Guia en Espanol CSX Fundamentalspdf PDF

Fundamentos
de Ciberseguridad
GUÍA DE ESTUDIO
www.isaca.org/cyber
ISACA®
Con más de 115,000 miembros en 180 países, ISACA (www.isaca.org) ayuda a las empresas y a los lideres de TI a construir
la confianza en, y a obtener valor de la información y los sistemas de información. Establecida en 1969, ISACA es la fuente
confiable de conocimiento, normas, redes profesionales y desarrollo de los profesionales en auditoría de sistemas de la
información, aseguramiento, seguridad, riesgo, privacidad y gobierno corporativo. ISACA ofrece Cybersecurity NexusTM,
un conjunto completo de recursos para los profesionales de ciberseguridad, y COBIT®, un marco empresarial que ayuda a las
empresas a gobernar y gestionar su información y tecnología. ISACA también actualiza y valida el conocimiento y las habilidades
críticas para el negocio mediante las reconocidas certificaciones internacionales Certified Information Systems Auditor®
(CISA®), Certified Information Security Manager® (CISM®), Certified in the Governance of Enterprise IT® (CGEIT®) y
Certified in Risk and Information Systems ControlTM (CRISCTM). La asociación cuenta con más de 200 capítulos a nivel
mundial.
Declaración de Calidad
Este Trabajo ha sido traducido al español desde la versión en inglés de Cybersecurity Fundamentals Study Guide por el Capítulo
de Valencia de ISACA® con permiso de ISACA®. El capítulo de Valencia ISACA® asume responsabilidad única por la
exactitud y la fidelidad de la traducción.
Exoneración de responsabilidad
ISACA ha diseñado y creado la Guía de Estudio de Fundamentos de la Ciberseguridad, principalmente como un recurso educativo
para los
los profesionale
profesionaless en ciberseg
ciberseguridad.
uridad. ISACA no afirma
afirma,, declara
declara ni garanti
garantiza
za que el uso de esta
esta guía de estudio
estudio asegura
asegura un
resultado exitoso en cualquier examen de certificado o certificación. La guía de estudio fue creada de manera independiente del
examen de Fundamentos de la Ciberseguridad. Las copias de los exámenes actuales o anteriores no son liberadas al público, y no
se emplearon en la preparación de esta publicación.
Derechos Reservados
© 2015 ISACA. Todos los derechos reservados. Ninguna parte de esta publicación puede ser usada, copiada, reproducida,
modificada, distribuida, expuesta, almacenada en sistemas de recuperación de información, o transmitida en cualquier forma o por
cualquier medio (electrónico, mecánico, fotocopia, grabación o de otro modo), sin autorización previa por escrito de ISACA.
ISACA
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 USA
Phone: +1.847.253.1545
Fax: +1.847.253.1443
Email: info@isaca.org
Web site: www.isaca.org
Comentarios en: www.isaca.org/cyber-fundamentals-study-guide

Participe en el Centro de Conocimientos de ISACA: www.isaca.org/knowledge-center
Siga a ISACA en Twitter: https://twitter.com/ISACANews
Únase a ISACA en LinkedIn: ISACA (Oficial), http://linkd.in/ISACAOfficial
Siga a ISACA en Facebook: www.facebook.com/ISACAHQ
Guía de Estudio de Fundamentos de Ciberseguridad

ISBN 978-1-60420-663-0
ii Guía de Estudio de Fundamentos de la Ciberseguridad 2015

ISACA. Todos los derechos reservados.
Reconocimientos
RECONOCIMIENTOS
El desarrollo de la Guía de Estudio de Fundamentos de Ciberseguridad es
Ciberseguridad es el resultado del esfuerzo colectivo de
muchos voluntarios. Participaron miembros de ISACA de todo el mundo, ofreciendo generosamente su talento y
experiencia.
Revisores expertos
Orestes Balderas Zamora, CISA, Nielsen, México
Matthiew Morin, Analista, Stroz Friedberg, Estados Unidos
Ignacio Paredes, CISA, CISM, CRISC, Centro de Ciberseguridad Industrial, España
Jeffrey L. Roth, CISA, CGEIT, Nova Technologies, Estados Unidos
John Tannahill, CISM, CGEIT, CRISC, J. Tannahill & Associates, Canadá
Shay Zandani, CISA, CISM, CRISC, Cytegic, Israel
Equipo de Traducción ISACA Valencia

Alejandro Aracil Vicedo
Claudio Castro Núñez
Efren Arcesio Sanchez Javela
Ernesto Arnal Espigares
Fernando Méndez Erazo
Jaime Urrutia Carrasco
Javier Ferretjans Bibiloni
Jesus Soto
Jorge Serrano Rodríguez
Juan Manuel Madrid Molina
Julián Rodrigo Davis Toledo
Leonardo Vinett Herquiñigo
Manuel Abad Ortiz, CISA
Maurice Escartín Caroca
Maximiliano Alberto Rojas Hinrichsen
Óscar Silla
Pablo Caneo Gutiérrez
Pablo Idiaquez Rios
Rafael Sisternas
Roberto Soriano Doménech, CISM, CRISC, CISA, PMP, ISO27K, CSX, COBIT-F, PRINCE2-F, ITIL v3 F, SEIDOR
Sergio Molanphy
Vicente Sales Andrés
Víctor Ruiz Piera
Guía de Estudio de Fundamentos de la Ciberseguridad 2015 iii

Página dejada en blanco intencionadamente
iv Guía de Estudio de Fundamentos de la Ciberseguridad 2015

Tabla de Contenidos
CONTENIDO
RESUMEN EJECUTIVO ............................................................................................................................................. 1
SECCIÓN 1: INTRODUCCIÓN Y VISIÓN GENERAL DE LA CIBERSEGURIDAD .................................... 3

Tema 1—Introducción a la ciberseguridad............................................................................................................ 5
Tema 2—Diferencia entre seguridad de información y ciberseguridad ............................................................... 9
Tema 3—Objetivos de ciberseguridad ................................................................................................................ 11
Tema 4—Los roles en la ciberseguridad ............................................................................................................. 13
Tema 5—Los dominios de la ciberseguridad ...................................................................................................... 17
Sección 1—Evaluación de conocimientos........................................................................................................... 19
SECCIÓN 2: CONCEPTOS DE LA CIBERSEGURIDAD .................................................................................. 21

Tema 1—Riesgo ................................................................................................................................................... 23
Tema 2—Tipos y vectores comunes de ataque ................................................................................................... 27
Tema 3—Políticas y procedimientos ................................................................................................................... 33
Tema 4—Controles de ciberseguridad ................................................................................................................ 37
SECCIÓN 3: PRINCIPIOS DE ARQUITECTURA DE SEGURIDAD .............................................................. 41

Tema 1—Visión general de la arquitectura de seguridad ................................................................................... 43
Tema 2—El modelo OSI ...................................................................................................................................... 47
Tema 3—Defensa en profundidad ....................................................................................................................... 51
Tema 4—Firewalls ............................................................................................................................................... 53
Tema 5—Asilamiento y segmentación................................................................................................................ 59
Tema 6—Monitoreo, detección y registro ........................................................................................................... 61
Tema 7A— Fundamentos de cifrado................................................................................................................... 65
Tema 7B—Técnicas de cifrado ........................................................................................................................... 67
Tema 7C—Aplicaciones de cifrado..................................................................................................................... 73
SECCIÓN 4: SEGURIDAD DE REDES, SISTEMAS, APLICACIONES Y DATOS ...................................... 78

Tema 1—Controles de proceso—Evaluaciones del riesgo ................................................................................. 80
Tema 2—Controles de proceso—Gestión de la vulnerabilidad.......................................................................... 84
Tema 3—Controles de proceso—Pruebas de penetración .................................................................................. 86
Tema 4—Seguridad de la red............................................................................................................................... 88
Tema 5—Seguridad del sistema operativo .......................................................................................................... 97
Tema 6—Seguridad de las aplicaciones ............................................................................................................ 103
Tema 7—Seguridad de datos ............................................................................................................................. 109
Sección 4—Evaluación de conocimientos......................................................................................................... 113
SECCIÓN 5: RESPUESTA A INCIDENTES ....................................................................................................... 115

Tema 1—Evento vs. incidente ........................................................................................................................... 117
Tema 2—Respuesta a incidentes de seguridad .................................................................................................. 119
Tema 3—Investigaciones, retenciones legales y preservación ......................................................................... 123
Tema 4—Análisis forense ..................................................................................................................................125
Tema 5—Recuperación de desastres y planes de continuidad del negocio ...................................................... 129
Guía de Estudio de Fundamentos de la Ciberseguridad 2015 v

Tabla de Contenidos
SECCIÓN 6: IMPLICACIONES DE SEGURIDAD Y ADOPCIÓN DE LA TECNOLOGIA

EVOLUCIONADA .................................................................................................................................................... 135
Tema 1—Panorama actual de amenazas ........................................................................................................... 137
Tema 2—Amenazas persistentes avanzadas .....................................................................................................139
Tema 3—Tecnología móvil—Vulnerabilidades, amenazas y riesgos .............................................................. 145
Tema 4—Consumismo de TI y dispositivos móviles ....................................................................................... 149
Tema 5—La nube y la colaboración digital ...................................................................................................... 151
APÉNDICES ............................................................................................................................................................... 157

Anexo A—Declaración de conocimientos ........................................................................................................ 159
Anexo B—Glosario ............................................................................................................................................ 161
Anexo C—Respuestas de las Revisiones de Conocimientos ............................................................................187
Anexo D—Recursos Adicionales ...................................................................................................................... 193
vi Guía de Estudio de Fundamentos de la Ciberseguridad 2015

Resumen Ejecutivo
RESUMEN EJECUTIVO
GUÍA DE ESTUDIO DE FUNDAMENTOS DE CIBERSEGURIDAD
¿Por qué convertirse en un profesional de la ciberseguridad? La protección de la información es una función crítica
para todas las empresas. La ciberseguridad es un campo cada vez más amplio y cambiante, y es crucial que los
conceptos centrales que enmarcan y definen este campo sean entendidos por los profesionales que estén interesados
e involucrados en las implicaciones de seguridad de las tecnologías de la información (TI). La Guía de Estudio de
Fundamentos de Ciberseguridad está diseñada con este fin, así como para también dar una idea de la importancia
de la ciberseguridad, y el papel integral de los profesionales de la ciberseguridad. Esta guía abarca cinco áreas clave
de la ciberseguridad : 1) conceptos y definiciones básicas de la ciberseguridad, 2) principios de las arquitecturas de
seguridad, 3) seguridad de redes, sistemas, aplicaciones y datos , 4) respuesta a incidentes y 5) las implicaciones de
seguridad derivadas de la adopción de tecnologías emergentes.
Esta guía cubre los siguientes objetivos de aprendizaje:

• Comprender los conceptos y definiciones básicas de ciberseguridad
• Entender los principios de la gestión básica de riesgos y evaluación de riesgos relacionados con las amenazas de
ciberseguridad
• Aplicar los principios de las arquitecturas de seguridad
• Identificar los componentes de una arquitectura de seguridad
• Definir los conceptos de la arquitectura de seguridad de la red
• Comprender los conceptos y la metodología de análisis de software malintencionado (malware)
• Reconocer las metodologías y técnicas para la detección de intrusiones en servidores y redes, por medio de
tecnologías de detección de intrusión
• Identificar herramientas de evaluación de vulnerabilidades, incluyendo herramientas de código abierto y sus
capacidades
• Comprender el fortalecimiento de la seguridad del sistema
• Comprender los principios, herramientas y técnicas para pruebas de penetración
• Definir los principios, modelos, métodos y herramientas para gestión de sistemas de red
• Entender la tecnología de acceso remoto y los conceptos de administración de sistemas
• Distinguir, en sistemas y aplicaciones, la diferencia entre amenazas y vulnerabilidades de seguridad
• Reconocer los principios de gestión del ciclo de vida del sistema, incluyendo la seguridad y la usabilidad del
software
• Definir los tipos de incidentes (categorías, respuestas y períodos de tiempo para las respuestas)
• Describir la recuperación de desastres y la planificación de la continuidad del negocio
• Entender las metodologías para respuesta a incidentes, y manejo de los mismos
• Comprender las herramientas de correlación de eventos de seguridad, y cómo pueden utilizarse los diferentes tipos
de archivo para verificar comportamientos atípicos
• Reconocer las implicaciones de investigación de hardware, sistemas operativos y tecnologías de red
• Estar familiarizados con los conceptos básicos, prácticas, herramientas, tácticas, técnicas y procedimientos para el
procesamiento de datos forenses digitales
• Identificar los métodos de análisis de tráfico de red
• Reconocer la información y las tecnologías de información nuevas y emergentes
Guía de Estudio de Fundamentos de la Ciberseguridad 2015 1

Sección 1: Introducción y visión general de la Ciberseguridad
8 Guía de Estudio de Fundamentos de la Ciberseguridad 2015

TEMA 2—DIFERENCIA ENTRE SEGURIDAD DE

INFORMACIÓN Y CIBERSEGURIDAD
Los términos “ciberseguridad” y “seguridad de la información” comúnmente se usan de manera indistinta. Algunos
utilizan el término ciberseguridad como sinónimo de seguridad de la información, seguridad de TI y gestión de
riesgos de la información. Otros, sobre todo en los círculos gubernamentales, han adoptado definiciones más técnicas
relacionadas con la defensa nacional, incluyendo la ciberguerra y la protección de las infraestructuras críticas. Aunque
diferentes grupos tienden a adaptar la terminología para sus propios fines, hay algunas diferencias importantes entre la
ciberseguridad y la seguridad de la información
La seguridad de la información trata con la información, independientemente de su formato - incluye los documentos
en papel, propiedad digital e intelectual en las mentes de las personas, y las comunicaciones verbales o visuales. La
ciberseguridad, por otro lado, se ocupa de la protección de los activos digitales - todo, desde las redes al hardware y
la información que es procesada, almacenada o transportada a través los sistemas de información interconectados.
Además, conceptos tales como ataques patrocinados por naciones-estados y amenazas avanzadas persistentes (APTs)
pertenecen casi exclusivamente a la ciberseguridad. Es útil pensar en la ciberseguridad como un componente de la
seguridad de la información.
Por lo tanto, para eliminar la confusión, el término ciberseguridad se define en esta guía como la protección de
activos de información abordando las amenazas a la información procesada, almacenada y transportada a través de
los sistemas de información interconectados.
LA PROTECCIÓN DE ACTIVOS DIGITALES

En sus marcos de ciberseguridad, el Instituto Nacional de Estándares y Tecnología (NIST) y la Agencia para la
Seguridad de la Red y de la Información de la Unión Europea (ENISA) han identificado cinco funciones clave
necesarias para la protección de los activos digitales. Estas funciones coinciden con metodologías de gestión de
incidentes e incluyen las siguientes actividades:
• Identificar: Usar el entendimiento de la organización para minimizar el riesgo de los sistemas, activos, datos y
capacidades.
• Proteger: Diseñar salvaguardas para limitar el impacto de los eventos potenciales en servicios críticos e
infraestructura.
• Detectar: Implementar actividades para identificar la ocurrencia de un evento de ciberseguridad.
• Responder: Tomar las medidas adecuadas después de saber de un evento de seguridad.
• Recuperar: Planificar para tener resiliencia y recuperar de forma oportuna los servicios y capacidades
comprometidos.


Sección 1: Introducció
Introducción
n y visión general
general de la Ciberseguridad
Ciberseguridad

TEMA 5—LOS DOMINIOS DE LA CIBERSEGURIDAD

Los dominios de ciberseguridad cubiertos en esta guía son los siguientes:
• Conceptos de ciberseguridad
• Principios de arquitectura de seguridad
• Seguridad de redes, sistemas, aplicaciones y datos
• Respuesta a Incidentes
• Implicaciones de seguridad y la adopción de tecnología en evolución
CONCEPTOS DE CIBERSEGURIDAD
Este dominio proporciona discusión sobre conceptos críticos, tales como:
• Gestión básica de riesgos
• Vectores comunes de ataque y agentes de amenazas
• Los patrones y tipos de ataques
• Tipos de políticas y procedimientos de seguridad
• Procesos de control de ciberseguridad
Se abordan todos estos conceptos a la luz de cómo éstos influyen en las políticas de seguridad y los procedimientos
en materia de amenazas de ciberseguridad. Cada tema considera diversos enfoques con un foco en las mejores
prácticas
prácticas de
de seguridad
seguridad..
PRINCIPIOS DE ARQUITECTURA DE SEGURIDAD

Este dominio proporciona información que ayuda a los profesionales de la seguridad a identificar y aplicar los
principios
princ ipios de la arquit
arquitectur
ecturaa de seguri
seguridad.
dad. Discute
Discute una variedad
variedad de temas,
temas, incluy
incluyendo:
endo:
• Arquitectura e infraestructura comunes de seguridad y marcos de trabajo
• Topología del sistema y conceptos sobre perímetro de seguridad
• Cortafuegos (Firewall) y cifrado
• El aislamiento y la segmentación
• Métodos de monitorización, detección y registros de acceso
Estos temas se presentan con un enfoque en las mejores prácticas de seguridad. Se discuten varios tipos de
arquitecturas de seguridad para ilustrar la importancia de las capas de controles para lograr la defensa profunda.
SEGURIDAD DE REDES, SISTEMAS, APLICACIONES Y DATOS

Este dominio aborda técnicas básicas de securización del sistema y medidas de seguridad, incluyendo:
• Controles de Proceso
– Evaluaciones de riesgos
– Gestión de vulnerabilidad
– Pruebas de penetración
• Mejores prácticas para la seguridad de las redes, sistemas, aplicaciones y datos
– Amenazas y vulnerabilidades de seguridad en sistemas y aplicaciones
– Controles eficaces para la gestión de vulnerabilidades
Estas discusiones tienen como objetivo ayudar a los profesionales de la ciberseguridad a evaluar su tolerancia al
riesgo y responder apropiadamente a vulnerabilidades.

Sección 1: Introducció
Introducción
n y visión general
general de la Ciberseguridad
Ciberseguridad
RESPUESTA A INCIDENTES
En este dominio se articula la distinción fundamental entre un evento y un incidente. Más importante aún, se describe
las medidas necesarias al responder a un incidente de ciberseguridad. Al hacerlo, se tratan los siguientes temas:
• Categorías de incidentes
• Planes recuperación de desastres y de continuidad del negocio
• Pasos de respuesta a incidentes
• Ciencia forense y la preservación de las pruebas
Estas discusiones tienen por objetivo proporcionar a los profesionales principiantes el nivel de conocimientos
necesarios para responder a incidentes de ciberseguridad de manera competente.
IMPLICACIONES DE SEGURIDAD Y LA ADOPCIÓN DE TECNOLOGÍA EN EVOLUCIÓN

Este dominio describe el panorama de amenazas actual, incluyendo un análisis de las vulnerabilidades asociadas con
las siguientes tecnologías emergentes:
• Los dispositivos móviles
• Cómputo y almacenamiento en la nube
• Colaboración digital
Aunque el panorama de amenazas actual sigue evolucionando, esta sección destaca los desarrollos recientes que más
probablemente
probablemen te impactar
impactarán
án a los profesi
profesionales
onales de ciberseg
ciberseguridad
uridad.. Por ejempl
ejemplo,
o, discute
discute las implic
implicacione
acioness de traer
traer su
propio dispos
dispositivo
itivo (BYOD: del inglés
inglés Bring Your Own
Own device)
device) y señala el riesgo
riesgo present
presentado
ado por
por las aplica
aplicaciones
ciones
móviles y web. También hay una extensa discusión de los APTs y sus blancos más frecuentes.

SECCION 1—EVALUACIÓN DE CONOCIMIENTOS

1. Tres controles comunes que se utilizan para proteger la disponibilidad de información son:
a. Redundancia, copias de seguridad y controles de acceso.
b. Cifrado,
Cifrado, permi
permisos
sos de archi
archivos
vos y contro
controles
les de
de acceso.
acceso.
c. Controles de acceso, registro de acceso y firmas digitales.
d. Resúmenes criptográficos, registros de acceso y copias de seguridad.
2. Seleccione todas las que correspondan. El gobierno de la empresa tiene varios objetivos, entre ellos:
a. Proporcionar dirección estratégica.
b. Asegurar
Asegurar que se logran los objetiv
objetivos.
os.
c. Verificar que los recursos de la organización se están utilizando adecuadamente.
d. Dirigir y supervisar las actividades de seguridad.
e. Determinar si el riesgo se gestiona correctamente.
3. Elija tres. De acuerdo con el marco NIST, ¿cuáles de las siguientes se consideran funciones clave necesarias para
la protección de los activos digitales?
a. Cifrar
b. Proteger
Proteger
c. Investigar
d. Recuperar
e. Identificar
4. ¿Cuál de las siguientes es la mejor definición para la ciberseguridad?

a. El proceso por el cual una organización gestiona el riesgo de la ciberseguridad a un nivel aceptable
b. La protec
protección
ción de
de la inform
información
ación contra el acceso
acceso no
no autorizado
autorizado o divulgaci
divulgación
ón
c. La protección de los documentos en formato de papel o digital y propiedad intelectual, y las comunicaciones
verbales o visuales
d. La protección de los activos de información, abordando las amenazas a la información que se procesa, almacena
o transporta a través de sistemas de información interconectados
5. ¿Cuál de las siguientes funciones de ciberseguridad se encarga de la gestión y respuesta a los incidentes?
a. Junta Directiva
b. Comité
Comité Ejecuti
Ejecutivo
vo
c. Gestores de seguridad
d. Profesionales de la Ciberseguridad


Sección 2:
Conceptos de la
Ciberseguridad
Los temas cubiertos en esta sección incluyen:

1. Términos, conceptos y marcos de gestión de riesgos
2. Tipos y vectores comunes de ataque
3. Proceso general y atributos de los ciberataques
4. Malware
5. Marco de políticas y procedimientos y directrices
6. Procesos de control de la ciberseguridad

Sección 2: Conceptos de la ciberseguridad


TEMA 2—TIPOS Y VECTORES

VECTORES COMUNES DE ATAQUE
Debido a que los vectores y las metodologías de ataque siguen evolucionando, representan una amenaza significativa
del lado del cliente. Aunque algunos ataques se hacen al azar sin ningún objetivo particular en mente, también están
los ataques dirigidos contra destinatarios que se han investigado e identificado como útiles por los atacantes. Los
ataques de phishing a menudo se dirigen a los destinatarios que tienen acceso a datos o sistemas a los que el atacante
desea obtener acceso. En otros casos, el malware se despliega en ataques generalizados con la esperanza de que llegará
a tantos sistemas vulnerables como sea posible, aunque estas situaciones no se asemejan a los “ciberataques”. Más
bien, un ciberata
ciberataque
que es un ataque
ataque bien
bien definido,
definido, avanza
avanzado,
do, dirigido
dirigido que es sigilo
sigiloso
so y que tiene
tiene una
una misión
misión que
que no va
va a
dejar de intentar lograr hasta que sea identificado y mitigado o bien tenga éxito. En el panorama actual de amenazas,
han surgido una serie de agentes de amenaza y distintos patrones de ataque. Es esencial para los profesionales de la
ciberseguridad poder identificar estas amenazas con el fin de gestionarlas adecuadamente.
AGENTES DE AMENAZA
No es de extrañar
extrañar que haya
haya muchos
muchos tipos
tipos de atacantes
atacantes en el panora
panorama
ma actual
actual de amena
amenazas.
zas. ENISA
ENISA ha identi
identificad
ficadoo
agentes de amenaza, que se muestran en la figura 2.2.
Figura 2.2: Agentes de amenaza en ciberseguridad
Corporaciones —Se laslas conoce

conoce por
por romper
romper los
los límites
límites de seguridad
seguridad y realizar
realizar actos malic
maliciosos
iosos para obtener
obtener una
ventaja competitiva.
Estados nacionales —Los estados

estados nacion
nacionales
ales a menudo se focaliza
focalizann en gobier
gobiernos
nos y entida
entidades
des privadas
privadas con un alto
nivel de sofisticación para obtener inteligencia o llevar a cabo otras actividades destructivas.
Hacktivistas —A pesar
pesar de que a menudo actúan de forma
forma independ
independiente,
iente, los hackers
hackers con motivac
motivaciones
iones polít
políticas
icas
pueden tener como objeti
objetivo
vo personas
personas u organizac
organizaciones
iones especí
específicas
ficas para lograr divers
diversos
os fines
fines ideológi
ideológicos.
cos.
Ciber terroristas —Se caracte

caracterizan
rizan por su
su disposici
disposición
ón a usar
usar la
la violencia
violencia para lograr
lograr sus objetiv
objetivos,
os, con
con frecuenci
frecuenciaa
los ciber terroristas se dirigen a infraestructuras críticas y grupos gubernamentales.

Cibercriminales —Motiv
—Motivado
adoss por
por el afá
afánn de
de lucr
lucro,
o, est
estos
os ind
indivi
ividuo
duoss está
estánn invo
involuc
lucrad
rados
os en las tra
transa
nsacci
ccione
oness fina
financi
nciera
erass
fraudulentas.
Ciberguerreros —A
—A menudo
menudo comparad
comparadosos con hackti
hacktivistas
vistas,, los ciber
ciberguerre
guerreros,
ros, tambi
también
én conocidos
conocidos como
cibercombatient, son ciudadanos motivados a nivel nacional que pueden actuar en nombre de un partido político o en
contra de otro partido político que los amenaza.
Script Kiddies —Los script

script kiddie
kiddiess son person
personas
as jóvenes
jóvenes que están
están aprendie
aprendiendo
ndo a hackea
hackear;
r; suelen
suelen trabaja
trabajarr solos
solos o
con otros y están involucrados principalmente en inyecciones de código y los ataques distribuidos de denegación de
servicio (DDoS).
Hackers Sociales —Cuali
—Cualificad
ficados
os en la ingenier
ingeniería
ía social,
social, estos ataca
atacantes
ntes están
están frecue
frecuenteme
ntemente
nte implicad
implicados
os en el
ciberacoso, robo de identidad y la recolección de otra información confidencial o de credenciales.
Empleados —A
—A pesar
pesar de que suelen
suelen tener método
métodoss y herrami
herramientas
entas de bajo
bajo nivel
nivel tecnológi
tecnológico,
co, los
los empleados
empleados
insatisfechos actuales o antiguos representan un riesgo de ciberseguridad clara. Todos estos ataques son conflictivos,
pero algunos no están
están relacion
relacionados
ados con
con los cibera
ciberataques
taques APT.
ATRIBUTOS DEL ATAQUE

Mientras que el riesgo se mide por su daño potencial, un ataque es la ocurrencia real de una amenaza. Más
específicamente, un ataque es una actividad realizada por un agente de amenaza (o adversario) contra un activo.
Desde el punto de vista de un atacante, el activo es un objetivo, y el camino o ruta utilizada para acceder a la meta
(activo) se conoce como un vector de ataque. Hay dos tipos de vectores de ataque: de entrada y de salida (también
conocido como exfiltración de datos). Mientras la mayoría de los análisis de ataque se concentran en los de entrada, o
intrusión, en los sistemas, algunos ataques están diseñados para eliminar los datos de los sistemas y redes. Por tanto,
es importante tener en cuenta los dos tipos de vectores de ataque.
El atacante debe enfrentarse a cualquiera de los controles implantados y/o utilizar un código para explotar debilidades
(exploit) para aprovechar una vulnerabilidad. Otro atributo de un ataque es el mecanismo de ataque, o el método
utilizado para entregar el exploit. A menos que el atacante esté llevando a cabo personalmente el ataque, el mecanismo
de ataque puede implicar un payload, o contenedor, que entrega el exploit al objetivo. Los atributos de un ataque se
muestran en la figura 2.3.
Figura 2.3: Atributos del ataque
El análisis detallado de los ciberataques requiere de un gran conocimiento en cuestiones técnicas y sobre la materia y
es una parte importante de la ciberseguridad. Cada uno de los atributos de ataque (vector de ataque, payload, exploit,
vulnerabilidad, destino y, en su caso, datos de salida) proporciona puntos únicos donde los controles para prevenir
o detectar el ataque pueden ser ubicados. También es importante entender cada uno de estos atributos durante el
análisis y la investigación de un ataque real. Por ejemplo, el payload utilizado para entregar el exploit, a menudo
deja artefactos o evidencias que pueden ser utilizados por los analistas e investigadores técnicos para entender el
ataque y posibilitar la identificación de los autores. El análisis de la ruta de la exfiltración de datos puede identificar
oportunidades adicionales para prevenir o detectar la eliminación de los datos u obtener evidencias, incluso si el
ataque fue capaz de conseguir su objetivo.
5
MITRE, Common Attack Pattern Enumeration and Classification (CAPEC) , Febrero 2014, http://capec.mitre.org/
2014, http://capec.mitre.org/
Los ataques pueden ser analizados y clasificados en función de su tipo y los patrones de uso. A partir de estas
características, es posible hacer generalizaciones que faciliten un mejor diseño y controles. Hay dos grandes
categorías de eventos de amenaza: con confrontación y sin confrontación. Un evento de amenaza con
confrontación lo realiza un agente de amenaza humano (o adversario), mientras que un evento de amenaza sin
confrontación es normalmente el resultado de un error, un mal funcionamiento o un percance de cualquier tipo. 5
PROCESO DE ATAQUE GENERALIZADO

Mientras que cada ataque es diferente, la mayoría de los eventos de amenaza de confrontación siguen un proceso
común, como se muestra en la figura 2.4 y se describe a continuación.
Figura 2.4: Proceso en amenazas de confrontación
1. Realizar reconocimiento: El adversario recoge información

información usando una variedad de técnicas,
técnicas, las cuales pueden
incluir:
• Búsqueda (sniffing) o escaneo del perímetro de la red
• Uso de información de la organización de libre acceso
• Ejecución de software malintencionado (malware) para identificar objetivos potenciales
2. Crear herramientas de ataque: El adversario diseña las herramientas necesarias para llevar a cabo un futuro
ataque, que pueden incluir:
• Phishing o ataques selectivos de phishing
• Diseño de sitios web o certificados fraudulentos
• Creación y operación de falsas organizaciones pantalla para inyectar componentes maliciosos en la cadena de
suministro
3. Entrega de funciones maliciosas: El adversario inserta o instala lo que sea necesario para llevar a cabo el ataque,
lo cual puede incluir las siguientes tácticas:
• La introducción de malware en los sistemas de información de la organización
• La colocación de individuos subvertidos en posiciones privilegiadas dentro de la organización
• La instalación de sniffers o dispositivos de escaneo en redes y sistemas objetivo
• Introducir hardware o componentes críticos manipulados en los sistemas de organización o en las cadenas de
suministro
4. Explotar debilidades y comprometer: El adversario se aprovecha de la información y los sistemas

sistemas con el fin de
comprometerlos, lo que puede implicar las siguientes acciones:
• Split tunneling o conseguir acceso físico a las instalaciones de la organización
• La filtración de datos o información sensible
• Abuso de la capacidad multiusuario en un entorno de nube
• Inicio de exploits de día cero
5. Dirigir un ataque: El adversario coordina las herramientas de ataque o realiza realiza actividades que interfieran con las
funciones organizativas. Los métodos potenciales de ataque incluyen:
• Interceptación de comunicaciones o interferencia inalámbrica
• Ataques de denegación de servicio (DoS) o ataques distribuidos de denegación de servicio (DDoS)
• Interferencias a distancia o ataques físicos a las instalaciones o infraestructuras de la organización
• Secuestro de sesión o ataque de “hombre en el medio”
6. Obtención de resultados: El adversario causa un impacto

impacto adverso, que puede incluir:
incluir:
• Obtener acceso no autorizado a sistemas y/o información sensible
• La degradación de los servicios o capacidades de la organización
• Crear, corromper o borrar datos críticos

7. Mantener una presencia o un conjunto de capacidades: El adversario continua aprovechándose de exploits y

poniendo en peligro el sistema mediante las siguientes técnicas:
• Ofuscando las acciones de adversario o interfiriendo con los sistemas de detección de intrusos (IDS)
• Adaptando los ciberataques en respuesta a las medidas de seguridad de la organización
8. Coordinar una campana: El adversario coordina una campaña contra la organización que puede implicar las
siguientes medidas:
• Ataques de múltiples etapas
• Ataques internos y externos
• Ataques generalizados y adaptados
EVENTOS DE AMENAZA SIN CONFRONTACIÓN

Aunque la mayoría de los ataques son el resultado de un esfuerzo coordinado, hay otros eventos que pueden plantear
varios riesgos para una organización. Algunos de los eventos de amenazas sin confrontación más comunes son:
• Un mal manejo de la información crítica o sensible por usuarios autorizados
• Configuración incorrecta de privilegios
• Incendio, inundación, huracán, tormentas o terremotos en las instalaciones primarias o en las de respaldo
• Inclusión de vulnerabilidades en productos de software
• Errores genéricos de disco u otros problemas causados por la antigüedad de los equipos
MALWARE Y TIPOS DE ATAQUE6

Malware, también llamado código malicioso, es el software diseñado para tener acceso a sistemas informáticos
específicos, robar información o interrumpir las operaciones informáticas. Hay varios tipos de malware, siendo los
más importantes virus informáticos, gusanos y troyanos, que se diferencian por la forma en que operan o se extienden.
Un reciente ejemplo de la capacidad del malware para funcionar como una herramienta de ciberespionaje es Flame,
también conocido como Flamer y Skywiper. Descubierto en 2012, puede registrar la actividad del teclado y el
tráfico de la red, así como capturas de pantalla, comunicaciones de audio y video como Skype. Una vez recolectada,
la información registrada se envía a varios servidores de control, y un “kill command” es puesto en marcha para
eliminar todo rastro del malware de la computadora.
El gusano informático conocido como Stuxnet destaca el potencial del malware para interrumpir los sistemas de control
de supervisión y de adquisición de datos (SCADA) y los controladores lógicos programables (PLC), normalmente
utilizados para automatizar los procesos mecánicos en las fábricas o plantas de energía. Descubierto en 2010,
Stuxnet se utilizó para comprometer los sistemas y el software del Programa Nuclear Iraní. Tiene tres componentes:
1. Un gusano que lleva a cabo las rutinas relacionadas con el payload
2. Un link file que propaga copias del gusano
3. Un rootkit que oculta los procesos maliciosos para evitar ser detectado
Otros tipos comunes de malware incluyen

Los virus —Un virus informático es un trozo de código que puede replicarse a sí mismo y propagarse de un
ordenador a otro. Se requiere intervenirlo o ejecutarlo para replicarse y/o causar daños.
Gusano de red —Una variante del virus informático, que es básicamente una pieza de código auto-replicante
diseñado para propagarse a través de las redes. No se requiere intervención o su ejecución para que se replique.
Troyanos —Otra categoría de malware es el troyano, que es una pieza de malware que obtiene acceso a un sistema
objetivo al esconderse dentro de una aplicación real. Los troyanos suelen dividirse en categorías que reflejan sus
propósitos.
Red de computadoras infectadas con código malicioso (Botnet) —Un botnet (un término derivado de “robot
network”) es una red grande, automatizada y distribuida de ordenadores previamente comprometidos que pueden ser
6
ISACA, Advanced Persistent Threats: How to Manage the Risk to Your Business, EEUU, 2013
controlados simultáneamente para lanzar ataques a gran escala tales como denegación de servicio (DoS).
previously compromised computers that can be simultaneously controlled to launch large-scale attacks such as
denial-of-service (DoS).
Un número de otros términos también se utilizan para describir los tipos más específicos de malware, que se
caracterizan por sus efectos. Estos incluyen:
Software espía (spyware) —Una clase de malware que recopila información sobre una persona u organización sin el
conocimiento de dicha persona u organización.
Sistemas de publicidad (adware) —Diseñado para mostrar anuncios (generalmente no deseados) a los usuarios.
Software maligno de petición de rescate (Ransomware) —Una tipo de malware de extorsión que bloquea o
codifica los datos o funciones y exige un pago para desbloquearlos.
Software de registro de tecleado (Keylogger) —Una clase de malware que registra en secreto las pulsaciones de
teclado de los usuarios y, en algunos casos, el contenido de la pantalla.
Rootkit —Una clase de malware que oculta la existencia de otro tipo de malware mediante la modificación del sistema
operativo subyacente.
OTROS TIPOS DE ATAQUE

Además del malware, hay muchos otros tipos de ataques. La Corporación MITRE publica un catálogo de patrones de
ataque conocidos como Enumeración y Clasificación de Patrones de Ataque Común (CAPEC) como “un mecanismo
de abstracción para ayudar a describir cómo se ejecuta un ataque contra los sistemas o redes vulnerables.” Algunos
de los patrones de ataque más comunes se enumeran a continuación.
Amenazas persistentes avanzadas —Ataques complejos y coordinados dirigidos a una entidad u organización

específica. Requieren una enorme cantidad de investigación y tiempo, a menudo les toma meses o incluso años para
ejecutarse plenamente.
Puerta trasera —Un medio de recuperar el acceso a un sistema comprometido mediante la instalación de software o
la configuración de software existente para permitir el acceso remoto bajo condiciones definidas por el atacante.
Ataque de fuerza bruta —Un ataque realizado al intentar todas las combinaciones posibles de contraseñas o claves
de cifrado hasta encontrar la correcta.
Desbordamiento de buffer (Buffer overflow) —Se produce cuando un programa o proceso intenta almacenar más
datos en un buffer (área de almacenamiento temporal de datos) de lo que se tenía la intención de mantener. Ya que
los buffers son creados para contener una cantidad limitada de datos, la información adicional -que tiene que ir a
alguna parte- puede desbordar en buffers adyacentes, corrompiendo o sobrescribiendo los datos válidos que contengan.
Aunque puede ocurrir accidentalmente por error de programación, el desbordamiento de buffer es un tipo cada vez
más común de ataque a la seguridad en la integridad de los datos. En los ataques de desbordamiento de buffer, los
datos adicionales pueden contener códigos de tipo de ataque a la seguridad en la integridad de los datos.
Cross-site scripting (XSS) —Un tipo de inyección en el que scripts (secuencias de comandos) maliciosos se
inyectan en los sitios web benignos y de confianza. Los ataques XSS ocurren cuando un atacante utiliza una
aplicación web para enviar código malicioso, generalmente en forma de script desde el navegador, a un usuario final
distinto. Los defectos que permiten que estos ataques tengan éxito son bastante generalizados y se producen siempre
que una aplicación web utilice la entrada (input) de un usuario dentro de la salida (output) que genera sin validarla o
codificarla.

Ataque de denegación de servicio (DoS) —Un asalto a un servicio de una sola fuente que lo inunda con tantas
solicitudes que éste se ve abrumado y bien se para por completo o funciona a una tasa reducida de manera significativa.
Ataque de “hombre en el medio” —Una estrategia de ataque en la que el atacante intercepta el flujo de

comunicación entre dos partes del sistema de la víctima y luego reemplaza el tráfico entre los dos componentes con
los propios, para finalmente asumir el control de la comunicación.
Ingeniería social —Cualquier intento de explotar las vulnerabilidades sociales para tener acceso a la información y/o
sistemas. Se trata de una “estafa” que engaña a otros para divulgar información o abrir software o programas maliciosos.
Phishing —Un tipo de ataque vía correo electrónico (e-mail) que intenta convencer a un usuario de que el origen es
genuino, pero con la intención de obtener información para su uso en ingeniería social.
Phishing de ingeniería social (Spear phishing) —AUn ataque donde se utilizan técnicas de ingeniería social para
hacerse pasar por una entidad de confianza para obtener información importante, como contraseñas de la víctima.
Spoofing —Falsificación de la dirección de envío de una transmisión con el fin de obtener la entrada ilegal a un
sistema seguro.
Inyección de SQL —De acuerdo con MITRE, la inyección de SQL resulta de un fallo de la aplicación para validar
adecuadamente la entrada (input). Cuando se diseñan entradas de usuario como parte de la sintaxis SQL y se utilizan
sin la adecuada validación como parte de las consultas SQL, es posible obtener información de la base de datos de
manera no prevista durante el diseño de la aplicación.
Exploit de día cero —Una vulnerabilidad que se explota antes de que el creador/proveedor del software sea
consciente de su existencia.

Sección 3: Principios de Arquitectura de Seguridad
TEMA 1—VISIÓN GENERAL DE LA ARQUITECTURA DE

SEGURIDAD
La arquitectura de seguridad describe la estructura, los componentes, las conexiones y el diseño de los controles
de seguridad dentro de la infraestructura de TI de una organización. Las organizaciones tienen diferentes tipos de
arquitecturas de seguridad que determinan las particularidades de diferentes subsistemas, productos y aplicaciones.
Estos datos, a su vez influirán en el enfoque de una organización para la defensa en profundidad, o la práctica de
múltiples capas de defensa para proporcionar una protección añadida.
La arquitectura de seguridad muestra cómo se implementa la defensa en profundidad, así como cómo se vinculan las
capas de control. Por lo tanto, es esencial para el diseño y la implementación de controles de seguridad en cualquier
entorno complejo.
Cada componente de un sistema dado plantea su propio riesgo de seguridad. Debido a que la topología de la
arquitectura de seguridad varía de una organización a otra, hay una serie de diferentes variables y riesgo a tener
en cuenta al abordar la topología de una organización en particular. Esta sección discutirá dichas variables
individualmente, junto con las mejores prácticas para gestionar exitosamente su riesgo.
LA ORGANIZACIÓN VIRTUAL
La externalización (outsourcing), tanto dentro como fuera de la organización, es cada vez más común a medida que las
empresas se centran en las competencias básicas y en formas de reducir costes. Desde el punto de vista de seguridad de
la información, estos acuerdos pueden presentar riesgos que pueden ser difíciles de cuantificar y potencialmente difíciles
de mitigar. Por lo general, los recursos y las habilidades de las funciones externalizadas se pierden para la organización,
lo que a su vez presentará un conjunto de riesgos. Los proveedores pueden operar en diferentes estándares y pueden
ser difíciles de controlar. La estrategia de seguridad debe tener en cuenta los servicios de seguridad externalizados
cuidadosamente para asegurarse de que no son un único punto crítico de fallo o de que hay un plan de respaldo viable en
el caso de un fallo del proveedor de servicios. 13
Gran parte del riesgo que representa la externalización también puede materializarse como resultado de las fusiones y
las adquisiciones. Por lo general, diferencias significativas en la cultura, los sistemas, la tecnología y las operaciones
entre las partes presentan una serie de desafíos de seguridad que deben ser identificados y abordados. A menudo, en
estas situaciones, la seguridad es una idea de último momento y el gerente de seguridad debe esforzarse por lograr
una presencia en estas actividades y evaluar el riesgo para la consideración de la gestión. 14
EL PERIMETRO DE SEGURIDAD
Muchos controles y arquitecturas de seguridad actuales se desarrollaron con el concepto de una frontera perimetral, bien
definida, (si es virtual en su mayoría) entre la organización y el mundo exterior. En estos modelos de ciberseguridad,
el foco está centrado en la red o sistema. En el modelo centrado en el sistema, el énfasis está en la colocación de los
controles a nivel de red y del sistema para proteger la información almacenada en su interior. Un modelo alternativo es
el centrado en los datos, que hace hincapié en la protección de datos, independientemente de su ubicación.
Con la llegada del Internet, la externalización, los dispositivos móviles, la nube y otros servicios alojados,
el perímetro se ha ampliado considerablemente. En consecuencia, existen nuevos riesgos y vulnerabilidades
significativas que enfrentar en este entorno hiperconectado y extendido. El perímetro es, pues, una importante línea
de defensa que protege a la empresa contra amenazas externas, y su diseño debe reflejar una actitud proactiva hacia
la prevención de riesgo potencial.
ISACA, CISM Manual de Revisión 2015, USA

13
Ibid .
14

Un componente importante de la seguridad perimetral es el perímetro de internet. Este perímetro garantiza un acceso
seguro a internet para los empleados de la empresa y los usuarios visitantes que residen en todos los lugares, incluidos
los que participan en el teletrabajo o trabajo a distancia. Con el fin de garantizar la seguridad del correo electrónico,
los teléfonos IP y las aplicaciones web, el sistema de nombres de dominio (DNS), etc., el perímetro de Internet debe:
• Establecer el tráfico entre la empresa e internet
• Evitar que archivos ejecutables se transfieran a través de adjuntos de correo electrónico o respuestas HTTP
• Monitorizar los puertos de red para detectar actividad fraudulenta
• Detectar y bloquear el tráfico de los puntos finales internos infectados
• Controlar el tráfico de usuarios con destino hacia internet
• Identificar y bloquear el tráfico anómalo y paquetes maliciosos reconocidos como potenciales ataques
• Eliminar las amenazas como el spam de correo electrónico, virus y gusanos
• Hacer cumplir las políticas de filtrado para bloquear el acceso a sitios web que contengan malware o contenido
cuestionable
El perímetro también debe proporcionar protección para redes privadas virtuales (VPN), redes de área amplia
(WAN) y redes de área local inalámbricas (WLAN).
Para las VPN, esta protección debe ser triple:

1. Finalizar el tráfico VPN desde usuarios remotos
2. Proporcionar un concentrador (hub) para la terminación del tráfico VPN desde sitios remotos
3. Finalizar usuarios tradicionales de marcación de entrada
El tráfico VPN se filtra primero en el punto de salida a las direcciones IP específicas y protocolos que forman parte
del servicio de VPN. Un usuario remoto sólo se puede acceder después de haber sido autenticado.
Para las WAN, la seguridad es proporcionada por las características del sistema de entrada/salida (IOS). El tráfico no
deseado puede ser bloqueado de la rama remota mediante listas de acceso de entrada, y la suplantación de IP puede
ser mitigada mediante el filtrado L3. Las organizaciones que están muy preocupadas por la privacidad pueden elegir
cifrar el tráfico en sus enlaces WAN.
INTERDEPENDENCIAS
Como se mencionó anteriormente, las arquitecturas de TI modernas suelen ser descentralizadas y sin perímetro.
Esto incluye un número creciente de plataformas y servicios basados en la nube, así como un cambio en el cálculo
de los patrones de alimentación y utilización hacia los dispositivos móviles inteligentes, tales como las tabletas o los
teléfonos inteligentes. Como consecuencia, tanto el número de posibles objetivos de ataque fuera de los límites de la
organización y el número de vectores de ataque han crecido. Por el contrario, el grado de control sobre los entornos
sin perímetro se ha reducido significativamente, sobre todo en las empresas que permiten la integración parcial o
total de los dispositivos móviles de propiedad de los usuarios (es decir, traer su propio dispositivo [BYOD]). Estos
cambios tienen consecuencias importantes para la arquitectura de seguridad.
En las arquitecturas de TI distribuidas y descentralizadas, es probable que aumente el riesgo de terceros, a menudo
como una función del movimiento de aplicaciones críticas, plataformas y elementos de infraestructura en la nube.
Para las plataformas, la infraestructura de almacenamiento y los repositorios de datos basados en la nube, el enfoque
de la ciberseguridad se está desplazando hacia los contratos y acuerdos de nivel de servicio (SLA). Al mismo
tiempo, los proveedores de servicios en la nube se enfrentan a un mayor riesgo de ataques y violaciones debido a la
aglomeración y la agrupación de los datos e información sensibles. Además de las preocupaciones sobre los servicios
de terceros, existe un riesgo legal significativo. Las empresas que experimentan una pérdida de datos sensibles
pueden no estar en condiciones de interponer un recurso contra los autores porque el proveedor en la nube a menudo
tiene que iniciar una acción legal.

Independientemente de las medidas de seguridad de información genéricas llevadas a cabo por una empresa, a
menudo hay áreas expuestas dentro de las arquitecturas de TI. El ciber crimen y los perpetradores de la ciberguerra
siguen apuntando a los “puntos débiles” en los elementos y sistemas de la arquitectura. En contraste con los ataques
indiscriminados y oportunistas, las APTs y el ciber crimen siempre se basan en la investigación preparatoria y una
visión de la empresa objetivo. Esto, a su vez, eleva el nivel de exposición de partes débiles o sin seguridad de la
arquitectura general. Estos puntos vulnerables incluyen sistemas heredados, partes sin parches en la arquitectura, el
uso de “doble personalidad” de los dispositivos móviles y muchos otros.
ARQUITECTURAS Y MARCOS DE SEGURIDAD

Actualmente existe un gran número enfoques de arquitectura, y muchos de ellos han evolucionado a partir del
desarrollo de la arquitectura de la empresa. Aunque sus detalles específicos pueden ser diferentes, todos ellos
generalmente tienen como objetivo articular qué procesos realiza un negocio y cómo esos procesos se ejecutan y
aseguran. Estos enfoques articulan la organización, funciones, entidades y relaciones que existen o que deben existir
para llevar a cabo un conjunto de procesos de negocio.
Del mismo modo, los modelos de arquitectura de seguridad normalmente se dividen en dos categorías: los modelos de
procesos y los modelos de marcos. Los marcos permiten una gran flexibilidad en cómo se desarrolla cada elemento de
la arquitectura. La esencia de un marco es describir los elementos de la arquitectura y cómo éstos se relacionan entre
sí, mientras que un modelo de proceso es más directivo en su enfoque de los procesos utilizados para los distintos
elementos.
EL MARCO SABSA Y EL ZACHMAN

Así como hay muchos tipos diferentes de empresas, hay muchos enfoques diferentes de arquitecturas de seguridad.
Por ejemplo, el enfoque del marco Zachman que desarrolla la matrriz de quién, qué, por qué, dónde, cuándo y cómo
(se muestra en la figura 3.1) es compartida por la Arquitectura de Seguridad Aplicadas a los Negocios de Sherwood
(SABSA). La matriz contiene columnas que muestran los aspectos de la empresa que pueden ser descritos o modelados,
mientras que las filas representan diferentes puntos de vista desde los cuales se pueden considerar esos aspectos. Este
enfoque proporciona una estructura lógica para la clasificación y organización de elementos de diseño, lo que mejora
la integridad de la arquitectura de seguridad.
Figura 3.1: Matriz de arquitectura de seguridad SABSA
Fuente: Arquitectura de seguridad aplicada a negocios Sherwood (SABSA), 1995-2008. Todos los derechos reservados. Usado bajo
permiso. www. sabsa.org.

TEMA 6—MONITOREO, DETECCIÓN Y REGISTRO

Monitoreo, detección y registro son partes integrales de la ciber seguridad. Con posibles ataques potenciales y
pérdida de información en ambas partes, es necesario monitorear los datos e información que fluye hacia dentro
y fuera de la organización. Como se ilustra en este tema, hay una cantidad de métodos y herramientas que una
organización puede usar para detectar y registrar los potenciales problemas. La mayoría de estos métodos tienen que
ver con los conceptos centrales de comunicaciones de ingreso y salida de la red y prevención de pérdida de datos.
INGRESO, SALIDA, Y PREVENCION DE PERDIDA DE DATOS (DLP)

Aunque frecuentemente se sobrestiman, hay dos tipos de vectores de ataque: Ingreso y salida (también conocido
como ex filtración de datos). Ingreso se refiere a las comunicaciones de la red que entran, mientras que salida a las
comunicaciones de la red que salen. Mientras que la mayoría de los análisis de ataques se concentran en el ingreso o
intrusión dentro de los sistemas, si la meta del adversario es el robo de información o datos, entonces es importante
considerar el vector o camino para sacar los datos de los sistemas y redes del dueño. Software para la prevención
de pérdida de datos es útil en este aspecto. Un programa exitoso de prevención de pérdida de datos ayuda a la
organización a proteger su información y prevenir la ex filtración de datos sensibles.
Soluciones de DLP Fuertes (Prevención de Pérdida de Datos) cubren tres estados primarios de la información.
Datos en reposo se refiere a los datos almacenados. Las soluciones DLP deben ser capaces de registrar donde son
almacenados varios tipos de archivos. Las aplicaciones gusano exploran la información en esta búsqueda de archivos
para datos vulnerables como la seguridad social o información de la tarjeta de crédito. Estos gusanos determinan si la
ubicación del almacenamiento sigue reglas predefinidas.
Datos en movimiento se refiere a los datos viajando a través de la red. El paquete de inspección profunda (DPI) se
usa para analizar los datos con contenido sensibles. Las soluciones DLP pueden alertar, manejar e incluso bloquear,
poner en cuarentena o encriptar información controlada basada en controles.
Finalmente, buenas soluciones DLP manejan los datos en uso, los cuales son datos en movimiento al nivel de la
estación de trabajo del usuario. Estos incluyen en enviar información a las impresoras, mover drives o incluso copiar
y pegar en el portapapeles. Las soluciones DLP usan agentes de software para establecer las reglas para el uso de los
datos. Los tres tipos de información, datos en reposo, datos en movimiento y datos en uso, deben ser considerados
para crear una solución DLP completa.
ANTIVIRUS Y ANTI-MALWARE
El software malicioso es uno de los vectores de ataques más comunes usados por los adversarios para comprometer a
los sistemas. Por lo tanto, ciertos controles son requeridos para su detección y prevención.
Históricamente, controles de anti-malware, frecuentemente conocidos como detectores de virus, eran aplicaciones a
nivel del Servidor que escaneaban el tráfico de entrada como los emails y buscaban patrones (firmas) que identificaban
los problemas conocidos. Mientras que esto puede ser efectivo para ciertas amenazas, no puede detectar códigos
maliciosos que aún tienen que ser identificados.
Métodos heurísticos para detectar malware desconocido usan técnicas específicas para identificar códigos de
comportamiento maliciosos comunes y marcarlos como sospechosos.

Anti-malware puede ser controlado a través de diferentes mecanismos, incluyendo:

• Restricción del tráfico de salida, para prevenir que el malware pueda ex filtrar datos o comunicarse con los sistemas
de controles usados por el adversario.
• Políticas y concienciación que entrenen a los usuarios para evitar abrir emails sospechosos o archivos adjuntos y
poder reconocer URLs que pueden introducir códigos maliciosos.
• Múltiples capas de software anti-malware que usan una combinación de identificación de firmas y un análisis
heurístico para identificar posibles códigos maliciosos.
SISTEMAS DE DETECCIÓN DE INTRUSIONES 21
Otro elemento para asegurar las redes complementario la implementación del firewall es implementar un sistema
de detección de intrusiones (IDS). Un IDS trabaja en conjunto con enrutadores y firewalls monitoreando anomalías
en el uso de la red. Protege los recursos IS de la compañía de un mal uso tanto externo como interno. Un IDS opera
continuamente en el sistema, ejecutándose en un segundo plano y notificando a los administradores cuando detecta
una amenaza.
Las grandes categorías de IDS son:

• IDS basados en la red —Identifican ataques dentro de la red monitoreada y mandan una advertencia al operador.
Si un IDS basado en la red está puesto entre internet y el firewall, detectará todos los intentos de ataques, no
importando si entran al firewall. Si el IDS está puesto entre el firewall y la red corporativa, detectará los ataques
que entren al firewall (es decir, detectará a los intrusos). El IDS no es un substituto de un firewall, sino que
complementa su función.
• IDS basados en el Servidor —Se configuran para un ambiente específico y monitorean varios recursos internos
del sistema operativo para prevenir posibles ataques. Pueden detectar la modificación de programas ejecutables,
detectar la eliminación de archivos y emitir una advertencia cuando se intenta la ejecución de un comando
privilegiado.
Los componentes de un IDS son:

• Sensores responsables para la recolección de datos en forma de paquetes de red, registro de archivos, rastreo de
sistema de llamadas, etc.
• Analizadores que reciben el input de sensores e identifican la actividad intrusiva.
• Una consola de administración.
• Una interface de usuario.
Los tipos de IDS incluyen:

• Basado en firma —Estos sistemas de IDS protegen en contra de patrones de intrusión detectados. Los patrones de
intrusión que pueden ser identificados son almacenados en forma de firmas.
• Basado en estadística —TEste método necesita una definición comprehensiva de los patrones de comportamiento
conocidos y esperados de los SI.
• Redes neuronales —Un IDS con esta característica monitorea los patrones generales de la actividad y el tráfico de
la red, creando una base de datos. Es similar al modelo estadístico pero con una funcionalidad de auto aprendizaje.
Los IDS basados en firma no son capaces de detectar todos los tipos de intrusiones debido a limitaciones en sus
reglas de detección. Por otro lado, los sistemas basados en estadística pueden reportar muchos eventos fuera de la
actividad normal definida que son aún actividades normales en la red. Una combinación de los modelos basados en
firma y estadística provee una mejor protección.
ISACA, CISA Review Manual 2014, USA

21

CARACTERÍSTICAS DE LOS IDS

Las características disponibles en un IDS incluyen:
• Detección de intrusión
• Habilidad para recolectar evidencia de la actividad intrusiva
• Respuesta automatizada (por ejemplo: terminación de conexión, mensaje de alerta)
• Política de seguridad
• Interface con herramientas de sistema
• Administración de las políticas de seguridad
LIMITACIONES DE LOS IDS

Un IDS no puede ayudar con las siguientes debilidades:
• Debilidad en la definición de las políticas (ver sección de políticas)
• Vulnerabilidades a nivel de aplicación
• Puertas traseras dentro de las aplicaciones
• Debilidades en la identificación y esquemas de autenticación
En contraste con los IDS, los cuales se basan en archivos de firmas para identificar un ataque mientras sucede (o
después), un sistema de prevención de intrusión IPS predice un ataque antes de que ocurra. Realiza esto por medio
del monitoreo de áreas clave de un sistema informático y busca “mal comportamiento”, como gusanos, troyanos,
spyware, malware y hackers. Complementa al firewall, herramientas de antivirus y antispyware para proveer
una protección completa de amenazas emergentes. Es capaz de bloquear nuevas amenazas (zero-day) que no son
detectadas por las medidas de seguridad tradicionales, ya que no se basa en la identificación y distribución de firmas
o parches de amenazas.
POLITICAS DE IDS
La política de un IDS debe establecer la acción que se va a llevar a cabo por el personal de seguridad en el caso de
que se detecte un intruso.
Las acciones pueden incluir:

• Terminar el acceso: Si hay un riesgo significativo hacia los datos de la organización o el sistema, la terminación
inmediata es el procedimiento usual.
• Rastrear el acceso: Si el riesgo hacia los datos es bajo, la actividad no es una amenaza inmediata, o en el caso que
un análisis del punto de entrada y del método de ataque sea requerido, el IDS puede ser usado para rastrear el origen
de la intrusión. Esto puede ser usado para determinar y corregir cualquier debilidad del sistema y para recolectar
evidencia del ataque, que puede ser usada en una subsecuente acción judicial.
En cualquier caso, la acción requerida debe ser determinada en antelación por la administración e incorporada dentro de
una política. Esto ahorrará tiempo cuando se detecte una intrusión, lo cual puede impactar en la posible pérdida de datos.
SISTEMAS DE PREVENCIÓN DE INTRUSIONES

Los sistemas de prevención de intrusiones (IPS) están estrechamente relacionados con los IDS; de hecho, es muy
común para un IPS ser una extensión de un IDS. De hecho, un IDS y un IPS pueden estar directamente integrados
de tal manera que un producto envía los datos de las alertas al otro. Los IPS están diseñados no solo para detectar
ataques, sino también para prevenir que los servidores victima sean afectados por ataques. Un IPS debe prevenir que
los programas maliciosos borren todos los archivos de un directorio vital del sistema. Los enfoques de prevención de
intrusiones parecen ser efectivos en limitar el daño o la interrupción del servicio en los sistemas que son atacados.
Algunas ventajas de los IPS incluyen:

• Protección en la capa de aplicación
• Prevención de los ataques, en lugar de solo reaccionar a ellos
• Defensa profunda
• Correlación de eventos en tiempo real

Los sistemas de prevención de intrusiones (IPS) están estrechamente relacionados con los IDS; de hecho, es muy
común para un IPS ser una extensión de un IDS. De hecho, un IDS y un IPS pueden estar directamente integrados
de tal manera que un producto envía los datos de las alertas al otro. Los IPS están diseñados no solo para detectar
ataques, sino también para prevenir que los servidores victima sean afectados por ataques. Un IPS debe prevenir que
los programas maliciosos borren todos los archivos de un directorio vital del sistema. Los enfoques de prevención de
intrusiones parecen ser efectivos en limitar el daño o la interrupción del servicio en los sistemas que son atacados.

TEMA 7A—FUNDAMENTOS DE CIFRADO

El cifrado es el proceso de convertir un mensaje en texto plano a una forma codificada segura de texto, llamado
texto codificado. El texto codificado no puede ser entendido sin convertirlo de vuelta, a través del descifrado - el
proceso a la inversa - a un texto plano. Esto se hace vía función matemática y por una contraseña especial requerida
por el descifrado llamada clave. En muchos países, el cifrado está sujeta a leyes gubernamentales y regulaciones que
limitan el tamaño de la clave o definen lo que no puede ser encriptado.
El cifrado es parte de una ciencia más amplia de lenguajes secretos llamada criptografía, la cual es generalmente
usada para:
• Proteger información almacenada en computadoras de manipulación e inspecciones no autorizadas.
• Proteger datos en tránsito sobre las redes de manipulación e intercepción no autorizada
• Impedir y detectar alteraciones accidentales e intencionales de datos.
• Verificar la autenticidad de una transacción o documento.
El cifrado está limitado en el sentido que no puede prevenir la pérdida de datos. Es posible comprometer los
programas de cifrado si las claves de cifrado no están protegidas adecuadamente. Por lo tanto, el cifrado debe ser
visto como esencial, pero incompleta, forma de control de acceso que debe ser incorporada dentro del programa de
seguridad general de la computadora dentro de la organización.
ELEMENTOS CLAVE DE SISTEMAS CRIPTOGRÁFICOS

Los elementos clave de sistemas criptográficos incluyen
• Algoritmo de cifrado —Función basada matemáticamente o calculación que encripta o descifra los datos.
• Clave de cifrado —Pieza de información similar a una contraseña que hace que el proceso de cifrado y descifrado
sean únicos. Un usuario necesita la clave correcta de acceso o descifrar un mensaje, ya que una clave incorrecta
convierte el mensaje en una forma ilegible.
• Longitud de la Clave —La longitud predeterminada de la clave. Cuanto más larga sea la clave, es más difícil
comprometer en un ataque de fuerza bruta donde se prueban todas las combinaciones posibles de claves.
Los sistemas criptográficos efectivos dependen de una gran variedad de factores que incluyen:
• Fuerza de algoritmo
• Discreción y dificultad de comprometer una clave
• No existencia de puertas traseras mediante las cuales un archivo cifrado puede ser descifrado sin conocer la clave
• Inhabilidad de descifrar partes de un mensaje de texto codificado y así prevenir ataques de texto plano conocidos
• Propiedades de un texto plano conocido por un perpetrador
SISTEMAS CLAVE
Hay dos tipos de sistemas criptográficos:
• Sistemas de clave Simétrica —Estos usan una clave única, secreta y bidireccional que cifra y descifra.
• Sistemas de clave Asimétrica —Estos usan claves en pares, unidireccionales y complementarias, solo una cifra y la
otra descifra. Típicamente, una de estas claves es secreta, y la otra es públicamente conocida.
Los Sistemas de clave pública son sistemas criptográficos asimétricos. La mayoría de las transacciones cifradas en
internet usan una combinación de claves privadas y públicas, claves secretas, funciones hash (valores fijos derivados
matemáticamente de un mensaje de texto) y certificados digitales (que prueban la posesión de una clave pública de
cifrado) para alcanzar confidencialidad, integridad del mensaje, autenticación y no rechazo, ya sea por el remitente
o destinatario (también conocida como infraestructura de clave pública PKI). Esencialmente, las clave y valores
hash son usados para transformar una serie de caracteres a un valor más corto y de largo definido o una clave que
representa el texto original. Este proceso de cifrado permite que los datos sean almacenados y transportados con una
exposición reducida para que los datos permanezcan seguros mientras se mueven a través del internet u otras redes.


la clave pública descifra el mensaje satisfactoriamente, uno puede estar seguro del origen del mensaje, porque solo
el remitente (dueño de la clave privada correspondiente) pudo haber cifrado el mensaje. Esto forma una base de
autenticación y no rechazo, ya que el remitente no puede después manifestar que él no generó el mensaje.
Un mensaje que ha sido enviado cifrado usando la clave pública del destinatario puede ser generado por cualquiera,
pero solo puede
puede ser
ser leído
leído por
por el desti
destinatari
natario.
o. Esta
Esta es una
una base
base de la
la confidenci
confidencialidad
alidad.. En teoría
teoría,, un mensa
mensaje
je que ha
sido cifrado dos veces, primero por la clave secreta del remitente, y segundo por la clave pública del destinatario,
logra tanto los objetivos de autenticación como de la confidencialidad, pero comúnmente no es usado porque puede
generar problemas de rendimiento.
CRIPTOGRAFÍA DE CURVA ELÍPTICA

Aunque la criptografía de clave pública asegura la seguridad de los mensajes, las claves largas y los problemas
matemáticos que usa tienden a ser ineficientes. Una forma alternativa y más eficiente de criptografía de clave
públicaa es la criptogr
públic criptografía
afía de curva
curva elíptic
elípticaa (ECC),
(ECC), la cual está ganando promi
prominencia
nencia como método por increme
incrementar
ntar la
la
seguridad usando recursos mínimos. Se cree que la ECC demanda menos poder computacional y por lo tanto ofrece
más seguridad por bit. Por ejemplo una ECC con clave de 160 bits ofrece la misma seguridad que una RSA basada
en sistema con clave de 1,204 bits.
La ECC trabaja bien con computadores en red que requieren una fuerte criptografía. Sin embargo, tiene algunas
limitantes como el ancho de banda y el poder de procesamiento.
CRIPTOGRAFÍA CUÁNTICA
La criptografía cuántica es la siguiente generación de criptografía que puede resolver algunos de los problemas
existentes asociados con los sistemas criptográficos actuales, específicamente la generación aleatoria y asegurar
la distribución de claves criptográficas simétricas. Está basada en una aplicación práctica de las características
de los más pequeños “granos” de luz (fotones) y las leyes de la física que gobiernan su generación, propagación
y detección. El uso comercial inicial ya ha comenzado ahora que la fase de investigación de laboratorio ha sido
completada.
ESTÁNDAR DE ENCRIPTACIÓN AVANZADA

AES ha reemplazado al DES como el algoritmo estándar criptográfico. Se originó en 1997, cuando NIST anunció el
inicio del esfuerzo de desarrollo de AES e hizo una llamada a un concurso oficial para el algoritmo. En octubre del
2000, NIST anunció que había seleccionado a Rijndael como el algoritmo para AES. Este algoritmo fue desarrollado
por el
el Dr. Joan Daemen y el Dr. Vincent
Vincent Rijme
Rijmen.
n.
Rijndael es un código de bloque simétrico con largo variable de bloque y de clave. Para AES el largo del bloque
fue acordado en 128 bits, y se especificaron tres tamaños distintos de clave (128, 192 y 256 bits). Por lo tanto,
AES-128, AES-192 y AES-256 son tres versiones diferentes de AES. El código está basado en una substitución
de bytes, cambiando filas, mezclando columnas y agregando claves circulares que son repetidas cada 10 rondas.
Cada ronda tiene una clave circular de 128 bits y el resultado de la ronda previa como entrada. Las claves circulares
pueden ser pre
pre computar
computarizadas
izadas o generadas
generadas a partir
partir de la clave
clave de entrad
entrada.
a. Debido
Debido a su estructu
estructura
ra regular,
regular, puede ser
implementada eficientemente en hardware.
El descifrado es calculado aplicando funciones inversas de las serie de operaciones circulares. La secuencia de
operaciones para la función circular difiere del cifrado, la cual frecuentemente es resultado de circuitos separados de
cifrado y descifrado. El rendimiento computacional de las implementaciones de software a menudo difiere para el
cifrado frente al descifrado, porque las operaciones de la función en serie inversa son más complejas que la operación
respectiva de cifrado
FIRMA DIGITAL
Una firma digital es una identificación electrónica de una persona o entidad creada mediante un algoritmo de clave
pública.
pública. Sirve
Sirve como
como mecanis
mecanismo
mo para
para verifica
verificarr la integr
integridad
idad de los datos y la identid
identidad
ad del remit
remitente
ente por
por el recept
receptor.
or.
Para verificar la integridad de los datos, un algoritmo criptográfico de función de hashing, llamado checksum, es

computarizado en contra de todo el mensaje o documento electrónico, el cual genera una pequeña cadena de valores
de largo definido, usualmente de 128 bits de largo. Este proceso, también referido como el algoritmo de firma
digital, crea un resumen o suma de validación de bits (digest) del mensaje (por ejemplo: una versión extrapolada más
pequeñaa del mensaj
pequeñ mensajee original)
original)..
Tipos comunes de algoritmos de suma de validación (digest) de mensajes son SHA1, SHA2, MD2, MD4 y MD5.
Estos algoritmos son funciones de sentido único, a diferencia de los algoritmos de clave pública y privada. El proceso
de crear una suma de validación de mensaje no se puede calcular a la inversa. Están diseñados para aplicaciones de
firma digital donde un gran documento electrónico o serie de caracteres, tales como un documento de texto Word,
una hoja de cálculo, un registro de una base de datos, el contenido de un disco duro o una imagen JPEG, tienen que
ser comprimidos de una forma segura antes de ser firmados por una clave privada. Todos los algoritmos de suma de
validación toman un mensaje de largo arbitrario y producen un mensaje de resumen de 128 bits. Mientras la estructura
de estos algoritmos es un poco similar, el diseño de un MD2 es bastante diferente de un MD4 y un MD5. El MD2 fue
optimizado para máquinas de 8 bits, mientras que el MD4 y el MD5 fueron creados para máquinas de 32 bits.
El siguiente paso, el cual verifica la identidad del remitente, es cifrar la suma de validación utilizando la clave privada del
remitente, la cual “firma” el documento con la firma digital del remitente para verificar la autenticidad del mensaje. Para
descifrarlo, el destinatario usaría la clave pública del remitente, probando que el mensaje solamente pudo haber venido
del remitente. Este proceso de autenticación del remitente es conocido como no repudio porque el remitente no puede
después declarar que no generó el mensaje.
Una vez descifrado, el destinatario recalculará el hash usando el mismo algoritmo de función de hashing que se
encuentra en el documento electrónico y se compararán los resultados con lo que fue enviado, para asegurar la
integridad del mensaje. Por lo tanto, la firma digital es un método criptográfico que asegura:
• Integridad de los datos —Cualq
—Cualquieruier cambio
cambio en el texto plano del mensaje
mensaje acabar
acabaría
ía con
con la imposi
imposibilid
bilidad
ad del
destinatario del mensaje de calcular el mismo hash del mensaje.
• Autenticación —El destina
destinatario
tario puede asegur
asegurar
ar que el mensaje
mensaje ha sido
sido enviado
enviado por
por el remit
remitente
ente declar
declarado
ado ya que
sólo el auténtico remitente tiene la clave secreta.
• No repudio —El remiten
remitente
te declarad
declaradoo no puede
puede después
después negar la generaci
generación
ón y envío
envío del
del mensaje.
mensaje.
Las firmas digitales y el cifrado de clave pública son vulnerables a ataques de “hombre en el medio” de manera que
las claves privada y pública de la firma digital del remitente pueden ser falseadas. Para protegerse de tales ataques, se
ha diseñado una autoridad de autenticación de remitente independiente. La PKI desempeña la función de autenticar
de forma independiente la validez de la firma digital del remitente y las claves públicas.
RED VIRTUAL PRIVADA

Una VPN es un ejemplo de criptografía aplicada que comúnmente intercambia datos seguros a través de Internet. El
cifrado se necesita para hacer la conexión virtual de forma privada. Una tecnología VPN usada comúnmente es el
IPSec, el cual usa normalmente los algoritmos de cifrado DES, Triple DES o AES. DES usa claves de 56 bits, y una
Triple DES aplica la clave tres veces para conseguir una clave de 168 bits de longitud. AES es un nuevo estándar
adoptado en el 2001 que usa claves que pueden tener una longitud de 128, 192 o 256 bits y un tamaño de bloque de
128 bits (a diferencia de los bloques de 64 bits usados en DES).
PROTECCIONES DE REDES INALÁMBRICAS

La transmisión de datos inalámbricos está sujeta a un mayor riesgo de interceptación que el tráfico por cable, de
la misma forma que es más fácil interceptar llamadas hechas a través de teléfonos móviles que llamadas desde
un teléfono fijo. No es necesario de toquetear manualmente la conexión, ya que existen herramientas en remoto
que pueden usarse para interceptar la conexión de forma encubierta. La transmisión inalámbrica de información
confidencial debe ser protegida con un cifrado fuerte. Una conexión inalámbrica insegura expone a los usuarios a
escuchas ilegales, lo cual puede llevar a una exposición de información confidencial, mensajes interceptados o abuso
de conexiones. Aquí hay algunos ejemplos:

• El email puede ser interceptado y leído o modificado.

• Los hackers pueden reemplazar las credenciales de un usuario con información falsa que lleva al servidor de destino
a rechazar los intentos de acceso del usuario, causando así denegación del servicio (DoS).
• Una persona no autorizada puede acceder a una red inalámbrica no segura y usar sus recursos, incluyendo
conectividad a internet gratis.
Los estándares de seguridad inalámbricos están evolucionando. El método más común usado para redes de área local
inalámbricas es el método de Privacidad Equivalente al Cableado (WEP). Un número en aumento de organizaciones
están reemplazando este método por 802.11i (WPA2) y Acceso Wi-Fi protegido (WPA), los cuales usan claves
dinámicas y un servidor de autenticación con credenciales que aumentan su protección contra los hackers.
WEP y WPA cumplen con las versiones evolucionadas de los estándares inalámbricos 802.11i especificados por
el Instituto de Ingenieros Eléctricos y Electrónicos (IEEE), resultando un WPA compatible con las versiones más
avanzadas de 802.11, pero incluso WPA tiene limitaciones. La clave está protegida por una clave de acceso que no
tiene forzosamente una longitud robusta. WPA es un subconjunto de desarrollo del estándar 802.11i. El estándar
completo exigirá una seguridad mejorada implementando AES.
WEP y WPA son aplicables a la mayoría de las redes inalámbricas y generalmente usados en redes formadas por
PCs. Los mensajes transmitidos usando dispositivos inalámbricos móviles también deben ser protegidos mediante
cifrado. Por ejemplo, el servidor de empresa de Blackberry integra el email corporativo en el dispositivo y usa Triple
DES para cifrar la información entre la Blackberry y el servidor de correo corporativo.
Las claves públicas también se usan en dispositivos móviles. ECC se usa ampliamente en tarjetas inteligentes y su
uso en teléfonos móviles va en aumento. ECC es ideal para dispositivos pequeños porque el algoritmo, combinando
geometría plana con álgebra, puede alcanzar una autenticación más segura con claves más pequeñas comparado
con los métodos tradicionales, tales como RSA, el cual usa principalmente factorización algebraica. Las claves más
pequeñas
pequeñ as se adapta
adaptann mejor
mejor a disposi
dispositivos
tivos móvil
móviles;
es; sin
sin embargo,
embargo, alguno
algunoss discutirá
discutiránn que el ECC no es tan riguroso
riguroso
como los algoritmos tradicionales de clave pública porque tiene una historia más corta que algoritmos como RSA.
Con el incremento de la capacidad de cálculo de los ordenadores, la longitud de las claves se está convirtiendo en un
problema
problema menor
menor para
para las
las aplicaci
aplicaciones
ones de
de PC.
DATOS ALMACENADOS
El cifrado es un modo efectivo y cada vez más práctico para limitar el acceso a la información confidencial mientras esta
almacenada. El método de protección tradicional - una contraseña - tiene debilidades inherentes y, en muchos casos, es
fácilmente adivinable. Las ACL que definen quién tiene acceso también son efectivas, pero a menudo tienen que ser
usadas conjuntamente con sistemas operativos o aplicaciones. Es más, las ACL no pueden prevenir un uso inadecuado de
información por los administradores de los sistemas, ya que pueden tener un control total del ordenador. El cifrado puede
eliminar este problema de seguridad, y también puede proteger los datos de los hackers quienes, por medio de software
malicioso, pueden obtener los derechos de administración del sistema. El cifrado también ayuda a proteger datos cuando
un ordenador o disco cae en manos equivocadas. Muchos programas de cifrado de emails también pueden ser aplicados
a los datos almacenados. También hay algunos productos de cifrado que se enfocan en la protección de archivos para
ordenadores y PDAs.
INFRAESTRUCTURA DE CLAVE PÚBLICA

Si un individuo quiere enviar mensajes o documentos electrónicos y firmarlos con una firma digital usando un sistema
criptográfico de clave pública, ¿cómo distribuye el individuo la clave pública de forma segura? Si la clave pública
es distribuida electrónicamente, puede ser interceptada y cambiada. Para prevenir que esto ocurra, se usa un sistema
conocido como infraestructura de clave pública (PKI). PKI permite a una entidad reconocida expedir, mantener y revocar
certificados de clave pública.
PKI permite a los usuarios interactuar con otros usuarios y aplicaciones para obtener y verificar identidades y claves
desde fuentes de confianza. La implantación real de PKI varía de acuerdo a requerimientos específicos. Elementos
clave de la infraestructura son los siguientes:

• Certificados digitales —Unas credenc

credenciales
iales digit
digitales
ales se componen
componen de una clave públic
públicaa e inform
información
ación acerca de la
identificación del propietario de la clave pública. El propósito de los certificados digitales es asociar la clave pública
con la identidad del individuo a fin de comprobar la autenticidad del remitente. Estos certificados son documentos
electrónicos, digitalmente firmados por alguna entidad de confianza con su clave privada (transparente a los
usuarios) que contiene información acerca del individuo y su clave pública. El proceso requiere que el remitente
“firme” un documento adjuntando un certificado digital emitido por una entidad de confianza. El destinatario del
mensaje y el certificado digital que lo acompaña confía en la clave pública de la autoridad de certificación (CA)
(que se incluye con el certificado digital u obtenido separadamente) para autenticar el mensaje. El destinatario
puede vincul
vincular
ar el mensaj
mensajee a una
una persona,
persona, no solo
solo a una
una clave
clave pública,
pública, por la
la confianza
confianza en esa
esa entidad.
entidad. El estado
estado y
valores del certificado del usuario actual debe incluir:
– Un nombre de usuario distintivo
– Una clave pública real
– El algoritmo usado para incorporar la firma firma digital dentro del certificado
– Un periodo de validez del certificado
• Autoridad de certificación —Un
—Unaa auto
autorid
ridad
ad de cer
certif
tifica
icació
ciónn (CA)
(CA) es una aut
autori
oridad
dad que emi
emite
te y mane
manejaja cre
creden
dencia
ciales
les
de seguridad y claves públicas para la verificación de mensajes de firmas o cifrado. La CA avala la autenticidad del
dueño de la clave pública. El proceso requiere una CA que toma la decisión de emitir un certificado basado en la
evidencia o conocimiento adquirido en verificar la identidad del remitente. Como parte de la PKI, una CA consulta a
una Autoridad de Registro (RA) para verificar la información proveniente del solicitante del certificado digital. Si la
RA verifica la información del solicitante, entonces la CA puede entonces emitir el certificado. Una vez verificada la
identidad del remitente, la CA firma el certificado con su clave privada para distribuirlo al usuario. Una vez recibido, el
usuario verificará la firma del certificado con la clave pública de CAs (por ejemplo, CAs tales como VeriSign™ emiten
certificados a través de navegadores de Internet). La CA C A ideal está acreditada (alguien en la que el usuario confía)
por el nom
nombre
bre o su
su posi
posicio
cionam
namien
iento
to cla
clave.
ve. Un cer
certif
tifica
icado
do sie
siempr
mpree incl
incluye
uye la cla
clave
ve púb
públic
licaa del
del pro
propie
pietar
tario,
io, la fec
fecha
ha de
expiración y la información del propietario. Los tipos de CA pueden incluir:
– Organizacionalmente fortalecidas, los cuales tienen control coercitivo sobre aquellos individuos individuos dentro de su
alcance.
– Responsabilidad fortalecida, por ejemplo escoger opciones comercialescomerciales disponibles (tales como
como VeriSign) para
obtener un certificado digital.
La CA es responsable de gestionar el certificado a través de todo su ciclo de vida. Elementos clave o

subcomponentes de la estructura de CA incluyen la Declaración de Prácticas de Certificación (CPS), RAs y Listas
de Revocación de Certificados (CRLs).
• Autoridad de registro —Una RA es una autor autoridad
idad en una
una red
red que
que verifi
verifica
ca las
las petici
peticiones
ones de usuari
usuarios
os para
para solic
solicitar
itar un
certificado digital y solicita a una CA emitirlo. Como entidad opcional y distinta de una CA, una RA sería usada por
una CA con una gran base de clientes. Las CAs usan a las RAs para delegar algunas de las funciones administrativas
asociadas con el registro y verificación de parte o toda la información que necesita una CA para emitir certificados
o CRLs y para desempeñar otras funciones de administración de certificado. Sin embargo, aun con este acuerdo
la CA aún mantiene la última responsabilidad de firmar certificados digitales o CRLs. Las RAs son parte de la
infraestructura PKI. El certificado digital contiene una clave pública que se usa para cifrar mensajes y verificar firmas
digitales. Si una RA no está presente en la estructura establecida de una PKI, se supone que la CA tiene el mismo tipo
de funcionalidades que aquellas definidas para una RA. Las funciones administrativas que una RA particular lleva
a cabo variarán de acuerdo a las necesidades de la CA, pero deben mantener el principio de establecer o verificar la
identidad del subscriptor. Estas funciones pueden incluir lo siguiente:
– Verificar la información
información suministrada por el sujeto (funciones de autenticación
autenticación de personas).
– Verificar el derecho del sujeto a los atributos del certificado solicitado.
– Verificar que el sujeto en la actualidad posee la clave privada que está siendo registrada y que concuerda con la
clave pública requerida por un certificado (generalmente referida como prueba de posesión POP).
– Notificar que se ha comprometido una clave o los casos de finalización
finalización donde se requiere lala revocación.
– Asignar nombres con el propósito de identificación.
– Generar secretos compartidos para usar durante las fases de inicio y recogida del registro.
– Iniciar el proceso de registro con la CA en nombre del sujeto y la entidad.
– Iniciar el proceso de recuperación de clave.

– Distribuir tokens de seguridad (tales como tarjetas inteligentes) que contienen claves privadas.
– Certificar la lista de revocación - La CRL es un instrumento para comprobar la validez continuada de los
certificados sobre los cuales la CA tiene esa responsabilidad. La CRL detalla los certificados digitales que ya no
son válidos porque fueron revocados por la CA. El margen de tiempo entre dos actualizaciones es crítico y es
también un riesgo durante la verificación de los certificados digitales
– La declaración de práctica de certificación - CPS es un conjunto detallado de reglas que rigen las operaciones de
las CAs. Provee un conocimiento del valor y la confianza de los certificados emitidos por una determinada CA en
los siguientes términos:
• Los controles de los que dispone una organización.
• El método que usa para validar la autenticidad de los solicitantes de certificados.
• Las expectativas de las CAs en cómo sus certificados van a ser utilizados.

TEMA 7C—APLICACIONES DE CIFRADO

APLICACIONES DE SISTEMAS CRIPTOGRÁFICOS
El uso de criptosistemas por aplicaciones, por ejemplo en el email y transacciones de internet, generalmente requieren una
combinación de parejas de claves públicas y privadas, claves secretas, funciones hash y certificados digitales. El propósito
de aplicar estas combinaciones es lograr confidencialidad, integridad del mensaje o no repudio por parte del remitente o
del destinatario. El proceso generalmente requiere que el remitente realice un hashing del mensaje dentro de un mensaje
cifrado o codifique un pre-hash para mantener la integridad del mensaje, el cual se encripta usando la clave secreta del
remitente para preservar la autenticidad, integridad y no repudio (es decir firma digital).
Usando su clave secreta, el remitente cifrará el mensaje. Después, la clave secreta se cifrará con la clave pública del
receptor, la cual ha sido validada a través del certificado digital del receptor y que otorga confidencialidad al mensaje. El
proceso de recepción finaliza revirtiendo lo que ha sido hecho por parte del remitente. El receptor usa su clave privada para
descifrar la clave secreta del remitente. Usa la clave secreta para descifrar el mensaje, para exponerlo. Si el código pre-hash
ha sido cifrado con la clave privada del remitente, el receptor verifica su autenticidad usando la clave pública contenida en
el certificado digital del remitente y descifra el código pre-hash, el cual provee el no repudio al contenido del mensaje del
remitente. Por propósitos de integridad, el contenido calcula un código post-hash, el cual debe ser igual al código pre-hash.
Ejemplos específicos de este método o variantes relacionadas se encuentran descritos abajo.
Capa de Conector Seguro (SSL) y Seguridad de la Capa de Transporte (TLS) —Son protocolos criptográficos
que proveen de una comunicación segura en Internet. Solo hay pequeñas diferencias entre SSL 3.0 (la última versión)
y TLS 1.0, pero no son intercambiables. Generalmente ambos son llamados SSL.
SSL es un protocolo de sesión - o conexión - ampliamente usado en Internet para comunicación entre navegadores
y servidores de red, en el cual cualquier cantidad de datos es transmitida de forma segura mientras la sesión siga
establecida. SSL provee autenticación al final del extremo y privacidad de comunicaciones en Internet usando la
criptografía. Como uso típico, solo el servidor está autenticado mientras el cliente permanece sin autenticarse.
La autenticación mutua requiere de infraestructura PKI en los clientes. El protocolo permite aplicaciones cliente-
servidor para comunicarse de una forma diseñada para prevenir escuchas ilegales, alteración y falsificación de
mensajes. SSL conlleva un número básico de fases:
• Negociación entre los pares para soporte del algoritmo.
• Clave pública, intercambio de claves basada en cifrado y autenticación basada en el certificado.
• Cifrado de tráfico basado en cifrado simétrico.
Mientras SSL puede añadir seguridad a cualquier protocolo que use TCP, se usa más comúnmente con HTTP para
formar el Protocolo de Transmisión de Hipertexto Seguro (HTTPS). HTTPS sirve para asegurar páginas de World
Wide Web para aplicaciones tales como comercio electrónico.
HTTPS usa certificados de claves públicas para verificar la identidad del otro extremo. SSL usa un proceso criptográfico
híbrido de hash, clave pública y privada para asegurar transacciones en internet a través de PKI. Esto otorga las
características necesarias de confidencialidad, integridad, autenticidad y no repudio, necesarias para las transacciones de
comercio electrónico en Internet. SSL se puede entender como un proceso SSL en dos sentidos, tales como actividades de
comercio electrónico B2B. También es comúnmente asociado a un proceso en un sentido de consumo, a través del cual
un cliente final en una tienda virtual de internet minorista puede verificar, a través de una CA, la autenticidad de la clave
pública de la tienda online, la cual puede ser usada para negociar una transacción segura.
El SSL provee de:

• Confidencialidad
• Integridad
• Autenticación (por ejemplo, entre cliente y servidor)

El establecimiento de comunicación en SSL está basado en la capa de aplicaciones pero también provee de seguridad
de comunicaciones de las sesiones. Negocia los parámetros de seguridad para cada sección de comunicación.
Múltiples conexiones pueden pertenecer a una sesión SSL y las partes participantes en una sesión pueden tomar parte
en sesiones múltiples simultáneas.
Protocolo de Transferencia de Hipertexto Seguro (S/HTTP) —Como protocolo de la capa de aplicación, S/HTTP

transmite mensajes individuales o páginas de forma segura entre un cliente web y un servidor estableciendo una
conexión de tipo SSL. Usando la designación https:// en la URL en lugar de la estándar http://, S/HTTP dirige el
mensaje hacia un número de puerto seguro en lugar de la dirección de puerto web por defecto. Este protocolo utiliza las
características de seguridad de SSL pero lo hace más bien como mensaje en lugar de un protocolo orientado a sesión.
IPSec —IPSec se usa para comunicación entre dos o más hosts, dos o más subredes, o hosts y subredes. Este protocolo
de seguridad de paquetes en la capa de red IP establece VPNs a través de métodos de cifrado en modo transporte
y túnel. Para el método de transporte, las porciones de datos de cada paquete - referido como el Encapsulado de
carga útil de seguridad (ESP) – son cifradas para alcanzar la confidencialidad. En el modo túnel, el encapsulado
ESP y su encabezado son cifrados. Para alcanzar el no repudio, se aplica un encabezado de autenticación (AH).
Estableciendo sesiones de IPSec en cualquier modo, se realizan Asociaciones de Seguridad (SAs). Las SAs definen
cuales son los parámetros de seguridad que deben aplicarse entre las partes de la comunicación como algoritmos de
cifrado, claves, vectores de inicialización, rango de vida de claves, etc.
Para incrementar la seguridad de IPSec, usa cifrado asimétrico vía Asociación de Seguridad de Internet y el Protocolo
de Administración de Clave / Oakley (ISAKMP/Oakley), el cual permite la administración de claves, uso de claves
públicas, negociación, establecimiento, modificación y supresión de SAs y sus atributos. Para la autenticación, el
remitente usa certificados digitales. La conexión se hace segura soportando la generación, autenticación y distribución
de los SAs y las claves criptográficas.
Secure Shell (SSH) —SSH es un programa cliente-servidor que abre una sesión de línea de comandos segura, cifrada y
con línea de comandos desde Internet para un acceso seguro. Similar a una VPN, SSH usa un fuerte cifrado para proteger
los datos, incluyendo contraseñas, archivos binarios y comandos de administración, transmitidos entre los sistemas de
una red. SSH se implanta normalmente validando las credenciales de ambas partes vía certificados digitales. SSH es útil
en asegurar los servicios Telnet y FTP. Se implanta en la capa de aplicación, de forma opuesta a operar en la capa de red
(implementación IPSec).
Extensiones Multipropósito Seguras de Correo de Internet (S/MIME) —SS/MIME es un protocolo de seguridad

estándar de email que valida la identidad del remitente y del destinatario, verifica la integridad del mensaje y asegura
la privacidad del contenido del mensaje, incluyendo los archivos adjuntos.
Transacciones Electrónicas Seguras (SET) —SET es un protocolo desarrollado conjuntamente por VISA y

MasterCard para asegurar transacciones de pago entre todas las partes involucradas en las transacciones de tarjetas
de crédito. Como un sistema de especificaciones abierto, SET es un protocolo orientado a aplicación que usa los
procesos de cifrado de terceros de confianza y firma digital, a través de un PKI de instituciones de confianza, con el
fin de acometer la confidencialidad de la información, integridad de los datos, autenticidad del titular de la tarjeta,
autenticidad del comercio e interoperabilidad.
RIESGO DEL CIFRADO Y PROTECCIÓN DE CLAVE

La seguridad de los métodos de cifrado descansa principalmente en el secreto de las claves. En general, cuanto más se
usa una clave, más vulnerable se vuelve ante una amenaza. Por ejemplo, herramientas de cracking de contraseñas para
ordenadores personal de hoy en día, mediante fuerza bruta pueden averiguar cada combinación posible de claves para un
algoritmo criptográfico de hashing con una clave de 40 bits en unas pocas horas.
La aleatoriedad en la generación de claves también es un factor significativo a la hora de comprometer una clave.
Cuando las contraseñas se encuentran ligadas a una generación de claves, la fuerza de cifrado del algoritmo se ve
disminuida, en particular cuando se usan palabras comunes. Esto reduce significativamente las combinaciones de

Sección 4: Seguridad de Redes, Sistemas, Aplicaciones y Datos
TEMA 4—SEGURIDAD DE LA RED

GESTIÓN DE REDES
La gestión de redes es el proceso de evaluación, monitoreo y mantenimiento de los dispositivos de red y las
conexiones. El modelo de gestión de red de la Organización Internacional de Normalización (International
Organization for Standarization - ISO) define cinco áreas funcionales de gestión de red (FCAPS), las cuales se
enumeran a continuación y se muestran en la Figura 4.8:
• Gestión de Errores —Detectar, aislar, notificar y corregir errores encontrados en la red. En esta categoría se
analiza el tráfico, las tendencias, las consultas SNMP y las alarmas para la detección automática de errores.
• Gestión de la Configuración —Aspectos de la configuración de los dispositivos de red incluyen la gestión de
archivos de configuración, gestión de inventario y gestión de software.
• Gestión de las Cuentas —Uso de la información de los recursos de la red.
• Gestión del Rendimiento —Monitorear y medir diversos aspectos de las métricas de rendimiento para que el
rendimiento aceptable pueda ser mantenido. Esto incluye el tiempo de respuesta, la utilización del enlace y las tasas
de error. Los administradores pueden monitorear las tendencias y establecer el umbral de las alarmas.
• Gestión de la Seguridad —Proporcionar acceso a los dispositivos de red y a los recursos de la empresa a personas
autorizadas.
Esta categoría se enfoca en la autenticación, autorización, firewalls, segmentación de red, IDS y notificaciones de
intentos de violaciones de seguridad.
Figura 4.8: Cinco Áreas Funcionales de la Gestión de Red
RED DE ÁREA LOCAL (LOCAL AREA NETWORK – LAN) 24
Una LAN es una red de computadoras que abarca una pequeña área local. Unas pocas estaciones de trabajo e
impresoras en una habitación individual podrían constituir una LAN, así como tres o cuatro edificios próximos con
miles de dispositivos conectados entre sí. El gran aumento de ancho de banda a un precio razonable ha reducido el
esfuerzo de diseño requerido para proporcionar soluciones LAN rentables para organizaciones de cualquier tamaño.
Las nuevas LANs son casi siempre implementadas utilizando Ethernet conmutada (802.3). El cableado de par
trenzado (100 -Base -T o mejor y, cada vez más, las redes LAN inalámbricas) conecta los switches a las estaciones
de trabajo e impresoras en el área cercana. Los switches se pueden conectar entre sí con cableado Base–T-1000 o de
fibra óptica. En las organizaciones más grandes, los switches pueden estar todos conectados a switches más grandes
y más rápidos, cuyo único propósito es enrutar adecuadamente los datos de switch a switch.
switch-to-switch data.
ISACA, CISA Manual de Revisión 2015, EEUU

24

COMPONENTES DE UNA LAN 25
Los componentes comúnmente asociados con las LAN son repetidores, hubs, puentes (bridges), switches y
enrutadores (routers):
• Repetidores (repeaters) —Dispositivos de capa física que extienden el alcance de una red o que conectan dos
segmentos de red independientes. Los repetidores reciben señales de un segmento de red y amplifican (regeneran) la
señal para compensar señales (analógicas o digitales) que están distorsionadas debido a una reducción de la intensidad
de la señal durante la transmisión (es decir, la atenuación).
• Concentradores (hubs) —Dispositivos de capa física que sirven como el centro de una red de topología de estrella
o un concentrador de red. Los concentradores pueden ser activos (si repiten las señales enviadas a través de ellos) o
pasivos (si sólo separan las señales).
• Bridges —Dispositivos de capa de enlace de datos desarrollados a principios de 1980 para conectar redes LAN o
crear dos segmentos de redes LAN o WAN separadas de un único segmento para reducir los dominios de colisión.
Los dos segmentos funcionan como LANs diferentes por debajo del nivel de enlace de datos del modelo de
referencia OSI, pero a partir de ese nivel y por encima, se comportan como una sola red lógica. Los bridges actúan
como dispositivos de almacenamiento y reenvío en el movimiento de las tramas (frames) hacia su destino. Esto se
logra mediante el análisis del encabezado MAC de un paquete de datos, que representa la dirección hardware de
una tarjeta de interfaz de red (NIC). Los bridges también pueden filtrar tramas en base a la información de capa
2. Por ejemplo, pueden evitar que las tramas enviadas desde direcciones MAC predefinidas entren en una red
particular. Los bridges están basados en software, y son menos eficientes que otros dispositivos similares basados
en hardware, tales como los switches. Por lo tanto, los bridges no son los componentes principales en los diseños de
redes empresariales de hoy en día.
• Switches de capa 2 —Los conmutadores de capa 2 son dispositivos a nivel de enlace de datos que pueden dividir
e interconectar segmentos de red y ayudar a reducir los dominios de colisión en las redes basadas en Ethernet.
Además, los conmutadores almacenan y retransmiten tramas, filtrando y reenviando paquetes entre segmentos de
red, basándose en las direcciones de origen y destino MAC de la capa 2, tal como los bridges y los concentradores
hacen en la capa de enlace de datos. Los conmutadores, sin embargo, proporcionan una funcionalidad más robusta
que los bridges, a través del uso de protocolos de capa de enlace de datos más sofisticados que se implementan a
través de hardware especializado llamados circuitos integrados de aplicación específica (ASIC). Los beneficios
de esta tecnología son la eficiencia de rendimiento obtenida a través de la reducción de costos, la baja latencia o
tiempo de inactividad, y un mayor número de puertos en un conmutador con capacidades de ancho de banda de alta
velocidad. Los conmutadores son también aplicables en las especificaciones de la tecnología WAN.
• Enrutadores (routers) —Similares a los bridges y a los switches en que vinculan dos o más segmentos de red
físicamente separados. Los segmentos de red conectados mediante un enrutador, sin embargo, siguen siendo
lógicamente independientes y pueden funcionar como redes independientes. Los enrutadores operan en la capa de
red OSI examinando direcciones de red (es decir, enrutando información codificada en un paquete IP). Mediante
el examen de la dirección IP, el enrutador puede tomar decisiones inteligentes para dirigir el paquete a su destino.
Los enrutadores se diferencian de los conmutadores en que operan en la capa de enlace de datos en que utilizan
las direcciones lógicas de red, utilizan diferentes direcciones/segmentos de red de todos los puertos, bloquean la
difusión de información, bloquean el tráfico a direcciones desconocidas, y filtran el tráfico basado en la información
de la red o el host. Los enrutadores a menudo no son tan eficientes como los conmutadores ya que son generalmente
dispositivos basados en software y examinan cada paquete que llega, lo que puede crear cuellos de botella
significativos dentro de una red. Por lo tanto, debería tomarse cuidadosamente en consideración donde se colocan
los enrutadores dentro de una red. Esto debería incluir el aprovechamiento de los conmutadores en el diseño de
la red, así como la aplicación de principios de equilibrio de carga con otros enrutadores por consideraciones de
eficiencia de rendimiento.
• Switches de capa 3 y 4 —Los avances en la tecnología de conmutación también han dado a los conmutadores las
capacidades de operación en la Capa 3 y Capa 4 del modelo de referencia OSI.
– Un switch de capa 3 va más allá de la capa 2, actuando en la capa de red del modelo OSI como un enrutador. El
conmutador de la capa 3 mira el protocolo de red del paquete de entrada, por ejemplo, IP. El conmutador compara la
dirección IP de destino con la lista de direcciones en sus tablas, para calcular activamente la mejor manera de enviar
25
idem.
un paquete a su destino. Esto crea un “circuito virtual”; es decir, el conmutador tiene la capacidad de segmentar
la LAN dentro de sí mismo y creará una vía entre el dispositivo de recepción y el dispositivo de transmisión para
enviar los datos. A continuación, envía el paquete a la dirección del destinatario. Esto proporciona el beneficio
añadido de reducir el tamaño de los dominios de difusión de red. Los dominios de difusión deberían ser limitados
o alineados con áreas funcionales de negocio o grupos de trabajo dentro de una organización, para reducir el riesgo
de fuga de información de aquellos que no tienen la necesidad de saber, donde los sistemas pueden ser un objetivo
y sus vulnerabilidades explotadas. La principal diferencia entre un enrutador y un conmutador de Capa 3 es que un
enrutador realiza la conmutación de paquetes usando un microprocesador, mientras que un conmutador de Capa 3
realiza la conmutación mediante hardware ASIC (circuitos integrados de aplicación específica).
– Un conmutador de capa 4 permite la conmutación basada en políticas. Con esta funcionalidad, los conmutadores
de Capa 4 pueden descargar un servidor equilibrando el tráfico a través de un grupo de servidores, basándose en
información de la sesión individual y el estado.
• Switches de Capa 4-7 —También conocidos como switches de contenido, conmutadores de servicios de contenido,
conmutadores-web o conmutadores de aplicación. Se suelen utilizar para el equilibrio de carga entre grupos de
servidores. El balanceo de carga puede estar basado en HTTP, HTTPS y / o VPN, o para cualquier aplicación de
tráfico TCP/IP utilizando un puerto específico. Los conmutadores de contenido también se pueden utilizar para
realizar operaciones estándar, tales como cifrado/descifrado SSL para reducir la carga sobre los servidores que
reciben el tráfico, y para centralizar la gestión de certificados digitales.
• Gateways —Dispositivos que son convertidores de protocolo. Por lo general, se conectan y convierten entre LANs
y el mainframe, o entre redes LAN e Internet, en la capa de aplicación del modelo de referencia OSI. Dependiendo
del tipo de gateway, la operación se produce en varias capas OSI. La forma más común de pasarela es una
systems network architecture (SNA), que convierte entre una sesión (emulación de terminal) TCP/IP, NetBIOS o
Internetwork Packet Exchange (IPX) y la unidad central (mainframe).
RED DE AREA AMPLIA (WIDE AREA NETWORK - WAN) 26
Una WAN es una red de comunicaciones de datos que transmite información a través de redes LAN geográficamente
dispersas tales como entre complejos industriales, ciudades y naciones. Las características WAN incluyen:
• Son aplicables a la capa física y de enlace de datos del modelo de referencia OSI.
• El flujo de datos puede ser simple (flujo unidireccional), half duplex (sólo un sentido a la vez) o full duplex (en
ambos sentidos a la vez sin demora de entrega).
• Las líneas de comunicación pueden ser o conmutadas o dedicadas
SEGURIDAD LAN/WAN
Las LAN y WAN son particularmente susceptibles a amenazas relacionadas con las personas y los virus, debido a la
gran cantidad de las personas que tienen derechos de acceso.
Las funciones administrativas y de control disponibles con el software de la red pueden ser limitadas. Los proveedores
de software y los usuarios de la red han reconocido la necesidad de proporcionar capacidades de diagnóstico para
identificar la causa de los problemas cuando la red se cae o funciona de una manera inusual. El uso de identificadores
de inicio de sesión (logon IDs) y contraseñas con recursos de administración asociados solamente se está convirtiendo
en estándar ahora. Las capacidades de permisos de lectura, escritura y ejecución para archivos y programas son
opciones disponibles con algunas versiones del sistema operativo de red, pero los registros automatizados detallados
de la actividad (registros de auditoría) rara vez se encuentran en las LAN. Afortunadamente, las nuevas versiones de
software de red aportan significativamente más capacidades de control y administración.
Las LAN pueden representar una forma de computación descentralizada. El procesamiento local descentralizado
ofrece la posibilidad de un entorno informático con mejor respuesta; sin embargo, las organizaciones no siempre
dan la oportunidad de desarrollar al personal de manera eficiente para resolver los problemas técnicos, operativos
y de control que la compleja tecnología LAN representa. Como resultado, los administradores de LAN locales con
frecuencia carecen de la experiencia, los conocimientos y el tiempo para gestionar eficazmente el entorno informático.
Idem.
26

Las organizaciones deben ser conscientes que el uso de VPN para permitir el acceso remoto a sus sistemas puede
crear agujeros en su infraestructura de seguridad. El tráfico cifrado puede ocultar acciones no autorizadas o software
malicioso que puede ser transmitido a través de dichos canales. Los sistemas de detección de intrusiones (IDS) y
escáneres de virus capaces de descifrar el tráfico para el análisis y luego cifrar y remitir al punto final de VPN deben
ser considerados como controles preventivos. Una buena práctica es terminar todas las VPN en un mismo punto final
denominado concentrador VPN, y no aceptará VPNs dirigidas a otras partes de la red.
El riesgo de acceso remoto incluye:

• DoS, donde los usuarios remotos pueden no ser capaces de obtener acceso a los datos o las aplicaciones que son
vitales para que ellos lleven a cabo su trabajo del día a día
• Terceros malintencionados, que pueden tener acceso a aplicaciones críticas o a los datos delicados explotando
debilidades en el software de comunicaciones y los protocolos de red
• El software de comunicaciones mal configurado, lo que puede dar lugar a un acceso no autorizado o la
modificación de los recursos de información de una organización
• Dispositivos mal configurados en la infraestructura informática corporativa
• Los sistemas host no asegurados adecuadamente, lo que podría ser aprovechado por un intruso para tener acceso de
forma remota
• Cuestiones de seguridad física sobre los equipos de los usuarios remotos
Los controles de acceso remoto incluyen:

• Las políticas y estándares
• Autorizaciones adecuadas
• Mecanismos de identificación y autentificación
• Las herramientas de cifrado y técnicas como el uso de una VPN
• Gestión de sistema y de red

TEMA 5—SEGURIDAD DEL SISTEMA OPERATIVO

FORTALECIMIENTO DEL SISTEMA/PLATAFORMA
El fortalecimiento del sistema es el proceso de implementación de los controles de seguridad en un sistema informático.
Es común que la mayoría de los proveedores de computadores dejen abiertos los controles predeterminados,
favoreciendo la facilidad de uso por encima de la seguridad. Esto crea vulnerabilidades significativas, a menos que el
sistema sea fortalecido.
El proceso real de determinar lo que es fortalecido y en qué nivel varía en función del riesgo y la exposición del
sistema. Además, los controles exactos disponibles para el fortalecido, varían de un sistema operativo a otro; sin
embargo, algunos controles comunes incluyen:
• Autentificación y autorización
• Permisos del sistema de archivos
• Privilegios de acceso
• Monitorización de registro y del sistema
• Servicios del sistema
Independientemente del sistema operativo específico, el fortalecimiento del sistema debe aplicar el principio de
privilegios mínimos o control de acceso.
MODOS DE OPERACIONES
La mayoría de los sistemas operativos tienen dos modos de operaciones: el modo kernel para la ejecución de instrucciones
privilegiadas para el funcionamiento interno del sistema; y el modo usuario para las actividades normales. En el modo
kernel, no hay protecciones ante errores o actividades maliciosas y todas las partes del sistema y la memoria son
accesibles. Ver Figura 4.10.
Figura 4.10: Modo Usuario vs. Modo Kermel
Los sistemas operativos permiten el acceso controlado a las operaciones en modo kernel mediante llamadas al
sistema, que por lo general requieren privilegios. Estos privilegios se definen en base a usuarios o programas y deben
limitarse en virtud del principio de privilegios mínimos. La mayoría de los ataques buscan ganar acceso privilegiado o
acceso en modo kernel al sistema, con el fin de eludir otros controles de seguridad.
PERMISOS DEL SISTEMA DE ARCHIVOS

Los sistemas operativos tienen sistemas de archivos que administran los archivos de datos almacenados en el sistema
y proporcionan los controles de acceso para determinar qué usuarios (o programas) tienen qué tipo de acceso a un
archivo. Típicos accesos a archivos, incluyen controles de creación, modificación, lectura, escritura y eliminación.

CREDENCIALES Y PRIVILEGIOS
El acceso que un usuario en particular tiene a un sistema, se controla a través de una serie de mecanismos. Las
credenciales de un usuario definen quiénes son y qué permisos tienen para acceder a los recursos dentro del sistema.
Las contraseñas son el mecanismo estándar para autenticar a un usuario en el sistema y deben ser administradas
correctamente para asegurarse de que no sean fáciles de adivinar o comprometidas. La mayoría de los sistemas
operativos proporcionan controles para las contraseñas, tales como longitud mínima, tiempo de vigencia para cada
contraseña en particular y el número de intentos permitidos para utilizar una contraseña antes de negar el acceso.
Otro de los controles clave de usuario, son los privilegios asignados a un usuario en particular. Estos privilegios
deben ser cuidadosamente seleccionados y controlados para evitar el mal uso o el compromiso. La asignación de
privilegios debe seguir el principio de privilegios mínimos requeridos para que un usuario haga su trabajo.
Los administradores también pueden limitar las formas en que los usuarios pueden tener acceso a los sistemas. Por
ejemplo, los administradores pueden establecer restricciones de inicio de sesión en función de la hora del día, el
tiempo total de la sesión, la dirección de origen y los intentos fallidos de inicio de sesión.
FORTALECIMIENTO DE LA PLATAFORMA
Los profesionales de seguridad deben entender los tipos y funciones de las cuentas en cada plataforma que están
protegiendo. Por ejemplo, Windows diferencia entre archivos y dispositivos tales como impresoras, mientras que
todo en UNIX se considera como archivo, lo cual incluye los dispositivos físicos.
Para el profesional de ciberseguridad, identificar la localización de la información crítica es imprescindible, no sólo

para la seguridad, sino también para la respuesta a incidentes.
En UNIX, los directorios siguientes requieren consideración adicional:

• /etc/passwd - Mantiene información de las cuentas de usuario y contraseñas
• /etc/shadow - Conserva la contraseña encriptada de la cuenta correspondiente
• /etc/group - Contiene información de grupo para cada cuenta
• /etc/gshadow – Contiene información segura de los grupos de cuentas
• /bin - Ubicación de los archivos ejecutables
• /boot - Contiene los archivos de arranque del sistema
• /kernel – Archivos kernel
• /sbin - Contiene archivos ejecutables, a menudo para la administración
• /usr – Incluye los comandos administrativos
En Windows, no se requiere mirar nada más que el Registro (Registry) – una base de datos jerárquica central que
almacena los parámetros y opciones de configuración. 32 Una “sección” (hive) es un grupo lógico de claves, subclaves
y valores del registro que tiene un conjunto de archivos de soporte y copias de seguridad de sus datos 33
• HKEY_CURRENT_CONFIG - Contiene información volátil generada en el arranque
• HKEY_CURRENT_USER - Ajustes específicos del usuario actual
• HKEY_LOCAL_MACHINE\SAM – Contiene información local y de las cuentas de dominio
• HKEY_LOCAL_MACHINE\Security - Contiene la política de seguridad referenciada y forzada por el kernel
• HKEY_LOCAL_MACHINE\Software - Contiene ajustes de software y Windows
• HKEY_LOCAL_MACHINE\System - Contiene información sobre la configuración de Windows
• HKEY_USERS\.DEFAULT - Perfil de la cuenta del sistema local
Most of the supporting files for the hives are in the %SystemRoot%\System32\Config directory. These files are
updated each time a user logs on. 34
32
Microsoft Press; Diccionario Informatico de Microsoft, 5 th, EEUU, 2002
33
Microso Secciones del Registro, http://msdn.microsoft.com/en-us/library/windows/desktop/ms724877%28v=vs.85%29.aspx
34
Idem.
Sección 4: Seguridad de
de Redes, Sistemas,
Sistemas, Aplicaciones y Datos
Datos
Figura 4.14: Top 10 de Riesgos de Seguridad de Aplicaciones en 2013

Vector de Ataque Descripción del Riesgo de Seguridad
Inyección Los fa
fallos de
de in
inyección oc
ocurren cu
cuando lo
los da
datos qu
que no
no so
son de
de co
confianza, se
se en
envían a un in
intérprete. El
El
atacante puede engañar al intérprete para que ejecute comandos involuntariamente o acceder a datos
no autorizados. Los fallos de inyección son frecuentes y, a menudo se encuentran en las consultas
SQL y LDAP, así como
c omo en comandos del sistema operativo.
Ruptura de la autenticación y Si una función de aplicación relacionada con la autenticación o gestión de sesiones no se implementa
gestión de la sesión correctamente, puede permitir a un usuario malintencionado poner en peligro las contraseñas, claves o
tokens de sesión y suplantar a los usuarios legítimos.
Cross-Site Scripting (XSS) Los fallos XSS ocurren cuando una aplicación toma datos que no son de confianza y los envía a un
navegador web sin la validación adecuada. Esto es el fallo más frecuente de seguridad de aplicaciones
web. Los atacantes pueden utilizar XSS para secuestrar sesiones de usuario, insertar contenido hostil,
desconfigurar sitios web y redirigir a los usuarios.
Referencias directas a Una referencia directa a un objeto se produce cuando un desarrollador expone una referencia a un
objetos inseguras objeto de implementación interna. Los atacantes pueden manipular estas referencias para acceder a
datos no autorizados.
Mala configuración de Configuracionesdeseguridadsedebendefinir,implementary mantenerenaplicaciones,marcos,servidores
seguridad de aplicaciones, servidores web, servidores de bases de datos y plataformas. Una mala configuración de
seguridad puede dar a los atacantes el acceso no autorizado a los datos o la funcionalidad del sistema..
Exposición de datos Si las aplicaciones web no garantizan adecuadamente los datos sensibles a través del uso de cifrado,
confidenciales los atacantes pueden robar o modificar los datos sensibles, tales como los registros de salud, tarjetas
de crédito, identificaciones fiscales y las credenciales de autenticación.
Falta de control de acceso a Cuando no se verifican los derechos de acceso de nivel de la función, los atacantes pueden falsificar
nivel de función las solicitudes para acceder a la funcionalidad sin autorización.
Falsificación de petición en Un ataque CSRF se produce cuando un atacante obliga al navegador del usuario a enviar peticiones
sitios cruzados (CSRF, Cross- HTTP falsificadas, incluyendo las “cookies” de sesión. Esto permite a un atacante engañar a las
Site Request Forgery) víctimas para realizar operaciones en sitios web ilegítimos.
Uso de componentes con Ciertos componentes, tales como bibliotecas, marcos y otros módulos de software generalmente se
vulnerabilidades
vulnerabilidad es conocidas ejecutan con privilegios completos. Los atacantes pueden explotar un componente vulnerable para
acceder a datos o hacerse cargo de un servidor.
Redireccionamientos y
Redireccionamientos Las aplicaciones Web con frecuencia re-direccionan o re-envían a los usuarios a otras páginas.
reenvíos no validados Cuando se utilizan datos no confiables para determinar el destino, un atacante puede redirigir las
víctimas a sitios de phishing o malware.
Los controles de aplicación son los controles sobre las funciones de entrada, procesamiento y salida. Incluyen
métodos para ayudar a asegurar la precisión, completitud, validez, verificabilidad y consistencia, logrando así la
integridad y confiabilidad de los datos.
Los controles de aplicación pueden consistir en pruebas de edición, totales, conciliaciones y la identificación, así
como la notificación de datos incorrectos, faltantes o de excepción. Controles automatizados deben ir acompañados
de procedimientos manuales para asegurar la debida investigación de las excepciones. La implementación de estos
controles ayuda a garantizar la integridad del sistema, que las funciones aplicables del sistema operan según lo
previsto,
previ sto, y que la
la información
información contenid
contenidaa en el sistema
sistema es releva
relevante,
nte, fiable,
fiable, segura
segura y disponib
disponible
le cuando
cuando sea necesario.
necesario.
Los controles de aplicación incluyen:
• Firewall
• Programas de cifrado
• Programas contra software malintencionado (anti-malware)
• Programas de detección/eliminación de spyware
• Autenticación biométrica
Con el fin de reducir los riesgos de seguridad de aplicaciones, OWASP recomienda lo siguiente:
• Definir los requisitos de seguridad de la aplicación
• Utilizar buenas prácticas de arquitectura de seguridad de la aplicación desde el principio del diseño de la aplicación

de Redes, Sistemas,
Datos
• Implementar controles de seguridad fuertes y utilizables

• Integrar la seguridad en el ciclo de vida de desarrollo
• Permanecer actualizado en las vulnerabilidades de las aplicaciones
AMENAZAS ADICIONALES
Es importante para el profesional de seguridad de la información reconocer que hay muchas fuentes de asesoramiento
en materia de seguridad, de mejores prácticas y de recomendaciones. El hecho que una amenaza no aparezca en una
lista “top” de un año no significa que pueda olvidarse de ella.
Otras amenazas de seguridad a tener en cuenta son:

• Canal encubierto —Medio para transf
transferir
erir ilíci
ilícitament
tamentee informac
información
ión entre
entre los
los sistemas
sistemas,, que utili
utiliza
za la infrae
infraestruc
structura
tura
existente. Los canales encubiertos son ataques simples, sigilosos, que a menudo pasan desapercibidos.
• Condición de carrera —Según Rouse, “una situaci situación
ón indeseabl
indeseablee que se produce
produce cuando un disposit
dispositivo
ivo o siste
sistema
ma
intenta realizar dos o más operaciones, al mismo tiempo, pero debido a la naturaleza del dispositivo o sistema, las
operaciones deben realizarse en la secuencia correcta con el fin de hacerse correctamente”. 37 Las condiciones de
carrera varían; sin embargo, estas vulnerabilidades ofrecen oportunidades para accesos a la red no autorizados. 38
• Ataque orientado a retorno —Técni
—Técnica ca utilizada
utilizada frecu
frecuenteme
entemente
nte para
para explotar
explotar las vulnera
vulnerabilida
bilidades
des de corrup
corrupción
ción
de memoria. En pocas palabras, permite a un atacante ejecutar código a pesar de los avances tecnológicos tales
como pilas (stacks) no ejecutables y montículos (heaps) no ejecutables. Las vulnerabilidades de corrupción de
memoria se producen “cuando un programa privilegiado está obligado a corromper su propio espacio de memoria,
de manera que las áreas de memoria corrompidas tienen un impacto en el funcionamiento seguro del programa”.
• Esteganografía — El arte o la práctica
práctica de ocultar
ocultar un mensaje,
mensaje, imagen o archivo
archivo dentro
dentro de otro
otro mensaje,
mensaje, imagen o
archivo. Los archivos multimedia son ideales debido a su gran tamaño.
PROTOCOLO DE APLICACIONES INALÁMBRICAS

Wireless Application Protocol (WAP) es un término general usado para describir el protocolo de capas múltiples y
tecnologías relacionadas que traen los contenidos de Internet a los dispositivos móviles inalámbricos, tales como los
teléfonos inteligentes. Los protocolos WAP se basan en gran medida en las tecnologías de Internet. La motivación
para el desarrol
desarrollo
lo de WAP era
era extender
extender las tecnolo
tecnologías
gías de Internet
Internet a las redes y los dispos
dispositivo
itivoss inalámbric
inalámbricos.
os.
WAP soporta la mayoría de las redes inalámbricas y es compatible con todos los sistemas operativos diseñados
específicamente para dispositivos portátiles y algunos teléfonos móviles. Este tipo de dispositivos que utilizan
pantallas
pantallas y que acceden
acceden a Internet,
Internet, ejecu
ejecutan
tan los
los denominad
denominadosos micro-na
micro-navegador
vegadores,
es, los
los cuales
cuales tienen
tienen archiv
archivos
os de
tamaño pequeño, que se pueden acomodar a las limitaciones de poca memoria de dispositivos portátiles y a las
limitaciones de bajo ancho de banda de una red portátil inalámbrica. Aunque WAP soporta Hypertext Markup
Language (HTML) y lenguaje de marcado extensible (XML, del inglés “Extensible mark-up language”), el lenguaje
Wireless Markup (WML), que es una aplicación XML, está diseñado específicamente para las pantallas pequeñas y
de navegación con una sola mano, sin un teclado.
Los siguientes son los problemas y exposiciones generales relacionados con el acceso inalámbrico:
• La interceptación de la información sensible —La informa información
ción se
se transmit
transmitee a través
través del aire,
aire, lo que aument
aumentaa la
posibilidad
posibi lidad de que la informac
información
ión no prote
protegida
gida sea
sea intercep
interceptada
tada por personas
personas no autoriza
autorizadas.
das.
• La pérdida o robo de dispositivos —Los dispos
dispositivos
itivos inalám
inalámbricos
bricos tiende
tiendenn a ser relat
relativamen
ivamentete pequeñ
pequeños,
os, hacién
haciéndolos
dolos
mucho más fáciles de robar o perder. Si el cifrado no es fuerte, un hacker puede llegar fácilmente a la información que
está protegía por contraseña o PIN. El robo o pérdida puede llevar a la pérdida de los datos que han sido almacenados
en estos dispositivos.
• El mal uso de los dispositivos —Los dispos
dispositivos
itivos se pueden
pueden utiliz
utilizar
ar para
para recopilar
recopilar inform
información
ación o intercept
interceptar
ar la
información que se transmite a través de redes inalámbricas, para beneficio financiero o personal.
37
Rouse, Margaret; Condición de Carrera,
Carrera, Septiembre 2015, http://searchstorage.techtarget.com/definition/race-condition
38
Herath, Nishad; “El estado de volver a la Programación Orientada en los Exploits Contemporaneos” Inteligencia de Seguridad, 3 Marzo 2014,
http://securityintelligence.com/return-oriented-programming-rop-contemporary-exploits/#.VFkNEBa9bD0
de Redes, Sistemas,
Datos
• Las distracciones causadas por los dispositivos —El uso uso de dispos

dispositivo
itivoss inalámbric
inalámbricosos distrae
distrae al usuario.
usuario. Si estos
estos
dispositivos se utilizan en situaciones donde se requiere toda la atención de un individuo (por ejemplo, conduciendo
un automóvil), podría llevar a un aumento en el número de accidentes.
• Posibles efectos en la salud por el uso de dispositivos — Aún no se han identif identificado
icado los riesgos
riesgos para la seguridad
seguridad
o la salud, en el uso de estos dispositivos. Sin embargo, en la actualidad hay una serie de preocupaciones respecto a
la radiación electromagnética, especialmente para aquellos dispositivos que deben colocarse al lado de la cabeza.
• Autenticación inalámbrica de usuario — Hay una necesida necesidadd de reforz
reforzar
ar las
las herramient
herramientasas de autent
autenticaci
icación
ón y
autorización de los usuarios de red inalámbrica a nivel de dispositivo. La tecnología actual está aún emergiendo.
• Seguridad de archivos —Los teléfo teléfonos
nos inalámbr
inalámbricos
icos y los PDAs
PDAs no utili
utilizan
zan el tipo de
de seguridad
seguridad de acceso
acceso a
archivos que otras plataformas de computadoras pueden proporcionar.
• Cifrado de seguridad WEP —La segurida seguridadd WEP depend
dependee sobre
sobre todo de la longi
longitud
tud de la clave
clave de cifra
cifrado
do y del
del
uso de la WEP estática (muchos usuarios en una red WLAN comparten la misma clave) o WEP dinámica (clave
WEP dinámica por usuario, por sesión, vinculada al inicio de sesión de red). Las claves de cifrado de 64 bits que
están en uso en el estándar de cifrado WEP, pueden ser fácilmente rotas con la potencia de cálculo disponible
actualmente. El WEP estático, utilizado en muchas redes WLAN con fines de flexibilidad, es un grave riesgo de
seguridad, ya que una clave estática puede ser fácilmente perdida o rota, y, una vez que esto ha ocurrido, toda
la información está disponible para su visualización y uso. Un atacante que posee la clave WEP también podría
entrometerse en paquetes que están siendo transmitidos, y descifrarlos.
• Interoperabilidad —La mayoría
mayoría de loslos proveedore
proveedoress ofrecen
ofrecen modos
modos de cifra
cifrado
do de 128 bits.
bits. Sin
Sin embargo,
embargo, éstos no
están estandarizados, por lo que no hay garantía de que puedan interactuar. El uso de la clave de cifrado de 128 bits
tiene un impacto importante en el rendimiento, con un porcentaje de degradación experimentado del 15% a 20%.
Algunos proveedores ofrecen soluciones propietarias; sin embargo, esto sólo funciona si todos los puntos de acceso
y tarjetas inalámbricas son del mismo proveedor.
• Punto de traslación —La ubicació
ubicaciónn donde
donde la inform
información
ación que se transm
transmiteite a través de la red inalámb
inalámbrica
rica se
convierte a la red cableada. En este punto, la información, que ha sido comunicada a través del modelo de seguridad
WAP, usando la capa de transporte de seguridad inalámbrica, se convierte en la capa de conexión segura (SSL, del
inglés “Secure Socket Layer”), donde la información se descifra y luego se encripta de nuevo para la comunicación
a través de TCP/IP.

de Redes, Sistemas,
Datos

TEMA 7—SEGURIDAD DE DATOS

Las bases de datos pueden ser protegidas individualmente con controles similares a las protecciones aplicadas a nivel
del sistema. Los controles específicos que se pueden aplicar en el nivel de base de datos incluyen:
• Autenticación y autorización de acceso
• Controles de acceso que limiten o controlen los tipos de datos accesibles y qué tipos de accesos se permiten (como
sólo lectura, lectura y escritura, o borrado).
• Monitorización de registro y otras transacciones
• Controles de cifrado e integridad
• Copias de seguridad
Los controles que se utilizan para proteger las bases de datos deben ser diseñados conjuntamente con los controles
del sistema y las aplicaciones, formando otra capa de protección en un esquema de defensa en profundidad.
CLASIFICACIÓN DE DATOS
La información usada por una organización puede ser de valor e importancia variable. Por ejemplo, alguna
información puede ser pública y requiere una protección mínima, mientras que otra información, como información
de seguridad nacional, salud u otro tipo de información personal o secretos comerciales, podría resultar en un daño
significativo para la organización en caso de que sea publicada, borrada o modificada accidentalmente.
Es importante que la organización comprenda la sensibilidad de la información y clasifique los datos en función de
su confidencialidad y el impacto de la publicación o pérdida de la información.
La clasificación de datos funciona mediante el etiquetado de los datos con los metadatos basados en una taxonomía
de clasificación. Esto permite que los datos se puedan encontrar de forma rápida y eficiente, reduce los costes
de almacenamiento y copias de seguridad, y ayuda a asignar y maximizar los recursos. El número de niveles
de clasificación debe mantenerse al mínimo. Deben ser designaciones simples que asignan diferentes grados de
sensibilidad y criticidad.
La clasificación de datos debe ser definida en una política de clasificación de los datos que proporcione la definición
de las diferentes clases de información y cómo cada clase de información debe ser manejada y protegida. Además, el
esquema de clasificación debe expresar la asociación de los datos y de sus procesos de apoyo al negocio.
En algunos casos, las regulaciones locales pueden afectar a la clasificación y manejo de los datos, tales como los
controlados por leyes de protección de datos. Por ejemplo, la Ley Sarbanes-Oxley de Estados Unidos define qué registros
de datos deben almacenarse y por cuánto tiempo.
La información también puede necesitar ser reclasificada en base a los cambios en su importancia. Por ejemplo, antes
del lanzamiento de un producto, los detalles del diseño, precios y otros datos pueden ser confidenciales y necesitan una
protección significativa; sin embargo, después de la presentación del producto, esta información puede llegar a ser pública
y no requiere el mismo nivel de protección.
PROPIETARIOS DE LOS DATOS

Otra consideración importante para la seguridad de los datos es definir el propietario de los datos. A pesar de
que TI aplica los controles de seguridad y vigilancia de los datos empresariales, los datos no pertenecen a TI. La
información del negocio pertenece en última instancia al responsable de los procesos del negocio. El propietario es
generalmente responsable de establecer la clasificación de los datos y, por lo tanto, del nivel de protección requerido.
El propietario de los datos puede ser un individuo que crea los datos o una entidad organizacional que actúa como
custodio de la información. El proceso de clasificación de los datos se muestra en la Figura 4.15.

Figura 4.15: Proceso de Clasificación de los Datos
Al clasificar los datos, se deben considerar los siguientes requisitos:

• Acceso y autenticación —Determinar los requisitos de acceso, incluyendo definir perfiles de usuarios, los criterios
de aprobación de acceso y los procedimientos de validación.
• Confidencialidad —Determinar donde se almacenan datos confidenciales y cómo se transmiten.
• Privacidad —Usar controles para alertar a un usuario afectado que su información está a punto de ser utilizada.
• Disponibilidad —Determinar las tolerancias en el tiempo de actividad (uptime) y el tiempo de inactividad
(downtime) para los diferentes tipos de datos.
• Propiedad y distribución —Establecer procedimientos para proteger los datos ante copia y distribución no
autorizada.
• Integridad —PProteger los datos de cambios no autorizados mediante los procedimientos de control de cambios, y
la monitorización y detección automática de cambios y manipulación no autorizados.
• Retención de datos —Determinar los períodos de retención y preservar versiones específicas de software,
hardware, credenciales de autenticación y claves de cifrado, para asegurar la disponibilidad.
• Auditabilidad —Mantener un registro de acceso, autorizaciones, cambios y transacciones.
Después de la asignación de la clasificación de datos, se pueden establecer controles de seguridad tales como cifrado,
autenticación y registro. Las medidas de seguridad deben aumentar a medida que el nivel de confidencialidad o
criticidad de los datos aumenta. El ciclo de vida completo de datos se muestra en la Figura 4.16.
Figura 4.16: Ciclo de Vida de los Datos

SEGURIDAD DE BASES DE DATOS

La seguridad de las bases de datos protege los archivos almacenados y la información en las bases de datos de la red
de una organización. Una de las mejores maneras de asegurar esta información es con la gestión de derechos digitales
(DRM, del inglés “Digital Rights Management”), que se refiere a tecnologías de control de acceso que pueden ser
utilizadas por los fabricantes de hardware, editores, propietarios de derechos de autor e individuos, para imponer
limitaciones en el uso de contenidos y dispositivos digitales. Las organizaciones también pueden restringir el acceso
a instancias específicas de obras o dispositivos digitales. Los usuarios sólo tienen acceso a los archivos que necesitan
para prevenir ataques internos y ataques en los que se engaña a los empleados para proporcionar datos seguros.
Otro elemento de seguridad de bases de datos es el control de acceso a las copias de seguridad físicas, tales
como unidades de cinta y discos duros. Los sistemas de gestión de la cinta (TMS, del inglés “Tape Management
Systems”) y los sistemas de gestión de disco (DMS, del inglés “Disk Management Systems”), a menudo incluyen
procedimientos de seguridad física que custodian el acceso a las máquinas de copia de seguridad, así como sistemas
de control de inventario para dar cuenta de las copias de seguridad de bases de datos.


Sección 5: Respuesta a Incidentes
El BCP es principalmente responsabilidad de la alta dirección, ya que se encargan de la protección de los activos y
la viabilidad de la organización, tal como se define en la política del BCP/DRP. El BCP es seguido generalmente
por las unidades de negocio y de apoyo, para proporcionar un nivel reducido pero suficiente de funcionalidad en las
operaciones de negocio inmediatamente después de encontrarse con una interrupción, mientras que la recuperación
se está produciendo.
Dependiendo de la complejidad de la organización, puede haber uno o más planes para abordar los diversos aspectos
del BCP y del DRP. Estos planes no necesariamente tienen que estar integrados en un solo plan. Sin embargo, cada
uno tiene que ser coherente con los otros planes para tener una estrategia viable de BCP.
Incluso si los procesos similares de la misma organización se manejan en una ubicación geográfica diferente, las
soluciones del BCP y del DRP pueden ser diferentes para diferentes escenarios. Las soluciones pueden ser diferentes
debido a los requisitos contractuales (por ejemplo, la misma organización está procesando una transacción en línea
para un cliente y el back office está procesando para otro cliente). Una solución del BCP para el servicio en línea será
significativamente diferente de una para el procesamiento de back office.
ANÁLISIS DE IMPACTO EN EL NEGOCIO

El primer paso en la preparación de un nuevo BCP es identificar los procesos de negocio de importancia estratégica -
aquellos procesos claves que son responsables tanto del crecimiento permanente del negocio como del cumplimiento
de los objetivos de negocio. Idealmente, el BCP/DRP debe ser soportado por una política ejecutiva formal que
establezca el objetivo global de la organización para la recuperación y faculta a las personas involucradas en el
desarrollo, pruebas y mantenimiento de los planes.
Basado en los procesos clave, un proceso de análisis de impacto en el negocio (BIA) debe comenzar determinando
plazos, prioridades, recursos e interdependencias que apoyan los procesos clave. El riesgo del negocio es directamente
proporcional al impacto en la organización y la probabilidad de ocurrencia de la amenaza percibida. Por lo tanto, el
resultado del BIA debe ser la identificación de lo siguiente:
• Los recursos humanos, datos, elementos de infraestructura y otros recursos (incluidos los prestados por terceros)
que apoyan los procesos clave
• Una lista de vulnerabilidades potenciales - los peligros o amenazas a la organización
• La probabilidad estimada de ocurrencia de estas amenazas
• La eficiencia y la eficacia de los controles de mitigación de riesgos existentes (contramedidas de riesgo)
La información se recoge para el BIA de diferentes partes de la organización que poseen procesos/aplicaciones clave.
Para evaluar el impacto del tiempo de inactividad de un proceso/aplicación en particular, se desarrollan bandas de
impacto (es decir, alta, media, baja) y, para cada proceso, el impacto se estima en tiempo (horas, días, semanas). El
mismo enfoque se utiliza cuando se estima el impacto de la pérdida de datos. Si es necesario, el impacto financiero
puede estimarse utilizando las mismas técnicas, asignando el valor financiero a la banda de impacto. Además, los datos
para el BIA pueden recogerse en los marcos de tiempo necesarios para suministrar los recursos vitales - cuánto tiempo
puede funcionar la organización si un suministro está roto o cuando la sustitución ha llegado.
El BIA debe responder a tres preguntas importantes:

1. ¿Cuáles son los diferentes procesos de negocio?
2. ¿Cuáles son los recursos de información críticos relacionados con los procesos de negocio críticos de una
organización?
3. ¿Cuál es el período de tiempo de recuperación crítico para los recursos de información en el cual el procesamiento
del negocio deberá reanudarse antes de que se sufran pérdidas significativas o pérdidas inaceptables?
130 CGuía de Estudio de Fundamentos de la Ciberseguridad 2015

CONSIDERACIÓN EN LA CADENA DE SUMINISTRO

NIST define la cadena de suministro de la tecnología de la información y comunicación (ICT) como “un ecosistema
complejo, distribuido a nivel mundial e interconectado, que tiene diversas rutas geográficas, y se compone de múltiples
niveles de externalización.” Este entorno es interdependiente de entidades públicas y privadas para el desarrollo, la
integración y la entrega de productos y servicios de ICT. 43
La complejidad de las cadenas de suministro y el impacto requiere una concienciación persistente de riesgo y consideración.
Los factores más importantes que contribuyen a la fragilidad de las cadenas de suministro son económicos, ambientales,
geopolíticos y tecnológicos. 44
Ya se trate de la rápida adopción de software de código abierto, la manipulación de hardware físico o de desastres
naturales que tiren abajo los centros de datos, las cadenas de suministro requieren la gestión de riesgos. Un ejemplo
de esto fue descrito en un artículo en Forbes: Las inundaciones en Tailandia crearon una escasez significativa en
el mercado de unidades de discos duros, que costó millones de dólares en pérdidas a conocidos fabricantes de
electrónica.45
Los productos o servicios fabricados en cualquier lugar pueden contener vulnerabilidades que pueden presentar
oportunidades para los compromisos relacionados con la cadena de suministro de las ICT. Es especialmente importante
considerar el riesgo de la cadena de suministro desde el desarrollo del sistema, para incluir la investigación y el
desarrollo (R&D) a través de la vida útil, y en última instancia el retiro/eliminación de los productos.
OBJETIVOS DE TIEMPO DE RECUPERACIÓN (RTO)

RTO se define como la cantidad de tiempo permitido para la recuperación de una función de negocios o un recurso
después de que ocurra un desastre. El RTO se determina generalmente en base al punto donde el coste actual de la
pérdida es igual al coste de la recuperación.
OBJETIVO DE PUNTO DE RECUPERACIÓN

RPO se define como la pérdida de datos aceptable en caso de una interrupción de las operaciones. Indica el punto
más temprano en el tiempo en el que es aceptable recuperar los datos. En otras palabras, es el último punto conocido
de datos aceptables.
Para asegurar un plan de gestión de incidentes o un plan de recuperación de desastre efectivos, el RTO y RPO deben
estar estrechamente vinculados. Un RTO corto puede ser difícil de lograr si hay una gran cantidad de datos para ser
restaurados (RPO).
PLAN DE CONTINUIDAD DE NEGOCIO DE LOS SISTEMAS DE INFORMACIÓN (BCP SI)

En el caso del BCP SI, el enfoque es el mismo que en el BCP con la excepción de que la continuidad del procesamiento
de los SI está amenazada. El procesamiento de los SI es de importancia estratégica - es un componente crítico debido
a que la mayoría los procesos clave del negocio dependen de la disponibilidad de sistemas, componentes de la
infraestructura y datos claves.
El BCP SI debe estar alineado con la estrategia de la organización. La criticidad de los distintos sistemas de aplicaciones
desplegados en la organización depende de la naturaleza del negocio tanto como del valor de cada aplicación para el negocio.
El valor de cada aplicación para el negocio es directamente proporcional a la función del sistema de información que
apoya a la estrategia de la organización. Los componentes del sistema de información (incluyendo los componentes
de infraestructura de la tecnología) están entonces emparejados a las aplicaciones (por ejemplo, el valor de un
ordenador o una red se determina por la importancia del sistema de aplicación que lo utiliza).
43
Boyens, Jon; Celia Paulsen; Rama Moorthy; Nadya Bartol; NIST SP 800-161, 2nd draft: Supply Chain Risk Management Practices for Federal
Information Systems and Organization, NIST, USA, 2014
44
Rodrigue, Jean-Paul; Risk in Global Supply Chains, https://people.hofstra.edu/geotrans/eng/ch9en/conc9en/supply_chain_risks.html
45
Culp, Steve, “Supply Chain Risk a Hidden Liability for Many Companies,” Forbes, 8 October 2012, www.forbes.com/sites/steveculp/2012/10/08/
supply-chain-risk-a-hidden-liability-for-many-companies
Por lo tanto, el BCP/DRP del sistema de información es un componente importante de la estrategia global de continuidad
de negocio y la recuperación de desastres de una organización. Si el plan de SI es un plan separado, debe ser consistente
con el BCP corporativo y apoyarlo. Ver Figura 5.4.
Figura 5.4: Figura plan de Continuidad

del Negocio
CONCEPTOS DE RECUPERACIÓN
La recuperación de datos es el proceso de restauración de datos que han sido perdidos, borrados accidentalmente,
dañados o se han vuelto inaccesibles por alguna razón. Los procesos de recuperación varían en función del tipo
y la cantidad de datos perdidos, del método de copia de seguridad propia y de los medios de respaldo. El DRP de
una organización debe proporcionar la estrategia de cómo se recuperarán los datos y asignar responsabilidades de
recuperación.
PROCEDIMIENTOS DE COPIAS DE SEGURIDAD

Los procedimientos de copias de seguridad se utilizan para copiar archivos en un segundo medio como puede ser un
disco, una cinta o en la nube. Los archivos de copias de seguridad deben mantenerse en una ubicación fuera del sitio.
Las copias de seguridad suelen ser automatizadas utilizando comandos del sistema operativo o programas de copias
de seguridad. La mayoría de los programas de copias de seguridad comprimen los datos de modo que las copias de
seguridad requieren menos medios de almacenamiento.
Hay tres tipos de copias de seguridad de datos: completos, incrementales y diferenciales. Los respaldos completos
proporcionan una copia completa de todos los archivos seleccionados en el sistema, independientemente de si fue
respaldada recientemente. Este es el método de copia de seguridad más lento pero el método más rápido para la
restauración de datos. Las copias de seguridad incrementales copian todos los archivos que han cambiado desde
que se hizo la última copia de seguridad, independientemente de si la última copia de seguridad era una copia de
seguridad completa o incremental. Este es el método de copia de seguridad más rápido, pero el método más lento para
la restauración de datos. Las copias de seguridad diferenciales sólo copian los archivos que han cambiado desde la
última copia de seguridad completa. El archivo crece hasta que se realice la siguiente copia de seguridad completa.
132 CGuía de Estudio de Fundamentos de la Ciberseguridad 2015

SECCIÓN 5—EVALUACIÓN DEL CONOCIMIENTO

1. Organiza los pasos del proceso de respuesta a incidentes en el orden correcto.
a. Mitigación y recuperación
b. Investigación
c. Análisis posterior al incidente
d. Preparación
e. Detección y análisis
2. ¿Qué elemento de un plan de respuesta a incidentes implica la obtención y preservación de la evidencia?

a. Preparación
b. Identificación
c. Contención
d. Erradicación
3. Selecciona tres. La cadena de custodia contiene información sobre:

a. Objetivos de recuperación de desastres, recursos y personal.
b. Quién tenía acceso a las evidencias, en orden cronológico.
c. Reglamentos laborales, sindicales y de privacidad.
d. Prueba de que el análisis se basa en copias idénticas a la evidencia original.
e. Los procedimientos que se siguieron trabajando con la evidencia.
4. NIST define un(a) como una “violación o amenaza inminente de violación de las políticas de seguridad
informática, las políticas de uso aceptable, o las prácticas de seguridad estándar.”
a. Desastre
b. Evento
c. Amenaza
d. incidente
5. Seleccione todas las que correspondan. Un análisis de impacto en el negocio (BIA) deberá identificar:
a. Las circunstancias bajo las que debe ser declarado un desastre.
b. La probabilidad estimada de las amenazas identificadas que ocurren actualmente.
c. La eficiencia y la eficacia de los controles de mitigación de riesgos existentes.
d. Una lista de posibles vulnerabilidades, peligros y/o amenazas.
e. Qué tipos de copias de seguridad de datos se utilizarán (completa, incremental y diferencial).

Sección 6: Implicaciones de Seguridad y Adopción de la Tecnología
Evolucionada
CARACTERÍSTICAS DE LAS APTS

Los ataques de este tipo son muy diferentes de aquellos que pueden haber experimentado las empresas en el pasado.
La mayoría de las organizaciones se han enfrentado en algún momento con uno o más ataques oportunistas de
criminales de poca monta, hackers u otros bromistas. Pero la mayoría de los ataques APT parten de fuentes más
siniestras. Son a menudo el resultado del trabajo de equipos profesionales que son empleados por grupos del crimen
organizado, determinados activistas o gobiernos. Esto significa que están probablemente bien planeados, son
sofisticados, con recursos suficientes y potencialmente más dañinos.
Los ataques APT varían su enfoque considerablemente, aunque comparten las siguientes características:
• Bien documentados —ALos agentes APT investigan a fondo sus objetivos, planifican el uso de sus recursos y
anticipan las posibles contramedidas.
• Sofisticados — Los ataques APT son diseñados habitualmente para explotar múltiples vulnerabilidades en un
ataque único. Utilizan un extenso marco de módulos de ataque diseñados para realizar tareas automatizadas y
dirigidas a múltiples plataformas.
• Persistentes —ALos ataques APT son proyectos a largo plazo con un enfoque en el reconocimiento, Si un ataque es
bloqueado con éxito, los autores responden con nuevos ataques. Y siempre están rastreando métodos o información
para el lanzamiento de ataques futuros.
OBJETIVOS DE APT
Las APTs atacan compañías de todos los tamaños en todos los sectores de la industria y todas las regiones
geográficas que tengan activos de alto valor. Todos los empleados, independientemente de su antigüedad, desde
los auxiliares administrativos a los altos ejecutivos, pueden ser elegidos como objetivo de un ataque phishing de
ingeniería social (spear-phishing). Las pequeñas compañías y contratistas pueden ser atacadas por ser proveedores
de servicios de una víctima elegida. Pueden ser seleccionadas como objetivos personas si son consideradas como un
potencial trampolín para obtener acceso al objetivo final.
Ninguna industria con secretos valiosos o cualquier otro recurso que pueda ofrecer una ventaja comercial que pueda
ser copiada o quebrantada por medio del espionaje están a salvo de un ataque APT. Ninguna empresa que controle
transferencias de dinero, procesos de información de tarjetas de crédito o almacene información identificable personal
sobre individuos puede ser protegida de los ataques criminales. Tampoco lo está aquella que proporcione o sostenga
una importante infraestructura nacional crítica puesto que no son inmunes a las intrusiones de los ciber atacantes.
Los ataques APT a menudo abarcan organizaciones intermediarias que proporcionan servicios a empresas objetivo.
Los proveedores intermediarios pueden ser percibidos por un atacante como el vínculo más débil de grandes
compañías y departamentos gubernamentales ya que, normalmente, están peor protegidos. No importa lo efectivo
que sea el perímetro externo de seguridad de la compañía, carece de valor si no se extiende a la cadena de suministro.
La Figura 6.3 enumera los actores principales detrás de una amenaza APT. Establece sus objetivos y el impacto
empresarial potencial de sus ataques.
Figura 6.3: Tipos e impactos de APT

Amenaza Lo que busca Impacto en el negocio
Agencias de Secretos politicos, de defensa o comerciales La pérdidad de secretos comerciales o, ventaja competitiva
inteligencia comercial
Grupos Criminales Las transferencias de dinero, oportunidades de La pérdida financiera, fugas de datos de clientes a gran
extorsión, información perrsonal de identidad o escala o la pérdida de secretos comerciales
cualquier secreto para su venta posterior potencial
Grupos terroristas Producción de terror generalizado a través de la La pérdida de la producción y los servicios, las
muerte, destrucción y alteración irregularidades del mercado de valores y el riesgo potencial
para la vida humana
Grupos activistas La información confidencial o interrupción de los Importantes fugas de datos o pérdida de servicio
servicios
Fuerzas armadas Inteligencia o posicionamiento de apoyo a futuros Graves daños a las instalaciones en caso de un conflicto
ataques contra la infraestructura nacional crítica militar

Evolucionada
FASES DE UN ATAQUE APT

Aunque no existan dos ataques APT que sean idénticos, normalmente tienen un ciclo de vida similar, mostrado en la
Figura 6.4. Empiezan recogiendo información, que incluye seleccionar y estudiar sus objetivos, planear el ataque y
recoger y analizar la información obtenida de una primera infiltración. El atacante entonces establece el comando y
control, recogiendo la información del objetivo. Esta información se transmite a la localización del atacante para ser
diseminada o explotada.
Figura 6.4: Fases de un ataque APT

Evolucionada

Evolucionada
TEMA 3— TECNOLOGÍA MÓVIL-VULNERABILIDADES,

AMENAZAS Y RIESGOS
La seguridad para la tecnología móvil es una función del riesgo asociado con su uso. A pesar de sus aspectos positivos
o negativos, los equipos de seguridad deben de lidiar con el riesgo común a todos los dispositivos y aplicaciones
móviles. La Figura 6.5 muestra una serie de ejemplos.
Figura 6.5: Vulnerabilidades, Amenazas y Riesgos de la Tecnología Móvil47

Vulnerabilidad Amenaza Riesgo
La información viaja a través de redes Forasteros maliciosos pueden hacer daño a Intercepción de información que resulta
inalámbricas que a menudo son menos la empresa. en una fuga de datos confidenciales, daño
seguras que las redes cableadas. a la reputación de la empresa, adhesión
comprometida con la regulación o acción
legal.
La movilidad proporciona a los usuarios la Los dispositivos móviles cruzan los límites La propagación de malware , puede dar
oportunidad de abandonar los límites de la y perímetros de red, llevando malware, lugar a la fuga de datos , corrupción de
empresa, lo que elimina muchos controles y pueden traer este malware a la red datos y la falta de disponibilidad de los datos
de seguridad. empresarial. necesarios; robo físico.
La tecnología Bluetooth (BT) hace que sea Los hackers pueden descubrir el dispositivo La corrupción de dispositivos, la pérdida
muy conveniente para muchos usuarios y entonces lanzar un ataque. de datos, intercepción de llamadas, posible
tener conversaciones con manos libres; sin exposición de información sensible.
embargo, a menudo se deja encendida y es
entonces visible.
Información sin cifrar se almacena en el En el caso de que un forastero malicioso La exposición de datos confidenciales, lo
dispositivo. intercepte datos en tránsito o robe un que resulta en daño a la empresa, clientes o
dispositivo, o si el empleado pierde el empleados.
dispositivo, los datos se pueden leer y
utilizar.
Perdida de datos puede afectar la Los dispositivos móviles se pueden perder Los trabajadores dependientes de
productividad de los empleados. o robar debido a su portabilidad. Los datos dispositivos móviles no pueden trabajar en
sobre estos dispositivos no siempre están caso de rotura, pérdida o robo, y los datos
respaldados. que no están respaldados.
El dispositivo no tiene requisitos de Si el dispositivo se pierde o es robado, los La exposición de datos, resulta en daño a
autenticación aplicados. extraños pueden acceder al dispositivo y a los aspectos de responsabilidad y regulación
todos sus datos. empresarial.
La empresa no está gestionando el Si no existe una estrategia de dispositivo Fuga de datos, propagación de malware,
dispositivo. móvil, los empleados pueden optar por pérdida de datos desconocida en caso de
llevar sus propios dispositivos, sin garantía. pérdida o robo del dispositivo.
Mientras que estos dispositivos no pueden
conectarse a la red privada virtual (VPN),
pueden interactuar con mensajes de correo
electrónico o almacenar documentos
sensibles.
El dispositivo permite la instalación de Las aplicaciones pueden llevar malware Propagación de malware, fuga de datos,
aplicaciones de terceros no verificadas/sin que propaga a los troyanos o virus. Las intrusión a la red de la empresa.
firma. aplicaciones también pueden transformar
el dispositivo en una pasarela para los
extraños maliciosos para entrar en la red de
la empresa.
Esta lista ilustrativa, que no es exhaustiva, pero muestra que la tecnología móvil presenta riesgos que deben ser
tratados de forma técnica y organizada. Las siguientes secciones examinan las categorías de riesgos con más detalle.
ISACA, Asegurando Dispositivos Móviles Utilizando COBIT 5 para Seguridad de la Información, EEUU, 2012
47

Evolucionada

Apendices
Apendice A—Declaración de Conocimientos

Apendice B—Glosario
Apendice C—Respuestas de las Revisiones de Conocimientos
Apendice D—Recursos Adicionales

Apendices

Anexo A – Declaración de conocimientos
ANEXO A— DECLARACIÓN DE CONOCIMIENTOS

DOMINIO 1: CONCEPTOS DE LA CIBERSEGURIDAD
1.1 Conocimiento de los principios de ciberseguridad utilizados para gestionar el riesgo relacionado con el uso,
procesamiento, almacenamiento y transmisión de información o de datos
1.2 Conocimiento de la gestión de la seguridad
1.3 Conocimiento de los procesos de gestión del riesgo, incluyendo las etapas y métodos para la evaluación del
riesgo
1.4 Conocimiento de los agentes de amenaza (por ejemplo, “script kiddies”, los no patrocinados por estados-
nación, y los patrocinados por estados-nación)
1.5 Conocimiento de las funciones o roles de la ciberseguridad
1.6 Conocimiento de tácticas, técnicas y procedimientos (TTP) comunes del adversario.
1.7 Conocimiento de leyes, políticas, procedimientos y requisitos de gobierno relevantes
1.8 Conocimiento de los controles de ciberseguridad
DOMINIO 2: PRINCIPIOS DE ARQUITECTURAS DE CIBERSEGURIDAD

2.1 Conocimiento de los procesos de diseño de la red, a fin de incluir la comprensión de los objetivos de
seguridad, objetivos operacionales y compensaciones
2.2 Conocimiento de los métodos, herramientas y técnicas de diseño de sistemas de seguridad
2.3 Conocimiento de acceso a la red, la gestión de identidades y de accesos
2.4 Conocimiento de principios y métodos de seguridad de la tecnología de la información (TI) (por ejemplo,
firewalls, zonas desmilitarizadas, cifrado)
2.5 Conocimiento de los conceptos de arquitectura de seguridad de la red, incluyendo la topología, protocolos,
componentes y principios (por ejemplo, aplicación de la defensa en profundidad)
2.6 Conocimiento de los conceptos y la metodología de análisis de malware
2.7 Conocimiento de metodologías y técnicas de detección de intrusos, y técnicas para detectar intrusiones basadas
en hosts y la red por medio de las tecnologías de detección de intrusión
2.8 Conocimiento de los principios de defensa en profundidad y la arquitectura de seguridad de la red
2.9 Conocimiento de los algoritmos de cifrado (por ejemplo, Seguridad IP [IPSEC], Estándar de Encriptación
Avanzada [AES], Encapsulación enrutada genérica “Generic Routing Encapsulation” [GRE])
2.10 Conocimiento de criptografía
2.11 Conocimiento de metodologías de cifrado
2.12 Conocimiento de cómo fluye el tráfico a través de la red (es decir, transmisión y encapsulación de datos)
2.13 Conocimiento de los protocolos de red (por ejemplo, Protocolo de Control de Transmisión y Protocolo de
Internet [TCP/IP], Protocolo de Configuración Dinámica del Host [DHCP]), y los servicios de directorio (por
ejemplo, el Sistema de Nombres de Dominio [DNS])
DOMINIO 3: SEGURIDAD DE LA RED, SISTEMAS, APLICACIONES Y DATOS

3.1 Conocimiento de herramientas de evaluación de vulnerabilidades, incluyendo herramientas de código abierto,
y sus capacidades
3.2 Conocimiento básico de administración de sistemas, redes y técnicas para fortalecimiento de la seguridad del
sistema operativo.
3.3 Conocimiento de riesgo asociado con virtualizaciones
3.4 Conocimiento de las pruebas de penetración
3.5 Conocimiento de los principios de gestión de sistemas de red, incluyendo modelos, métodos (por ejemplo,
supervisión de rendimiento extremo a extremo) y herramientas
3.6 Conocimiento de tecnologías de acceso remoto
3.7 Conocimiento de la línea de comandos de UNIX
3.8 Conocimiento de amenazas de seguridad y vulnerabilidades de los sistemas y las aplicaciones
3.9 Conocimiento de los principios de gestión del ciclo de vida del sistema, incluyendo la seguridad y la usabilidad
del software

Anexo B —Glosario
Servidor Web —Utilizando el modelo cliente-servidor y el protocolo de transferencia de hipertexto de la World

Wide Web (HTTP), un servidor web es un programa de software que disponibiliza páginas web para los usuarios.
Sistema básico de entrada y salida de red (NetBIOS) —Un programa que permite a las aplicaciones en distintas
computadoras comunicarse dentro de una red de área local (LAN).
Sistema de detección de intrusiones (IDS) —Inspecciona la actividad de la red y del servidor para identificar
patrones sospechosos que pueden indicar un ataque a la red o al sistema.
Sistema de nombres de dominio (DNS) —Una base de datos jerárquica que se distribuye a través de Internet que
permite resolver los nombres en direcciones IP (y viceversa) para localizar servicios tales como servidores web y de
correo electrónico.
Sistema de prevención de intrusiones (IPS) —Un sistema diseñado no solo para detectar ataques, sino también para
prevenir que se vean afectados por los ataques los servidores víctimas.
Sistema operativo —Un programa maestro de control que se ejecuta en una computadora y actúa como un
planificador y controlador de tráfico.
Sistemas de información (SI) —La combinación de actividades estratégicas, gerenciales y operativas involucradas

en la recolección, procesamiento, almacenamiento, distribución y uso de la información y sus tecnologías
relacionadas.
Los sistemas de información son distintos de las tecnologías de la información (TI) ya que un sistema de información
tiene un componente de TI que interactúa con los componentes del proceso.
Sistemas heredados / históricos —Sistemas informáticos anticuados.
Sitio espejado —Sitio alternativo que contiene la misma información que el original. Los sitios espejados se
establecen para copias de seguridad y recuperación de desastres y para equilibrar la carga de tráfico para numerosas
solicitudes de descarga. Estos espejos de descarga se colocan a menudo en diferentes lugares a lo largo de Internet.
Sitio móvil —Uso de una instalación móvil / temporal para servir como un lugar de reanudación de negocios. La
instalación por lo general puede ser enviada a cualquier sitio y puede albergar tecnologías de información y personal.
Sitio redundante —Una estrategia de recuperación que implica la duplicación de los componentes claves de TI,
incluidos los datos u otros procesos claves del negocio, para que una rápida recuperación puede tener lugar.
Situación de alerta —Punto en un procedimiento de emergencia cuando el tiempo transcurrido pasa un umbral y la

interrupción no se ha resuelto. La empresa que entra en una situación de alerta inicia una serie de pasos de escalada.
Software antivirus —Software de aplicación implementado en múltiples puntos de una arquitectura de TI. Está
diseñado para detectar y eliminar potencialmente el código del virus antes de que se produzcan daños y reparar o
poner en cuarentena los ficheros que hayan sido infectados.
Software como un Servicio (SaaS) —Ofrece la capacidad de utilizar las aplicaciones del proveedor en ejecución en
la infraestructura de nube. Las aplicaciones son accesibles desde varios dispositivos cliente a través de una interfaz
de cliente ligero, como un navegador web (por ejemplo, el correo electrónico basado en la web).
Software de rompimiento de contraseñas —Una herramienta que pone a prueba la fortaleza de las contraseñas
de usuario mediante la búsqueda de contraseñas fáciles de adivinar. Intenta repetidamente palabras de diccionarios
especialmente diseñados y con frecuencia también genera miles (y en algunos casos, incluso millones) de
permutaciones de caracteres, números y símbolos.
Software gratuito (Freeware) —Software disponible de forma gratuita.

Anexo B —Glosario
Software Malicioso (Exploit) de Día Cero —Vulnerabilidad que se explota antes de que el creador del software /
proveedor esté consciente de su existencia.
Software maligno de petición de rescate (Ransomware) —Software maligno que restringe el acceso a los sistemas
comprometidos hasta que una petición de rescate sea satisfecha.
Software malintencionado (Malware) —Nombre corto para software malintencionado. Diseñado para infiltrarse, dañar
u obtener información de un sistema informático sin el consentimiento del propietario. El software malintencionado
es comúnmente tomado para incluir los virus informáticos, gusanos, troyanos, spyware y adware. El software espía
se utiliza generalmente para fines de marketing y, como tal, no es malicioso, aunque es generalmente no deseado. El
spyware puede, sin embargo, utilizarse para recopilar información para el robo de identidad u otros fines claramente
ilícitos.
Spam —Mensajes generados por computadora, enviados como publicidad no solicitada.
Spear Phishing / Phishing de Ingeniería Social —Un ataque de phishing, donde se utilizan técnicas de ingeniería
social para hacerse pasar por un ente confiable para obtener información importante, como contraseñas de la víctima.
Spoofing —Falsificación de la dirección de envío de una transmisión con el fin de ganar acceso ilegalmente a un
sistema seguro.
Spoofing de paquetes IP (Internet Protocol) —Un ataque usando los paquetes con la fuente falsificada de
direcciones de paquetes de Internet (IP). Esta técnica aprovecha las aplicaciones que utilizan la autenticación basada
en direcciones IP. Esta técnica también puede permitir a un usuario no autorizado obtener acceso raíz en el sistema
de destino.
Spyware (Software Espía) — Software cuyo objetivo es vigilar las acciones de un usuario de computadora (por
ejemplo, sitios web visitados) y reportar estas acciones a un tercero, sin el consentimiento del dueño de la máquina
o usuario legítimo. Una forma particularmente maliciosa de software espía es un software que monitoriza las teclas
presionadas en el teclado para obtener contraseñas o recolectar información sensible, como números de tarjetas
de crédito, que posteriormente transmite a un tercero malicioso. El término también ha llegado a referirse más
ampliamente para el software que trastorna el funcionamiento de la computadora para el beneficio de un tercero.
Suma de Comprobación —Un valor matemático que se asigna a un archivo y se utiliza para “probar” el archivo
en una fecha posterior para verificar que los datos contenidos en el archivo no se han modificado maliciosamente.
Una suma de comprobación criptográfica se crea mediante la realización de una complicada serie de operaciones
matemáticas (conocida como un algoritmo criptográfico) que traduce los datos del archivo en una cadena fija
de dígitos llamada valor hash, que se utiliza entonces como la suma de comprobación. Sin saber qué algoritmo
criptográfico se utilizó para crear el valor hash, es muy poco probable que una persona no autorizada pudiera
cambiar los datos sin cambiar inadvertidamente la suma de comprobación correspondiente. Las sumas de control
criptográficas se usan en la transmisión de datos y almacenamiento de datos. Las sumas de comprobación de cifrado
también se conocen como códigos de autenticación de mensajes, comprobación de integridad de valores, códigos de
detección de modificación o códigos de integridad del mensaje.
Supervisor de Control y Adquisición de Datos (SCADA) —Sistemas utilizados para controlar y supervisar los
procesos industriales, de fabricación e instalaciones utilitarias.
Suplantación de Interface de Usuario —Puede ser un anuncio emergente que suplanta a un diálogo del sistema,
un anuncio que se hace pasar por una advertencia del sistema, o un anuncio que se hace pasar por una interfaz de
usuario de la aplicación en un dispositivo móvil.
Switches (Conmutadores) —Por lo general asociados como un dispositivo de capa de enlace de datos, los switches
habilitan segmentos de red de área local (LAN) que serán creados e interconectados, que tiene el beneficio adicional
de reducir los dominios de colisión en las redes basadas en Ethernet.

Anexo B —Glosario
Switches de capa 2 —Dispositivos de nivel de enlace de datos que pueden dividir e interconectar segmentos de la
red y ayudar a reducir los dominios de colisión en las redes basadas en Ethernet.
Switches de capa 3 y 4 —Conmutadores con capacidades de operación en la capa 3 y la capa 4 del modelo de
interconexión de sistemas abiertos (OSI). Estos conmutadores miran el protocolo de red del paquete de entrada,
por ejemplo, IP, y luego comparan la dirección IP de destino con la lista de direcciones de sus tablas, para calcular
activamente la mejor forma de enviar un paquete a su destino.
Switches de capa 4-7 —Usados para equilibrar la carga entre grupos de servidores. También conocidos como
conmutadores de contenidos, conmutadores de servicios de contenidos, conmutadores web o conmutadores de
aplicación.
T
Tarjeta de interfaz de red (NIC) —Una tarjeta de comunicación que cuando se inserta en una computadora, le
permite comunicarse con otras computadoras de una red. La mayoría de los NICs están diseñados para un tipo
particular de red o protocolo.
Tarjeta inteligente —Un dispositivo electrónico pequeño que contiene memoria electrónica, y, posiblemente, un
circuito integrado incrustado. Las tarjetas inteligentes se pueden usar para un sinnúmero de propósitos, incluyendo
el almacenamiento de certificados digitales o dinero en efectivo digital, o pueden ser utilizados como un dispositivo
token para autenticar us.
Telnet —Protocolo de red utilizado para permitir el acceso remoto a un equipo servidor. Los comandos tecleados se
ejecutan en el servidor remoto.
Texto claro —Datos que no están cifrados. También conocido como texto plano.
Texto cifrado —La información generada por un algoritmo de cifrado para proteger el texto plano y que es
ininteligible para el lector no autorizado.
Token —Un dispositivo que se utiliza para autenticar a un usuario, como complemento a un nombre de usuario y
contraseña. Un token es generalmente un dispositivo del tamaño de una tarjeta de crédito que muestre un número
pseudo aleatorio que cambia cada pocos minutos.
Tolerancia a falla —La capacidad de un sistema o red para resistir fallas o para recuperarse rápidamente de cualquier
interrupción, generalmente con mínimos efectos.
Tolerancia al riesgo —El nivel de variación aceptable que la administración está dispuesta a permitir para un riesgo
particular cualquiera, en la medida en que la empresa persigue sus objetivos.
Topología —La disposición física en la cual están unidas las computadoras entre sí. Ejemplos de topología incluyen
anillo, estrella y bus.
Traducción de dirección de red (NAT) —Metodología para modificar información de la dirección de red en

cabeceras de los paquetes de datagramas mientras están en tránsito a través de un dispositivo de enrutamiento de
tráfico con el fin de asociar un espacio de dirección IP con otro.
Trae tu propio dispositivo (BYOD) —La política de una empresa utilizada para permitir la integración parcial o total de
los dispositivos móviles de propiedad del usuario para propósitos del negocio.
Transacción electrónica segura (SET) —Un estándar que asegurará que la tarjeta de crédito y la información de la
orden de pago asociada viajen de forma segura entre las distintas partes involucradas en Internet.

Anexo B Apendices
—Glosario
Transferencia del riesgo —Proceso de asignación del riesgo a otra empresa, por lo general a través de la compra de una
póliza de seguro o por la externalización del servicio.
Tratamiento de riesgos —Proceso de selección y ejecución de medidas para modificar el riesgo (Guía ISO / IEC 73:
2002).
Triple DES (3DES) —Cifrado en bloque creado a partir del estándar de cifrado de datos (DES) mediante su
aplicación tres veces.
Túnel —ULos caminos que siguen los paquetes encapsulados, en una red privada virtual de Internet (VPN).
V
Valor —El valor relativo o importancia de una inversión para una empresa, según la percepción de sus grupos de
interés, expresada como beneficios del ciclo de vida total neto de los costos relacionados, ajustado para el riesgo y
(en el caso del valor financiero) el valor temporal del dinero.
Vector de Amenaza —El camino o ruta utilizada por el adversario para obtener acceso al objetivo.
Vector de ataque —Una trayectoria o ruta utilizada por el adversario para obtener acceso al objetivo (activo). Hay
dos tipos de vectores de ataque: Comunicaciones entrantes a la red o salientes de la red (también conocido como ex
filtración de datos).
Ventana de interrupción aceptable —El período máximo de tiempo que un sistema puede no estar disponible antes
de poner en peligro el logro de los objetivos de negocio de la empresa.
Virtualización —El proceso de agregar una “aplicación invitada” y datos en un “servidor virtual”, reconociendo que
la aplicación invitada se apartará del servidor físico de la compañía.
Virus —Un programa con la capacidad de reproducirse mediante la modificación de otros programas para incluir
una copia de sí mismo. Un virus puede contener código destructivo que se puede mover hacia múltiples programas,
archivos de datos o dispositivos en un sistema y propagarse a través de múltiples sistemas en una red.
Voz Por Protocolo de Internet (VoIP) —También llamada telefonía IP, telefonía por Internet y teléfono de
banda ancha, es una tecnología que hace posible tener una conversación de voz a través de la Internet o a través de
cualquier red de protocolo de Internet dedicado (IP) en lugar de a través de líneas dedicadas de transmisión de voz.
Vulnerabilidad —Una debilidad en el diseño, implementación, operación o el control interno de un proceso que

podría exponer al sistema a amenazas adversas provenientes de eventos de amenaza.
W
Warm Site —Similar a un sitio en caliente, pero no completamente equipado con todo el hardware necesario para
una recuperación.
Wi-Fi de Acceso Protegido (WPA) —Clase de sistemas utilizados para asegurar redes inalámbricas (Wi-Fi).
WPA fue creado en respuesta a varias deficiencias graves que los investigadores encontraron en el sistema anterior,
Privacidad Equivalente al Cableado (WEP). WPA implementa la mayoría del estándar IEEE 802.11i, y fue pensado
como una medida intermedia para ocupar el lugar de WEP mientras 802.11i era preparado. WPA está diseñado para
trabajar con todas las tarjetas de interfaz de red inalámbrica, pero no necesariamente con la primera generación de los
puntos de acceso inalámbrico. WPA2 implementa el estándar completo, pero no funciona con algunas tarjetas de red
más antiguas. Ambos proporcionan una buena seguridad con dos asuntos importantes. En primer lugar, ya sea WPA
o WPA2 deben estar habilitadas y elegidos en lugar de WEP; WEP se presenta generalmente como la primera opción
de seguridad en la mayoría de las instrucciones de instalación. En segundo lugar, en el modo “personal”, la opción

Anexo C – Respuestas de las Revisiones de Conocimientos
8. Un rootkit es un tipo de malware que oculta la existencia de otro malware, mediante la modificación del sistema
operativo subyacente.
9. Los procedimientos proporcionan detalles sobre cómo cumplir con las políticas y normas.
10. Las directrices o guías contienen instrucciones paso a paso para llevar a cabo los procedimientos.
11. El malware, también conocido como código malicioso, es el software diseñado para obtener acceso a los sistemas
informáticos específicos, robar información o interrumpir las operaciones computacionales
12. Las normas se utilizan para interpretar las políticas en situaciones específicas.
13. Los parches son soluciones a los errores de programación de software y codificación.
14. La gestión de la identidad incluye muchos componentes, tales como los servicios de directorio, servicios
de autenticación y autorización, y las capacidades de gestión de usuarios, tales como el aprovisionamiento y
desaprovisionamiento.
SECCIÓN 3—REVISIÓN DE CONOCIMIENTOS

1. Seleccione todas las opciones que apliquen. El perímetro de Internet debería: [a, b, d, e]
a. Detectar y bloquear el tráfico de puntos finales internos infectados.
b. Eliminar amenazas, tales como correo spam, virus y gusanos.
c. Formatear, cifrar y comprimir los datos.
d. Controlar el tráfico de usuarios dirigido hacia la Internet.
e. Monitorear y detectar actividad dañina en los puertos de red.
2. La capa del modelo OSI que asegura que los datos se transfieren de forma fiable en la secuencia correcta, y la capa
que coordina y gestiona las conexiones de usuario. [b]
a. Presentación, enlace de datos
b. Transporte, sesión
c. Física, aplicación
d. Enlace de datos, red
3. Elija tres. Los beneficios clave del sistema DMZ son: [b, c, e]
a. Los DMZs se basan en conexiones lógicas en vez de físicas.
b. Un intruso debe penetrar tres dispositivos separados.
c. Las direcciones de red privadas no se dan a conocer a la Internet.
d. Excelente rendimiento y escalabilidad, a medida que aumenta el uso de Internet.
e. Los sistemas internos no tienen acceso directo a Internet.
4. ¿Cuál de las siguientes define mejor el papel del cifrado dentro de un programa global de ciberseguridad? [d]
a. El cifrado es el principal medio para asegurar los activos digitales.
b. El cifrado depende de secretos compartidos, y por lo tanto es un medio de control poco fiable.
c. Los elementos de cifrado de un programa deben ser manejados por un criptógrafo de terceros.
d. El cifrado es una forma esencial, pero incompleta, de control de acceso.
5. El número y tipos de capas necesarias para la defensa en profundidad son una función de: [a]
a. Valor del activo, la criticidad, la fiabilidad de cada control y el grado de exposición.
b. Agentes de amenaza, gobierno corporativo, cumplimiento y la política de dispositivos móviles.
c. Configuración de red, controles de navegación, interfaz de usuario y tráfico en la VPN.
d. El aislamiento, la segmentación, los controles internos y los controles externos.


1. Ponga los pasos de la fase de pruebas de penetración en el orden correcto. [d, b, a, c]
a. Ataque
b. Descubrimiento
c. Elaboración de informes
d. Planificación
2. El fortalecimiento de la seguridad del sistema debe aplicar el principio de _ o _. [b]

a. Gobierno corporativo, cumplimiento
b. Menor privilegio, control de acceso
c. Inspección de estado, acceso remoto.
d. Evaluación de vulnerabilidades, mitigación del riesgo
3. Seleccione todas las que correspondan. ¿Cuáles de las áreas funcionales siguientes son consideradas de gestión de
red, de acuerdo con la norma ISO? [a, b, d, e]
a. Gestión de Contabilidad
b. Gestión de Fallas
c. Gestión de Firewalls
d. Gestión del rendimiento
e. Gestión de la seguridad
4. La virtualización consiste en: [b]

a. La creación de una capa entre los controles de acceso físico y lógico.
b. Múltiples sistemas operativos que coexisten en el mismo servidor, aislados unos de otros.
c. El uso simultáneo de modo núcleo y modo de usuario.
d. Interrogación DNS, consultas WHOIS y búsqueda (sniffing) en la red.
5. La gestión de las vulnerabilidades comienza con la enumeración de los activos de ciberseguridad y sus respectivas
ubicaciones, lo que se puede lograr a través de: [c]
a. Análisis de vulnerabilidad.
b. Pruebas de penetración.
c. El mantenimiento de un inventario de activos.
d. El uso de herramientas de línea de comandos.

1. Organice los pasos del proceso de respuesta a incidentes en el orden correcto. [d, e, b, a, c]
a. Mitigación y recuperación
b. Investigación
c. Análisis posterior al incidente
d. Preparación
e. Detección y análisis
2. ¿Qué elemento de un plan de respuesta a incidentes implica la obtención y preservación de evidencia? [c]
a. Preparación
b. Identificación
c. Contención
d. Erradicación

3. Seleccione tres. La cadena de custodia contiene información sobre: [b, d, e]

a. Objetivo de la recuperación de desastres, recursos y personal.
b. Quién tuvo acceso a las pruebas, en orden cronológico.
c. Regulaciones laborales, sindicales y de privacidad.
d. Prueba de que el análisis se hizo con base en copias idénticas a la evidencia original.
e. Los procedimientos que se siguieron al trabajar con la evidencia.
4. El NIST define un(a) __ como “violación o la amenaza inminente de violación de las políticas de seguridad
informática, las políticas de uso aceptable, o las prácticas de seguridad estándar.” [D]
a. Desastre
b. Evento
c. Amenaza
d. Incidente
5. Seleccione todas las que correspondan. Un análisis de impacto en el negocio (BIA) debe identificar: [b, c, d]
a. Las circunstancias en que debe ser declarado un desastre.
b. La probabilidad estimada de que las amenazas identificadas ocurran en realidad.
c. La eficiencia y la eficacia de los controles existentes de mitigación de riesgos.
d. Una lista de vulnerabilidades, peligros y / o amenazas potenciales.
e. Los tipos de copias de seguridad de datos (completa, incremental y diferencial) que se utilizarán.

1. Se define_____________________ como “un modelo que permite un acceso conveniente, por demanda y a través
de la red, a un conjunto compartido de recursos configurables (por ejemplo, redes, servidores, almacenamiento,
aplicaciones y servicios) que pueden ser rápidamente aprovisionados y liberados con mínima administración o
interacción con el proveedor del servicio”. [b]
a. Software como Servicio (SaaS)
b. Computación en la nube
c. Big Data
d. Plataforma como servicio (PaaS)
2. Seleccione todas las que correspondan. ¿Cuál de las siguientes afirmaciones sobre las amenazas persistentes
avanzadas (APT) son verdaderas? [a, b, c]
a. Las APT normalmente se originan a partir de fuentes tales como grupos del crimen organizado, activistas o
gobiernos.
b. Las APT usan técnicas de ofuscación que las ayudan a permanecer sin ser descubiertas durante meses o incluso
años.
c. Las APT suelen ser proyectos a largo plazo y con múltiples fases, enfocados en el reconocimiento.
d. El ciclo de ataque de la APT comienza con la penetración del objetivo y la recolección de información sensible.
e. Aunque a menudo se asocian con las APT, las agencias de inteligencia rara vez son las autoras de los ataques
APT.
3. Los dispositivos inteligentes, las estrategias BYOD y las aplicaciones y servicios de libre disposición son ejemplos
de: [a]
a. La reorientación de las tecnologías y servicios diseñados en torno al usuario individual final.
b. La primacía de las amenazas externas a las empresas en el actual panorama de amenazas.
c. La persistencia obstinada de los métodos tradicionales de comunicación.
d. Susceptibilidad del nivel de aplicación a las APT y los exploits de día cero.

4. Elija tres. ¿Qué tipos de riesgo se asocian normalmente con los dispositivos móviles? [a, c, d]
a. Riesgo Organizacional
b. Riesgo de Cumplimiento
c. Riesgo técnico
d. Riesgo físico.
e. Riesgo transaccional
5. ¿Qué tres elementos del panorama de amenazas actual han proporcionado mayores niveles de acceso y
conectividad, y por lo tanto han aumentado las oportunidades para el delito cibernético? [d]
a. La mensajería de texto, la tecnología Bluetooth y las tarjetas SIM
b. Aplicaciones Web, botnets y malware primario
c. Las ganancias financieras, la propiedad intelectual y la política
d. La computación en la nube, las redes sociales y la computación móvil


Anexo D – Recursos Adicionales
ANEXO D—RECURSOS ADICIONALES

1. Anderson, Kent, Un Modelo de Negocios para la Seguridad de la Información “A Business Model for
Information Security,” ISACA® Journal , Vol. 3, 2008
2. Encurve, LLC, Presentación de Conceptos de Gestión de Riesgos Risk Management Concepts Presentation, 2013
3. ENISA, ENISA Panorama de Amenazas 2013— Resumen de Ciber Amenazas Actuales y Emergentes “ Threat
Landscape 2013—verview of Current and Emerging Cyber-Threats”, Deciembre 2013
4. ISACA, Amenazas Avanzadas Persistentes- Cómo Administrar el Riesgo a su Negocio “ Advanced Persistent
Threats: How to Manage the Risk to Your Business”, EEUU, 2013
5. ISACA, CISA Manual de Revisión “Review Manual” 2014, EEUU
6. ISACA, COBIT 5 para la Seguridad de la Información “ COBIT 5 for Information Security”, EEUU, 2012
7. ISACA, CRISC Manual de Revisión “CRISC Review Manual” 2014, EEUU
8. ISACA, Respondiendo a Ciber Ataques Dirigidos “ Responding to Targeted Cyberattacks”, EEUU, 2013
9. ISACA, Asegurando Dispositivos Móviles Usando COBIT 5 para la Seguridad de la Información “ Securing
Mobile Devices Using COBIT 5 for Information Security”, EEUU, 2012
10. ISACA, “Top Business/Security Issues Survey Results,” EEUU, 2011
11. Khan, Kamal, Introduccion a la Tecnología de Voz sobre IP “Introduction to Voice-over IP Technology”, ISACA
Journal , Volume 2, 2005,
www.isaca. org/Journal/Past-Issues/2005/Volume-2/Pages/Introduction-to-Voice-over-IP-Technology1.aspx
12. Mandia, Kevin, Matt Pepe, Chris Prosise, Respuesta a Incidentes y Computación Forense, 2da Edición “ Incident
Response & Computer Forensics”, 2nd Edition,
McGraw Hill/Osborne, EEUU, 2003
13. McKemmish, D. Rodney. Consideraciones forenses en Computadores e Intrusiones “ Computer and Intrusion
Forensics, Artech House”, EEUU, 2003
14. MITRE, Enumeración y clasificación de patrones comunes de ataque “ Common Attack Pattern Enumeration and
Classification (CAPEC)”, February 2014,
http://capec.mitre.org/
15. Moody, Robert Puertos y exploración de puertos: Una introducción “Ports and Port Scanning: An Introduction”,
ISACA Journal , Volume 4, 2001,
www.isaca. org/Journal/Past-Issues/2001/Volume-5/Pages/Ports-and-Port-Scanning-An-Introduction.aspx
16. National Institute of Standards and Technology (NIST), Special Publication 800-30, Revision 1, Guide for
Conducting Risk Assessments, USA, September 2012
17. Open Web Application Security Project (OWASP). OWASP Top 10, 2013, www.owasp.org/index.php/
Category:OWASP_Top_Ten_Project
18. Schultz, E.E., Brown, D.S., and Longstaff, T.A.; Respuesta a incidentes de seguridad informática: Guías para
manejo de incidentes “ Responding to Computer Security Incidents: Guidelines for Incident Handling”, Lawrence
Livermore National Lab., EEUU, 1990
19. The 2013 Global Information Security Workforce Study, 2014, www.isc2cares.org/Workforcestudy



Guia en Espanol CSX Fundamentalspdf PDF

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Guia en Espanol CSX Fundamentalspdf PDF

Загружено:

Авторское право:

Доступные форматы

Fundamentos

Comentarios en: www.isaca.org/cyber-fundamentals-study-guide

Guía de Estudio de Fundamentos de Ciberseguridad

ii Guía de Estudio de Fundamentos de la Ciberseguridad 2015

Equipo de Traducción ISACA Valencia

Guía de Estudio de Fundamentos de la Ciberseguridad 2015 iii

iv Guía de Estudio de Fundamentos de la Ciberseguridad 2015

SECCIÓN 1: INTRODUCCIÓN Y VISIÓN GENERAL DE LA CIBERSEGURIDAD .................................... 3

SECCIÓN 2: CONCEPTOS DE LA CIBERSEGURIDAD .................................................................................. 21

SECCIÓN 3: PRINCIPIOS DE ARQUITECTURA DE SEGURIDAD .............................................................. 41

SECCIÓN 4: SEGURIDAD DE REDES, SISTEMAS, APLICACIONES Y DATOS ...................................... 78

SECCIÓN 5: RESPUESTA A INCIDENTES ....................................................................................................... 115

Guía de Estudio de Fundamentos de la Ciberseguridad 2015 v

SECCIÓN 6: IMPLICACIONES DE SEGURIDAD Y ADOPCIÓN DE LA TECNOLOGIA

APÉNDICES ............................................................................................................................................................... 157

vi Guía de Estudio de Fundamentos de la Ciberseguridad 2015

Esta guía cubre los siguientes objetivos de aprendizaje:

Guía de Estudio de Fundamentos de la Ciberseguridad 2015 1

Página dejada en blanco intencionadamente

8 Guía de Estudio de Fundamentos de la Ciberseguridad 2015

TEMA 2—DIFERENCIA ENTRE SEGURIDAD DE

LA PROTECCIÓN DE ACTIVOS DIGITALES

Guía de Estudio de Fundamentos de la Ciberseguridad 2015 9

Página dejada en blanco intencionadamente

10 Guía de Estudio de Fundamentos de la Ciberseguridad 2015

Página dejada en blanco intencionadamente

16 Guía de Estudio de Fundamentos de la Ciberseguridad 2015

TEMA 5—LOS DOMINIOS DE LA CIBERSEGURIDAD

PRINCIPIOS DE ARQUITECTURA DE SEGURIDAD

SEGURIDAD DE REDES, SISTEMAS, APLICACIONES Y DATOS

Guía de Estudio de Fundamentos de la Ciberseguridad 2015 17

IMPLICACIONES DE SEGURIDAD Y LA ADOPCIÓN DE TECNOLOGÍA EN EVOLUCIÓN

18 Guía de Estudio de Fundamentos de la Ciberseguridad 2015

SECCION 1—EVALUACIÓN DE CONOCIMIENTOS

4. ¿Cuál de las siguientes es la mejor definición para la ciberseguridad?

Guía de Estudio de Fundamentos de la Ciberseguridad 2015 19

Página dejada en blanco intencionadamente

20 Guía de Estudio de Fundamentos de la Ciberseguridad 2015

Los temas cubiertos en esta sección incluyen:

Guía de Estudio de Fundamentos de la Ciberseguridad 2015 21

Página dejada en blanco intencionadamente

22 Guía de Estudio de Fundamentos de la Ciberseguridad 2015

Página dejada en blanco intencionadamente

26 Guía de Estudio de Fundamentos de la Ciberseguridad 2015

TEMA 2—TIPOS Y VECTORES

Figura 2.2: Agentes de amenaza en ciberseguridad

Corporaciones —Se laslas conoce

Estados nacionales —Los estados

Ciber terroristas —Se caracte

Guía de Estudio de Fundamentos de la Ciberseguridad 2015 27

Script Kiddies —Los script

ATRIBUTOS DEL ATAQUE

Figura 2.3: Atributos del ataque

PROCESO DE ATAQUE GENERALIZADO

Figura 2.4: Proceso en amenazas de confrontación

1. Realizar reconocimiento: El adversario recoge información

4. Explotar debilidades y comprometer: El adversario se aprovecha de la información y los sistemas

6. Obtención de resultados: El adversario causa un impacto

Guía de Estudio de Fundamentos de la Ciberseguridad 2015 29

7. Mantener una presencia o un conjunto de capacidades: El adversario continua aprovechándose de exploits y

EVENTOS DE AMENAZA SIN CONFRONTACIÓN

MALWARE Y TIPOS DE ATAQUE6

Otros tipos comunes de malware incluyen