Tema 1

Introducción a la seguridad en sistemas operativos

Esta unidad construye la base conceptual del curso. Se estudia por qué el sistema operativo es un objetivo crítico, qué activos protege, cuáles son sus superficies de exposición más comunes y qué principios técnicos permiten mantener la confidencialidad, integridad y disponibilidad de una plataforma.

Objetivo Comprender la base del problema
Enfoque Windows y Linux
Nivel Fundacional y técnico
Resultado Analizar riesgos del sistema con criterio

1.1 Por qué la seguridad del sistema operativo es tan importante

El sistema operativo ocupa una posición central dentro de cualquier entorno informático. Administra procesos, memoria, almacenamiento, usuarios, dispositivos, red, registros y mecanismos de autenticación. Si esa capa es comprometida, el atacante obtiene una posición privilegiada desde la cual puede observar, modificar o interrumpir gran parte de la actividad del equipo.

Por ese motivo, la seguridad del sistema operativo no es un detalle de configuración ni una tarea secundaria del administrador. Es una condición necesaria para que las aplicaciones, los datos y los servicios puedan operar de forma confiable. Cuando el sistema operativo falla desde el punto de vista de la seguridad, también fallan las demás capas que dependen de él.

Un sistema operativo seguro no es simplemente un sistema que no fue atacado todavía. Es un sistema configurado, mantenido y supervisado de manera que reduzca la probabilidad de compromiso y limite el impacto de una intrusión.

1.2 Qué se protege exactamente

Hablar de seguridad en sistemas operativos implica proteger varios elementos al mismo tiempo. No se trata solo de evitar que alguien "entre" al equipo. También importa impedir alteraciones indebidas, asegurar el funcionamiento continuo y preservar evidencia confiable para auditoría e investigación.

Activo Ejemplos Riesgos principales
Cuentas e identidades Usuarios locales, cuentas de servicio, administradores, claves SSH Robo de credenciales, privilegios excesivos, reutilización de contraseñas
Archivos y datos Documentos, bases de datos, logs, configuraciones, respaldos Lectura no autorizada, borrado, cifrado malicioso, alteración
Procesos y servicios Daemon de Linux, servicios de Windows, tareas programadas Ejecucion de codigo arbitrario, persistencia, abuso de servicios
Configuración del sistema Politicas, firewall local, permisos, arranque, registro Configuraciones inseguras, cambios no autorizados, desprotección
Disponibilidad operativa Servidor web, estaciones de trabajo, recursos compartidos Caidas, bloqueo de recursos, ransomware, corrupcion del sistema

1.3 Objetivos clásicos de seguridad aplicados al sistema operativo

La tríada de confidencialidad, integridad y disponibilidad sigue siendo el marco más útil para introducir el tema. Sin embargo, en sistemas operativos conviene aterrizarla a ejemplos concretos.

  • Confidencialidad: que solo los sujetos autorizados puedan acceder a archivos, secretos, credenciales, memoria sensible y configuraciones críticas.
  • Integridad: que binarios, librerías, configuraciones, registros y datos del sistema no sean alterados sin autorización ni sin dejar rastros.
  • Disponibilidad: que el equipo, los servicios y los recursos administrados por el sistema operativo permanezcan accesibles cuando se los necesita.

A estos principios suele agregarse la trazabilidad, es decir, la posibilidad de reconstruir qué sucedió, quién realizó una acción y en qué momento. Sin logs confiables y auditoría adecuada, un incidente puede ser contenido de manera incompleta o incluso pasar inadvertido.

1.4 El sistema operativo como capa de confianza

Las aplicaciones confían en el sistema operativo para muchas tareas de seguridad: validación de usuarios, separación entre procesos, control de acceso a archivos, protección de memoria, comunicación de red y registro de eventos. Esto significa que el sistema operativo actúa como una capa de confianza sobre la cual se apoya el resto del software.

Si un atacante obtiene privilegios elevados dentro del sistema, puede interceptar procesos, modificar ejecutables, capturar información, manipular logs o desactivar herramientas de defensa. En otras palabras, comprometer el sistema operativo equivale a comprometer la base sobre la que funciona el entorno entero.

1.5 Arquitectura básica: kernel, modo usuario y privilegios

Para entender la seguridad del sistema es indispensable distinguir entre niveles de privilegio. En la mayoría de los sistemas operativos modernos existen al menos dos grandes espacios de ejecución.

  • Kernel o núcleo: parte central del sistema, con acceso completo al hardware y a las funciones más sensibles.
  • Modo usuario: espacio donde se ejecutan aplicaciones y procesos con permisos más acotados.

Esta separación es una medida de seguridad fundamental. Busca que un error o abuso dentro de una aplicación no implique automáticamente el control total del sistema. Cuando la separación falla, por ejemplo por una vulnerabilidad de escalamiento de privilegios, el atacante puede pasar de una posición limitada a una posición con control casi total.

La seguridad del sistema operativo depende en gran medida de mantener fronteras claras entre usuarios, procesos y niveles de privilegio.

1.6 Autenticación, autorización y rendición de cuentas

Estas tres ideas aparecen una y otra vez a lo largo del curso:

  • Autenticación: verificar quién es el sujeto que intenta acceder al sistema.
  • Autorización: determinar a qué recursos puede acceder y qué acciones puede realizar.
  • Auditoría o rendición de cuentas: registrar acciones relevantes para poder atribuirlas.

Un sistema puede autenticar correctamente a un usuario y, aun así, estar mal protegido si la autorización es demasiado amplia. Del mismo modo, puede tener controles de acceso razonables pero carecer de evidencia suficiente para investigar un uso indebido. Por eso estos tres aspectos deben pensarse de forma conjunta.

1.7 Principales superficies de ataque en un sistema operativo

La superficie de ataque es el conjunto de puntos desde los cuales un actor puede intentar obtener acceso, ejecutar acciones no autorizadas o degradar el funcionamiento del sistema. En un sistema operativo típico, las superficies más relevantes incluyen:

  • Interfaces de inicio de sesión local o remota.
  • Servicios en ejecución y puertos expuestos.
  • Aplicaciones con privilegios elevados.
  • Archivos de configuración y permisos mal definidos.
  • Mecanismos de arranque y carga de controladores.
  • Tareas programadas, scripts de inicio y claves de persistencia.
  • Actualizaciones pendientes o software obsoleto.
  • Dispositivos extraíbles y periféricos no controlados.

La administración segura del sistema operativo consiste, en buena medida, en identificar estas superficies, reducir las innecesarias y reforzar las que deben permanecer habilitadas.

1.8 Riesgos característicos en Windows y Linux

Aunque Windows y Linux comparten varios principios generales, su administración, herramientas y patrones de despliegue suelen llevar a exposiciones distintas.

Plataforma Riesgos frecuentes Controles típicos
Windows Abuso de cuentas administrativas, macros maliciosas, servicios inseguros, configuraciones de dominio deficientes UAC, GPO, Defender, BitLocker, AppLocker, auditoría avanzada
Linux Permisos incorrectos, servicios innecesarios, claves SSH mal gestionadas, sudo mal configurado SELinux o AppArmor, sudo, firewall local, hardening de servicios, cifrado y logs

La diferencia de herramientas no cambia la idea central: cualquier sistema se vuelve vulnerable cuando acumula privilegios innecesarios, software expuesto, configuraciones por defecto o falta de mantenimiento operativo.

1.9 Amenazas que afectan directamente al sistema operativo

Los sistemas operativos pueden ser atacados por múltiples vías. Algunas amenazas son externas y otras se originan dentro de la organización o incluso en errores no intencionales.

  • Malware: troyanos, ransomware, spyware, rootkits y herramientas de acceso remoto.
  • Abuso de credenciales: fuerza bruta, reutilización, robo de sesiones, phishing y suplantación.
  • Explotación de vulnerabilidades: fallas en kernel, controladores, servicios o componentes del sistema.
  • Misconfigurations: puertos abiertos, permisos excesivos, cuentas sin control y políticas débiles.
  • Insiders: usuarios internos que abusan de sus privilegios o cometen errores críticos.
  • Ataques físicos: robo de equipos, acceso a discos, booteo desde medios externos o manipulación de hardware.

1.10 El principio de mínimo privilegio

Uno de los conceptos más importantes de toda la seguridad de sistemas operativos es el principio de mínimo privilegio. Establece que cada usuario, proceso o servicio debe contar solo con los permisos estrictamente necesarios para cumplir su función.

Su objetivo no es complicar el uso del sistema, sino limitar el impacto de errores, malware o abuso interno. Si una aplicación de uso diario corre con privilegios administrativos sin necesidad, cualquier vulnerabilidad en esa aplicación hereda un poder excesivo sobre el equipo.

Aplicar mínimo privilegio requiere disciplina operativa: separar cuentas normales de cuentas administrativas, revisar grupos privilegiados, restringir permisos sobre archivos y evitar la ejecución indiscriminada de software con privilegios elevados.

1.11 Hardening: endurecer antes de ser atacado

Hardening significa reducir la exposición del sistema mediante configuraciones seguras, desactivación de componentes innecesarios y fortalecimiento de controles preventivos. Es una práctica proactiva: no espera a que ocurra un incidente para actuar.

Entre las tareas clásicas de hardening se encuentran:

  • Deshabilitar servicios y cuentas que no se usan.
  • Cambiar configuraciones por defecto inseguras.
  • Aplicar políticas de contraseñas y autenticación reforzada.
  • Activar firewall local y limitar tráfico innecesario.
  • Restringir ejecución de software no autorizado.
  • Fortalecer permisos de archivos, logs y directorios sensibles.
  • Activar cifrado de discos o particiones cuando corresponda.
Hardening no significa llenar el sistema de restricciones arbitrarias. Significa quitar todo lo que no aporta valor operativo y reforzar lo que sí es necesario.

1.12 Actualizaciones y gestión de vulnerabilidades

El sistema operativo está compuesto por miles de componentes que evolucionan constantemente. Se corrigen errores funcionales, se incorporan mejoras de seguridad y se publican parches para fallas explotables. No aplicar esas actualizaciones deja al sistema expuesto a técnicas conocidas y, muchas veces, automatizables.

Sin embargo, parchear no es simplemente instalar todo de inmediato. Una gestión madura de vulnerabilidades incluye inventario, evaluación de criticidad, pruebas, priorización, ventanas de mantenimiento y verificación posterior. El objetivo es reducir riesgo sin comprometer estabilidad operativa.

1.13 Logs, monitoreo y capacidad de detección

Prevenir no alcanza. También es necesario detectar actividad anómala y poder reconstruir lo sucedido. Los registros del sistema operativo permiten observar eventos de autenticación, cambios de privilegios, arranque de servicios, errores de aplicación, accesos a archivos y otras acciones relevantes.

La utilidad real de los logs depende de tres condiciones:

  1. Que se registren eventos significativos.
  2. Que los registros estén protegidos contra alteración o borrado.
  3. Que alguien los revise o los integre a mecanismos de monitoreo.

Un sistema sin monitoreo efectivo puede estar comprometido durante semanas sin que nadie lo note, incluso si genera gran cantidad de eventos.

1.14 Seguridad en profundidad

No existe una única medida capaz de proteger por completo un sistema operativo. Por eso se aplica el enfoque de defensa en profundidad: combinar múltiples controles, de manera que la falla de uno no implique la caída total de la protección.

En un equipo bien administrado, pueden convivir controles como autenticación robusta, permisos estrictos, cifrado, hardening, firewall local, antimalware, monitoreo de eventos, copias de seguridad y segmentación de red. Cada capa reduce una parte del riesgo y agrega fricción al atacante.

1.15 Caso de ejemplo: de una mala configuración a un compromiso total

Supongamos un servidor con acceso remoto habilitado, una cuenta administrativa con contraseña débil y actualizaciones pendientes en un servicio expuesto. Ese escenario combina tres problemas: una superficie de ataque visible, autenticación débil y software vulnerable.

Un atacante puede identificar el servicio, intentar credenciales comunes o explotar la vulnerabilidad publicada. Si logra acceso inicial, buscará elevar privilegios, establecer persistencia, desactivar defensas y moverse hacia datos o sistemas de mayor valor. Lo importante del ejemplo es ver que el incidente no depende de una única falla, sino de una cadena de decisiones inseguras acumuladas.

1.16 Errores conceptuales frecuentes

  • Creer que instalar un antivirus equivale a asegurar el sistema.
  • Suponer que un sistema interno no necesita controles porque no está expuesto a Internet.
  • Pensar que los privilegios administrativos ahorran tiempo y no generan riesgo.
  • Confundir disponibilidad con rendimiento, dejando de lado la resiliencia ante incidentes.
  • Asumir que los logs existen para "mirarlos después" y no como parte del control cotidiano.

Corregir estos errores es parte de la madurez operativa. La seguridad del sistema operativo no depende solo de herramientas; depende también de criterios de administración consistentes.

1.17 Buenas prácticas iniciales que toda organización debería aplicar

  • Mantener inventario actualizado de equipos, versiones y roles del sistema.
  • Separar cuentas administrativas de cuentas de uso diario.
  • Aplicar actualizaciones con proceso controlado y regular.
  • Deshabilitar servicios y software que no se utilicen.
  • Definir políticas de contraseñas y, cuando sea posible, MFA.
  • Activar y centralizar logs relevantes.
  • Restringir el uso de medios extraíbles y software no autorizado.
  • Verificar respaldos y procedimientos de recuperación.

1.18 Modelo mental para analizar la seguridad de un sistema operativo

Ante cualquier equipo o servidor conviene responder estas preguntas:

  1. ¿Qué activos administra o contiene este sistema?
  2. ¿Quiénes pueden autenticarse y por qué medios?
  3. ¿Qué servicios están expuestos y cuáles son realmente necesarios?
  4. ¿Qué cuentas, procesos o aplicaciones poseen privilegios altos?
  5. ¿Qué controles existen para prevenir, detectar y responder?
  6. ¿Qué pasaría si el sistema fuera comprometido hoy?

Estas preguntas convierten la seguridad en una disciplina de análisis y gestión, no en una lista mecánica de herramientas instaladas.

1.19 Síntesis del tema

La seguridad en sistemas operativos estudia cómo proteger la capa que gobierna usuarios, procesos, archivos, servicios y recursos del equipo. Su importancia radica en que esa capa concentra privilegios y funciones críticas. Si es vulnerada, toda la plataforma queda expuesta.

Los conceptos centrales de esta introducción son claros: el sistema operativo protege activos valiosos, presenta superficies de ataque concretas, requiere autenticación y autorización adecuadas, debe aplicar mínimo privilegio y necesita controles preventivos, detectivos y correctivos. Sobre esta base se desarrollarán los demás temas del curso.

1.20 Conclusión

Comprender la seguridad del sistema operativo implica entender tanto su arquitectura como su administración cotidiana. No basta con saber que existen amenazas; hay que reconocer cómo se materializan sobre cuentas, servicios, permisos, procesos, arranque, software y configuraciones.

En el próximo tema se profundizará en las funciones del sistema operativo y en los objetivos concretos de seguridad que deben guiar su protección, para pasar de una visión general a una comprensión más estructural de lo que realmente hace esta capa fundamental.

Volver al índice