Академический Документы
Профессиональный Документы
Культура Документы
Riesgos
Vulnerabilidades
Vulnerabilidades son cualquier condición que deje un dispositivo abierto para dañar.
Amenazas
Amenazas son cualquier evento o acción que pueda causar daños a un activo.
Ataques
Ataques son una técnica utilizada para explotar una vulnerabilidad en una aplicación
o sistema informático sin la autorización para hacerlo.
Principio Descripción
Confidencialidad Mantener la información y las
comunicaciones privadas y protegidas de
acceso no autorizado.
• Incluye secretos comerciales y
militares, personal, salud y
registros fiscales.
• Controlado mediante cifrado,
control de acceso y esteganografía.
Integridad Mantener la información de la
organización precisa, libre de errores y
libre de modificaciones no autorizadas.
• Incluye modificación de los
puntajes de las pruebas u otra
información almacenada en
servidores de red.
• Controlado mediante hash, firmas
digitales, certificados y cambios de
control.
Disponibilidad Garantizar que los sistemas informáticos
funcionen de forma continua y que
personas autorizadas pueden acceder a
los datos que necesitan.
• Incluye garantizar que los datos
vitales, como las imágenes de
radar, sean capturados y
distribuidos a los aeropuertos.
• Controlado mediante
redundancia, tolerancia a errores
y parches.
No repudio (Non-Repudiation)
No Repudio: Asegurar que la parte que envió una transmisión o los datos creados
permanecen asociados con los datos y no pueden denegar el envío o crear los datos.
Identificación
Autenticación
Autorización
Contabilidad
Manejo de Riesgos
Es el proceso de identificar riesgos, analizarlos, desarrollar una estrategia de respuesta para ellos y
mitigar su impacto futuro.
Identificar y evaluar los riesgos que existen en un sistema. Analizar el impacto potencial que los riesgos
tendrán en un sistema. Formular una estrategia sobre cómo responder a los riesgos. Mitigar el impacto
de los riesgos para la seguridad futura.
Cálculo de Riesgo
SLE: la pérdida financiera esperada de un solo evento adverso (expectativa de pérdida
individual).
ALE: El costo anual total de un riesgo para una organización (Expectativa de pérdida anual).
ARO: El número de veces al año que se espera que ocurra una pérdida particular (tasa de
ocurrencia anual).
El cálculo del riesgo depende tanto de los costos de las pérdidas como de los costos de
mitigación.
Las tablas de vulnerabilidad pueden ayudar a documentar los factores de cálculo de riesgo
Ejemplos de cálculo de riesgo
Técnicas de Respuesta a los riesgos
Aceptar: Reconocimiento del riesgo y las consecuencias que conlleva. Aceptar no significa dejar
un sistema completamente vulnerable, es reconocer que el riesgo involucrado no es
completamente evitable o que el costo de mitigación o evitación es prohibitivo.
Transferencia: Asignar la responsabilidad del riesgo a otra agencia, o a un tercero, como una
compañía de seguros.
Evitar: eliminar el riesgo por completo eliminando la causa.
Mitigar: acciones para protegerse de posibles ataques. Se implementa cuando el impacto de un
riesgo potencial es sustancial. Defensas activas (IDS) o medidas de precaución (copia de
seguridad de datos en riesgo).
Controles operativos: medidas de seguridad que se implementan para salvaguardar todos los aspectos
de las operaciones, funciones y actividades del día a día.
Controles de pérdidas / daños: medidas de seguridad que se implementan para evitar que los activos
clave se dañen.
BIA
Una actividad sistemática que identifica los riesgos organizacionales y determina su impacto en las
operaciones y procesos críticos para el negocio en curso. Algunas características son:
Evaluaciones de privacidad
Evaluación de impacto sobre la privacidad (PIA): herramienta para identificar y analizar los riesgos a la
privacidad durante el ciclo de vida de un programa o sistema.
Evaluación del umbral de privacidad (PTA): documento que se utiliza para determinar cuándo se
requiere una PIA.
Información de identificación personal (PII): información que una empresa utiliza para identificar o
ponerse en contacto con empleados y otras personas.
Obligatorio para cualquier agencia de EE. UU. Que recopile PII en línea.
Otras regulaciones pueden requerirlos para diferentes organizaciones.
o MTD: Maximum tolerable downtime: define la cantidad total de tiempo que se puede
interrumpir un proceso empresarial sin causar consecuencias inaceptables. Este valor
debe ser definido por el equipo de gestión empresarial o alguien como CTO, CIO o gerente
de TI. En otras palabras, es la duración del RTO más el WRT, por lo que por ejemplo si el
RTO fue de 6 horas, y el WRT de 5, el MTD resultante debe ser 11 horas.
o MTTF: Mean time to failure: describe el tiempo esperado hasta la falla de un sistema no
reparable. Por ejemplo, se probaron 3 sistemas idénticos comenzando desde el momento
0 hasta que todos fallaron. El primer sistema falló a las 10 horas, el segundo falló a las 12
horas y el tercero falló a las 13 horas. El MTTF es el promedio de los tres tiempos de falla,
que es 11.6667 horas.
Se diferencia del MTBF en el tipo de activo utilizado en el cálculo. Donde MTTF usa activos
no reparables mientras que MTBF se ocupa de activos que son reparables, cuando se
rompen, se pueden reparar fácilmente sin gastar demasiado.
o MTTR: Mean time to repair/replace: es una métrica de mantenimiento que mide el
tiempo medio necesario para solucionar problemas y reparar el equipo averiado. Refleja
la rapidez con la que una organización puede responder a averías no planificadas y
repararlas.
MTTR calcula el período entre el inicio del incidente y el momento en que el sistema
vuelve a la producción. Esto tiene en cuenta el tiempo para notificar a los técnicos,
diagnosticar el problema, solucionar el problema, dejar que el equipo se enfríe,
reensamblar, alinear y calibrar el activo, configurar, probar y poner en marcha el activo
para la producción, etc.
o MTBF: Mean time between failures: este tiempo promedio excluye el tiempo dedicado
a la espera de reparación, reparación, recalificación y otros eventos de derribo, como
inspecciones y mantenimiento preventivo, etc. está destinado a medir solo el tiempo que
un sistema está disponible y en funcionamiento. Para calcular el MTBF, se divide la
cantidad total de horas operativas en un período por la cantidad de fallas que ocurrieron
en ese período. El MTBF generalmente se mide en horas.
Por ejemplo, un activo puede haber estado operativo durante 1000 horas al año. En el
transcurso de ese año, ese activo se descompuso ocho veces. Por lo tanto, el MTBF para
ese equipo es de 125 horas.
Por ejemplo, si los sistemas de una compañía cayeron, y el tiempo máximo para volver a
levantarlos es de 4 horas, ese sería el RTO.
Otro ejemplo, la pérdida de datos máxima tolerable es de 15 minutos, lo que significa que
no pueden permitirse perder más de una hora de datos, como transacciones bancarias,
su sistema CRM y registros de pacientes.
Realización de evaluaciones de seguridad
• Identificar vulnerabilidades
• Evaluar vulnerabilidades
• Implementar pruebas de penetración
Vulnerabilidades de software
Vulnerabilidades de software Descripción
Día cero • Explotado antes de que la
vulnerabilidad sea conocida
públicamente.
• Los efectos a menudo se magnifican
y son más duraderos.
Manejo de entrada incorrecta • El software no puede anticipar
entradas inusuales.
• Puede conducir a acceso no
autorizado, escalada de privilegios,
DOS, etc.
Manejo de error incorrecto • Los errores detallados pueden
proporcionar a los atacantes
información procesable.
• Los errores que no se manejan
correctamente pueden causar
inestabilidad.
Agotamiento de recursos • El software no restringe el acceso a
los recursos.
• El consumo excesivo de recursos
provoca bloqueos.
Estado de la carrera • Los eventos no se ejecutan en orden
y tiempo previsto.
• El software puede bloquearse.
Vulnerabilidades de Memoria • Pérdida de memoria.
• Desbordamiento de búfer.
• Desbordamiento de enteros.
• Desreferencia del puntero.
• Inyección de DLL.
Vulnerabilidades de memoria
• Falta de memoria.
• Buffer overflows
• Integer overflows
• Pointer deference
• DLL injection
Vulnerabilidades de cifrado
• Algunas soluciones de cifrado son inseguras o se vuelven inseguras con el tiempo.
• Las organizaciones utilizan conjuntos de cifrado ahora considerados débiles.
• La mala implementación también revela debilidades.
• Ejemplo: Certificados digitales configurados incorrectamente.
▪ Las direcciones no coinciden, el certificado ha caducado. firmante no
de confianza, etc.
• La administración incorrecta de claves también conduce a vulnerabilidades.
▪ Las claves privadas no seguras pueden caer en las manos equivocadas.
▪ Los atacantes pueden hacerse pasar por la organización y realizar un
ataque de tipo "man-in-the-middle".
Vulnerabilidades de la cuenta
▪ Requisitos débiles de complejidad/longitud de contraseña.
▪ Contraseñas que no caducan.
▪ Falta de autenticación multifactor.
▪ Cuentas colocadas en grupos equivocados.
▪ Las cuentas otorgaban más privilegios de los necesarios.
▪ Cuentas no utilizadas que no se han deshabilitado.
▪ Cuentas de invitado que no se han deshabilitado.
Vulnerabilidades de operaciones
▪ Usuarios no entrenados.
o El elemento humano es el objetivo más grande.
o Usuarios no equipados para detectar ingeniería social o practicar buenos
hábitos de seguridad informática.
▪ Falta de planificación para procesos empresariales críticos.
o Sin procesos EOL, los sistemas obsoletos pueden ser vulnerables.
o La falta de soporte técnico del proveedor dificulta la corrección de problemas.
o Los sistemas integrados pueden ser difíciles de entender.
▪ Expansión del sistema.
o Difícil para el personal limitado supervisar un gran número de sistemas.
o La incapacidad de administrar estos sistemas puede llevar a un compromiso.
o los activos indocumentados son difíciles de administrar de manera
consistente.
Evaluación de seguridad
Evaluación de la seguridad: el proceso de probar los controles de seguridad para exponer
debilidades o lagunas en sus herramientas, tecnologías, servicios y operaciones.
Pruebas de penetración
El uso de herramientas y técnicas activas para evaluar la seguridad simulando ataques a esos
sistemas.
Uso de NMAP
Nmap es una herramienta opensource utilizada para el escamoso de redes, puertos y las
dependencias de servicios que pueden servir como punto de entrada a los sistemas.
Hackers y atacantes
Cracker: Un individuo que rompe los códigos de cifrado, derrota al software, Protecciones de
copia, o se especializa en romper en sistemas.
• Connotaciones diferentes
• Neutral/benigno vs. malicioso
• Diferentes tipos
Hackers y atacantes (Cont.)
Sombrero blanco: Un hacker que descubre y expone los defectos de seguridad en aplicaciones y sistemas
operativos con el consentimiento de una organización para que se pueden arreglar antes de que se
conviertan en problemas generalizados.
Sombrero negro: un hacker que descubre y expone vulnerabilidades de seguridad sin consentimiento
Sombrero gris: Un hacker que expone fallas de seguridad en aplicaciones y sistemas operativos sin
consentimiento, pero no ostensiblemente para propósitos maliciosos.
Actores de Amenazas
Una entidad que es parcial o totalmente responsable de un incidente que afecta o puede afectar la
seguridad de una organización. También se conoce como actor malicioso.
• Guiones de guión
• Hacktivistas
• Crimen organizado
• Estados de la nación
• Insiders
• Competidores
Script kiddie: Un hacker inexperto con conocimientos técnicos limitados que confía en herramientas
automatizadas para hackear.
Hacktivista: Un hacker que obtiene acceso no autorizado y causa disrupción en un sistema informático
para lograr un cambio político o social.
Insider: Empleados presentes y pasados, contratistas, socios y cualquier entidad que tiene acceso a
información o información confidencial y cuyas acciones resultan en una seguridad comprometida.
Atributos de los Actores de Amenazas
Fuentes
• Medios tradicionales
• Redes sociales
• Información pública
• Comunicaciones profesionales y académicas
• Contenido geoespacial
• Web profunda
Ingeniería Social
Cualquier actividad en la que el objetivo sea usar engaños y trucos para convencer usuarios desprevenidos
para proporcionar datos confidenciales o para violar directrices de seguridad.
Principio Descripción
Autoridad Haciéndose pasar por una autoridad, como un
gerente o administrador de TI.
Intimidación Amenazar el trabajo o la situación financiera de
alguien.
Suplantación
Un tipo de ingeniería social en la que un atacante pretende ser alguien que no es, por lo general un usuario
promedio en apuros, o un help desk representante.
Phishing: un tipo de ingeniería social basada en correo electrónico en la que un atacante envía correo
electrónico de una fuente supuestamente de buena reputación, como un banco, para tratar de obtener
información privada de la víctima.
Spear phishing: Una variante de un ataque de phishing donde los atacantes apuntan a un individuo u
organización específica.
Whaling: una forma de phishing con lanza dirigida a individuos u organizaciones que se sabe que son
extremadamente ricas.
Pharming: Un ataque en el que una solicitud de un sitio web (generalmente un e-commerce) se redirige
a un sitio falso que se asemeja al original
Vishing/voice phishing: Un ataque basado en humanos donde el atacante extrae información mientras
habla por teléfono o aprovecha los servicios de mensajería de voz VolP.
Smishing: Un ataque basado en humanos donde el atacante extrae información mediante el uso de
mensajes de texto SMS.
Hoaxes
Un ataque de ingeniería social basado en correo electrónico, basado en mensajería instantánea o
basado en la web destinado a engañar al usuario para que realice acciones no deseadas o innecesarias.
Exploit Descripción
Shoulder surfing • Meta: obtener contraseñas o PIN mirando
por encima del hombro de alguien.
• Las cámaras de los teléfonos móviles
pueden hacer que esto sea fácil de lograr
Dumpster diving • Meta: obtener contraseñas y otra
información inspeccionando los
contenedores de basura de un objetivo.
• La papelera de enero contiene los
calendarios del año pasado, que pueden
contener contraseñas u otra información
confidencial.
Tailgating • Meta: acceder a un área segura.
• Seguir a un empleado a través de una
entrada sin su conocimiento.
• Prevenir mediante la implementación de
estrictos controles de acceso físico y la
educación de los usuarios
Piggy Backing • Meta: acceder a un área segura.
• Seguir a un empleado a través de una
entrada con su conocimiento.
• Los atacantes pueden hacerse pasar por
personal de soporte o proveedores y
solicitar que un empleado les abra la
puerta.
Un ataque en el que un atacante apunta a un grupo específico, descubre qué sitios web que agrupan
frecuentes, luego inyecta esos sitios con malware.
Código malicioso
Código malicioso: software no deseado o no autorizado que se coloca en un equipo de destino para
interrumpir las operaciones o para redirigir los recursos del sistema para beneficio del atacante.
Malware: código malintencionado, como virus, troyanos o gusanos, que es para obtener acceso no
autorizado a, hacer uso no autorizado de, o dañar sistemas informáticos y redes.
Rootkit: Software destinado a tomar el control total o parcial de un sistema en los niveles más bajos.
Virus
Una pieza de código malicioso que se propaga desde un ordenador a otro adjuntándose a otros archivos
a través de un proceso de auto replicación.
Malware que se propaga de un ordenador a un ordenador sin unirse a sí mismo a diferentes archivos.
Adware
• Publicidad no solicitada.
• A menudo implementado como pop-ups del navegador.
• Probabilidad de spyware u otro malware.
Spyware
Malware instalado subrepticiamente que está destinado a rastrear e informar de la uso de un sistema
de destino o recopilar otros datos que el atacante desea obtener.
Datos recopilados:
Caballos Troyanos
Un tipo de malware que se esconde en un sistema infectado y puede causar daño a un sistema o dar a un
atacante una plataforma para el monitoreo y / o control de un sistema.
• No se auto replica.
• No adjunto a otros archivos.
• Contenido malintencionado en un paquete benigno.
Keyloggers
Un dispositivo de hardware o aplicación de software que reconoce y registra cada pulsación de tecla hecha
por un usuario.
Un caballo de Troya especializado que específicamente tiene como objetivo proporcionar a un atacante
con acceso no autorizado o control de un equipo de destino.
Bombas Lógicas
Software que se queda inactivo en un ordenador objetivo hasta que se activa por la aparición de
condiciones específicas, como una fecha y hora específicas.
Botnets
Botnet: Un conjunto de ordenadores que ha sido infectado por un programa de control llamado bot que
permite a los atacantes explotar colectivamente computadoras para montar ataques.
Zombie/Drone: Un ordenador que ha sido infectado con un bot y es siendo utilizado por un atacante para
montar un ataque.
Ramsonware
Ransomware: Software que permite a un atacante tomar el control de un sistema o datos del usuario y
exigir el pago por la devolución de dicho control.
Bitcoin: Un sistema de pago electrónico descentralizado y encriptado que es utilizado por entidades
legítimas y actores de amenazas por igual.
Crypto-malware: Una forma de ransomware que utiliza el cifrado para hacer que los datos de la víctima
sean inaccesibles.
Una amenaza que utiliza múltiples vectores de ataque para obtener acceso no autorizado a recursos
sensibles y luego mantiene ese acceso durante un largo período de tiempo.
Cualquier ataque que se dirija a los recursos de software, incluidos los sistemas operativos, aplicaciones,
servicios, protocolos y archivos.
Ataques de Contraseña
Cualquier ataque en el que el atacante intente obtener acceso no autorizado y uso de contraseñas.
• Adivinar y agrietarse
Tipo Descripción
Guessing (adivinar) • Intentos individuales y repetidos de
adivinar una contraseña.
Un ataque de software que explota las debilidades del sistema criptográfico, elementos, como código,
cifrados, protocolos y administración de claves sistemas.
Ataque de puerta trasera: Un ataque en el que el atacante utiliza un software cuenta de usuario falsa
para tener acceso a un sistema y sus recursos.
Puerta trasera: un mecanismo para acceder a un ordenador que pasa por alto o subvierte los métodos
de autenticación normales.
Acceso por la puerta trasera no siempre detectado, por lo que puede ser persistente.
Ataques de aplicación
Ataque de aplicación: un ataque de software que apunta a la web y otras aplicaciones cliente-servidor.
• Amenazar los servidores web y de aplicaciones, los usuarios, los sistemas back-end. y el
software.
• Conducir a infracciones de autenticación, suplantación. divulgación de información, problemas
de código de origen, y otras infracciones.
Código fuente: Instrucciones de software, escritas en un programa legible por el ser humano
Ataque del lado Cliente: un ataque de software que explota la relación de confianza entre un cliente y el
servidor al que se conecta.
Ataque a aplicaciones web: un ataque de aplicación que se centra en aplicaciones que se ejecutan en
navegadores web.
Refactoriza: El proceso de reestructuración del código de aplicación para mejorar su diseño sin afectar el
comportamiento externo de la aplicación. o para que puedan manejar situaciones particulares.
Escalada de privilegios
La práctica de explotar defectos en un sistema operativo u otros para obtener un mayor nivel de acceso
del destinado a la usuario o aplicación.
Escalada horizontal
• Donde un usuario accede a la funcionalidad o datos que están destinados a otro usuario.
Bases de TCP/IP
Un ataque basado en la red donde el objetivo es pretender ser otra persona con el propósito de ocultar
la identidad.
• Suplantación de direcciones IP
• Suplantación de direcciones MAC
• Intoxicación/spoofing de ARP
• Intoxicación/spoofing DNS
Dirección MAC suplantación: ataque de suplantación donde el atacante reconfigura una interfaz de red
para disfrazar la dirección MAC original.
Intoxicación arp
Un ataque basado en red donde un atacante con acceso al objetivo red redirige una dirección IP a la
dirección MAC de un computador que no es el destinatario previsto. Conocido como suplantación de
ARP.
Un ataque basado en la red en el que un atacante explota la naturaleza abierta de DNS para redirigir un
nombre de dominio a una dirección diferente. También conocido como Spoofing DNS
Tipos de escaneo
Escaneo oculto: un tipo de exploración de puertos que identifica los puertos abiertos sin completar el
apretón de manos de tres vías.
Escaneo de conexión completo: un tipo de exploración de puertos que completa el triple apretón de
manos identifica los puertos abiertos. y recopila información sobre hosts de red por captura de banners.
Banner grabbing: El acto de recopilar información sobre los anfitriones de la red examinando las
pantallas bienvenida basadas en texto que se muestran en algunos Hosts.
Ataques de espionaje
Donde un atacante utiliza software de monitoreo especial para obtener acceso a comunicaciones en el
cable de red o sobre una red inalámbrica.
• Robar contenido.
• Recopilación de nombres de usuario y contraseñas para futuros ataques.
• En las redes cableadas, se requiere el acceso físico a la red.
• En redes inalámbricas, un dispositivo capaz de recibir señales de red inalámbrica es
• Difícil de detectar.
• Dos víctimas.
• 2 clientes. (1 cliente y 1 servidor.)
• El atacante controla el flujo de información entre
• Puede robar, modificar y reenviar datos a las víctimas.
• Intoxicación con ARP.
Un tipo de ataque basado en la red que combina un hombre en el medio ataque con el uso de un caballo
de Troya para interceptar y modificar la web transacciones en tiempo real.
Ataques de reproducción
Un tipo de ataque basado en red donde un atacante captura la red tráfico y lo almacena para
retransmitir en un momento posterior para obtener acceso a un host específico
Ataques DOS
Un tipo de ataque basado en la red en el que el atacante intenta interrumpir o sistemas verificables que
proporcionan servicios de red.
• MITM sobre redes IPv4 con ARP Spoofing e DHCP ACK Injection.
• WTM en redes IPv6 con simulaci6n de publicidad de vecinos, ataque SLAAC. DHCPv6 falso.
• DOS (Denegaci6n de servicio) en redes IPv4 con ARP Spoofing.
• DOS de servicio) en redes con SLAAC DOS.
• Secuestro de DNS.
Ataques de secuestro
Un grupo de ataques basados en la red donde el atacante obtiene el control de la comunicación entre
dos sistemas, a menudo disfrazado como una de las entidades.
Ataques de amplificación
Un ataque basado en la red en el que un atacante aumenta drásticamente el ancho de banda enviado a
una víctima durante un ataque DDoS.
Secuestro de ataques
Un grupo de ataques basados en la red donde el atacante obtiene el control de la comunicación entre
dos sistemas, a menudo disfrazado como una de las entidades.
Tipo de ataque de secuestro Descripción
Secuestro de clicking • Un atacante oculta vínculos bajo otros
elementos de la página web.
• Las víctimas seleccionan
involuntariamente los enlaces ocultos.
Secuestro de DNS • Un atacante configura un servidor DNS
no autorizado.
• El servidor no autorizado responde a
solicitudes legítimas con IP direcciones
para sitios web malintencionados o
inexistentes.
Secuestro de dominios • Un atacante roba un nombre de dominio.
• Información de registro de dominio
alterada y transferida.
• A veces se conoce como brandjacking.
Secuestro de sesiones • Un atacante explota una sesión de
equipo legítima.
• El objetivo es obtener acceso no
autorizado a la red o servicios.
• Robar cookies de sesión, usar la
predicción de secuencias e inyección de
comandos, y el uso de la intoxicación por
ARP.
Secuestro de URL / Typo en cuclillas • Un atacante registra nombres de dominio
que se asemejan mucho a los nombres de
sitios web legítimos.
• El objetivo es aprovechar la posibilidad
del dominio nombre que se está
escribiendo incorrectamente en un
navegador.