica de la
UCLM, creando un libro Excel que permite analizar y valorar
de forma independiente cada una de las asignaturas y materias
que conforman el plan de estudios. En cada una de las fichas
desarrolladas se puede ver el peso que se ha concedido a cada
parte de la evaluacin de las diferentes asignaturas, as como
su correlacin con las competencias que se pretenden alcanzar,
de forma que al finalizar la carrera un alumno no obtiene slo
una nota media, que por s sola aporta poca informacin real
sobre los conocimientos adquiridos, sino que obtiene un
informe completo del nivel de adquisicin de cada una de las
competencias, lo que posibilita una bsqueda mucho ms
eficaz de un puesto de trabajo.
En este artculo se presentan algunos de los resultados
obtenidos en el proyecto, mostrando los principales aspectos y
problemticas que se han ido descubriendo a medida que se
iba desarrollando el proyecto, y tambin los materiales
generados y entregables que se han ido generando como
resultado de cada actividad.
Esta investigacin ha supuesto la creacin de equipos
docentes multidisciplinares, con experiencia acadmica pero
tambin con experiencia profesional. Los resultados estn
siendo aplicados y validados en el Grado de Ingeniera
Informtica del Campus de Ciudad Real de la Universidad de
Castilla-la Mancha.
El artculo estar formado por cinco secciones: En la
primera pondremos en contexto la importancia del momento
actual de creacin de planes de estudio. En la segunda seccin
se analizar la estructura general del plan de estudios para la
Ingeniera Informtica propuesta en la Universidad de
Castilla-la Mancha. En la tercera seccin se analizarn los
objetivos perseguidos en la investigacin y los mtodos
279
SNCHEZ et. al.: Valoracin de las Competencias
cientficos que se han utilizado. En la cuarta seccin se

analizarn algunos de los resultados obtenidos durante la
investigacin. Finalmente, en la ltima seccin describiremos
las principales conclusiones obtenidas hasta el momento.
II. ESTADO DEL ARTE
implantacin se adaptasen a las demandas de las empresas [1],
de forma que sirvan para hacer que los nuevos profesionales
aumenten la productividad del tejido empresarial Europeo [2].
excesivamente complejas y difusas, y que en algunos casos ya
estn siendo revisadas por otros investigadores [4-6].
Ciencias de la Computacin [7], Ingeniera del Software [8],
Ingeniera de Computadores [9], Sistemas de Informacin [10]
y Tecnologas de la Informacin [11].
ingeniera informtica, tomando como base el modelo USA
de los dominios como en el mecanismo de aprendizaje,
Pero uno de los grandes problemas encontrados es que casi
todas las investigaciones se han centrado en la definicin de
los planes, dejando de lado el proceso de implantacin [15].
III. GRADO DE INGENIERA INFORMTICA EN LA UCLM
En el caso de la UCLM (Universidad de Castilla-la
Mancha), la nueva propuesta del plan de estudios (ver Figura
1) est dividida en un conjunto de bloques orientados a la

obtencin de un ttulo que, por una parte, se centrar en
aspectos generalistas, haciendo que el estudiante adquiera al
menos las competencias transversales de formacin bsica
comunes a la rama de informtica y, por otra parte, las
competencias de al menos una de las especializaciones
recomendadas por la ACM (de las 4 ofertas en la UCLM).
Figura 1. Estructura del Ttulo de Ingeniero en Informtica de la UCLM
Desde el punto de vista metodolgico, el diseo del Plan

de Estudios se bas en un anlisis descendente, partiendo de
las competencias hasta llegar a las asignaturas. Las unidades
de enseanza-aprendizaje se agruparon temticamente por
materias y cada materia se dividi en una o varias asignaturas
afines desde un punto de vista temtico.
La investigacin realizada se centr principalmente en la
intensificacin de Ingeniera del Software propuesta para el
nuevo grado en ingeniera informtica, que est basada en la
"Gua para la creacin del Cuerpo de Ingeniera de Software
para el Conocimiento (SWEBOK)" [16-18], donde se definen
las competencias y conocimientos que, segn el IEEE, un
Ingeniero del Software debera haber obtenido al finalizar los
estudios (ej.: proyectos de Ingeniera del Software, Seguridad
y Auditora, cubriendo todos los aspectos del ciclo de vida
relacionados con ellos...). El principal problema detectado en
estas competencias es que son complejas y difusas a la hora de
poder aplicarlas, tanto para los alumnos como para las
empresas [19, 20], y tampoco permiten responder a preguntas
como: Los conocimientos asociados con estas competencias
han sido realmente obtenidos por el alumno? En qu medida
han sido obtenidos? Son las competencias obtenidas las que
necesitan realmente las empresas?
Y es en este proceso de cambio, definicin e implantacin
de los nuevos planes de estudio donde est el punto crtico
para el futuro de algunos estudios tan nuevos, tan cambiantes
y de los que depende tanto el progreso de la sociedad como es
el caso de la Ingeniera Informtica [21]. Por lo tanto, es muy
a las necesidades reales del mercado [22, 23], siendo capaces
de implantarlos de una forma correcta que permita alinearlos
con las competencias a las que se orientan y a las necesidades
de las empresas. En el caso de la Ingeniera Informtica, las
empresas y los profesionales estn demandando perfiles cada
vez ms especializados [24], por lo que es muy importante que
280
investigacin con un objetivo prctico y realista que, adems,

tenga un impacto directo en la mejora del sector privado. Y
por otro lado se ha utilizado el enfoque GQM (Goal-QuestionMetric) [28, 29] para obtener un conjunto de mtricas
adecuadas.
V. RESULTADOS DE LA INVESTIGACIN
Como parte de la investigacin, se realizaron estudios
previos para determinar que las certificaciones profesionales
estuvieran correctamente alineadas con la materia de las
asignaturas [30-34]. El siguiente paso de la investigacin fue
intentar correlacionar estas certificaciones con las subcompetencias de las asignaturas.
TABLA I. SUBCONJUNTO DE COMPETENCIAS Y SUB -COMPETENCIAS SOBRE LAS
QUE SE REALIZARA EL ESTUDIO
Tipo
Comp.
Segn
normativa de la
UCLM
los nuevos estudios estn muy enfocados a poder obtener una

serie de competencias objetivas y medibles, y que stas estn
alineadas con las necesidades profesionales [25], sin perder el
rigor cientfico exigible en una ingeniera. Para conseguir este
objetivo es fundamental que la implantacin de estos nuevos
planes de estudio tenga una orientacin que facilite la
identificacin de sub-competencias medibles que puedan
vincularse con los contenidos de las asignaturas, de forma que
pueda determinarse en qu medida una asignatura contribuye
al cumplimiento de la competencia y en qu medida un
alumno consigue dicha competencia.
Por ltimo, no debemos olvidar que el ayudar a los
alumnos a comprender en detalle los requerimientos de
obtencin de una competencia, que adems ha sido validada
con las necesidades reales de la empresa, supone una ventaja
competitiva, ya que permite al alumno tomar una mejor
orientacin laboral al finalizar sus estudios, lo que tambin se
traduce en una mejora de la productividad de la empresa al
poder contratar a los alumnos ms adecuados para las
competencias buscadas, lo que se traduce a su vez en mejoras
salariales que pueden superar el 10% [26].
Instrumentales
Personales
Sistmicas
Una vez que hemos analizado la importancia del momento

actual en el que se estn implantando los nuevos grados,
podemos describir los objetivos principales de la investigacin
como:
Establecer un sistema objetivo de valoracin de
competencias que est alineado con las necesidades de
las empresas, y que aporte un conocimiento real al
alumno sobre su progresin en la carrera que le
permita tomar decisiones a la hora de seleccionar las
asignaturas.
La valoracin de las competencias dentro del marco
global de todas las asignaturas, con el objetivo de
conocer incoherencias en las mismas y aspectos
mejorables, as como alinear mejor las diferentes
intensificaciones con las competencias.
El resultado de la investigacin es ofrecer un mecanismo
al alumno que le permitir conocer en todo momento el grado
en el que est obteniendo las diferentes competencias, lo que
le permitir saber mejor hacia dnde orientar su actividad
profesional y qu aspectos debe reforzar. Por otro lado, la
investigacin permitir que las empresas puedan realizar una
seleccin mucho ms rpida del perfil que necesitan para
cubrir un puesto de trabajo, de forma que disminuir la
probabilidad de introducir a una persona en un puesto de
trabajo ajeno a las competencias que realmente ha demostrado
y obtenido en la carrera. Esto tendr beneficios directos en la
empresa, que aumentar su eficacia y su nivel productivo [26],
y en el trabajador, que ser seleccionado para el puesto ms
afn a sus competencias. La unin de estos factores y el buscar
el alineamiento de los conocimientos ha dado un valor aadido
a la investigacin, garantizando su viabilidad.
Para la realizacin de la investigacin se ha utilizado el
mtodo de investigacin denominado Investigacin-Accin
[27], que ha permitido alinear en todo momento la
Competencias transversales genricas
IV. OBJETIVOS PERSEGUIDOS EN LA INVESTIGACIN
UCLM1
UCLM2
UCLM3
UCLM4
INS1
INS2
INS3
Sub-Competencias
Dominio de una segunda lengua extranjera en el
nivel B1 del Marco Comn Europeo..
Capacidad para utilizar las Tecnologas de la
Informacin y la Comunicacin.
Correcta comunicacin oral y escrita.
Compromiso tico y deontologa profesional.
PER5
Capacidad de anlisis, sntesis y evaluacin.

Capacidad de organizacin y planificacin.
Capacidad de gestin de la informacin.
Capacidad de resolucin de problemas aplicando
tcnicas de ingeniera.
Capacidad para argumentar y justificar
lgicamente las decisiones tomadas.
Capacidad de trabajo en equipo.
Capacidad de trabajo en equipo interdisciplinar.
Capacidad de trabajo en un contexto
internacional.
Capacidad de relacin interpersonal.
Reconocimiento a la diversidad, la igualdad y la
multiculturalidad.
SIS1
SIS2
SIS3
SIS4
SIS5
SIS6
SIS7
SIS8
SIS9
SIS10
Razonamiento crtico.
Compromiso tico.
Aprendizaje autnomo.
Adaptacin a nuevas situaciones.
Creatividad.
Capacidad de liderazgo.
Conocimiento de otras culturas y costumbres.
Capacidad de iniciativa y espritu emprendedor.
Tener motivacin por la calidad.
Sensibilidad hacia temas medioambientales.
INS4
INS5
PER1
PER2
PER3
PER4
Al realizar este paso, nos encontramos con varios

problemas:
Las sub-competencias estn definidas a nivel de
materia, y aunque las hemos descompuesto a nivel de
asignatura actualmente todas las asignaturas de una
materia tiene las mismas sub-competencias y con el
mismo peso.
Las sub-competencias generales estn muy alineadas
con los requerimientos de las empresas y de las
certificaciones, pero no as las sub-competencias
tcnicas. Un ejemplo claro de la problemtica
planteada son las certificaciones ofrecidas por ISACA,
que se centran en aspectos tcnicos de seguridad; sin
281
embargo, en la definicin del grado todas las

asignaturas comparten las mismas competencias
tcnicas.
Para la investigacin se utiliz el conjunto de subcompetencias que se puede ver en la Tabla 1.
Se decidi dejar la resolucin de ambos problemas para
fases posteriores de la investigacin, centrando la fase actual
en establecer la relacin entre las sub-competencias y las
asignaturas como paso inicial para establecer mtricas que
permitan valorar las competencias obtenidas por el alumno.
Para establecer el mapa entre sub-competencias y
asignaturas se han tenido en cuenta un conjunto de 88 subcompetencias y las 100 asignaturas aprobadas del grado de
Ingeniera Informtica en Ciudad Real y en Albacete. Se ha
considerado que todas las asignaturas estarn formadas por
cuatro familias de actividades evaluables: i) ESC: Pruebas
escritas y/u orales; ii) INF: Entrega de informes/problemas;
iii) LAB: Trabajo de laboratorio y iv) PRES: Presentaciones y
participaciones en seminarios.
Cada uno de estos aspectos evaluables aporta unas subcompetencias diferentes y tiene un peso diferente dentro de la
asignatura. En la Figura 2 se puede ver un ejemplo de un
subconjunto de las sub-competencias asignadas a la asignatura
de Clculo y Mtodos Numricos, de forma que la actividad
ESC tiene un peso del 50% en la nota total de la asignatura, y
se ve influenciada por un conjunto especifico de subcompetencias transversales genricas.
En base a los objetivos perseguidos por los diferentes

participantes, hemos considerado que las mtricas a
desarrollar deberan tener por objetivo permitir que un alumno
no obtenga al finalizar la carrera slo una nota media, sino un
informe completo de todas las competencias adquiridas y el
nivel en que stas se han conseguido.
Figura 3. Valoracin de sub-competencias por asignatura.
Figura 2. Subconjunto de las sub-competencias asignadas a la asignatura

Clculo y Mtodos Numricos.
Una vez realizada la asignacin a nivel de partidas

evaluables de cada asignatura del Grado, y definido el peso de
estas partidas, se ha analizado con las empresas, profesores y
alumnos cules seran los resultados que esperaran obtener de
las competencias y sub-competencias. Las conclusiones
principales se pueden resumir en las siguientes:
Los Profesores buscan poden transmitir la importancia
de las competencias y hacer entender a los alumnos
cmo los contenidos de las asignaturas les permiten
obtener esas competencias
Los Alumnos quieren entender las competencias y
poder conocer en todo momento qu competencias
han adquirido de forma numrica y clara.
Las Empresas quieren poder tomar decisiones rpidas
y objetivas sobre la persona ms adecuada para un
perfil profesional.
Figura 4. Valoracin de sub-competencias por materia.
282
Para ello, se ha establecido una valoracin basada en el

nmero de competencias que una actividad de una asignatura
permite conseguir y el peso que tiene esta actividad. En la
Figura 3 se puede ver un ejemplo de las fichas generadas para
cada una de las 100 asignaturas del Grado. La valoracin
tendr en cuenta el peso de las actividades y el nmero de
crditos de la asignatura.
A partir de la valoracin de todas las asignaturas, se han

creado fichas que permiten conocer el nivel con el que se
obtiene cada sub-competencia a nivel de materia. Inicialmente,
todas las asignaturas de las materias tienen la misma
valoracin para cada competencia, pero las fichas y mtricas
generadas en la aplicacin desarrollada permiten que cada
profesor modifique su asignatura de forma independiente, y el
sistema recalculara automticamente el valor de cada materia
para las sub-competencias. En la Figura 4 se puede ver un
ejemplo de la valoracin de las sub-competencias para la
materia Fundamentos Matemticos de la Informtica.
El resultado final permite que, introduciendo las notas
obtenidas por el alumno para cada asignatura y en cada una de
las cuatro actividades evaluables, ste pueda obtener una
valoracin objetiva de las competencias que ha adquirido, en
qu nivel y con qu peso en crditos ECTS. En la Figura 5 se
puede ver el ejemplo de un extracto de las notas de un alumno
valoradas por actividad.
Figura 6. Ejemplo de sub-competencias transversales genricas valoradas

obtenidas por el alumno
Figura 5. Ejemplo de notas obtenidas por un alumno para cada actividad de las
asignaturas.
Mediante la aplicacin desarrollada y las frmulas de

valoracin de sub-competencias, el sistema automticamente
calcula las competencias que el alumno ha adquirido y el nivel
de adquisicin de stas. En la Figura 6 y 7 se pueden ver
ejemplos de estos resultados.
Del anlisis de los resultados, se pueden sacar algunas
conclusiones importantes:
Si analizamos la Figura 6, podemos ver cmo el
alumno no obtiene las sub-competencias al mismo
nivel. El alumno propuesto para el ejemplo se ha
mostrado mucho ms competente en las subcompetencias relacionadas con el Compromiso
tico o Temas Medioambientales que en aspectos
como el Razonamiento crtico. Eso hace presuponer
que el alumno sea ms valido para una compaa de
283
carcter social o medioambiental que para una

compaa especulativa. Pero si correlacionamos esta
misma informacin con la de la Figura 7, que
representa el peso en crditos ECTS que cada
competencia ha tenido en la vida del alumno, nos
damos cuenta que los Temas Medioambientales
apenas han tenido en su aprendizaje un peso de 25
crditos, mientras que aspectos como la Capacidad
de Adaptacin han tenido un peso enorme de ms de
500 ECTS y el alumno ha obtenido una nota elevada.
Esta es una caracterstica muy valorada por las
empresas.
Como se puede ver, el resultado obtenido resulta de gran

inters para su estudio, y permite analizar si los planes son
correctos o no, obteniendo muchos datos de inters sobre
cmo mejorar en el futuro los nuevos planes.
Figura 8. Ejemplo de sub-competencias transversales especificas valoradas

obtenidas por el alumno.
Figura 7. Ejemplo de sub-competencias transversales especificas a nivel de

peso (crditos ECTS) obtenidos por el alumno.
En las Figura 8 y 9 podemos ver cmo existen subcompetencias muy importantes para el alumno, como
la BA3 o CO8, mientras que otras como la CO4 o la
CO18 apenas han tenido peso (medido en nmero de
crditos cursados) en su formacin. Esta informacin
es de gran inters para las empresas, ya que para ellos
una sub-competencia es una disciplina que se adquiere
mediante el esfuerzo, y no es lo mismo dedicar 500
horas a adquirir una competencia que 5. Si dos
personas tienen una nota parecida y una ha dedicado
100 horas y otra 500, siempre se decantarn por la
segunda.
Finalmente, en las Figura 10 y 11 podemos ver cmo
la intensificacin elegida por el alumno definir las
competencias tcnicas generales que adquiera, pero
stas tambin se vern influenciadas por las optativas
que seleccione.

peso obtenidas por el alumno.
284
Como se puede ver, el resultado obtenido resulta de gran

inters para su estudio y permite analizar si los planes son
correctos o no, obteniendo muchos datos de inters sobre
cmo mejorar en el futuro los nuevos planes.
VI. CONCLUSIONES Y TRABAJOS FUTUROS
Figura 10. Ejemplo de sub-competencias transversales especificas valoradas

obtenidas por el alumno.

peso obtenidas por el alumno.
La experiencia de haber abordado esta investigacin ha

supuesto un esfuerzo muy importante para todos los
participantes, tanto del sector pblico como del privado. Se
debe destacar la buena disposicin que todos los participantes
del proyecto han mostrado en todo momento, aun cuando
deban compaginar el proyecto con otras actividades
cotidianas como la investigacin y la docencia para la gente
del sector pblico, y las tareas de direccin, gestin, etc., en el
caso de los participantes del sector privado. Pero el esfuerzo
realizado por todos ellos ha merecido la pena, ya que va a
permitirles ofrecer un mejor valor.
En el caso de las empresas, mediante la utilizacin de la
aplicacin desarrollada pueden emitir de una forma rpida un
informe de valoracin del alumno que les permita seleccionar
a los mejores profesionales para el puesto que ofrezcan,
reduciendo el tiempo empleado en entrevistas y en el anlisis
detallado del expediente del alumno.
En el caso de los profesores, cuentan con una nueva
herramienta para hacer que los alumnos entiendan mejor cmo
las diferentes asignaturas les ayudan a obtener competencias y
que dichas competencias tienen un valor real a la hora de
obtener un puesto de trabajo.
De igual forma, las conclusiones, entregables e informes
obtenidos en este proyecto de innovacin docente son tan slo
el comienzo de un camino que debera continuar los aos
siguientes, mediante continuas mejoras en las lneas
emprendidas. Entre las mejoras que se contemplan estn:
Generar una herramienta automtica que permita a los
alumnos conocer en todo momento el nivel de las
competencias adquiridas y simular cmo podran
adquirir o mejorar las competencias mediante la
seleccin de nuevas asignaturas.
Esta herramienta tambin debera permitir a los
alumnos hacer el proceso inverso: dado el campo de
trabajo en el que se quiere desarrollar la actividad,
determinar qu asignaturas les permitirn obtener las
competencias necesarias para trabajar en dicho campo.
Dado que se han conseguido valorar las competencias
obtenidas por un alumno, se puede automatizar el
proceso de bsqueda y seleccin de las empresas en
base a diferentes competencias, lo que permitira
generar unos baremos de seleccin de puestos de
trabajo en base a competencias, de forma que los
alumnos puedan conocer todos los aos qu nivel
estn pidiendo las empresas en cada competencia para
trabajar en un campo determinado.
Fuera de la automatizacin del proceso, se quiere
extender el estudio realizado de las certificaciones
relacionadas con la intensificacin de la Ingeniera del
Software al resto de asignaturas del grado.
Se analizarn y valorarn las tecnologas asociadas a
285
las asignaturas, ya que se trata de un mecanismo

objetivo que las empresas privadas requieren para
complementar la valoracin de las competencias.
Por ltimo, se pretende seguir desgranando las subcompetencias a competencias cada vez ms
especficas, que permitan seleccionar cada vez mejor a
los alumnos para los puestos de trabajo ms
adecuados.
Para concluir, tan slo nos gustara mencionar que todos

los resultados obtenidos en esta investigacin se comenzarn a
aplicar en los cursos futuros, y que las empresas que se han
involucrado en el proyecto ya los estn utilizando a la hora de
determinar qu Ingeniero se adapta mejor al puesto solicitado.
[5]
[6]
[7]
[8]
[9]
[10]
[11]
AGRADECIMIENTOS
de Comunidades de Castilla-la Mancha, del proyecto
Plataformas
Computacionales
de
Entrenamiento,
Experimentacin, Gestin y Mitigacin de Ataques a la
Ciberseguridad - Cdigo: ESPE-2015-PIC-019 financiado
por la ESPE y CEDIA (Ecuador), y del proyecto PROMETEO
financiado por la Secretara Nacional de Educacin Superior,
Ciencia, Tecnologa e Innovacin (SENESCYT) del Gobierno
de Ecuador.
Referencias
[12]
[13]
[14]
[15]
[16]
[17]
[18]
[19]
[20]
[21]
[22]
[23]
[24]
[25]
[26]
[1]
[2]
[3]
[4]
Pereira, C., et al. The European Computer Science Project: A Platform

Forbes, N.M., P, Computer science today in the European Union.
ACM, Computer science curriculum 2008: An interim revision of CS
Sahami, M., et al., Computer science curriculum 2013: reviewing the
strawman report from the ACM/IEEE-CS task force, in
Proceedings of the 43rd ACM technical symposium on Computer
[27]
[28]
[29]
[30]
Science Education2012, ACM: Raleigh, North Carolina, USA. p.

3-4.
Milosz, M., et al., COMPARISON OF EXISTING COMPUTING
CURRICULA AND THE NEW ACM-IEEE COMPUTING
CURRICULA 2013. EDULEARN14 Proceedings, 2014: p. 58085818.
Martinez, J.E.P., J. Garcia Martin, and A.S. Alonso. Teamwork
competence and academic motivation in computer science
engineering studies. in Global Engineering Education Conference
(EDUCON), 2014 IEEE. 2014.
CC2001, Computing Curricula 2001. Computer Science, I.C.S.a.A.f.C.
SE2004, Curriculum Guidelines for Undergraduate Degree Programs in
CE2004, Curriculum Guidelines for Undergraduate Degree Programs
Gorgone, J., et al., MSIS 2006: Model Curriculum and Guidelines for
Lunt, B., et al., Curriculum Guidelines for Undergraduate Degree
Pyster, A., et al., Masters Degrees in Software Engineering: An
Lago, P., et al. Towards a European Master Programme on Global
Rico, D. and H. Sayani. Use of Agile Methods in Software Engineering
Dima, A.M., Handbook of Research on Trends in European Higher
Education Convergence2014: IGI Global.
Tripp, L., SWEBOK: Guide to the Software Engineering Body of
Lavrischeva, E.M. Classification of Software Engineering Disciplines. in
Society, I.C., P. Bourque, and R.E. Fairley, Guide to the Software
Engineering Body of Knowledge (SWEBOK(R)): Version 3.02014:
IEEE Computer Society Press. 346.
Samarthyam, G., et al., FOCUS: an adaptation of a SWEBOK-based
curriculum for industry requirements, in Proceedings of the 34th
International Conference on Software Engineering2012, IEEE
Press: Zurich, Switzerland. p. 1215-1224.
Alarcn, A., N. Martinez, and J. Sandoval, Use of Learning Strategies of
SWEBOK Guide Proposed Knowledge Areas, in 7th
International Conference on Knowledge Management in
Organizations: Service and Cloud Computing, L. Uden, et al.,
Editors. 2013, Springer Berlin Heidelberg. p. 243-254.
Lethbridge, T., et al. Improving software practice through education:
Challenges and future trends. in Future of Software
Engineering(FOSE'07). 2007.
Thompson, J. Software Engineering Practice and Education An
Fairley, R.E.D., P. Bourque, and J. Keppler. The impact of SWEBOK
Version 3 on software engineering education and training. in
Software Engineering Education and Training (CSEE&T), 2014
IEEE 27th Conference on. 2014.
Garca Garca, M.J. and L. Fernndez Sanz, Opinin de los
Seidman, S.B. Software Engineering Certification Schemes. in
Computer, 2008. 2008.
Willmer, D. Today's Most In-Demand Certifications. 2010 [cited 2010
26 July 2010].
Padak, N. and G. Padak, Guidelines for Planning Action Research
Projects. ed1994.
Basili, V.R., G. Caldiera, and H.D. Rombach, The Goal Question Metric
Approach, in Encyclopedia of Software Engineering, G.C.a.D.H.
Rombach, Editor 1994, Jhon Wiley and Sons: New York. p. 528532.
Rombach, H.D., Design Measurement: Some Lessons Learned. IEEE
Software, 1990. March 1990: p. 17-25.
L.E. Snchez, et al., Proceso de Reificacin de las Competencias
286
[31]
[32]
[33]
[34]

D.G. Rosado, et al., Implantacin y Orquestacin de Contenidos y
Competencias en Seguridad y Auditora acorde a las
Certificaciones Profesionales. XVII Jornadas de Enseanza
Universitaria de la Informtica (JENUI11), 2011: p. 59-66.
32. D.G. Rosado, et al., La Seguridad como una asignatura
indispensable para un Ingeniero Software., in XVI Jornadas de
Enseanza Universitaria de la Informtica (JENUI10).
C.d.O.d.l.X.J.d.E.U.d.l. Informtica, Editor 2010. p. 205-212.
L.E. Snchez, et al., Ingeniera del Software: Tendencias Profesionales.,
L.E. Snchez, et al., Papel de las certificaciones profesionales en la

Daniel Mellado holds a PhD and MSc in Computer

Science from the Castilla- La Mancha University (Spain)
and holds a degree in Computer Science from the
Autonomous University of Madrid (Spain), and he is
Certified Information System Auditor by ISACA
(Information System Audit and Control Association). He is
Assistant Professor of the Department of Information
Technologies and Systems at the Rey Juan Carlos
University (Spain). He participates at the GSyA research group of the
Department of Information Technologies and Systems at the Castilla- La
Mancha University. He is civil servant at the Spanish Tax Agency (in Madrid,
Spain), where he works as IT Auditor Manager. His research activities are
security governance, security requirements engineering, security in cloud
computing, security in information systems, secure software process
improvement and auditory, quality and product lines. He has several dozens of
papers in national and international conferences, journals and magazines on
these subjects and co-author of several chapter books. He belongs to various
professional and research associations (ASIA, ISACA, ASTIC, ACTICA,
etc).
etc.).

Informtica of the Universidad de Castilla- La Mancha
in Ciudad Real (Spain) (Computer Science Department,
eSEC, INTECO, etc).
David G. Rosado has an MSc and PhD. in Computer

Science from the University of Mlaga (Spain) and from the
University of Castilla-La Mancha (Spain), respectively. His
research activities are focused on security for Information
Systems and Cloud Computing. He has published several
papers in national and international conferences on these
subjects, and he is co-editor of a book and chapter books.
(Information Software Technology, System Architecture, Network and
Computer Applications, etc.). He is member of Program Committee of several
conferences and workshops nationals and internationals such as ICEIS,
ICCGI, CISIS, SBP, IAS, SDM, SECRYPT, COSE and international journals
such as Internet Research, JNCA, KNOSYS, JKSU, and so on. He is a
member of the GSyA research group of the Information Systems and
Technologies Department at the University of Castilla-La Mancha, in Ciudad
Real, Spain.
287
Propuesta de Educacin y Concientizacin en

Seguridad Informtica en Base a Paremias
L. H. Audelo; D.B. Alemn; R. A. D. Rosas; A. L. M. Olivares; J. R. R. Granados; A. A. R Granados
Abstract This paper presents the design, development and

implementation of an educational and awareness project about
Information Security, based in reworking of paremias, proverbs,
adagios, sentences and aphorisms that have been used over time to
transmit, with a short sentence or phrase, a very broad message,
easy to remember and learn, but contextualized to Security
Information. We present software-developed educational and
awareness material that, using information technologies (IT), offer
to students fundamental knowledge in Information Security.
These material integrate applications such as animations, audio
and video, all of which will be used to start a diffusion campaign
to make awareness about the security relevance and needs in
college, business, and institutional environments; and also all
interested people.
Keywords Information security, teaching of security,
security awareness, paremias of security, maxims, aphorism,
information security laboratory
I.
INTRODUCCIN
NO de los grandes problemas en la enseanza de la

seguridad de la informacin y sus reas relacionadas en
Mxico e Hispanoamrica radica en el hecho de que la mayora
de estudiantes y personas interesadas en esta rea, tienen un
nivel deficiente en cuanto a comprensin y posesin del idioma
ingls, adems de no tienen los conocimientos mnimos
requeridos para un aprendizaje eficiente de los conceptos
bsicos en materia. Esto aplica tanto a estudiantes de educacin
superior, tcnicos, profesionales y usuarios que laboran en
empresas e instituciones relacionadas con la seguridad
informtica como al pblico en general.
Por otro lado, la tasa de adquisicin de informacin
mediante la lectura es extremadamente lenta comparada con la
que ofrecen las tecnologas de informacin, tales como
animaciones o demostraciones grabadas. Una gran parte de la
poblacin relevante no sabe suficiente ingls para poder
acceder al amplsimo universo de videos que hay en YouTube
sobre estos temas.
Las muchas y diversas tecnologas involucradas en la
seguridad de la informacin son complicadas y hay que destilar
L. H. Audelo
D. B. Alemn
R. A. D. Rosas
A. L. M. Olivares
UNAM FES Aragn, leo@unam.mx

UNAM FES Aragn, danielb@comuniad.unam.mx
UNAM FES Aragn, ratosx@comunidad.unam.mx
UNAM FES Aragn, arceuz@comunidad.unam.mx
las buenas prcticas en el menor nmero posible de conceptos

concretos. Como consecuencia, hay que ofrecer esos conceptos
de una manera que sea fcilmente asimilable [1].
Las paremias (refranes, proverbios, adagios, sentencias,
aforismos) [2] [3], se originaron para explicar a una comunidad
ignorante conceptos complicados sin tener que entrar en
formalismos. A ese tipo de comunidad nos dirigimos [4].].
En este contexto, el Laboratorio de Seguridad Informtica
de la Universidad Nacional Autnoma de Mxico (UNAM)
inici, en el presente ao, el proyecto de planeacin, diseo,
desarrollo, implementacin de aplicaciones de software y
mtricas para la medicin de resultados, integrando grficos,
animacin, audio y video que puedan servir para iniciar una
campaa de difusin para lograr educacin y conciencia de la
importancia y necesidad de la seguridad en mbitos
universitarios, empresariales, institucionales y pblico en
general interesado.
El objetivo de este proyecto es disear, desarrollar e
implementar materiales en software que, usando tecnologas de
informacin y basado en paremias, ofrezcan a los estudiantes
los conocimientos fundamentales y el inters necesario para
ahondar en materia de la seguridad de la informacin.
Para lograr el objetivo planteado se cre un grupo de
personas elegidas dentro del universo en el que se desea que
usen los materiales, para que en su contexto cultural, entorno
socio-econmico, formas de comunicacin y expresin puedan
proponer las mejores formas e ideas para trasmitir los conceptos
que las paremias contienen.
El presente trabajo est organizado de la siguiente manera:
en la seccin II se presentan los fundamentos acerca del
aprovechamiento de las paremias en el mbito educativo, en la
seccin III se detalla el procedimiento a seguir para lograr
nuestro cometido, en la seccin IV se detallan los resultados del
proyecto de manera cuantitativa y cualitativa, en la seccin V
se enlista el trabajo pendiente para continuar con el proyecto, y
en la seccin VI presentamos las conclusiones obtenidas a partir
del trabajo realizado durante el desarrollo de este proyecto.
II. TRABAJOS PREVIOS Y FUNDAMENTOS
Las paremias han despertado, desde hace mucho tiempo,
gran inters en cuantos se han detenido a reflexionar sobre las
J. R. R. Granados UNAM FES Aragn, rober.sk@comunidad.unam.mx
A. A. R. Granados UNAM FES Aragn, romero_adrian@comunidad.unam.mx
288
manifestaciones del genio o del ingenio humano [5]. Los dichos

sentenciosos existen desde los tiempos ms remotos, y se han
consignado por escrito desde que se invent la escritura. Se
sabe que los Proverbios de Salomn, escritos a mediados del
siglo X A.C., estn manifiestamente influidos por la sabidura
egipcia, y en algn caso concreto, por la doctrina gnmica
asiria. Tambin los griegos recibieron el influjo de culturas
anteriores. Sus fbulas y cuentos tienen sus races principales
en las culturas mesopotmica y egipcia.
La alfabetizacin visual se refiere a la posibilidad de que un
ser humano puede ver y al mismo tiempo integrar otras
experiencias sensoriales. El desarrollo de estas habilidades es
fundamental para el aprendizaje humano normal [6]. Cuando se
desarrollan permiten a una persona, visualmente alfabetizada,
discriminar e interpretar las acciones visibles, objetos,
smbolos, naturales o artificiales, que se encuentran en su
entorno. A travs del uso creativo de estas habilidades es
posible comunicarse con los dems. Una imagen o conjunto de
imgenes sirven para ayudar al alumno a recordar el
conocimiento previo de conceptos familiares antes de enfrentar
nuevos conceptos desconocidos. Un rea desconocida es la
Hoy en da se acepta generalmente que analoga y metfora
son aspectos clave de la cognicin humana cuando
anteriormente eran considerados aspectos aberrantes y
perifricos del pensamiento. Se entiende ahora que los procesos
analgicos desempean un papel clave en la comunicacin
cotidiana y subyacen a muchos, sino a todo el razonamiento
abstracto. Constantemente se utilizan conocimientos acerca de
las cosas que ya se entienden para ayudar a darle sentido a otros
fenmenos menos entendidos.
La capacidad humana de metfora, un tipo especial de
analoga, permite ampliar conocimientos sobre las cosas que se
entienden a dominios completamente diferentes de la
experiencia. Las metforas grficas permiten al humano
entender esos conceptos abstractos en trminos de fenmenos
viso-espaciales familiares y bien entendidos. Se llega a
proponer que el inventario estndar de imgenes y esquemas
derivados de estudios psicolgicos y lingsticos puede servir
como la base para desarrollar una "gramtica" grfica apta para
fines de visualizacin de informacin.[7]
Hay que hacer una distincin crucial entre grficos
analgicos, que describen las caractersticas de los fenmenos
intrnsecamente espaciales, y grficos metafricos, que
representan los fenmenos abstractos y tericamente se
interpretan en trminos esquemticos de imagen.
La combinacin de componentes visuales y verbales
aumenta la eficiencia de la comunicacin sobre la verbal o
visual solas. [8] Las metforas visuales deben ser fabricadas
cuidadosamente para ser estrategias eficaces de instruccin. La
metfora debe basarse en el alumno que es su objetivo. Debe
provenir de sus experiencias cotidianas y ser apropiada para el
nivel educativo y de desarrollo del educando. El diseador de
metforas debe crear efectos visuales con un grado de precisin
y detalle adecuados. Demasiados detalles y el alumno no ser
capaz de interpretar la metfora; con muy poco detalle el

alumno no ser capaz de encontrar bastantes analogas para
utilizar la metfora. Una metfora muy precisa puede contener
tanto detalle que el estudiante se siente abrumado y abandona
el intento de interpretarlo en absoluto. Finalmente, el uso
juicioso de texto junto con la metfora visual puede ayudar en
la interpretacin.
Combinar lo visual y lo verbal adems de crear una
metfora visual eficaz, aadiendo texto apoyo, puede ofrecer al
alumno una gua para interpretar la metfora. Se aprovecha el
uso de mltiples canales de comunicacin en la instruccin.
Existe la hiptesis de doble codificacin que propone que los
alumnos convierten la informacin verbal concreta en imgenes
para procesarla y codificarla. Por lo tanto, aadir texto a una
imagen admite diferencias de estilos de aprendizaje y aumenta
la efectividad de la metfora visual. Una palabra o frase
integrados en la imagen visual o acompaando al texto con
referencias puede facilitar la interpretacin del alumno.
Adems de familiar, una metfora eficaz no debe ser
excesivamente simple o compleja. Es importante identificar las
caractersticas de los educandos que observan, interpretan y
utilizan una metfora visual particular. El diseador debe
encontrar el justo medio donde las analogas presentadas por la
metfora apoyan con xito la transferencia de la identidad de la
metfora a informacin nueva sin hacer tantas analogas que el
estudiante se sienta abrumado por el nmero o el nivel de
complejidad. Una imagen o un conjunto de imgenes debe ser
lo suficientemente sencilla para ser interpretada fcilmente,
pero incluir suficiente detalle para que el alumno pueda
procesar rpidamente la metfora. Si no se toma en
consideracin el nivel de habilidad del alumno y se incluyen
demasiados o demasiado pocos detalles, fallar la metfora. Las
metforas visuales pueden ser construidas cuidadosamente
tomando en cuenta las experiencias de vida, el conocimiento
previo, las observaciones y la cultura. La construccin de las
imgenes es entonces de gran importancia para asegurar que la
metfora represente conceptos familiares y se interprete
fcilmente.
La ms actual y conocida de la aplicacin de los
fundamentos anteriores a la educacin y concientizacin, en las
diferentes reas de la Seguridad de la Informacin, la constituye
el proyecto conocido como Securing the Human de SANS
Institute [9].
III. PLANEACIN, DISEO, DESARROLLO,
IMPLEMENTACIN Y MEDICIN DE RESULTADOS
A continuacin se describirn las fases de planeacin,
diseo, desarrollo e implementacin del proyecto:
A.
Planeacin
El objetivo de esta etapa consisti en establecer las

directrices y definir el marco de trabajo para el diseo y
desarrollo del proyecto.
289

AUDELO et al.: Seguridad informtica en base a Paremias
La planeacin fue de fundamental importancia porque en

ella se buscaron, adaptaron y construyeron las paremias
fundamentales que se trabajaron, la clasificacin de estas
paremias de acuerdo al rea especfica de la seguridad de la
informacin que les corresponda de acuerdo a un programa
bsico de educacin y concientizacin en seguridad de la
informacin.
Algunas de las principales Paremias en Seguridad de la
Informacin que se trabajaron, son las siguientes:
La desconfianza y el cuidado son los padres de la

seguridad
En todas las trampas para ratn hay queso gratis
Se necesitan leyes, policas y jueces para lograr
seguridad
Quien no castiga el mal, fomenta que se haga
Posturas de seguridad: prudente, permisiva y
promiscua
Del rbol del silencio pende el fruto de la seguridad
No se debe reinventar el hilo negro
No se debe responsabilizar a las cosas, se debe
responsabilizar a las personas
Seguridad por oscuridad, es falsa seguridad
Tomate tu tiempo, vive sin prisas
El nico sistema seguro es aquel que est apagado y
aislado
La criptografa moderna no es un arte, es una
ciencia
nico sistema criptogrfico seguro: claves
aleatorias de usar y tirar
La seguridad no se basa en ocultar el algoritmo sino
la llave
Si no tienes miedo, tienes psima seguridad, o psimo
producto de seguridad
Los sistemas se adaptan a las mtricas empleadas
para evaluarlos
Muchos creen que la seguridad ceremonial, tambin
llamada teatro de la seguridad es verdaderamente
real
La seguridad no solo es un proceso tecnolgico, es
un proceso organizacional
Es mejor ser temido que amado
No se puede administrar lo que no se mide. No se
puede asegurar lo que no se administra
No se puede asegurar un sistema no acotado
Esta relacin de paremias no contiene todas las paremias

encontradas, adaptadas o creadas, relacionadas al rea de
Seguridad Informtica, por el equipo de trabajo para este
proyecto. Tampoco contiene todas las paremias trabajadas hasta
el momento.
En esta etapa se trabaj igualmente en la seleccin e
integracin del grupo de trabajo, el cual consisti de 1
acadmico de la seguridad informtica y 5 alumnos de distintos
niveles acadmicos, sociales, culturales, estudiantes de

diferentes carreras, todos con el comn denominador de no
tener conocimientos profundos en seguridad de la informacin
pero con habilidades en el terreno de las Tecnologas de
Informacin.
En esta etapa tambin se trabaj en la definicin de
requerimientos generales. Se consideraron y fueron definidos
aspectos relacionados con: el alcance del proyecto, los
requerimientos necesarios para su desarrollo e implementacin,
el tipo de pblico para el cual iba a dirigirse, el tipo y
caractersticas de las aplicaciones de software para grficos,
animacin, audio y video necesarios para la integracin de ideas
para cada una de las paremias que se trabajaran.
Se establecieron las actividades en un plan de trabajo, al
igual que los tiempos en un programa y calendario del proyecto,
organizando e identificando los recursos a ser empleados.
B.
Diseo
El objetivo de esta etapa consisti en crear un temario

mnimo para un programa inicial de educacin y
concientizacin en seguridad de la informacin, basado en
paremias, dirigido a personas relacionadas con las reas de
seguridad informtica con necesidad de entender
conceptualmente su importancia. Este pblico se considera que
puede consistir de: estudiantes en etapa inicial formativa,
profesionales no relacionados con la seguridad, usuarios finales
de aplicaciones seguras y personas involucradas con
informacin, redes y sistemas informticos y pblico en general
sin conocimientos previos en seguridad.
Despus de analizar, separar y clasificar las paremias, se
propuso un Temario Bsico de Seguridad Informtica con reas
y temas donde las paremias seleccionadas podan tener cabida.
El Temario Bsico inicial considerado es el siguiente:
1. Fundamentos de la Seguridad
2. Criptografa
3. Control de Acceso
4. Polticas
5. Bitcoras y Respaldos
6. Riesgos y Vulnerabilidades
7. Administracin de la Seguridad
8. Buenas Prcticas
En esta etapa se dise el tratamiento de integracin
tecnolgica para cada paremia dentro de cada tema, se cubri
la definicin de las necesidades, se consideraron las fuentes
alternativas, se realiz una revisin de la factibilidad
tecnolgica y econmica. Concluye con el plan de trabajo final.
En esta fase del proyecto tambin se definieron los aspectos
relacionados con: los contenidos del temario bsico, la
seleccin de las tecnologas para el desarrollo y creacin de
cada paremia dentro de cada tema, la interfaz de usuario, el
bosquejo de los logotipos y personalizacin de cada aplicacin.
Por otro lado, en esta fase se definieron las
responsabilidades, relaciones, autoridades y criterios de
desempeo, los miembros del equipo humano para el desarrollo
del proyecto y se establecieron las bases para asignar tareas a
290
los miembros competentes del equipo a partir de sus

experiencias y habilidades.
Todos estos pasos permitieron minimizar el esfuerzo para
desarrollar e implementar soluciones y al mismo tiempo
facilitaron el logro de los objetivos del proyecto.
Para poder responder a los requerimientos establecidos en
la fase inicial, en esta etapa tambin se consideraron los
aspectos relacionados con: el anlisis y evaluacin de las
tecnologas existentes y emergentes y se defini la direccin
tecnolgica apropiada a tomar para materializar la creacin de
los materiales.
A continuacin se enuncian las tecnologas que se
seleccionaron para el desarrollo e implementacin de los
productos:
Edicin de Video:
Adobe After Effects, Versin 2014 CC, 64 bits (Software
propietario de Adobe)
Camtasia Studio, Versin 8, 64 bits, (Software Propietario
de TechSmith)
Edicin, Creacin de contenido grfico y Animaciones:
Adobe Photoshop, Versin 2014 CC, 64 bits (Software
Adobe Ilustrator, Versin 2014 CC, 64 bits (Software
Adobe Flash Profesional, Versin CS6 12.0.0.481, 64 bits
(Software propietario de Adobe)
Edicin y Creacin de contenido de Audio:

Loquendo TTS Director, Versin 7, 64 bits, (Software
Propietario de Nuance)
Audios de voz sinttica creados por equipo de trabajo
Biblioteca de Audio de Youtube. [10]
Imgenes y Material Grfico:

Autora propia del equipo de trabajo
Photoshop, Flash e Illustrator de Adobe
Bibliotecas Pblicas de Imgenes. [11][12][13]
Una de las actividades medulares para obtener el xito del
proyecto fue obtener el compromiso y la participacin de los
integrantes del equipo de desarrollo.
C.
Desarrollo
Esta etapa involucra las actividades de desarrollo,

implementacin e integracin mediante el seguimiento al plan
de trabajo.
Algunas de las principales actividades en esta etapa fueron
las siguientes: medir el desempeo del proyecto contra los
criterios clave del mismo (Ejemplo: alcance, cronograma,
calidad); identificar las desviaciones con respecto al plan;
evaluar su impacto sobre el proyecto y sobre el programa
general; reportar los resultados a los interesados clave; y
recomendar, implementar y monitorear las medidas correctivas,
segn iba siendo requerido, de acuerdo con el marco de trabajo
de gobierno del programa y del proyecto.
Las revisiones, evaluaciones y mejora continua fueron

elementos importantes en el desarrollo del proyecto para
garantizar la funcionalidad y calidad de los productos que se
crearon. Algunos de los puntos importantes a considerar en esta
etapa fueron los siguientes:
La induccin de los objetivos al contexto expresado
por el material
Comprensin del tema de seguridad que trata la
paremia, sin necesidad de conocimientos previos
La integracin de texto, imagen, audio y video o
animacin
Obtener el resultado deseado a partir del texto de la
paremia
Que el producto sea capaz de captar el inters del
usuario desde el principio
D.
Implementacin
En esta fase se llevaron a la prctica todas las

consideraciones de planeacin, diseo y desarrollo descritas
anteriormente integrando esfuerzos, paremias y tecnologas
para lograr los objetivos del proyecto.
Bsicamente en esta fase se trabaj, entre otros muchos
aspectos, en los siguientes:
Eleccin de textos, fuentes, colores, imgenes,
movimiento, animacin, audio, video
Integracin de todos los elementos anteriores para
todas y cada una de las paremias consideradas
Evaluacin, prueba, correccin y mejora de cada
una de las paremias trabajadas
Relacin e integracin temtica de unas paremias
con otras
Calidad de audio, imagen y video
Interfaz de usuario
E. Mtricas para Medicin de Resultados
En primera instancia se tomarn grupos de estudiantes en el
mbito de la Seguridad Informtica de entre 30 a 40 alumnos
cada uno y se proceder con la enseanza de los conceptos en
seguridad de la Informacin de modo tradicional, al trmino de
este plazo se realizar una evaluacin del conocimiento
adquirido de forma tradicional por los alumnos.
Una vez que se tenga una referencia al conocimiento
adquirido por un mtodo tradicional se tomar un grupo
diferente con la misma porcin de alumnos y en el mismo
mbito, pero esta vez no se usar un mtodo de aprendizaje
tradicional. El aprendizaje que se les ofrecer ser el acceso a
los materiales basados en paremias los cuales contienen los
mismos conceptos ya enseados anteriormente. Al finalizar esta
etapa se realizar nuevamente una evaluacin con la finalidad
de medir la cantidad de aprendizaje generado por este mtodo.
Para poder obtener resultados aceptables se iniciar la
enseanza de los conceptos de inters tanto de la forma
tradicional como del mtodo con paremias pero esta vez a un
nivel corporativo, el procedimiento ser similar al ya descrito
con los alumnos y se obtendr una evaluacin por mtodo.
291
Finalmente realizaremos un anlisis estadstico con toda la

informacin anteriormente recolectada para medir la eficacia de
las paremias.
IV. RESULTADOS
Como resultados de este proyecto se cuenta actualmente con
56 paremias concluidas, distribuidas en los 8 grandes temas del
Temario Bsico propuesto. Cada una de estas paremias se
integr, dentro de cada tema, para obtener productos ms
consolidados y de mayor duracin en tiempo de audio y video.
Se dise e implement tambin una aplicacin en Web
para acceso va Internet con una interfaz de usuario muy
sencilla para la presentacin de los temas y la eleccin del tema
por parte del usuario.
Figura 1. Plataforma de recursos visuales.
El uso de esta aplicacin ha sido, por ahora, interna a los

miembros del Laboratorio de Seguridad y a los alumnos de la
asignatura de Seguridad Informtica; se irn difundiendo los
resultados de este proyecto a comunidades cada vez ms
amplias y heterogneas.
Figura 2. Representacin de uso de la plataforma.
V. MEJORAS Y TRABAJO POR REALIZAR

Algunas de las muchas mejoras que se deben realizar, y en
las que ya se trabaja, son las siguientes:
Generar productos para 40 paremias ms, de las casi
100 consideradas inicialmente
Integrar estos nuevos productos a los productos con
los que ya se cuentan y relacionarlos de forma que se
conecten conceptualmente entre s
Mejorar la calidad de imagen, audio, animacin y
video de todos los productos
Mejora continua de la creatividad para cada paremia
Mejorar la interfaz de usuario
Difundir a cada vez ms mbitos los productos

generados
Generar un producto de alta calidad y extensin tal
que pueda usarse en empresas e instituciones como
opcin de educacin y conciencia en Seguridad
Informtica
VI. CONCLUSIONES
En la mayora de los pases hispanoparlantes, el

conocimiento, educacin y conciencia en las diversas reas que
se relacionan con la Seguridad Informtica, es una creciente
necesidad en todos los estratos de la sociedad donde se
almacena, procesa y transfiere informacin de todo tipo y se
usan dispositivos digitales y redes.
Los problemas por los que atraviesan los esfuerzos para
impartir conocimiento y generar educacin y conciencia son
diversos, siendo de los ms importantes los aspectos tcnicos
en las diversas temticas relacionadas y el escaso o nulo
conocimiento del idioma ingls.
En este contexto, se requieren opciones novedosas,
prcticas, sencillas y sin requerimientos tcnicos para
comprender temas bsicos, pero a la vez fundamentales, en
seguridad informtica por parte de estratos amplios y diversos
de la sociedad.
Este proyecto, basado en experiencias exitosas usando
paremias, proverbios, sentencias que han trascendido el tiempo,
tiene la intencin de convertirse en una de tales opciones de
difusin, educacin y conciencia en Seguridad Informtica.
Las paremias ilustradas han despertado el inters esperado
en los alumnos de la clase de Seguridad Informtica. Las
paremias han generado inquietud y curiosidad en los temas de
seguridad que se mencionan.
Las paremias, ms que educar, han abierto incgnitas a los
estudiantes, en las cuales quieren ahondar, o simplemente
desmentir.
No solamente la sociedad en general, sino tambin
comunidades especficas, como la acadmica y estudiantil, la
empresarial, las instituciones de gobierno y otras muchas
comunidades tienen la gran necesidad de contar con una forma
fcil de educar y concientizar a usuarios de todos los niveles no
relacionados directamente con informtica, cmputo,
comunicaciones o seguridad de la informacin.[14]
El proceso de enseanza descrito en el presente, se basa en
un sistema de enseanza milenario (paremias, aforismos,
imgenes), aplicada al contexto de la seguridad informtica.
Se integraron paremias de manera individual y de manera
conjunta mediante el uso de las TICs, a modo de obtener
resultados en trminos del usuario/educando. Las paremias se
integraron en un temario bsico, que permite una compresin
de lo expuesto.
Se dio inicio a lo que pretende ser un producto que
trascienda el mbito acadmico y pueda ayudar a personal
tcnico y no tcnico.
VII. REFERENCIAS
[1]
J. Fernndez, Paremias y frases hechas, pp. 1-6, Universidad de Jan.
292
[2]
[3]
[4]
[5]
[6]
[7]
[8]
[9]
[10]
[11]
[12]
[13]
[14]
S. Muoz and C. lvarez, Las paremias y su clasificacin, pp. 2-5,

2013.
Arnheim Rudolf, Arte y percepcin visual, Alianza Forma, Madrid,
1997.
Marce Pug Francesc, Teora y anlisis de las imgenes, Publicacin
ediciones de la Universidad de Barcelona, Barcelona, 1983.
J-C. Anscombre, Reflexiones crticas sobre la naturaleza y el
funcionamiento de las paremias, pp. 4-12. 1997.
F. Detry, Estrategias de aprendizaje e iconicidad fraseolgica: claves
cognitivas para el estudio de expresiones idiomticas en una Lengua
Extranjera, pp. 97-106, 2012,2012.
B. Sahagn, Historia general de las cosas de la Nueva Esa, 1540
C. Fadel, C. Lemke, Multimodal Learning Trough Media: What the
Research says, pp. 3-19, 2008.
http://www.securingthehuman.org/
https://www.youtube.com/audiolibrary/music
http://pixabay.com/es/
http://www.flaticon.com/
https://www.iconfinder.com/
M. Siponen, A conceptual foundation for organizational information
security awareness, pp. 4-7, 2000
Jos Roberto Romero Granados, estudiante de la

carrera de Ingeniera en Computacin, miembro del
Laboratorio de Seguridad Informtica del Centro
Tecnolgico en la FES Aragn, en el equipo de Bases de
Datos y consultor del equipo de programacin segura.
Tambin ha formado parte del staff de la 9 Semana de la
Seguridad Informtica.
Leobardo Hernndez Audelo egresado de la Facultad

de Ciencias, UNAM, obtuvo el grado de Maestro en
Ciencias de la Computacin por el IIMAS-UNAM con
Tesis sobre Protocolos Criptogrficos de Autenticacin.
La tesis doctoral se realiza sobre Aplicaciones de la
Criptografa a Soluciones de Problemas de Seguridad
Informtica. Los ltimos 20 aos los ha dedicado a la
Seguridad Informtica y a la Criptografa Aplicada en
trabajos de docencia, investigacin y desarrollo como acadmico en la UNAM,
donde es Profesor de Carrera de Tiempo Completo.
Daniel Baltazar Alemn estudiante de 9semestre de la
carrera ingeniera en computacin , miembro activo del
Laboratorio de Seguridad Informtica e integrante del
equipo de Programacin Segura del Centro Tecnolgico,
Facultad de Estudios Superiores Aragn, UNAM. Form
parte del comit organizador en la 9 semana de la
seguridad informtica, llevada a cabo en FES Aragn,
UNAM.
Daz Rosas Ral Alejandro estudiante de 9 semestre de
la carrera Ingeniera en Computacin y miembro actual
del Laboratorio de Seguridad Informtica del Centro
Tecnolgico Aragn, en la Facultad de Estudios
Superiores Aragn, UNAM. Es parte del equipo de
Programacin segura. Form parte del comit organizador
en la 9 semana de la seguridad informtica, llevada a cabo
en FES Aragn, UNAM.
ngel Leopoldo Moreno Olivares estudiante de
9semestre de la carrera ingeniera en computacin y
miembro activo del Laboratorio de Seguridad Informtica
del Centro Tecnolgico, Facultad de Estudios Superiores
Aragn, UNAM. Form parte del staff en la 9 semana de
la seguridad informtica, llevada a cabo en FES Aragn,
UNAM en 2014.
Adrin Alberto Romero Granados estudiante de

9semestre de la carrera ingeniera en computacin y
miembro activo del Laboratorio de Seguridad Informtica
del Centro Tecnolgico, Facultad de Estudios Superiores
Aragn, UNAM. Form parte del comit organizador en
la 9 semana de la seguridad informtica, llevada a cabo
en FES Aragn, UNAM
293
294
Objetivos de las competencias curriculares para mejorar

la orientacin profesional de los alumnos
A. Santos-Olmo, L. E. Snchez, D. Garcia, I. Caballero, E. Fernandez-Medina
ayudado a los alumnos a entender mejor en qu medida alcanzan
los objetivos de las diferentes asignaturas, ni a tomar mejores
decisiones sobre los pasos a seguir en su carrera profesional. De
igual forma, tampoco han sido de utilidad para las empresas a la
hora de seleccionar los mejores candidatos para sus puestos de
trabajo. En este artculo se pretenden mostrar las principales
deficiencias que se han encontrado hasta el momento en la
aplicacin de estas competencias y en su alineacin con la
empresa privada, y los objetivos que hemos planteado para dar
solucin a esas problemticas, alineando mejor las competencias
de los alumnos con las necesidades de las empresas. Este nuevo
enfoque guiado por competencias y alineado con las empresas
permitir a los alumnos tomar mejores decisiones y guiarles
mejor en su futura orientacin profesional a la hora de realizar
su carrera.
Generales, Competencias Generales Especficas, Mtricas.
I. INTRODUCCIN
de convergencia de la educacin superior [1], que es
fundamental para el futuro de algunas carreras, y por ello es
muy importante ser capaces de adaptar los nuevos planes de
estudio a las necesidades reales del mercado en este sector [2].
especializados y que se adapten a una o varias certificaciones
profesionales internacionales. Por lo tanto, es muy importante
que los nuevos estudios estn muy enfocados a las necesidades
profesionales, sin perder el rigor cientfico exigible en una
ingeniera , y para conseguir este objetivo es fundamental que
estos nuevos planes de estudio tengan una orientacin que
facilite la obtencin de certificaciones profesionales [3].
Por otro lado, el proceso de elaboracin de las memorias
de grado (en concreto en el caso del Grado en Ingeniera
Informtica), se ha basado en un conjunto de competencias
generales y especficas, que en la mayora de los casos
I. Caballero, Grupo de Investigacin Alarcos, Universidad de Castilla-la
Mancha, Ciudad Real, Espaa, Ismael.Caballero@uclm.es
entraan un alto nivel de abstraccin y ambigedad. Estas

competencias son de vital importancia para que los alumnos
puedan planificar de forma correcta su actividad universitaria
y prepararse para su integracin en el mundo laboral [1, 4]. El
problema surge porque los alumnos y las empresas no
entienden la verdadera utilidad de las competencias y, por
tanto, no pueden utilizarlas de forma correcta.
Por ello, y dada la importancia cada vez mayor de la
correcta orientacin profesional de los alumnos para garantizar
que obtengan un puesto de trabajo donde maximizar su valor
[5], es crtico ser capaces de identificar las problemticas
actuales y plantear soluciones para las mismas.
El reto afrontado en el proyecto se ha considerado de gran
valor para afrontar los nuevos retos relacionados con el
alineamiento de las competencias generales y especificas del
nuevo Grado en Ingeniera Informtica, ya que por un lado
permite aplicar las mtricas desarrolladas para estas
competencias con el objetivo de unificar actividades de
diferentes asignaturas maximizando las competencias que el
alumno puede obtener, y por otro lado permite obtener un
mapa de competencias-asignaturas que el alumno podr seguir
durante toda su carrera con el objetivo de obtener el perfil
profesional ms adecuado a sus caractersticas.
En la seccin segunda del artculo analizaremos la
importancia del momento actual de creacin de planes de
estudio, en particular para la carrera de Ingeniera Informtica.
En la tercera seccin se analizarn los principales problemas
detectados durante la investigacin y que estn afectando a los
alumnos. En la cuarta seccin se analizarn las propuestas
planteadas para dar solucin a los problemas detectados
durante la investigacin. Finalmente, en la ltima seccin
describiremos las principales conclusiones obtenidas hasta el
momento.
II. ESTADO DEL ARTE
implantacin se adaptasen a las demandas de las empresas [6],
de forma que sirvan para hacer que los nuevos profesionales
295
SANTOS-OLMO et. al.: Objetivos de las Competencias
aumenten la productividad del tejido empresarial Europeo [7].

excesivamente complejas y difusas.
Ciencias de la Computacin [9], Ingeniera del Software [10],
Ingeniera de Computadores [11], Sistemas de Informacin
[12] y Tecnologas de la Informacin [13].
ingeniera informtica, tomando como base el modelo EE.UU.
de los dominios sino en el mecanismo de aprendizaje,
Pero uno de los grandes problemas es que casi todas las
investigaciones se han centrado en la definicin de los planes,
dejando de lado el proceso de implantacin.
En el caso de la Universidad de Castilla-la Mancha
(UCLM), la investigacin realizada se ha centrado
principalmente en la intensificacin de Ingeniera del Software
propuesta para el nuevo grado en ingeniera informtica, que
est basada en la "Gua para la creacin del Cuerpo de
Ingeniera de Software para el Conocimiento (SWEBOK)
[17, 18], donde se definen las competencias y conocimientos
que, segn el IEEE, un Ingeniero del Software debera haber
obtenido al finalizar los estudios (ej.: proyectos de Ingeniera
del Software, Seguridad y Auditora, cubriendo todos los
aspectos del ciclo de vida relacionados con ellos...).
Pero a la hora de realizar un cambio tan importante como
la definicin e implantacin de los nuevos planes de estudio
tan nuevos, tan cambiantes y de los que depende tanto el
progreso de la sociedad como es el caso de la Ingeniera
Informtica [19] se detectaron importantes problemas y una
gran necesidad de adaptar los nuevos planes de estudio a las
necesidades reales del mercado [20], siendo capaces de
implantarlos de una forma correcta que permita alinearlos con
las competencias a las que se orientan y las necesidades de las
empresas.
especializados [21], por lo que es muy importante que los
nuevos estudios estn muy enfocados a poder obtener una
serie de competencias objetivas y medibles, y que stas estn

alineadas con las necesidades profesionales [22] sin perder el
rigor cientfico exigible en una ingeniera. Para conseguir este
objetivo es fundamental que la implantacin de estos nuevos
planes de estudio tenga una orientacin prctica, analizando
las necesidades reales de las empresas a la hora de seleccionar
sus candidatos y desarrollando tcnicas que permitan que la
Universidad y la Empresa estn alineadas para maximizar el
potencial y la productividad de los alumnos en su carrera
profesional.
III. PROBLEMTICA IDENTIFICADA
Como ya analizamos en artculos anteriores [23-27], se han
realizado investigaciones orientadas a alinear las competencias
y dividirlas en sub-competencias [25, 26], ver cmo stas se
pueden alinear con las certificaciones profesionales requeridas
por las empresas [24, 27], cmo se relacionan con las
asignaturas y cmo se pueden extraer mtricas a partir de
ellas. Todo este esquema lo podemos ver en la Figura 1.
Grado
Ingeniera
Informtica
Certificaciones
profesionales
1..N
Formado
por
Competencias
1..N
- Genricas -
Intensificaciones
1..4
Relacionadas
con
Formado
por
Formado
por
Asignaturas
Compuestas de
Formado
por
Sub-competencias
1..N
- Especificas -
Relacionado
con
Valoran
Materias 1..N
Actividades 1..N
Mtricas
GQM
Utilizadas
para
calcular
Mtricas 1..N
Tecnologas 1..N
Leyenda
Relacin existente
Relacin nueva
Elemento existente
Elemento nuevo
Figura 1. Esquema de interrelaciones en el nuevo modelo curricular del

alumno
Pero aun as se han identificado nuevos problemas y

factores que pueden afectar al rendimiento futuro de los
alumnos, y por los que es importante mejorar los elementos
involucrados en el sistema curricular para garantizar la mejor
orientacin profesional del alumno y su mxima adecuacin al
mercado laboral. Se han identificado seis problemas crticos
que debern afrontarse:
1. El primer problema detectado durante la investigacin,
296
2.
3.
4.
5.
6.
es que los alumnos desconocan el nivel de

competencias adquiridas y qu asignaturas deban
escoger dentro de la malla curricular para mejorar las
competencias en que tuvieran deficiencias.
El segundo problema detectado es que muchos
alumnos ya tienen decidido en qu quieren trabajar
(Ej: Seguridad Informtica), pero desconocen qu
asignaturas deben escoger a lo largo de la carrera para
maximizar las competencias relacionadas con ese
perfil profesional.
El tercero de los problemas detectados es que el
alumno desconoce el nivel que debe obtener de cada
competencia con respecto al puesto de trabajo
deseado. Y las empresas tampoco pueden traducir al
mismo lenguaje esa peticin a la universidad.
El cuarto problema detectado es que las empresas y las
universidades no hablan el mismo lenguaje.
Mientras que una ha orientado a competencias la
valoracin del alumno, la otra la ha orientado a
certificaciones profesionales. Por ello es necesario
establecer un mapa que correlacione ambas.
El quinto problema detectado es que las competencias
han dejado fuera de las valoraciones las tecnologas
contenidas dentro de la malla curricular de cada
asignatura, lo cual genera un problema porque en
carreras como la Ingeniera del Software las
empresas contratan en base a conocimientos de ciertas
tecnologas.
Finalmente, el sexto problema detectado es que en
carreras tcnicas como Informtica las asignaturas
realizan prcticas aisladas que evitan que el alumno
tenga una visin global de los proyectos.
grado, y para ello se ha organizado un equipo mixto de

profesores que cubren los tres aspectos principales necesarios
para el xito del proyecto:
Experiencia en proyectos de innovacin docente y en
otras iniciativas docentes.
Equipo con una experiencia docente de ms de 10
aos de media.
Amplia experiencia y relaciones en el sector privado
con el objetivo de poder realizar encuestas e
identificar las competencias reales buscadas por las
empresas.
La unin de estos factores y el hecho de buscar el
alineamiento de los conocimientos tanto del sector pblico
como el privado tienen un valor aadido para este proyecto y
garantizan la viabilidad del mismo.
A continuacin se describen los objetivos planteados para
tratar las problemticas identificadas:
1. Desarrollo de una herramienta de seguimiento y
simulacin de competencias: El primero de los
objetivos perseguidos en este proyecto es generar una
herramienta web que permita a los alumnos conocer
en todo momento el nivel de las competencias
adquiridas y simular cmo la seleccin de nuevas
asignaturas podra ayudar a mejorar la obtencin de
las mismas, lo que nos permitir dar solucin a la
primera problemtica.
Este objetivo est dividido en seis tareas:
o Cargar todas las asignaturas y competencias
desarrolladas en el anterior proyecto de
innovacin docente en una base de datos.
o Programar en la aplicacin las mtricas
desarrolladas
para
valoracin
de
competencias.
o Desarrollar un algoritmo de simulacin de
competencias en base a las asignaturas que el
alumno desea cursar.
o Seleccionar un conjunto de perfiles
profesionales demandados por las empresas.
o Establecer un mapa de conocimiento entre los
perfiles profesionales y las competencias.
o Implementar todo el conocimiento de las
anteriores tareas en una herramienta web.
La investigacin realizada, ha mostrado que estas seis

problemticas afectan de forma grave tanto a las decisiones
que toman los alumnos como a su productividad futura, e
incluso al salario que pueden llegar a percibir. No debemos
olvidar que el ayudar a los alumnos a tomar mejores
decisiones en sus competencias curriculares supone una
ventaja competitiva, ya que permite al alumno tomar una
mejor orientacin laboral al finalizar sus estudios, lo que
tambin se traduce en una mejora de la productividad en la
empresa al poder contratar a los alumnos ms adecuados para
las competencias buscadas. Todo ello se traduce en mejoras
salariales que pueden superar el 10% [28, 29].
Para llevar a cabo estas tareas se han utilizado los

trabajos realizados para la definicin del Grado de
Ingeniera Informtica de la Universidad de Castilla-la
Mancha, as como los resultados obtenidos en el
anterior proyecto de innovacin docente. Los perfiles
profesionales se estn obteniendo mediante la
realizacin de entrevistas y bsquedas en bases de
datos de internet.
IV. SOLUCIONES PROPUESTAS

Los objetivos que se han propuesto durante el proyecto de
innovacin estn orientados a resolver problemas muy
importantes para los alumnos, como ayudarles a entender la
importancia que tienen las competencias, las prcticas, las
certificaciones profesionales y cmo realmente esto se puede
traducir en algo til para encontrar un mejor puesto de trabajo,
lo que se traduce a su vez en mejoras productivas directas y en
mejores salarios para los profesionales [28, 29].
Consideramos que los objetivos propuestos en el proyecto
son de gran inters para el adecuado funcionamiento del
2.
Desarrollo de una herramienta para la orientacin

profesional: El segundo de los objetivos propuestos es
que la herramienta web permita tambin realizar el
proceso inverso: dado el campo de trabajo en el que el
297
alumno quiere desarrollar su actividad profesional

(Ej.: Seguridad Informtica), ayudarle a decidir qu
asignaturas le permitirn obtener el mejor nivel de las
competencias necesarias para trabajar en dicho campo.
Este objetivo nos permitir solucionar la segunda de
las problemticas.
4.
Este objetivo est dividido en tres tareas:

o Establecer un mapa de conocimiento que
relacione todas las asignaturas con los
perfiles profesionales demandados por las
empresas.
o Establecer mtricas y un algoritmo que
permita determinar qu asignaturas pueden
aportar un mayor valor a nivel de
competencia para el perfil profesional
demandado.
o Integrar los resultados en una herramienta
web.
En carreras como las Ingenieras, y en particular en la

Ingeniera Informtica, el alumno debe realizar una
formacin continua a lo largo de toda su actividad
profesional. Por ello se hace necesario establecer
mecanismos que no slo permitan valorar las
competencias mientras dura su vida universitaria, sino
que permitan que el alumno pueda seguir teniendo una
gua cuando desarrolle su actividad profesional.
Para llevar a cabo estas tareas se utilizarn los

resultados obtenidos en el anterior proyecto de
innovacin docente, as como los resultados de la
realizacin de entrevistas y bsquedas en bases de
datos de internet.
3.
Seleccin de los candidatos mejor cualificados: El

tercero de los objetivos pretende que, aprovechando el
trabajo realizado en el anterior proyecto de innovacin
docente donde se obtuvo un mecanismo que permita
valorar las competencias obtenidas por un alumno,
ahora se pueda utilizar dicho mecanismo para aportar
una herramienta a las empresas que les facilite
seleccionar la persona ms adecuada para el puesto de
trabajo que buscan, en base a competencias. Esto
permitir tambin que se puedan establecer unos
baremos de seleccin de puestos de trabajo en base a
competencias, de forma que los alumnos puedan
conocer todos los aos qu nivel estn pidiendo las
empresas en cada competencia para trabajar en un
campo de trabajo determinado y dar solucin al tercer
problema detectado.
Este objetivo est dividido en cuatro tareas:

o Seleccionar un conjunto de certificaciones
profesionales y extraer datos relevantes
(horas, rango de notas,). Inicialmente nos
centraremos
en
las
certificaciones
relacionadas con la Ingeniera del
Software, en base a las investigaciones
realizadas en anteriores proyectos de
innovacin docente.
o Establecer un mapa de conocimiento entre
estas certificaciones y las competencias del
grado.
o Establecer mtricas que permitan valorar
estas certificaciones en base a las
competencias.
web.
Este objetivo est dividido en tres tareas:

o Establecer mtricas y un algoritmo que
permita determinar qu alumno es el ms
adecuado para un perfil seleccionado,
ofreciendo un resultado cuantificable.
web.
resultados obtenidos en las dos actividades anteriores.
Para las mtricas se utilizar GQM (Goal, question,
metric) [30].
Correlacin de las certificaciones profesionales con

las competencias del grado: El cuarto objetivo del
proyecto busca establecer un mapa entre las
certificaciones profesionales requeridas y las
competencias. En anteriores investigaciones alineamos
las certificaciones con las asignaturas, pero es
necesario conseguir alinearlas tambin con las
competencias, ya que actualmente en muchos perfiles
profesionales se requiere adems del ttulo una serie
de certificaciones (Ej.: Los requisitos para trabajar
como Auditor de Seguridad en licitaciones pblicas
del Gobierno de Espaa son ser Ingeniero en
Informtica y contar con las certificaciones CISA +
IRCA LA27001). Para ello debemos establecer
mecanismos y mtricas que nos permitan valorar la
aportacin que una certificacin da al alumno de
forma cuantitativa y a nivel de competencia, lo cual
nos permitirn dar solucin a la cuarta problemtica.

resultados obtenidos en las tres actividades anteriores
y las investigaciones realizadas en aos anteriores.
Para las mtricas se utilizar GQM.
5.
Estudio de la correlacin entre tecnologas

demandadas por las empresas y aportadas por la
carrera: El quinto objetivo del proyecto busca
analizar las tecnologas asociadas a las asignaturas, ya
que se trata de un mecanismo objetivo que las
empresas privadas requieren para complementar la
298
valoracin de las competencias. Es muy importante

conocer qu tecnologas est demandando el mercado
y validar que las prcticas de las asignaturas se estn
realizando con herramientas que estn alineadas con
esta demanda. Adems, es importante que un alumno
no slo obtenga el nivel de una competencia, sino
tambin el nivel en que ha adquirido destreza en una
determinada tecnologa. Mediante este estudio
podremos dar solucin al quinto problema detectado.
Este objetivo est formado por tres tareas:
o Lista de tecnologas demandadas por las
empresas.
o Lista de tecnologas que se imparten en la
carrera.
o Mapa de conocimiento que muestre las
tecnologas que deberan impartirse y en qu
asignaturas.
Para llevar a cabo estas tareas se utilizar el mtodo
Investigacin en Accin, entrevistas en empresa y
universidad y bsqueda en bases de datos de empleo
(trovit, infojobs,).
6.
Alineamiento de prcticas de las asignaturas para

orientarlas a proyectos reales: El sexto y ltimo
objetivo pretende analizar cmo se pueden alinear
diferentes
asignaturas
para
crear
prcticas
incrementales frente a prcticas individuales, de tal
forma que un alumno pueda abordar proyectos
prcticos de mayor complejidad que los actuales. De
esta forma se dara solucin al sexto problema
detectado.
Cuando alguien estudia una carrera como Medicina, el
alumno utiliza el mismo sujeto de prcticas durante
todo su periodo universitario. En cambio, en las
ingenieras y en particular en la Ingeniera
Informtica las prcticas son pequeos casos
aislados, lo que no permite al alumno ser consciente
de la complejidad de un proyecto global ni
involucrarse en un proyecto de forma continua, sino
que se ve abocado a la realizacin de pequeas
prcticas sin ser capaz de entender dnde encajan las
piezas dentro de un proyecto global.
Este objetivo est formado por cuatro tareas:
o Extrapolar un mapa con las prcticas que
actualmente ofrecen las diferentes asignaturas
de la carrera.
o Establecer un mapa de conocimiento entre
esas prcticas y las partes que cubren de
proyectos reales en empresas.
o Determinar qu aspectos de los proyectos
reales estn sin cubrir actualmente y proponer
las asignaturas en las que deberan ser
incluidos.
Analizar cmo se pueden alinear las prcticas

de varias asignaturas para crear trabajos
prcticos ms realistas.
Para llevar a cabo estas tareas se utilizar el mtodo

Investigacin en Accin y entrevistas en empresa y
universidad.
Al igual que se hizo en el anterior proyecto de innovacin
docente, se ha seguido utilizando el mtodo de investigacin
cientfico Investigacin en Accin y se han definido una
serie de mtricas derivadas del estndar GQM [30, 31], para
las actividades derivadas de los objetivos propuestos. Se ha
buscado en todo momento que los resultados sean tiles al
alumno no slo durante su periodo universitario sino durante
toda su vida profesional, y que estos resultados sirvan tambin
a las empresas para seleccionar mejores profesionales que
ayuden a aumentar su productividad.
V. CONCLUSIONES Y TRABAJOS FUTUROS

Este proyecto que actualmente se encuentra en ejecucin
est suponiendo un esfuerzo muy importante para todos los
participantes, tanto del sector pblico como del privado. Se
debe destacar la buena disposicin que todos los participantes
del proyecto han mostrado en todo momento, aun cuando
deban compaginar el proyecto con otras actividades
cotidianas como la investigacin y la docencia para la gente
del sector pblico, y las tareas de direccin, gestin, etc., en el
caso de los participantes del sector privado. Pero el esfuerzo
realizado por todos ellos est mereciendo la pena, y la
conclusin general es que el resultado va a permitir obtener a
todos un mejor valor.
Gracias al proyecto se han conseguido identificar seis
grandes problemas que afectan tanto a empresas como a
alumnos, y cuya resolucin permitir aumentar la
productividad de ambos y supondr un gran beneficio para la
sociedad.
Con el resultado del proyecto, el futuro graduado en
Informtica no slo contar con un conjunto abstracto de
competencias asociadas a una intensificacin, sino que tendr
unas competencias unidas a un conjunto de mtricas y
actividades alineadas con las asignaturas de dicho grado y con
los requerimientos del sector privado, lo que permitir
aumentar el nivel de satisfaccin y eficacia de los nuevos
ingenieros y las empresas que los contraten, ayudando al
entorno empresarial a ser ms competitivo y a los nuevos
ingenieros a comprender mejor las actividades asociadas con
cada una de las competencias alcanzadas.
Por otro lado, aunque el proyecto se ha centrado en la
carrera de Ingeniera Informtica consideramos que, una vez
establecidas las bases y el conjunto de mtricas, stas podrn
ser fcilmente extrapolables en otros grados de otras carreras.
Para concluir, es importante destacar la importancia de los
resultados obtenidos en el proyecto, pero tambin que queda
un largo camino por recorrer para consolidar y validar dichos
resultados y cumplir con los seis objetivos establecidos.
299
AGRADECIMIENTOS
de Comunidades de Castilla-la Mancha, del proyecto
Plataformas
Computacionales
de
Entrenamiento,
Experimentacin, Gestin y Mitigacin de Ataques a la
Ciberseguridad - Cdigo: ESPE-2015-PIC-019 financiado
por la ESPE y CEDIA (Ecuador), y del proyecto PROMETEO
financiado por la Secretara Nacional de Educacin Superior,
Ciencia, Tecnologa e Innovacin (SENESCYT) del Gobierno
de Ecuador.
Referencias
Smidt, H., Education as Transformation Transforming European
Higher Education, in European Higher Education at the
Crossroads, A. Curaj, et al., Editors. 2012, Springer Netherlands.
p. 141-152.
[2] Curaj, A., et al., European higher education at the crossroads: between
the Bologna process and national reforms2012: Springer Science
& Business Media.
[3] Gummesson, E., et al., Value co-creation and university teaching
quality: Consequences for the European Higher Education Area
(EHEA). Journal of Service Management, 2012. 23(4): p. 571-592.
[4] Ardis, M., et al. Using GSwE2009 in the creation and modification of
graduate software engineering programs and related curricula. in
Software Engineering Education and Training (CSEE&T), 2013
IEEE 26th Conference on. 2013.
[5] Communiqu, B. Making the most of our potential: Consolidating the
European Higher Education Area. in EHEA Ministerial
Conference. Retrieved May. 2012.
[6] Pereira, C., et al. The European Computer Science Project: A Platform
[7] Forbes, N.M., P, Computer science today in the European Union.
[8] ACM, Computer science curriculum 2008: An interim revision of CS
[9] CC2001, Computing Curricula 2001. Computer Science, I.C.S.a.A.f.C.
[10] SE2004, Curriculum Guidelines for Undergraduate Degree Programs in
[11] CE2004, Curriculum Guidelines for Undergraduate Degree Programs
[1]
[12] Gorgone, J., et al., MSIS 2006: Model Curriculum and Guidelines for
[13] Lunt, B., et al., Curriculum Guidelines for Undergraduate Degree
[14] Pyster, A., et al., Masters Degrees in Software Engineering: An
[15] Lago, P., et al. Towards a European Master Programme on Global
[16] Rico, D. and H. Sayani. Use of Agile Methods in Software Engineering
[17] Tripp, L., SWEBOK: Guide to the Software Engineering Body of
[18] Lavrischeva, E.M. Classification of Software Engineering Disciplines. in
[19] Lethbridge, T., et al. Improving software practice through education:
Challenges and future trends. in Future of Software
Engineering(FOSE'07). 2007.
[20] Thompson, J. Software Engineering Practice and Education An
[21] Garca Garca, M.J. and L. Fernndez Sanz, Opinin de los
[22] Seidman, S.B. Software Engineering Certification Schemes. in
Computer, 2008. 2008.
[23] L.E. Snchez, et al., Ingeniera del Software: Tendencias Profesionales.,
[24] L.E. Snchez, et al., Papel de las certificaciones profesionales en la
[25] L.E. Snchez, et al., Proceso de Reificacin de las Competencias
[26] L.E. Snchez, et al., Mtricas para la medicin de las Competencias
[27] Rosado, D.G., et al., Content related to Computing Security on
13(6).
[28] Willmer, D. Today's Most In-Demand Certifications. 2010 [cited 2010
26 July 2010].
[29] Guerrero Quinteros, A.C., Insercin y caractersticas del mercado
laboral y nivel de satisfaccin general y adecuacin de la
formacin en competencias generales y profesionales de
graduados de la carrera Comunicacin Social con mencin en
Redaccin y Creatividad Estratgica de la Universidad Casa
Grande. 2014.
[30] Basili, V.R., G. Caldiera, and H.D. Rombach, The Goal Question Metric
Approach, in Encyclopedia of Software Engineering, G.C.a.D.H.
Rombach, Editor 1994, Jhon Wiley and Sons: New York. p. 528532.
[31] Basili, V.R., ed. Applying the GQM paradigm in the experience factory.
Software quality assurance and measurement, ed. N. Fenton,
Whitty, R., and Iizuka, Y.1995, London, 1995: Thomson
Computer Press. 23-37.
300

Tecnologas S.L. COIICLM board or committee member and responsible for
the professional services committee. His research activities are management
security system, security metrics, data mining, data cleaning, and business
intelligence. He participates in the GSyA research group of the Department of
Computer Science at the University of Castilla- LaMancha, in Ciudad Real
(Spain). He belongs to various professional and research associations
(COIICLM, ATI, ASIA, ISACA, eSEC, INTECO, etc).
Factory departments of the company Sicaman Nuevas
Tecnologas S.L. His research activities are management security system,
security metrics, data mining, data cleaning, and business intelligence. He
participates in the GSyA research group of the Department of Computer
Science at the University of Castilla- LaMancha, in Ciudad Real (Spain). He
belongs to various professional and research associations (COIICLM, ATI,
ASIA, ISACA, eSEC, INTECO, etc).
Ismael Caballero has an MSc and PhD in Computer

Science from the Escuela Superior de Informatica of the
Castilla-La Mancha University in Ciudad Real. He actually
works as an assistant professor in the Department of
Information Systems and Technologiesat the University of
Castilla-La Mancha, and he has also been working in the
R&D Department of Indra Sistemas since 2006. His
research interests are focused on information quality
management, information quality in SOA, and Global Software Development.

(Spain), his research activity being in the field of security
in databases, datawarehouses, web services and
information systems, and also in security metrics.
Fernndez-Medina is co-editor of several books and chapter books on these
subjects, and has several dozens of papers in national and international
conferences (DEXA, CAISE, UML, ER, etc.). Author of several manuscripts
in national and international journals (Information Software Technology,
Computers And Security, Information Systems Security, etc.), he is director of
the GSyA research group of the Information Systems and Technologies
Department at the University of Castilla-La Mancha, in Ciudad Real, Spain.
He belongs to various professional and research associations (ATI, AEC, ISO,
IFIP WG11.3 etc.).
David G. Rosado has an MSc and PhD. in Computer

Science from the University of Mlaga (Spain) and from the
University of Castilla-La Mancha (Spain), respectively. His
research activities are focused on security for Information
Systems and Cloud Computing. He has published several
papers in national and international conferences on these
subjects, and he is co-editor of a book and chapter books.
(Information Software Technology, System Architecture, Network and
Computer Applications, etc.). He is member of Program Committee of several
conferences and workshops nationals and internationals such as ICEIS,
ICCGI, CISIS, SBP, IAS, SDM, SECRYPT, COSE and international journals
such as Internet Research, JNCA, KNOSYS, JKSU, and so on. He is a
member of the GSyA research group of the Information Systems and
Technologies Department at the University of Castilla-La Mancha, in Ciudad
Real, Spain.
301
Intercambio seguro de datos entre banco central y

sistema financiero
E.Milla, A.Dams, H.Pagola
Abstract Este trabajo es el resultado de la bsqueda de

casos reales en nuestra catedra que motiven a los alumnos a
realizar prcticas de laboratorio con tecnologas de seguridad
asociadas a las PKI. Para ello se seleccion un caso de estudio
de intercambio de datos confidenciales entre una banca
central y sus entidades financieras.
El sistema financiero intercambia informacin con la banca
central para el desarrollo de sus actividades funcionales como
por ejemplo el reporte del manejo de moneda extranjera,
estados de cuenta y financieros, etc. Se requiere tener la
certeza que el intercambio electrnico de datos es efectuado de
una manera segura.
Conscientes de esta necesidad, la industria ha desarrollado
especificaciones bajo estndares que permiten efectuar el
intercambio de forma segura. En este documento se propone
utilizar un sobre electrnico como el que brinda la
especificacin S/MIME (Secure Multipurpose Internet Mail
Extensions) y el objeto CMS (Cryptographic Message Syntax)
en conjunto con la confianza entre organizaciones que se
puede establecer utilizando la funcionalidad de certificacin
cruzada de X.509 (RFC5280). Como veremos en este artculo,
este conjunto de herramientas apoyndose en el uso de PKI
permite obtener autenticacin, integridad, confidencialidad y
no repudio (prueba de origen) de la informacin.
El caso de uso se implement utilizando las herramientas
que provee OpenSSL y se implementaron guas de laboratorio
que permiten llevar a cabo un modelo de la infraestructura
PKI del Banco Central (BC), Instituciones Financieras (IF),
su relacin de confianza y la generacin de los mensajes CMS
para el intercambio de datos de forma segura. Estas guas
fueron utilizadas con xito en el desarrollo de la materia
Seguridad en Redes de la Maestra en Seguridad Informtica
de la Universidad de Buenos Aires.
Keywords Infraestructura de clave pblica, S/MIME,
CMS, PKI, confianza, intercambio seguro, integridad,
confidencialidad, autenticacin, no repudio.
_______________________________________
Edy Milla, Universidad de Buenos Aires (UBA), Buenos
Aires, Argentina, edy.milla@gmail.com
Alberto Dams, Universidad de Buenos Aires (UBA),
Buenos Aires, Argentina, albertodams@gmail.com
Hugo Pagola, Facultad de Ingeniera, Universidad de
Buenos
Aires
(UBA),
Buenos
Aires,
Argentina,
hpagola@gmail.com
I.
INTRODUCCIN
n los procesos de negocio de hoy en da entre las
organizaciones los procesos de transferencia de datos juegan
un papel fundamental. Estas transferencias se acrecientan a
medida que se estrechan las relaciones comerciales, siendo parte
de las estrategias para competir en un entorno exigente. El
intercambio de informacin requiere que se realice de manera
eficiente y efectiva; sin embargo, una condicin que se debe
afrontar hoy da, es que se efecte de forma segura.
La Maestra en Seguridad Informtica de la UBA a travs de

la Materia de Seguridad en Redes desarrolla la temtica de
seguridad en el intercambio de archivos utilizando la
especificacin S/MIME [1] (RFC 5751) y el objeto CMS [2]
(RFC 5652) y de esta forma reforzar los aspectos de seguridad
de la informacin a travs de la autenticacin, integridad,
confidencialidad y no repudio.
A fin de que el alumno consolide sus conocimientos, se le
orienta a llevar a cabo la experimentacin en laboratorios
prcticos de mensajera de objetos CMS, S/MIME v3.1 (y
superiores) que permiten el cifrado, descifrado, firma y
verificacin de mensajes.
II.
OBJETIVOS
El objetivo principal de las guas es plantear al alumno una
serie de desafos cuyo propsito es ejercitar lo aprendido en
clase e interactuar con ambientes muy similares a los que se
pueden encontrar en las organizaciones. El caso de uso objeto de
estudio es una aplicacin prctica del intercambio de archivos
que tpicamente una banca central realiza con su sistema
financiero, ejemplo: envi de estados financieros, reportes de
encaje bancario, reporte de movimientos de moneda extranjera,
etc.
302
MILLA et al.:Intercambio seguro de datos
Es un objetivo importante para la catedra, evaluar los

conocimientos adquiridos aplicando un cuestionario con una
variedad de preguntas relacionadas a las actividades llevadas a
cabo en los laboratorios. Tambin, la discusin de arquitecturas
de seguridad que solucionen la casustica bajo estudio,
permitiendo que el alumno proponga alternativas.
III.
MENSAJES CMS S/MIME
OpenSSL, permite efectuar operaciones de cifrado,

descifrado, firma y verificacin de mensajes sobre archivos con
formato MIME 1.0. (RFC 2045). Al momento de aplicar las
primitivas criptogrficas, utiliza el contenedor criptogrfico
CMS (Cryptographic Message Syntax). Este contenedor
criptogrfico llamado CMS es una evolucin del conocido
formato PKCS#7 de RSA Labs.
El estndar CMS permite el encapsulamiento de datos y
soporte de firmas digitales y encriptado. La sintaxis permite
tener mltiples encapsulados y anidarlos de tal forma que se
puede firmar y luego cifrar o a la inversa. Esto habilita a que una
entidad firme digitalmente los datos encapsulados por otra o
tener mltiples firmas de distintos roles.
En este trabajo se utiliza OpenSSL [3] para implementar el
entorno que permite el intercambio de archivos de forma segura
utilizando los protocolos S/MIME y CMS descriptos en el RFC
5652 y RFC 5751 respectivamente.
Estos protocolos son una alternativa interesante para la
definicin de servicios de seguridad de datos que son enviados
por medios electrnicos no seguros. Las primitivas
criptogrficas que poseen facilitan el proceso tanto para la
entidad que enva como para la que recibe, los objetos CMS
permiten implementar una mensajera segura que puede ser
intercambiada por distintos medios de transporte de datos.
IV.
CONFIANZA ENTRE BANCO CENTRAL Y ENTIDADES

FINANCIERAS UTILIZANDO CERTIFICACIN CRUZADA
Si bien inicialmente, entendemos que las barreras de ingreso

son superiores a la de establecer una jerarqua comn, la
flexibilidad y la capacidad de definir polticas de certificacin
de uso especfico, hacen que las ventajas sean mayores al
esfuerzo de montar la infraestructura.
Otro elemento importante a tener en cuenta es que si se
utiliza una jerarqua comn, ser difcil definir polticas que
limiten el nivel de confianza que se desea establecer.
En la siguiente figura se muestra la disposicin de las CAs
con el propsito de facilitar la visualizacin de las
infraestructuras PKI de cada institucin.
Banco Central
Institucin Financiera
BC
Root
CA
IF
Root
CA
BC
Intermediate
CA
IF
Intermediate
CA
BC
Identity
CA
IF
Identity
CA
En el escenario planteado, el intercambio de certificados

para la certificacin realiza en el tercer nivel de la jerarqua.
Se quiere que la entidad financiera pueda enviar
documentacin firmada y ser verificada por banco central. Para
ello se necesita que los certificados emitidos por la IF Identity
CA, sean reconocidos por el BC. Eso se consigue llevando el
certificado de la IF Identity CA y que se emita una
certificacin cruzada utilizando la BC Identity CA. En la
figura se puede ver en forma esquemtica esta operacin.
Certificacin Cruzada entre CAs
Hoy en da es comn en las organizaciones que posean una

jerarqua PKI para certificar sus operaciones internas. Al
interconectar las entidades una opcin vlida para el caso bajo
estudio, donde el banco central emite las polticas del sistema
financiero, podra ser que la PKI raz sea el mismo banco central
y de esta forma centralizar la confianza.
El modelo de confianza Certificacin Cruzada permite que
cada entidad tenga su propia PKI y confe solo parcialmente en
la PKI de la contraparte [4]. Este es el modelo que se propone en
este trabajo en vista que su flexibilidad permite su
implementacin sin mayores cambios en las PKI del sistema
financiero.
Banco Central
BC
Root
CA
IF
Root
CA
BC
Intermediate
CA
IF
Intermediate
CA
BC
Identity
CA
IF
Identity
CA
Intercambio
de certificados
entre CAs
303
Al finalizar las actividades de generacin del certificado

cruzado, cuando se consulte el certificado cruzado en las
jerarquas de BC, se ver de acuerdo a la siguiente figura.
Certificacin Cruzada entre CAs
Banco Central
BC
Root
CA
IF
Root
CA
BC
Intermediate
CA
IF
Intermediate
CA
BC
Identity
CA
IF
Identity
CA
IF
Identity
CA
Como se puede apreciar, el certificado de la IF-IdentityCA pasa a formar parte de la cadena de confianza de BC. De
esta forma cualquier firma o cifrado de un documento que se
haga con un certificado emitido por la IF-Identity-CA podr
ser verificado por el BC.
Con esto se dispone de una confianza en el BC de
certificados emitidos por una SubCA determinada de cada IF.
Pero se quiere adems, que esta relacin de confianza tenga
lmites y que el BC tenga el poder de discriminar los
certificados que pueda emitir la IF. Esto se consigue utilizando
la caracterstica Name Constraint (RFC 5280), que consiste en
filtrar de acuerdo a la definicin explicita de las extensiones que
se aceptan en los certificados de IF, por ejemplo la extensin de
correo electrnico o nombre de dominio definido en el Asunto
o en el Nombre Alternativo (Subject Alternative Name). De
esta forma se tiene la flexibilidad que la IF emita los certificados
requeridos para uso de la aplicacin. Los controles definidos en
el trabajo son:
Correo electrnico de la persona tenga el dominio
corporativo de la IF.
El Campo Organizational Unit Name contenga uno de
los roles definidos en la aplicacin. Roles de
Operador y Autorizador
V.
PROCESO DE ENVO DE DATOS FINANCIEROS DE

FORMA SEGURA
En general las normativas de seguridad de los bancos

centrales requieren que las instituciones financieras sigan
lineamientos adecuados para proteger la informacin trasmitida
por medios electrnicos, por ejemplo: Banco Central de la
Repblica Argentina en su comunicacin 4609A [5] contiene en
el apartado 8.4 especficamente que establece los requerimientos
de la informacin a ser enviada de forma manual al BCRA se
debe realizar a travs de programas especficos, en archivos

independientes, con un adecuado esquema de seguridad,
controles de integridad y validez, y sin la posibilidad de
modificar la informacin generada en forma automatizada.
Adems, el uso de mecanismos de autenticacin de los usuarios
y de no repudio de las transacciones, tales como: certificados
digitales de usuarios, tarjetas inteligentes para el acceso. En
Honduras, la Comisin Nacional de Bancos y Seguros en la
CIRCULAR CNBS No.119/200 [6], pide al sistema financiero:
Las instituciones debern utilizar tecnologas que combinen la
identificacin y la autenticacin del usuario, con el objeto de
garantizar la confidencialidad e integridad de la informacin, el
no repudio del usuario, controlar los accesos de alto riesgo a los
sistemas de informacin
En este orden de ideas, se solicita a los alumnos a efectuar
una investigacin de las distintas normativas de banca central
que sean aplicables al caso de estudio.
De los requisitos analizados se desprende que las
instituciones financieras y banco central, al transmitir
informacin que est clasificada como confidencial, deben
asegurarse que la informacin enviada de forma electrnica,
cumple con un nivel de seguridad adecuado. BC debe asegurar
que procedan de una entidad de confianza, es decir, debe
asegurar la identidad de la persona de la IF que enva los
archivos con los datos financieros. Debe garantizar que los roles
definidos sean adecuados para la actividad a desarrollar en el
proceso de intercambio. Y que los datos llegan ntegros y de
manera confidencial.
Para lograr el cumplimiento de ste objetivo, las actividades
propuestas del proceso son:
El usuario Operador de IF debe firmar digitalmente

el archivo.
El usuario Autorizador de IF valida la firma
corresponde al usuario Operador, lo firma
digitalmente y lo cifra para su envo a BC.
IF enva la informacin por medio de un canal de
datos previamente acordado con BC.
El usuario Analista de BC descifra y comprueba las
firmas de los usuarios de la IF.
VI.
GUAS PRCTICAS
Las guas conducen a los alumnos en el anlisis de la
casustica, la construccin de la infraestructura y la ejecucin
del caso de uso.
Anlisis de los requerimientos y arquitectura propuesta:
El caso de uso se lleva a discusin con los alumnos, planteando
las posibilidades de los atributos de seguridad que pueden ser
utilizados en el manejo de la informacin, as como la
arquitectura de la solucin propuesta. Se discuten las ventajas
304
MILLA et al.:Intercambio seguro de datos
del S/MIME y CMS frente a otras alternativas como el uso de

GNUPG o simplemente el uso de VPNs.
Infraestructura PKI base: Primero con dos equipos Linux
virtualizados se establecen las PKIs de BC y de una IF. Ambas
PKIs son de tres niveles, una raz, una intermedia para
generacin de otras CAs y una operativa, esta ltima para la
emisin de certificados de usuarios final.
Confianza entre BC e IF: Una vez disponibles las
infraestructuras de cada entidad, se procede a la etapa de
establecimiento de confianza mediante la certificacin cruzada
de la CA operativa de la IF denominada IF Identity CA por
parte de BC. Para ello el alumno deber definir las polticas de
certificacin de acuerdo a lo requerido.
Certificados de usuario: En la IF el alumno genera los
certificados de los usuarios con los roles de Operador y
Autorizador. En BC el alumno genera el certificado del
usuario Analista.
Envo de datos financieros: El usuario Operador de IF
prepara la informacin con los datos financieros y procede a
firmarla digitalmente. Posteriormente el usuario Autorizador de
IF verifica la informacin y la firma del Operador, entonces
firma digitalmente los datos financieros y los cifra utilizando el
certificado digital del usuario Analista de BC.
Verificacin y toma de datos financieros: El Analista de
BC, descifra el archivo que contiene los datos financieros
utilizando su llave privada y posteriormente verifica la firma de
los usuarios Operador y Autorizador de IF, para ello recurre a la
jerarqua local de BC que incluye el certificado cruzado.
Estos casos son detallados en las siguientes guas:
Generacin de las jerarquas autoridad certificante raz,

intermedia y operativa de:
o BC
o IF
Generacin de certificados digitales cruzados entre la
autoridad certificante BC Identity CA e IF Identity CA
o Definicin de polticas Name Constraint
o Emisin del certificado cruzado
Generacin de los certificados digitales:
o Usuario Operador de IF
o Usuario Autorizador de IF
o Usuario Analista de BC
Firma digital del archivo con datos financieros utilizando
S/MIME y CMS:
o El usuario Operador de IF Firma el archivo
o El usuario Autorizador de IF verifica la firma del
usuario Operador utilizando su certificado digital
o El usuario Autorizador de IF Firma el archivo
Cifrado de archivos:
o El usuario Autorizador, cifra el archivo de datos
financieros utilizando el certificado digital del
usuario Analista de BC.
Envi del archivo de datos financieros desde IF hacia BC

o Uso del protocolo SSH para el envo
o Autenticacin en el servidor de BC utilizando el
certificado del usuario Autorizador
Descifrado del archivo de datos financieros
o El usuario Autorizador utiliza su llave privada para
descifrar el archivo.
o El usuario Autorizador BC utiliza el certificado de
los usuarios Operador y Autorizador de IF para
comprobar la firma digital
VII.
PAUTAS DIDCTICAS Y RESULTADOS
La tecnologa se aprende mejor en el uso en el laboratorio y

no slo leyendo o recibiendo una descripcin terica de cmo
debe hacerse. Por eso implementar un caso realista, es muy
importante al momento de motivar a los alumnos a que
profundice en el conocimiento y la prctica.
Las guas desarrolladas, son simples se pueden ejecutar en
un mdulo de la clase, esto permite intercambios de opiniones
entre los grupos y los docentes resolviendo las inquietudes que
se presenten.
Para simplificar y disminuir los tiempos de configuracin de
los laboratorios, se proporcionan entornos virtualizados basados
en Linux Debian. Permitiendo que la configuracin del entornos
se realice en periodos cortos, incluso por los mismos alumnos
antes de la clase.
El ejercicio consta de tres partes, en la primera se discute la
arquitectura de la solucin propuesta, en la segunda la ejecucin
de los pasos propuestos para armar la infraestructura, realizar el
envo de los datos financieros al BC y la verificacin y toma en
este ltimo. Y en la tercer parte el alumno debe completar un
cuestionario con el propsito de afianzar el conocimiento,
presentar alternativas y permitir la evaluacin correspondiente.
Se plantean desafos a resolver, como por ejemplo, proponer
controles al proceso que ayuden a fortalecer la seguridad de los
datos financieros. Adems, modificar el esquema para permitir
el envo de datos de BC a IF. Otro caso que se le plantea como
desafo, es el de reenviar la informacin financiera a un ente
contralor manteniendo la trazabilidad de punta a punta.
Las prcticas nos han permitido afianzar los conocimientos
brindados en las clases tericas, generando un ambiente
desafiante para el alumno. As mismo, de acuerdo a las
encuestas, los estudiantes manifiestan que el escenario planteado
facilita la comprensin y consolidar los conocimientos. Tambin
manifestaron que los laboratorios les aportan un enfoque
dirigido a mejorar sus conocimientos en relacin a la seguridad
de la informacin.
305
VIII.
CONCLUSIN
Este laboratorio permite a la catedra trabajar el concepto de

firma digital y cifrado de archivos utilizando las
especificaciones S/MIME y CMS, planteando de forma prctica
la temtica desarrollada en la materia Seguridad en Redes.
Dicho sistema fue usado y verificado con xito en nuestra
catedra, facilitando el proceso de aprendizaje de certificados
digitales, certificacin cruzada y las especificaciones S/MIME y
CMS. Hemos tenido una muy buena recepcin del material por
parte de los alumnos, quienes han sugerido cambios y mejoras.
Es muy importante recalcar que el material permite que los
estudiantes desarrollen las configuraciones de los laboratorios
en forma rpida y con buenos resultados. De esta forma
adquieren destrezas y competencias que les permiten
familiarizarse con los conceptos de certificados digitales que
hoy da son utilizados ampliamente por las organizaciones.
[11]
[12]
[13]
[14]
[15]
us/library/windows/desktop/bb540815(v=vs.85).aspx.
[Accessed 26 10 2012].
"Certificate Hierarchy," Microsoft Corporation, [Online].
Available: http://msdn.microsoft.com/enus/library/windows/desktop/bb931353(v=vs.85).aspx.
[Accessed 26 10 2012].
"Certificate Chain," Microsoft Corporation, [Online].
"Cross Certification," Microsoft Corporation, [Online].
K. Raina, PKI Security Solutions for the Enterprise,
Indianapolis, Indiana: Wiley Publishing, Inc., 2003.
R. Kuhn, V. C. Hu, T. Polk and S.-J. Chang, Introduction to
Public Key Technology and the Federal PKI Infrastructure
SP 800-32, National Institute of Standards and Technology,
2001, p. 15.
REFERENCIAS
[1] Internet Engineering Task Force (IETF),
"Secure/Multipurpose Internet Mail Extensions (S/MIME)
Version 3.2 Message Specification: RFC 5751," 01 2010.
[Online]. Available: https://tools.ietf.org/html/rfc5751.
[2] Internet Engineering Task Force (IETF), Network Working
Group , "Cryptographic Message Syntax (CMS); RFC
5652," 10 2009. [Online]. Available:
https://tools.ietf.org/html/rfc5652.
[3] Open SSL Project, "Open SSL Project," [Online].
Available: http://www.openssl.org/.
[4] G. Millan, "Infraestructuras de certificacion cruzada,"
Boletin de RedIRIS, vol. 71, no. Enero
http://www.rediris.es/difusion/publicaciones/boletin/7071/ponencia14.pdf, enero 2005.
[5] Banco Central de la Repblica Argentina, "Comunicacion
4609A," 27 12 2006. [Online]. Available:
http://www.bcra.gov.ar/pdfs/comytexord/A4609.pdf.
[6] Comisin Nacional de Bancos y Seguros, "CIRCULAR
CNBS No.119/2005," 22 11 2005. [Online]. Available:
http://www.cnbs.gob.hn/circulares/2005/C1192005.htm.
[7] "OpenSSL PKI Tutorial," [Online]. Available: http://pkitutorial.readthedocs.org/en/latest/simple/index.html.
[Accessed 26 10 2012].
[8] "Debian Project," [Online]. Available:
http://www.debian.org/.
[9] B. Komar, Windows Server 2008 PKI and Certificate
Security, Microsoft Press, 2008.
[10] "Trust Models," Microsoft Corporation, [Online].
Available: http://msdn.microsoft.com/en-
Edy Javier Milla, es Ingeniero en Ciencias de la

Computacin egresado de la Universidad
Catlica,
Honduras,
C.A.
Obtuvo
la
Especializacin en Seguridad Informtica de la
Universidad de Buenos Aires (UBA), Argentina y
es Auxiliar Docente en los Mdulos Seguridad en
Redes I y II de la carrera de Especializacin en Seguridad
Informtica de la UBA. Actualmente desempea el cargo de
Jefe de la Seccin de Sistemas y Telecomunicaciones en Banco
Central de Honduras. Adems, es miembro del Colegio de
Ingenieros Mecnicos, Electricistas y Qumicos de Honduras
(CIMEQH).
Alberto Dams, Se gradu en la FIUBA como
Ingeniero Electromecnico y obtuvo un Master in
Electronic Engineering de NUFFIC, se ha
desempeado en la industria y la enseanza.
Actualmente es Profesor Consulto Titular y est a
cargo de la Secretara Legal y Tcnica de la
FIUBA..
Hugo Pagola, es Ingeniero Electrnico de la
Universidad de Buenos Aires. Profesor de
Seguridad en Redes del Posgrado en Seguridad
Informtica de la misma universidad.
Sus reas de trabajo son: Seguridad en Redes,
Gestin de Identidades, RBAC, Autenticacin,
Esquemas de Federacin, Calidad de la Informacin.
306
307
308

ActasCIBSI TIBETS2015

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

ActasCIBSI TIBETS2015

Uploaded by

Copyright:

Available Formats

I

CIBSI 2015 - ECUADOR, NOVIEMBRE 2015

De igual forma, se han desarrollado mltiples iniciativas

As empresas del siglo XXI estn fundadas sobre la base

Jeimy J. Cano M., Universidad de los Andes/Universidad Santo Toms de

Bien anota Goodman [12, p.99] que mientras mayor

CANO et al.: MODELO PERFIL

se explican los tres principios bsicos del gobierno de la

las normas ISO), a travs de actividades concretas y

I. INCERTIDUMBRE, DEBILIDAD Y FALLAS: TRES PRINCIPIOS

Si entendemos que la seguridad de la informacin es un

Figura 1. Caractersticas de la gestin y el gobierno (Tomado de: [6])

Por tanto, si queremos movilizar la organizacin para

CIBSI 2015 - ECUADOR, NOVIEMBRE 2015

seguridad, sin perjuicio que, incorporar esta vista soportada en

Tabla 1. Seguridad de la Informacin Vs Inseguridad de la Informacin

La tabla anterior revela a la inseguridad de la informacin

CANO et al.: MODELO PERFIL

de la gestin de seguridad de la informacin.

imaginar situaciones retadoras para las supervivencia de la

Figura 2. Modelo PERIL (Autora propia)

El ejercicio de gobierno de seguridad de la informacin

La ventana AREM permite darle a una vista sistmica de

CIBSI 2015 - ECUADOR, NOVIEMBRE 2015

siempre orientadas en aquellos sistemas de informacin o

Este es un banco tradicional que en la actualidad mantiene

CANO et al.: MODELO PERFIL

El incidente se cierra bien con una investigacin que sea la

Con esta informacin, se documentan los posibles

CIBSI 2015 - ECUADOR, NOVIEMBRE 2015

que necesariamente impacta y renueva el imaginario de las

Figura 3. Comparacin Modelo Tradicional y PERIL (Autora propia)

que permite sospechar de manera permanente sobre la realidad

En este sentido, introducir la vulnerabilidad como fuente y

El autor agradece a los maestros Francisco Rivas Dueas y

CANO et al.: MODELO PERFIL

Gonzlez Manzano cuyos valiosos y generosos comentarios

lvarez, S (2012) Aprendiendo a perder. Las dos caras de la vida.

Jeimy J. Cano M. Ingeniero y Magster en Ingeniera de

CIBSI 2015 - ECUADOR, NOVIEMBRE 2015

Importancia de la Cultura de la Seguridad en las PYMES

Keyword Cybersecurity, Information Security Management

procedimientos necesarios para gestionar la seguridad de las

Santos-Olmo et. al.: Importancia de la seguridad en PYMES

los usuarios del sistema de informacin [19, 20]. En una

II. ESTADO DEL ARTE

de las actividades de la institucionalizacin); y ii) el

Figura 1. Marco de establecimiento de la cultura de seguridad.

CIBSI 2015 - ECUADOR, NOVIEMBRE 2015

Por ltimo, Detert [42] considera la cultura de la

Figura 2. Orientaciones de seguridad [34].

Aunque estudios recientes demuestran la preocupacin de

capacitacin y educacin [54, 55]. Sin embargo, esos marcos

Las PYMES ven el sistema de informacin como un

Santos-Olmo et. al.: Importancia de la seguridad en PYMES

los malos hbitos adquiridos, y ningn usuario quiere

Aprendizaje organizativo e individual: La cultura de

de educacin para los empleados individuales.

Figura 3. Marco para el desarrollo de la CS en la PYME [45].

Segn las investigaciones realizadas por Dojkovski [45],

Motivar a los propietarios para que asignen un

CIBSI 2015 - ECUADOR, NOVIEMBRE 2015

Este marco de trabajo est formado por los siguientes