Capítulo 1: la ciberseguridad, un mundo de paladines, héroes y

delincuentes

Muchos de los hackers originales del mundo eran aficionados, programadores y estudiantes de informática
durante los años 60. Originalmente, el término hacker describió a las personas con habilidades de
programación avanzada. Los hackers utilizan estas habilidades de programación para probar los límites y las
capacidades de los primeros sistemas. Estos primeros hackers también estaban involucrados en el desarrollo
de los primeros juegos de computadora. Muchos de estos juegos incluían paladines y destrezas.

A medida que la cultura de hacking evolucionaba, incorporó el léxico de estos juegos en la cultura en sí.
Incluso el mundo exterior comenzó a proyectar la imagen de los paladines poderosos sobre esta cultura de
hacking incomprendida. Libros como Where Wizards Stay up Late: The Origins of The Internet (Cuando los
paladines se quedan despiertos hasta tarde: los orígenes del Internet) publicado en 1996 agregó la mística de
la cultura de hacking. La imagen y el léxico se estancaron. Muchos grupos de hacking hoy adoptan estas
imágenes. Uno de los grupos de hacker más infames se lo conoce con el nombre de Legion of Doom. Es
importante comprender la cultura cibernética para comprender a los delincuentes del mundo cibernético y sus
motivaciones.

Sun Tzu era un filósofo chino y guerrero en el siglo seis a. C. Sun Tzu escribió el libro llamado The Art of War
(El arte de la guerra) que es un trabajo clásico sobre las estrategias disponibles para vencer al enemigo. Su
libro ha orientado a los estrategas durante siglos.

Uno de los principios guía de Sun Tzu fue conocer a su oponente. Aunque él se refería específicamente a la
guerra, gran parte de sus consejos se traducen en otros aspectos de la vida, incluidos los desafíos de la
ciberseguridad. Este capítulo comienza explicando la estructura del mundo de la ciberseguridad y el motivo
por el que sigue creciendo.

En este capítulo se analizará el rol de los delincuentes cibernéticos y sus motivaciones. Finalmente, en el
capítulo se explica cómo convertirse en un especialista en ciberseguridad. Estos héroes cibernéticos ayudan a
vencer a los delincuentes cibernéticos que amenazan el mundo cibernético.

Descripción general de los reinos

Existen muchos grupos de datos que conforman el “mundo cibernético”. Cuando los grupos pueden recopilar y
utilizar enormes cantidades de datos, comienzan a acumular poder e influencia. Estos datos pueden estar en
la forma de números, imágenes, video, audio o cualquier tipo de datos que puedan digitalizarse. Estos grupos
podrían resultar tan poderosos que funcionan como si fueran reinos. Empresas como Google, Facebook y
LinkedIn se pueden considerar castillos de datos en la analogía del reino del mundo cibernético. Si
extendemos aún más la analogía, las personas que trabajan en estas empresas digitales podrían
considerarse paladines cibernéticos.

Castillos del mundo cibernético

Los paladines cibernéticos en Google crearon uno de los primeros y más poderosos castillos del reino
cibernético. Miles de millones de personas utilizan Google para buscar en la red diariamente. Google ha
creado lo que podría considerarse la red más grande de recopilación de datos del mundo. Google desarrolla
Android, los sistemas operativos instalados en más del 80 % de todos los dispositivos móviles conectados a
Internet. Cada dispositivo requiere que los usuarios creen cuentas de Google que pueden guardar marcadores
e información de la cuenta, guardar los resultados de búsqueda, e incluso ubicar el dispositivo. Haga
clic aquí para ver algunos de los numerosos servicios que Google ofrece actualmente. Facebook es otro
castillo poderoso en el reino cibernético. Los paladines cibernéticos en Facebook reconocieron que las
personas crean cuentas personales a diario para comunicarse con amigos y familiares. Al hacerlo,
proporcionan muchos datos personales. Estos paladines de Facebook formaron un castillo masivo de datos
para ayudar a las personas a conectarse de maneras nunca antes imaginadas en el pasado. Facebook afecta
la vida de millones de personas a diario y permite a las empresas y las organizaciones comunicarse con las
personas de manera más personal y orientada.

LinkedIn es otro castillo de datos en el reino cibernético. Los paladines cibernéticos de LinkedIn reconocieron
que sus miembros compartirían información en la búsqueda de crear una red profesional. Los usuarios de
LinkedIn cargan esta información para crear perfiles en línea y conectarse con otros miembros. LinkedIn
conecta a los empleados con los empleadores y a las empresas con otras empresas de todo el mundo.

Una mirada dentro de estos castillos revela cómo están diseñados. En un nivel fundamental, estos castillos
son firmes debido a la capacidad para recopilar datos del usuario que contribuyen los usuarios. Estos datos
incluyen a menudo los antecedentes de los usuarios, discusiones, preferencias, ubicaciones, viajes, intereses,
amigos y miembros de la familia, profesiones, pasatiempos y programas de trabajo y personales. Los
paladines cibernéticos crean un gran valor para las organizaciones interesadas en usar estos datos para
comprender y comunicarse mejor con sus clientes y empleados.

El crecimiento de los reinos cibernéticos

Los datos recopilados del mundo cibernético van más allá de los datos que los usuarios contribuyen
voluntariamente. El reino cibernético continúa creciendo a medida que la ciencia y la tecnología evolucionan,
lo que permite que los paladines cibernéticos recopilen otras formas de datos. Los paladines cibernéticos
ahora cuentan con la tecnología para hacer un seguimiento de las tendencias mundiales del clima, monitorear
los océanos y seguir el movimiento y el comportamiento de las personas, los animales y los objetos en tiempo
real.

Surgieron nuevas tecnologías, como los Sistemas de información geoespaciales (GIS) y el Internet de todo
(IdT). Estas nuevas tecnologías pueden seguir los tipos de árboles de un vecindario y proporcionar
ubicaciones actualizadas de los vehículos, los dispositivos, las personas y los materiales. Este tipo de
información puede ahorrar energía, mejorar la eficiencia y reducir los riesgos de seguridad. Cada una de estas
tecnologías también expandirá de manera exponencial la cantidad de datos recopilados, analizados y
utilizados para comprender el mundo. Los datos recopilados por GIS y el IdT constituyen un gran desafío para
los profesionales de la ciberseguridad en el futuro. El tipo de datos generado por estos dispositivos tiene el
potencial para permitir a los delincuentes cibernéticos obtener acceso a los aspectos muy íntimos de la vida
cotidiana.

¿Quiénes son los delincuentes cibernéticos?

En los primeros años del mundo de la ciberseguridad, los delincuentes cibernéticos típicos eran adolescentes
o aficionados que operaban desde una PC doméstica, y sus ataques se limitaban a bromas y vandalismo.
Actualmente, el mundo de los delincuentes cibernéticos se ha vuelto más peligroso. Los atacantes son
personas o grupos que intentan atacar las vulnerabilidades para obtener una ganancia personal o financiera.
Los delincuentes cibernéticos están interesados en todo, desde las tarjetas de crédito hasta los diseños de
producto y todo lo que tenga valor.

Aficionados: los aficionados, o script kiddies, tienen pocas habilidades o ninguna, y generalmente usan
herramientas existentes o instrucciones que se encuentran en Internet para realizar ataques. Algunos solo son
curiosos, mientras que otros intentan demostrar sus habilidades y causar daños. Pueden utilizar herramientas
básicas, pero los resultados aún pueden ser devastadores.

Hackers: este grupo de delincuentes penetran en las computadoras o redes para obtener acceso por varios
motivos. La intención por la que interrumpen determina la clasificación de estos atacantes como delincuentes
de sombrero blanco, gris o negro. Los atacantes de sombrero blanco penetran en las redes o los sistemas
informáticos para descubrir las debilidades a fin de mejorar la seguridad de estos sistemas. Los propietarios
del sistema les otorgan permiso para realizar la interrupción y reciben los resultados de la prueba. Por otro
lado, los atacantes de sombrero negro aprovechan las vulnerabilidades para obtener una ganancia ilegal
personal, financiera o política. Los atacantes de sombrero gris están en algún lugar entre los atacantes de
sombrero blanco y negro. Los atacantes de sombrero gris pueden encontrar una vulnerabilidad y señalarla a
los propietarios del sistema si esa acción coincide con sus propósitos. Algunos hackers de sombrero gris
publican los hechos sobre la vulnerabilidad en Internet para que otros atacantes puedan sacarles provecho.

La figura ofrece detalles sobre los términos hacker de sombrero blanco, negro y gris.

Hackers organizados: estos hackers incluyen organizaciones de delincuentes informáticos, hacktivistas,

terroristas y hackers patrocinados por el estado. Los delincuentes cibernéticos generalmente son grupos de
delincuentes profesionales centrados en el control, la energía y la riqueza. Los delincuentes son muy
sofisticados y organizados, e incluso pueden proporcionar el delito cibernético como un servicio. Los
hacktivistas hacen declaraciones políticas para concientizar sobre los problemas que son importantes para
ellos. Los hacktivistas publican de manera pública información embarazosa sobre sus víctimas. Los atacantes
patrocinados por el estado reúnen inteligencia o sabotean en nombre de su gobierno. Estos atacantes suelen
estar altamente capacitados y bien financiados. Sus ataques se centran en objetivos específicos que resultan
beneficiosos para su gobierno. Algunos atacantes patrocinados por el estado son incluso miembros de las
fuerzas armadas de sus países.

Haga clic aquí para ver representaciones gráficas de los perfiles de los hackers.
Motivos de los delincuentes cibernéticos

Los perfiles de los delincuentes cibernéticos y los motivos han cambiado a lo largo de los años. El hacking
comenzó en los años 60 con el «phone freaking» (o el «phreaking»), una actividad que hace referencia al uso
de diversas frecuencias de audio para manipular los sistemas telefónicos. A mediados de los años 80, los
delincuentes utilizaban módems de internet por acceso telefónico de la computadora para conectar las
computadoras a las redes y utilizaban programas de descifrado de contraseñas para obtener acceso a los
datos. Hoy en día, los delincuentes van más allá del robo de información. Los delincuentes ahora pueden usar
el malware y los virus como instrumentos de alta tecnología. Sin embargo, la motivación más grande para la
mayoría de los delincuentes cibernéticos es financiera. Los delitos cibernéticos se han vuelto más lucrativos
que las transacciones de las drogas ilegales.

Los perfiles generales del hacker y los motivos han cambiado un poco. La figura muestra los términos de
hacking modernos y una breve descripción de cada una.
¿Por qué convertirse en un especialista en ciberseguridad?

La demanda de especialistas en ciberseguridad ha crecido más que la demanda de otros trabajos de TI. Toda
la tecnología que transforma el reino y mejora la forma de vida de las personas también puede hacerlos más
vulnerables a los ataques. La tecnología en sí misma no puede prevenir, detectar, responder ni recuperarse
de los incidentes de ciberseguridad. Considere lo siguiente:

 El nivel de habilidad que requiere un especialista eficiente en ciberseguridad y la escasez de

profesionales calificados en ciberseguridad se traduce en la posibilidad de mayores ingresos.

 La tecnología de la información cambia constantemente. Esto también es cierto para la ciberseguridad.

La naturaleza muy dinámica del campo de la ciberseguridad puede ser difícil y fascinante.

 La carrera de un especialista en ciberseguridad también es muy transferible. Los trabajos en casi todas
las ubicaciones geográficas.

 Los especialistas en ciberseguridad proporcionan un servicio necesario a sus organizaciones, países y

empresas, casi como las autoridades encargada del orden público o los equipos de respuesta ante una
emergencia.

Convertirse en un especialista en ciberseguridad es una oportunidad profesional gratificante.

Cómo frustrar a los delincuentes cibernéticos

Frustrar a los delincuentes cibernéticos es una tarea difícil y no existe algo como una «fórmula mágica». Sin
embargo, las empresas, el gobierno y las organizaciones internacionales han comenzado a tomar medidas
coordinadas para limitar o mantener a raya a los delincuentes cibernéticos. Las acciones coordinadas incluyen
las siguientes:

 La creación de bases de datos completas de firmas conocidas de vulnerabilidades y ataques del

sistema (una disposición única de la información que se utiliza para identificar el intento de un atacante
de explotar una vulnerabilidad conocida). Las organizaciones comparten estas bases de datos en todo
el mundo para ayudar a prepararse y mantener alejados muchos ataques comunes.

 Establecimiento de sensores de advertencia temprana y redes de alerta. Debido al costo y la

imposibilidad de supervisar cada red, las organizaciones supervisan los objetivos de gran valor o crean
impostores que se parecen a los objetivos de gran valor. Debido a que estos objetivos de gran valor
tienen más probabilidades de experimentar los ataques, advierten a otros de los ataques potenciales.

 Intercambio de información de inteligencia cibernética. Las empresas, los organismos gubernamentales

y los países ahora colaboran para compartir información esencial sobre los ataques graves a los
objetivos fundamentales para evitar ataques similares en otros lugares. Muchos países han establecido
agencias de inteligencia cibernética para colaborar en todo el mundo en la lucha contra los ciberataques
importantes.

 Establecimiento de estándares de administración de seguridad de la información entre organizaciones

nacionales e internacionales. ISO 27000 es un buen ejemplo de estos esfuerzos internacionales.

 Promulgación de nuevas leyes para desalentar los ataques cibernéticos y las violaciones de datos.
Estas leyes tienen multas severas para penalizar a los delincuentes cibernéticos que realicen acciones
ilegales.

La figura muestra las medidas para frustrar a los delincuentes cibernéticos y una breve descripción de cada
una.
[Link]

[Link]
[Link]

[Link]
[Link]

Práctica de laboratorio: búsqueda de trabajo en el área de

ciberseguridad

En esta práctica de laboratorio, utilizará los sitios web conocidos de búsqueda de trabajo para identificar los
trabajos en la profesión de la ciberseguridad y conocer las calificaciones necesarias de los profesionales de la
ciberseguridad.

Práctica de laboratorio: búsqueda de trabajo en el área de ciberseguridad

Amenazas a las personas del reino

Los paladines cibernéticos son innovadores y visionarios que crean el reino cibernético. Tienen la inteligencia
y el conocimiento para reconocer el poder de los datos y aprovechan ese poder para crear grandes
organizaciones, proporcionar servicios y proteger a las personas de los ciberataques Los paladines
cibernéticos reconocen la amenaza que presentan los datos si se utilizan contra las personas.

Las amenazas y vulnerabilidades son la principal inquietud de los paladines cibernéticos. Una amenaza a la
ciberseguridad es la posibilidad de que ocurra un evento nocivo, como un ataque. La vulnerabilidad es una
debilidad que hace que un objetivo sea susceptible a un ataque. Por ejemplo, los datos en manos incorrectas
pueden provocar la pérdida de privacidad para los propietarios, pueden afectar su crédito o comprometer sus
relaciones profesionales o personales. El robo de identidad es un gran negocio. Sin embargo, Google y
Facebook no son necesariamente los que presentan el riesgo más grande. Las escuelas, los hospitales, las
instituciones financieras, los organismos gubernamentales, el lugar de trabajo y el comercio electrónico
plantean mayores riesgos. Las organizaciones como Google y Facebook cuentan con los recursos para
contratar grandes talentos en ciberseguridad para proteger sus castillos. A medida que las organizaciones
desarrollan los castillos de datos, aumenta la necesidad de profesionales de la ciberseguridad. Esto deja a las
empresas y organizaciones más pequeñas en la competencia por el grupo restante de profesionales de la
ciberseguridad. Las amenazas cibernéticas son particularmente peligrosas para algunos sectores y los
registros que deben mantener.

Tipos de registros personales

Los siguientes ejemplos son solo algunas fuentes de datos que pueden provenir de organizaciones
establecidas.

Historias clínicas

Ir al consultorio médico da como resultado la adición de más información a una historia clínica electrónica
(EHR). La prescripción de su médico de cabecera se vuelve parte de la EHR. Una EHR incluye el estado
físico y mental, y otra información personal que puede no estar relacionada médicamente. Por ejemplo, una
persona va a terapia cuando era niño debido a cambios importantes en la familia. Esto aparecerá en alguna
parte de su historia clínica. Además de la historia clínica y la información personal, la EHR también puede
incluir información sobre la familia de esa persona. Varias leyes abordan la protección de los registros de
pacientes.

Los dispositivos médicos, como las bandas de estado físico, utilizan la plataforma de la nube para permitir la
transferencia, el almacenamiento y la visualización inalámbricos de los datos clínicos, como el ritmo cardíaco,
la presión arterial y el azúcar en sangre. Estos dispositivos pueden generar una enorme cantidad de datos
clínicos que pueden volverse parte de sus historias clínicas.

Registros educativos

Los registros educativos incluyen información sobre calificaciones, puntajes de evaluaciones, asistencia,
cursos realizados, premios, grados otorgados e informes disciplinarios. Este registro también puede incluir
información de contacto, salud y registros de la inmunización, y registros de educación especial, incluidos los
programas educativos individualizados (IEP).

Registros de empleo y financieros

La información de empleo puede incluir empleos y rendimientos pasados. Los registros de empleo también
pueden incluir información sobre sueldos y seguros. Los registros financieros pueden incluir información sobre
ingresos y gastos. Los registros de impuestos pueden incluir talones de cheques de pago, resúmenes de la
tarjeta de crédito, calificación de crédito e información bancaria.
Amenazas a los servicios del reino

Los servicios del reino son los mismos servicios que necesita una red y, en última instancia, Internet para
operar. Estos servicios incluyen routing, asignación de direcciones, designación de nombres y administración
de bases de datos. Estos servicios también sirven como objetivos principales para los delincuentes
cibernéticos.

Los delincuentes utilizan herramientas de análisis de paquetes para capturar flujos de datos en una red. Esto
significa que todos los datos confidenciales, como nombres de usuario, contraseñas y números de tarjetas de
crédito, están en riesgo. Los analizadores de protocolos de paquetes supervisan y registran toda la
información que proviene de una red. Los delincuentes pueden utilizar además dispositivos falsos, como
puntos de acceso a Wi-Fi no seguros. Si el delincuente configuran estos dispositivos cerca de un lugar
público, como una cafetería, las personas desprevenidas pueden conectarse y el analizador de protocolos
copiará su información personal.

El Servicio de nombres de dominio (DNS) traduce un nombre de dominio, por ejemplo [Link] en
su dirección IP numérica. Si un servidor DNS no conoce la dirección IP, consultará a otro servidor DNS. Con
una suplantación de identidad DNS (o envenenamiento de caché DNS), el delincuente introduce datos falsos
en la caché de resolución de DNS. Estos ataques de envenenamiento atacan una debilidad en el software
DNS que hace que los servidores DNS redirijan el tráfico de un dominio específico a la computadora del
delincuente, en lugar de redirigirlo al propietario legítimo del dominio.

Los paquetes transportan datos a través de una red o de Internet. La falsificación del paquete (o la inyección
de paquetes) interfiere con una comunicación de red establecida mediante la creación de paquetes para que
parezca como si fueran parte de una comunicación. La falsificación de paquetes permite a un delincuente
alterar o interceptar los paquetes. Este proceso permite a los delincuentes secuestrar una conexión autorizada
o denegar la capacidad de una persona para usar determinados servicios de red. Los profesionales
cibernéticos denominan esta actividad un ataque man-in-the-middle.

Los ejemplos dado solo son ejemplos generales de los tipos de amenazas que los delincuentes pueden lanzar
contra los servicios del reino.

Amenazas a los sectores del reino

Los sectores del reino incluyen los sistemas de infraestructura como la fabricación, la energía, la
comunicación y el transporte. Por ejemplo, la matriz inteligente es una mejora del sistema de distribución y
generación eléctrica. La matriz eléctrica lleva la energía de los generadores centrales a un gran número de
clientes. Una matriz inteligente utiliza la información para crear una red avanzada y automatizada de
distribución de energía. Los líderes globales reconocen que la protección de la infraestructura es fundamental
para proteger su economía.

Durante la última década, los ciberataques como Stuxnet demostraron que un ataque cibernético puede
destruir o interrumpir con éxito las infraestructuras críticas. Específicamente, el ataque de Stuxnet apuntó al
sistema de control de supervisión y adquisición de datos (SCADA) utilizados para controlar y supervisar los
procesos industriales. El SCADA puede ser parte de diversos procesos industriales de los sistemas de
fabricación, producción, energía y comunicación. Haga clic aquí para ver más información sobre el ataque de
Stuxnet.

Un ataque cibernético podría anular o interrumpir los sectores industriales como los sistemas de
telecomunicaciones, de transporte o de generación y distribución de energía eléctrica. También puede
interrumpir el sector de servicios financieros. Uno de los problemas con los entornos que incorporan un
SCADA es que los diseñadores no se conectaron el SCADA al entorno de TI tradicional e Internet. Por lo
tanto, no tuvieron en cuenta la ciberseguridad de manera adecuada durante la fase de desarrollo de estos
sistemas. Como otros sectores, las organizaciones que utilizan los sistemas SCADA reconocen el valor de la
recopilación de datos para mejorar las operaciones y disminuir los costos. La tendencia resultante es conectar
los sistemas SCADA a los sistemas de TI tradicionales. Sin embargo, esto aumenta la vulnerabilidad de los
sectores que utilizan los sistemas SCADA.

El potencial avanzado de amenazas que existe en los reinos en la actualidad exige una generación especial
de especialistas en ciberseguridad.
Amenazas a la forma de vida del reino

La ciberseguridad es el esfuerzo constante por proteger los sistemas de red y los datos del acceso no
autorizado. A nivel personal, todas las personas necesitan proteger su identidad, sus datos y sus dispositivos
informáticos. A nivel corporativo, es responsabilidad de los empleados proteger la reputación, los datos y los
clientes de la organización. A nivel estatal, la seguridad nacional y la seguridad y el bienestar de los
ciudadanos están en juego. Los profesionales de ciberseguridad a menudo están involucrados en el trabajo
con los organismos gubernamentales en la identificación y recopilación de datos.

En EE. UU., la Agencia de Seguridad Nacional (NSA) es responsable de las actividades de recopilación y
vigilancia de inteligencia. La NSA creó un nuevo centro de datos para procesar el volumen de información
cada vez mayor. En 2015, el Congreso de EE. UU. aprobó la Ley de Libertad de EE. UU. que ponía fin a la
práctica de recopilar de forma masiva los registros telefónicos de los ciudadanos de EE. UU. El programa
proporcionó los metadatos y otorgó a la NSA información sobre las comunicaciones enviadas y recibidas.

Los esfuerzos por proteger la forma de vida de las personas a menudo entran en conflicto con su derecho a la
privacidad. Será interesante ver qué sucede con el equilibrio entre estos derechos y la seguridad del reino.

Práctica de laboratorio: identificación de amenazas

En esta práctica de laboratorio, examinará las amenazas que los delincuentes cibernéticos plantean e
identificará los rasgos y los requisitos necesarios para convertirse en un especialista en ciberseguridad.

Práctica de laboratorio: identificación de amenazas

Amenazas internas y externas

Amenazas de seguridad internas

Los ataques pueden originarse dentro de una organización o fuera de ella, como se muestra en la figura. Un
usuario interno, como un empleado o un partner contratado, puede de manera accidental o intencional:

 Manipular de manera incorrecta los datos confidenciales

 Amenazar las operaciones de los servidores internos o de los dispositivos de la infraestructura de red

 Facilitar los ataques externos al conectar medios USB infectados al sistema informático corporativo

 Invitar accidentalmente al malware a la red con correos electrónicos o páginas web maliciosos

Las amenazas internas tienen el potencial de causar mayores daños que las amenazas externas porque los
usuarios internos tienen acceso directo al edificio y a sus dispositivos de infraestructura. Los atacantes
internos normalmente tienen conocimiento de la red corporativa, sus recursos y sus datos confidenciales.
También pueden tener conocimiento de las contramedidas de seguridad, las políticas y los niveles más altos
de privilegios administrativos.

Amenazas de seguridad externas

Las amenazas externas de los aficionados o de los atacantes expertos pueden explotar las vulnerabilidades
en los dispositivos conectados a la red o pueden utilizar la ingeniería social, como trucos, para obtener
acceso. Los ataques externos aprovechan las debilidades o vulnerabilidades para obtener acceso a los
recursos internos.

Datos tradicionales

Los datos corporativos incluyen información del personal, de propiedad intelectual y datos financieros. La
información del personal incluye el material de las postulaciones, la nómina, la carta de oferta, los acuerdos
del empleado, y cualquier información utilizada para tomar decisiones de empleo. La propiedad intelectual,
como patentes, marcas registradas y planes de nuevos productos, permite a una empresa obtener una
ventaja económica sobre sus competidores. Considere esta propiedad intelectual como un secreto comercial;
perder esta información puede ser desastroso para el futuro de la empresa. Los datos financieros, como las
declaraciones de ingresos, los balances y las declaraciones de flujo de caja brindan información sobre el
estado de la empresa.
Las vulnerabilidades de los dispositivos móviles

En el pasado, los empleados generalmente utilizaban computadoras de la empresa conectadas a una LAN
corporativa. Los administradores supervisan y actualizan continuamente estas computadoras para cumplir con
los requisitos de seguridad. En la actualidad, los dispositivos móviles como iPhones, smartphones, tablets y
miles de otros dispositivos son sustitutos poderosos o agregados de las computadoras tradicionales. La gente
usa cada vez más estos dispositivos para tener acceso a la información de la empresa. Bring Your Own
Device (BYOD) es una tendencia en crecimiento. La incapacidad para administrar y actualizar de manera
central los dispositivos móviles presenta una amenaza en crecimiento para las organizaciones que permiten el
uso de dispositivos móviles de los empleados en sus redes.

El surgimiento del internet de las cosas

El Internet de las cosas (IdC ) es el conjunto de tecnologías que permiten la conexión de varios dispositivos a
Internet. La evolución tecnológica asociada con la llegada del IdC está cambiando los entornos comerciales y
de consumidores. Las tecnologías del IdC permiten que las personas conecten miles de millones de
dispositivos a Internet. Estos dispositivos incluyen trabas, motores y dispositivos de entretenimiento, solo por
mencionar algunos ejemplos. Esta tecnología afecta la cantidad de datos que necesitan protección. Los
usuarios acceden a estos dispositivos en forma remota, lo cual aumenta la cantidad de redes que requieren
protección.

Con el surgimiento del IdC, hay muchos más datos que deben administrarse y protegerse. Todas estas
conexiones, además de la capacidad y los servicios de almacenamiento expandidos que se ofrecen a través
de la nube y la virtualización, han generado el crecimiento exponencial de los datos. Esta expansión de datos
ha creado una nueva área de interés en la tecnología y los negocios denominada “datos masivos”.
El impacto de los datos masivos

Los datos masivos son el resultado de los conjuntos de datos que son grandes y complejos, lo que hace que
las aplicaciones tradicionales de procesamiento de datos sean inadecuadas. Los datos masivos presentan
desafíos y oportunidades según tres dimensiones:

 El volumen o la cantidad de datos

 La velocidad de los datos

 La variedad o el rango de los tipos y fuentes de datos

Existen muchos ejemplos de amenazas de gran envergadura en las noticias. Las empresas como Target,
Home Depot y PayPal son objetos de ataques muy promocionados. Como resultado, los sistemas
empresariales deben realizar cambios drásticos en los diseños de producto de seguridad y las actualizaciones
importantes a las tecnologías y las prácticas. Además, los gobiernos y las industrias están introduciendo más
regulaciones y obligaciones que requieren una mejor protección de los datos y controles de seguridad para
ayudar a proteger los datos masivos.
Uso de instrumentos avanzados

Las vulnerabilidades de software actualmente tienen como base los errores de programación, las
vulnerabilidades de protocolo o las configuraciones erróneas del sistema. El delincuente cibernético tan solo
tiene que aprovechar una de estas. Por ejemplo, un ataque común fue la construcción de una entrada a un
programa para sabotear el programa, haciendo que funcione mal. Este mal funcionamiento proporcionó una
entrada al programa o provocó que filtre información.

Actualmente, se percibe una creciente sofisticación en los ciberataques. Una amenaza persistente avanzada
(APT) es una amenaza continua a las computadoras que se realizan en el radar contra un objeto específico.
Los delincuentes eligen generalmente una APT por motivos políticos o empresariales. Una APT se produce
durante un período prolongado con un alto nivel de confidencialidad utilizando malware sofisticado.

Los ataques a los algoritmos pueden rastrear los datos de informe propio de un sistema, como la cantidad de
energía que utiliza una computadora, y usar esa información para seleccionar los objetivos o para activar
alertas falsas. Los ataques algorítmicos también pueden desactivar una computadora forzándola a usar
memoria o a trabajar demasiado su unidad de procesamiento central. Los ataques a los algoritmos son más
taimados porque atacan a los diseños utilizados para mejorar el ahorro de energía, disminuir las fallas del
sistema y mejorar las eficiencias.

Por último, la nueva generación de ataques involucra la selección inteligente de víctimas. En el pasado, los
ataques seleccionaban las opciones más fáciles o las víctimas más vulnerables. Sin embargo, con más
atención a la detección y el aislamiento de los ciberataques, los delincuentes cibernéticos deben ser más
cuidadosos. No pueden arriesgar la detección temprana o los especialistas en ciberseguridad cerrarán las
puertas del castillo. Como resultado, muchos de los ataques más sofisticados solo se lanzarán si el atacante
puede igualar la firma objeto del objetivo.
Un alcance más amplio y el efecto cascada

La administración de identidades federada se refiere a varias empresas que permiten a los usuarios utilizar las
mismas credenciales de identificación que obtienen acceso a las redes de todas las empresas del grupo. Esto
amplía el alcance y aumenta las posibilidades de un efecto en cascada si se produce un ataque.

Una identidad federada conecta la identidad electrónica de un sujeto mediante sistemas de administración de
identidades separados. Por ejemplo, un sujeto puede iniciar sesión en Yahoo! con credenciales de Google o
de Facebook. Este es un ejemplo de inicio de sesión social.

El objetivo de la administración de identidades federada es compartir la información de identidad

automáticamente a través de los límites del castillo. Desde la perspectiva del usuario particular, esto significa
un único inicio de sesión a la red.

Es imprescindible que las organizaciones escudriñen la información de identificación compartida con los
partners. Los números de seguridad social, los nombres y las direcciones pueden permitir a los ladrones de
identidad la oportunidad de robar esta información del partner para perpetrar un fraude. La manera más
común de proteger la identidad federada es vincular la capacidad de inicio de sesión a un dispositivo
autorizado.

Implicaciones de seguridad

Los centros de llamadas de emergencia en EE. UU. son vulnerables a los ciberataques que podrían apagar
las redes de 911 y comprometer así la seguridad pública. Un ataque de denegación de servicios telefónicos
(TDoS) utiliza las llamadas telefónicas a una red telefónica objetivo, lo que condiciona el sistema y evita que
las llamadas legítimas pasen. Los centros de llamadas 911 de próxima generación son vulnerables porque
utilizan los sistemas de voz sobre IP (VoIP) en lugar de líneas fijas tradicionales. Además de los ataques de
TDoS, estos centros de llamadas también pueden estar a merced de ataques de denegación de servicio
distribuido (DDoS) que utilizan muchos sistemas para saturar los recursos del objetivo, lo que hace que este
no esté disponible para los usuarios legítimos. En la actualidad, existen muchas maneras de solicitar la ayuda
del 911, desde el uso de una aplicación en un smartphone hasta un sistema de seguridad en el hogar.

Reconocimiento mejorado de las amenazas a la ciberseguridad

Las defensas contra los ciberataques al inicio de la era cibernética eran bajas. Un estudiante inteligente de
escuela secundaria o script kiddie podría tener acceso a los sistemas. Los países de todo el mundo son más
conscientes de las amenazas de los ciberataques. La amenaza que presentaron los ciberataques ahora
encabezan la lista de las mayores amenazas a la seguridad nacional y económica en la mayoría de los
países.

Cómo abordar la escasez de especialistas en ciberseguridad

En EE. UU., el Instituto Nacional de Normas y Tecnologías (NIST) creó un marco de trabajo para las
empresas y las organizaciones que necesitan profesionales en el área de la ciberseguridad. El marco de
trabajo les permite a las empresas identificar los tipos principales de responsabilidades, los cargos y destrezas
de la fuerza laboral necesarias. El marco de trabajo nacional de la fuerza laboral de ciberseguridad clasifica y
describe el trabajo de ciberseguridad. Proporciona un lenguaje común que define el trabajo de ciberseguridad
junto con un conjunto común de tareas y habilidades requeridas para convertirse en un especialista en
ciberseguridad. El marco de trabajo ayuda a definir los requisitos profesionales en ciberseguridad.

Siete categorías de paladines en el área de la ciberseguridad

El marco de la fuerza laboral categoriza el trabajo en ciberseguridad en siete categorías.

Operar y mantener incluye proporcionar soporte técnico, administración, y el mantenimiento necesario para
garantizar el rendimiento y la seguridad de los sistemas de TI.

Proteger y defender incluye la identificación, el análisis y la mitigación de amenazas a los sistemas internos y
redes internas.

Investigar incluye la investigación de los eventos cibernéticos o los delitos informáticos que involucran a los
recursos de TI.

Recopilar y operar incluye operaciones especializadas de ataque y engaño, y la recopilación de información

sobre ciberseguridad.

Analizar incluye la revisión y evaluación altamente especializada de la información entrante de ciberseguridad

para determinar si es útil para la inteligencia.

Supervisión y desarrollo establece el liderazgo, la administración y la dirección para realizar el trabajo de

ciberseguridad de manera eficaz.

Disponer de manera segura incluye conceptualización, diseño y creación de sistemas de TI seguros.

Dentro de cada categoría, existen varias áreas de especialidad. Las áreas de especialidad luego definen los
tipos comunes de trabajo de ciberseguridad.

La figura muestra cada una de las categorías y una breve descripción de cada uno.
Organizaciones profesionales

Los especialistas en ciberseguridad deben colaborar a menudo con colegas profesionales. Las organizaciones
internacionales de tecnología a menudo patrocinan talleres y conferencias. Estas organizaciones
generalmente mantienen inspirados y motivados a los profesionales de la ciberseguridad.

Haga clic en los logos de la figura para aprender más sobre algunas organizaciones de seguridad importantes.
Competencias y organizaciones estudiantiles de ciberseguridad

Los especialistas en ciberseguridad deben tener las mismas destrezas que los hackers, especialmente que
los hackers de sombrero negro, para ofrecer protección contra los ataques. ¿Cómo puede una persona crear
y practicar las aptitudes necesarias convertirse en un especialista en ciberseguridad? Las competencias de
habilidades del estudiante son una excelente manera de desarrollar habilidades y capacidades de
conocimiento en ciberseguridad. Existen muchas competencias nacionales de habilidades en ciberseguridad
disponibles para los estudiantes de ciberseguridad.

Haga clic en los logos de la figura para obtener más información sobre las competencias, las organizaciones y
los clubes de ciberseguridad de los estudiantes.

[Link]

[Link]

[Link]

[Link]

Certificaciones del sector

En un mundo de amenazas a la ciberseguridad, existe una gran necesidad de contar con profesionales
expertos y calificados en seguridad de la información. La industria de TI estableció estándares para que los
especialistas en ciberseguridad obtengan certificaciones profesionales que proporcionan pruebas de las
habilidades y el nivel de conocimiento.

CompTIA Security+

Security+ es un programa de pruebas patrocinado por CompTIA que certifica la competencia de los
administradores de TI en la seguridad de la información. La prueba de Security+ abarca los principios más
importantes para proteger una red y administrar el riesgo, incluidas las inquietudes relacionadas con la
computación en la nube.

Hacker ético certificado por el Consejo Internacional de Consulta de Comercio Electrónico (CEH)

Esta certificación de nivel intermedio afirma que los especialistas en ciberseguridad que cuentan con esta
credencial poseen las habilidades y el conocimiento para varias prácticas de hacking. Estos especialistas en
ciberseguridad utilizan las mismas habilidades y técnicas que utilizan los delincuentes cibernéticos para
identificar las vulnerabilidades y puntos de acceso del sistema en los sistemas.

SANS GIAC Security Essentials (GSEC)

La certificación GSEC es una buena opción como credencial de nivel básico para especialistas en
ciberseguridad que pueden demostrar que comprenden la terminología y los conceptos de seguridad, y tienen
las habilidades y la experiencia necesarias para puestos “prácticos” en seguridad. El programa SANS GIAC
ofrece varias certificaciones adicionales en los campos de administración de la seguridad, informática forense
y auditoría.

(ISC)^2 Profesional certificado en seguridad de los sistemas informáticos (CISSP)

La certificación de CISSP es una certificación neutral para proveedores para los especialistas en
ciberseguridad con mucha experiencia técnica y administrativa. También está aprobada formalmente por el
Departamento de Defensa (DoD) de EE. UU. y es una certificación con reconocimiento global del sector en el
campo de la seguridad.

Certificación para administradores de seguridad informática (CISM) de ISACA

Los héroes cibernéticos responsables de administrar, desarrollar y supervisar los sistemas de seguridad de la
información a nivel empresarial o para aquellos que desarrollan las mejores prácticas de seguridad puedan
obtener la certificación CISM. Los titulares de estas credenciales poseen aptitudes avanzadas en la
administración de riesgos de seguridad.

Certificaciones patrocinadas por la empresa

Otras credenciales importantes para los especialistas en ciberseguridad son las certificaciones patrocinadas
por la empresa. Estas certificaciones miden el conocimiento y la competencia en la instalación, la
configuración y el mantenimiento de los productos de los proveedores. Cisco y Microsoft son ejemplos de
empresas con certificaciones que prueban el conocimiento de sus productos. Haga clic aquí para explorar la
matriz de las certificaciones de Cisco que se muestran en la figura.

Asociado en redes con certificación de Cisco (Seguridad de CCNA)

La certificación de Seguridad de CCNA ratifica que un especialista en ciberseguridad cuenta con el

conocimiento y las habilidades necesarias para proteger las redes de Cisco.

Haga clic aquí para obtener más información sobre la certificación de Seguridad de CCNA.
Cómo convertirse en un héroe cibernético

Para convertirse en un especialista exitoso en ciberseguridad, el candidato potencial debe tener en cuenta
algunos de los requisitos exclusivos. Los héroes deben ser capaces de responder a las amenazas tan pronto
como ocurran. Esto significa que las horas de trabajo pueden ser poco convencionales.

Los héroes cibernéticos también analizan las políticas, las tendencias y la inteligencia para comprender cómo
piensan los delincuentes cibernéticos. Muchas veces, esto pueden incluir una gran cantidad de trabajo de
detección.

Las siguientes recomendaciones ayudarán a los aspirantes a especialistas en ciberseguridad a alcanzar sus
objetivos:

 Estudie: conozca los aspectos básicos al completar los cursos en TI. Sea un estudiante durante toda su
vida. La ciberseguridad es un campo en constante cambio y los especialistas en ciberseguridad deben
mantenerse actualizados.

 Obtenga certificaciones: las certificaciones patrocinadas por la empresa y el sector, de organizaciones

como Microsoft y Cisco demuestran que uno posee los conocimientos necesarios para buscar empleo
como especialista en ciberseguridad.

 Busque pasantías: la búsqueda de una pasantía en seguridad como estudiante puede traducirse en
oportunidades en el futuro.

 Únase a organizaciones profesionales: únase a las organizaciones de seguridad informática, asista a

reuniones y conferencias y participe en foros y blogs para obtener conocimiento de los expertos.
Práctica de laboratorio: explorando el mundo de los profesionales en
el área de ciberseguridad

En esta práctica de laboratorio, examinará las responsabilidades diarias de un profesional en ciberseguridad y

detectará los tipos de controles y las precauciones de seguridad que las grandes organizaciones deben tomar
para proteger su información y sistemas de información.

Práctica de laboratorio: explorando el mundo de los profesionales en el área de ciberseguridad

Packet Tracer: creación de un mundo cibernético

En esta actividad de Packet Tracer, cumplirá los siguientes objetivos:

 Configurar el servidor FTP

 Configurar el servidor web

 Configurar el servidor de correo electrónico

 Configurar el servidor DNS

 Configurar el servidor NTP

 Configurar el servidor AAA

[Link] Packet Tracer: Creación de un mundo ciberné[Link]

[Link] Packet Tracer: Creación de un mundo ciberné[Link]

Packet Tracer: la comunicación en un mundo cibernético

En esta actividad de Packet Tracer, cumplirá los siguientes objetivos:

 Enviar correo electrónico entre los usuarios

 Cargar y descargar archivos mediante FTP

 Acceder de manera remota a un router de la empresa mediante Telnet

 Acceda de manera remota a un router de la empresa mediante SSH

[Link] Packet Tracer: Creación de un mundo ciberné[Link]

[Link] Packet Tracer: Creación de un mundo ciberné[Link]

Capítulo 2: El cubo de destrezas de ciberseguridad

El término "hecicero" es una etiqueta que describe a los profesionales en ciberseguridad que protegen el
mundo cibernético. Como los hechiceros del mundo místico, los hechiceros cibernéticos están interesados en
promover el bien y proteger a otros. John McCumber es uno de los primeros hechiceros en ciberseguridad.
Desarrolló un marco de trabajo denominado Cubo de McCumber que los hechiceros de ciberseguridad utilizan
para proteger el mundo cibernético. El cubo de McCumber se parece al Cubo de Rubik.

La primera dimensión del cubo de destrezas de ciberseguridad incluye los tres principios de seguridad
informática. Los profesionales en ciberseguridad hacen referencia a las tres principios como la Tríada de CID.
La segunda dimensión identifica los tres estados de información o de datos. La tercera dimensión del cubo
identifica los poderes de los hechiceros que proporcionan protección. Estos poderes son las tres categorías de
mecanismos de las medidas de ciberseguridad.

En el capítulo también se analiza el modelo de ciberseguridad de ISO. El modelo representa un marco de

trabajo internacional para estandarizar la administración de los sistemas de información.

Los principios de seguridad

La primera dimensión del cubo de destrezas de ciberseguridad identifica los objetivos para proteger al mundo
cibernético. Los objetivos identificados en la primera dimensión son los principios básicos del mundo de la
ciberseguridad. Estos tres principios son la confidencialidad, integridad y disponibilidad. Los principios
proporcionan el enfoque y permiten al hechicero cibernético priorizar las acciones en la protección del mundo
cibernético.

La confidencialidad previene la divulgación de información a las personas los recursos o los procesos no
autorizados. La integridad hace referencia a la precisión, la uniformidad y la confiabilidad de datos. Por último,
la disponibilidad garantiza que los usuarios pueden tener acceso a la información cuando sea necesario.
Utilice el acrónimo CID para recordar estos tres principios.
Estados de los datos

El mundo cibernético es un mundo de datos; por lo tanto, los hechiceros cibernéticos se centran en la
protección de los datos. La segunda dimensión del cubo de destrezas de ciberseguridad se concentra en los
problemas de proteger todos los estados de los datos en el mundo cibernético. Los datos tienen tres estados
posibles:

 Datos en tránsito

 Datos almacenados

 Datos en proceso

La protección del mundo cibernético requiere que los profesionales en ciberseguridad expliquen la protección
de los datos en los tres estados.

Medidas de ciberseguridad

La tercera dimensión del cubo de destrezas de ciberseguridad define los tipos de poderes a los que un
hechicero en ciberseguridad recurre para proteger al mundo cibernético. Los profesionales en ciberseguridad
deben utilizar todos los poderes disponibles a su disposición para proteger los datos del mundo cibernético.
El cubo de destrezas de ciberseguridad identifica los tres tipos de poderes e intrumentos utilizados para
proporcionar protección. El primer tipo de poder incluye tecnologías, dispositivos y productos disponibles para
proteger los sistemas de información y mantener alejados a los delincuentes cibernéticos. Los profesionales
en ciberseguridad tienen una reputación por dominar las herramientas tecnológicas a su disposición. Sin
embargo, McCumber recuerda que las herramientas tecnológicas no son suficientes para derrotar a los
delincuentes informáticos. Los profesionales en ciberseguridad también deben crear una defensa sólida al
establecer las políticas, los procedimientos y las pautas que permiten a los ciudadanos del mundo cibernético
mantenerse seguros y seguir las prácticas adecuadas. Por último, al igual que el mundo de los hechiceros, los
ciudadanos del mundo cibernético deben esforzarse por obtener más conocimientos sobre su mundo y los
peligros que amenazan su mundo. Deben buscar continuamente un mayor conocimiento y establecer una
cultura de aprendizaje y conciencia.

El principio de confidencialidad

La confidencialidad previene la divulgación de información a las personas los recursos y los procesos no
autorizados. Otro término para la confidencialidad es el de privacidad. Las organizaciones restringen el acceso
para asegurar que solo los operadores autorizados pueden usar los datos u otros recursos de red. Por
ejemplo, un programador no debe tener acceso a la información personal de todos los empleados.

Las organizaciones necesitan capacitar a los empleados sobre las mejores prácticas en la protección de la
información confidencial para protegerse a sí mismos y a la organización de los ataques. Los métodos
utilizados para garantizar la confidencialidad incluyen el cifrado de datos, la autenticación y el control de
acceso.

Protección de la privacidad de los datos

Las organizaciones recopilan grandes cantidades de datos. La mayor parte de estos datos no es confidencial
porque está públicamente disponible, como nombres y números de teléfono. Otros datos recopilados, sin
embargo, son confidenciales. La información confidencial hace referencia a los datos protegidos contra el
acceso no autorizado para proteger a una persona u organización. Existen tres tipos de información
confidencial:

 La información personal en la información de identificación personal (PII) que lleva hacia una persona.
En la Figura 2 se enumera esta categoría de datos.

 La información comercial es la información que incluye todo lo que representa un riesgo para la
organización si el público o la competencia la descubre. En la Figura 3 se enumera esta categoría de
datos.

 La información clasificada es información que pertenece a una entidad gubernamental clasificada por su
nivel de confidencialidad. En la Figura 4 se enumera esta categoría de datos.
Control de acceso

El control de acceso define varios esquemas de protección que evita el acceso no autorizado a una
computadora, red, base de datos o a otros recursos de datos. El concepto de AAA involucra tres servicios de
seguridad: Autenticación, Autorización y Auditoría. Estos servicios proporcionan el marco de trabajo principal
para controlar el acceso.

La primera “A” de AAA representa la autenticación. Autenticación Verifica la identidad de un usuario para
evitar el acceso no autorizado. Los usuarios prueban su identidad con un nombre de usuario o una Id.
Además, los usuarios deben verificar su identidad mediante una de las siguientes maneras, como se muestra
en la figura 1:

 Algo que saben (por ejemplo, una contraseña)

 Algo que tienen (por ejemplo, un token o tarjeta)

 Algo que son (por ejemplo, una huella digital)

Por ejemplo, si va a un ATM a buscar efectivo, necesita su tarjeta de banco (algo que tiene) y necesita
conocer el PIN. Este también es un ejemplo de autenticación de varios factores. La autenticación de varios
factores requiere más de un tipo de autenticación. La forma de autenticación más popular es el uso de
contraseñas.

Autorización Los servicios autorización determinan a qué recursos pueden acceder los usuarios, junto con
las operaciones que los usuarios pueden realizar, como se muestra en la Figura 2. Algunos sistemas logran
esto con una lista de control de acceso o ACL. Una ACL determina si un usuario tiene ciertos privilegios de
acceso una vez que el usuario autentica. Solo porque no puede iniciar sesión en la red de la empresa no
significa que tenga permitido utilizar la impresora a color de alta velocidad. La autorización también puede
controlar cuándo un usuario tiene acceso a un recurso específico. Por ejemplo, los empleados pueden tener
acceso a una base de datos de ventas durante el horario de trabajo, pero el sistema los bloquea después del
horario.

Contabilidad Rastrea las actividades de los usuarios, incluidos los sitios a los que tienen acceso, la cantidad
de tiempo que tienen acceso a los recursos y los cambios realizados. Por ejemplo, un banco hace un
seguimiento de cada cuenta del cliente. Una auditoría de ese sistema puede revelar el tiempo y la cantidad de
todas las transacciones y el empleado o el sistema que ejecutaron las transacciones. Los servicios de
auditoría de ciberseguridad trabajan de la misma manera. El sistema realiza un seguimiento de cada
transacción de datos y proporciona resultados de auditoría. Un administrador puede configurar las políticas de
la computadora, como se muestra en la Figura 3, para habilitar la auditoría del sistema.

El concepto de AAA es similar al uso de una tarjeta de crédito, como se indica en la Figura 4. La tarjeta de
crédito identifica quién la usa y cuánto puede gastar el usuario de ésta y explica cuántos elementos o servicios
adquirió el usuario.

La auditoría de la ciberseguridad rastrea y monitorea en tiempo real. Sitios web, como Norse, muestran los
ataques en tiempo real según los datos recopilados como parte de una auditoría o sistema de seguimiento.
Haga clic aquí para visitar el sitio web de seguimiento en tiempo real de Norse.
Leyes y responsabilidades

La confidencialidad y la privacidad parecen intercambiables, pero desde un punto de vista legal, tienen
distintos significados. La mayoría de los datos de privacidad son confidenciales, pero no todos los datos
confidenciales son privados. El acceso a la información confidencial ocurre después de confirmar la
autorización apropiada. Las instituciones financieras, los hospitales, los profesionales médicos, los estudios
jurídicos y las empresas administran la información confidencial. La información confidencial tiene estado
privado. Mantener la confidencialidad es más que un deber ético.

La privacidad es el uso adecuado de los datos. Cuando las organizaciones recopilan información
proporcionada por los clientes o empleados, solo pueden utilizar esos datos para su objetivo previsto. La
mayoría de las organizaciones requieren que un cliente o empleado firme un formulario de autorización que
otorga permiso a la organización para usar los datos.

Todas las leyes enumeradas en la figura incluyen una disposición para abordar la privacidad que comienza
con las leyes de EE. UU. en la Figura 1. La Figura 2 enumera una muestra de los esfuerzos internacionales.
La mayoría de estas leyes son una respuesta al crecimiento masivo de la recopilación de datos.

El creciente número de estatutos relacionados con la privacidad crea una enorme carga en las organizaciones
que recopilan y analizan datos. Las políticas son la mejor forma de que una organización cumpla con el
número cada vez mayor de leyes relacionadas con la privacidad. Las políticas permiten a las organizaciones
aplicar reglas, procedimientos y procesos específicos al recopilar, almacenar y compartir datos.
Principio de integridad de los datos

La integridad es la precisión, uniformidad y confiabilidad de los datos durante su ciclo de vida. Otro término
para la integridad es el de calidad. Los datos experimentan varias operaciones como captura,
almacenamiento, recuperación, actualización y transferencia. Las entidades no autorizadas deben mantener
inalteradas los datos durante todas estas operaciones.

Los métodos utilizados para garantizar la integridad de los datos incluyen la función de hash, las
comprobaciones de validación de datos, las comprobaciones de consistencia de los datos y los controles de
acceso. Los sistemas de integridad de datos pueden incluir uno o más de los métodos mencionados
anteriormente.

La necesidad de contar con la integridad de datos

La integridad de datos es un componente fundamental de la seguridad informática. La necesidad de contar

con la integridad de datos varían según cómo una organización utiliza los datos. Por ejemplo, Facebook no
verifica los datos que un usuario publica en un perfil. Un banco u organización financiera asigna una mayor
importancia a la integridad de los datos que Facebook. Las transacciones y las cuentas de los clientes deben
ser precisas. En una organización de servicios de salud, la integridad de datos puede ser una cuestión de vida
o muerte. La información sobre prescripciones debe ser precisa.

Proteger la integridad de los datos es un desafío constante para la mayoría de las organizaciones. La pérdida
de la integridad de los datos puede lograr que todos los recursos de datos sean dudosos o inutilizables.
Verificaciones de la integridad

Una verificación de integridad es una manera de medir la uniformidad de una recopilación de datos (un
archivo, una imagen, un registro). La verificación de integridad realiza un proceso denominado función de
hash para tomar una instantánea de los datos en un instante de tiempo. La verificación de integridad utiliza la
instantánea para asegurar que los datos permanezcan sin cambios.

Un checksum es un ejemplo de una función de hash. Un checksum verifica la integridad de los archivos o
cadenas de caracteres, antes y después de que ellos transfieran de un dispositivo a otro a través de una red
local o Internet. Los checksums convierten simplemente cada pieza de información a un valor y suman el total.
Para comprobar la integridad de los datos, un sistema receptor simplemente repite el proceso. Si las dos
sumas son iguales, los datos son válidos (Figura 1). Si no son iguales, se produjo un cambio en alguna parte
de la línea (Figura 2).

Las funciones de hash comunes incluyen MD5, SHA-1, SHA-256 y SHA-512. Estas funciones de hash usan
algoritmos matemáticos complejos. El valor de hash está sencillamente allí para la comparación. Por ejemplo,
después de descargar un archivo, el usuario puede verificar la integridad del archivo al comparar los valores
de hash de la fuente con el que genera cualquier calculadora de hash.

Las organizaciones utilizan el control de versiones para evitar cambios accidentales realizados por usuarios
autorizados. Dos usuarios no pueden actualizar el mismo objeto. Los objetos pueden ser archivos, registros
de la base de datos o transacciones. Por ejemplo, el primer usuario en abrir un documento tiene permiso para
cambiar ese documento; la segunda persona tiene una versión de solo lectura.
Las copias de respaldo precisas permiten mantener la integridad de datos si los datos se dañan. Una empresa
necesita verificar el proceso de copia de respaldo para garantizar la integridad de la copia de seguridad antes
de que se produzca la pérdida de datos.

La autorización determina quién tiene acceso a los recursos de una organización según la necesidad de
información. Por ejemplo, los permisos de archivos y los controles de acceso del usuario garantizan que solo
ciertos usuarios pueden modificar los datos. Un administrador puede configurar permisos de solo lectura para
un archivo. Como resultado, un usuario con acceso a ese archivo no puede realizar ningún cambio.
El principio de disponibilidad

La disponibilidad de los datos es el principio que se utiliza para describir la necesidad de mantener la
disponibilidad de los sistemas y servicios de información en todo momento. Los ataques cibernéticos y las
fallas en el sistema pueden impedir el acceso a los sistemas y servicios de información. Por ejemplo, alterar la
disponibilidad del sitios web de la competencia al eliminarla puede proporcionar una ventaja a su rival. Estos
ataques de denegación de servicio (DoS) amenazan la disponibilidad del sistema y evitan que los usuarios
legítimos tengan acceso y usen sistemas de información cuando sea necesario.

Los métodos utilizados para garantizar la disponibilidad incluyen la redundancia del sistema, las copias de
seguridad del sistema, mayor recuperabilidad del sistema, mantenimiento del equipo, sistemas operativos y
software actualizados y planes para recuperarse rápidamente de desastres no planificados.

Los cinco nueves

Las personas utilizan distintos sistemas de información en sus vidas cotidianas. Las computadoras y los
sistemas de información controlan las comunicaciones, el transporte y la fabricación de productos. La
disponibilidad continua de los sistemas de información es fundamental para la vida moderna. El término "alta
disponibilidad", describe los sistemas diseñados para evitar el tiempo de inactividad. La alta disponibilidad
asegura un nivel de rendimiento por un período más alto de lo normal. Los sistemas de alta disponibilidad
suelen incluir tres principios de diseño (Figura 1):

 Eliminar puntos sencillos de falla

  Proporcionar una conexión cruzada confiable

 Detecte fallas a medida que se producen

El objetivo es la capacidad para seguir funcionando en condiciones extremas, como durante un ataque. Una
de las prácticas de alta disponibilidad más populares es la práctica de los cinco nueves. Los cinco nueves
hacen referencia al 99,999 %. Esto significa que el tiempo de inactividad es de menos de 5,26 minutos al año.
La Figura 2 proporciona tres enfoques a los cinco nueves.
Asegurar la disponibilidad

Las organizaciones pueden garantizar la disponibilidad al implementar lo siguiente:

 Realizar el mantenimiento del equipo

 Realizar actualizaciones del SO y del sistema

 Realizar las pruebas de copia de respaldo

 Realizar una planificación para evitar desastres

 Realizar implementaciones de nuevas tecnologías

 Realizar el monitoreo de actividades inusuales

 Realizar la prueba de disponibilidad

Tipos de almacenamiento de datos

Los datos almacenados hacen referencia a los datos guardados. Los datos almacenados significan que un
tipo de dispositivo de almacenamiento conserva los datos cuando ningún usuario o proceso los utiliza. Un
dispositivo de almacenamiento puede ser local (en un dispositivo informático) o centralizado (en la red).
Existen varias opciones para almacenar datos.
Almacenamiento de conexión directa (DAS) proporciona almacenamiento conectado a una computadora. Una
unidad de disco duro o una unidad de memoria flash USB son un ejemplo de almacenamiento de conexión
directa. De manera predeterminada, los sistemas no están configurados para compartir el almacenamiento de
conexión directa.

La Matriz redundante de discos independientes (RAID) utiliza varios discos duros en una matriz, que es un
método para combinar varios discos de modo que el sistema operativo los vea como un solo disco. RAID
proporciona un mejor rendimiento y una mejor tolerancia a fallas.

Un dispositivo de almacenamiento conectado a la red (NAS) es un dispositivo de almacenamiento conectado

a una red que permite el almacenamiento y la recuperación de datos desde una ubicación centralizada por
parte de los usuarios autorizados de la red. Los dispositivos de NAS son flexibles y escalables, lo cual
significa que los administradores pueden aumentar la capacidad según sea necesario.

Una arquitectura de red de área de almacenamiento (SAN) es un sistema de almacenamiento con base en la
red. Los sistemas de SAN se conectan a la red mediante las interfaces de alta velocidad que permiten un
mejor rendimiento y la capacidad para conectarse varios servidores a un repositorio centralizado de
almacenamiento en disco.

El almacenamiento en la nube es una opción de almacenamiento remoto que usa el espacio en un proveedor
del centro de datos y es accesible desde cualquier computadora con acceso a Internet. Google Drive, iCloud y
Dropbox son ejemplos de proveedores de almacenamiento en la nube.

Desafíos en la protección de los datos almacenados

Las organizaciones tienen una tarea difícil al intentar protegen los datos almacenados. Para mejorar el
almacenamiento de datos, las empresas pueden automatizar y centralizar las copias de respaldo de datos.

El almacenamiento de conexión directa puede ser uno de los tipos más difíciles de almacenamiento de datos
en administrar y controlar. El almacenamiento de conexión directa es vulnerable a los ataques maliciosos en
el host local. Los datos almacenados también pueden incluir los datos de copia de respaldo. Las copias de
respaldo pueden ser manuales o automáticas. Las organizaciones deben limitar los tipos de datos
almacenados en el almacenamiento de conexión directa. En particular, una organización no almacenaría los
datos críticos en dispositivos de almacenamiento de conexión directa.

Los sistemas de almacenamiento en red ofrecen una alternativa más segura. Los sistemas de
almacenamiento en red incluidos RAID, SAN y NAS proporcionan mayor rendimiento y redundancia. Sin
embargo, los sistemas de almacenamiento en red son más complicados para configurar y administrar.
También manejan más datos, lo que presenta un mayor riesgo para la organización si falla el dispositivo. Los
desafíos particulares de los sistemas de almacenamiento en red incluyen la configuración, la prueba y la
supervisión del sistema.

Métodos de transmisión de datos

La transmisión de datos implica el envío de la información de un dispositivo a otro. Existen diversos métodos
para transmitir información entre dispositivos, entre los que se incluyen los siguientes:

 Red de transferencia: utiliza medios extraíbles para mover físicamente los datos de una computadora a
otra

 Redes cableadas: utilizan cables para transmitir datos

 Redes inalámbricas: utilizan ondas de radio para transmitir datos

Las organizaciones nunca podrán eliminar el uso de una red de transferencia.

Las redes cableadas incluyen redes de cableado de cobre y fibra óptica. Las redes cableadas pueden servir a
un área geográfica local (red de área local) o pueden abarcar grandes distancias (redes de área amplia).

Las redes inalámbricas están reemplazando a las redes cableadas. Las redes inalámbricas son cada vez más
rápidas y son capaces de manejar más ancho de banda. Las redes inalámbricas extienden la cantidad de
usuarios invitados con los dispositivos móviles en la oficina pequeña y oficina doméstica (SOHO) y las redes
empresariales.

Las redes cableadas e inalámbricas utilizan paquetes o unidades de datos. El término paquete se refiere a
una unidad de datos que se desplaza entre un origen y un destino de la red. Los protocolos estándar como el
protocolo de Internet (IP) y el Hypertext Transfer Protocol (HTTP) definen la estructura y formación de
paquetes de datos. Estos estándares son de código abierto y están disponibles al público. La protección de la
confidencialidad, integridad y disponibilidad de los datos transmitidos es una de las responsabilidades más
importantes de un profesional de ciberseguridad.

Desafíos en la protección de datos en tránsito

La protección de los datos transmitidos es uno de los trabajos más desafiantes para un profesional de
ciberseguridad. Con el crecimiento de los dispositivos móviles e inalámbricos, los profesionales de
ciberseguridad son responsables de proteger cantidades masivas de datos que cruzan la red a diario. Los
profesionales de ciberseguridad deben afrontar varios desafíos al proteger estos datos:

 Protección de la confidencialidad de los datos: los delincuentes cibernéticos pueden capturar,

guardar y robar datos en tránsito. Los profesionales cibernéticos deben tomar medidas para
contrarrestar estas acciones.

 Protección de la integridad de los datos: los delincuentes cibernéticos pueden interceptar y alterar los
datos en tránsito. Los profesionales de ciberseguridad implementan sistemas de integridad de los datos
que evalúan la integridad y la autenticidad de los datos transmitidos para responder a estas acciones.

 Protección de la disponibilidad de los datos: los delincuentes informáticos pueden usar dispositivos
falsos o no autorizados para interrumpir la disponibilidad de los datos. Un dispositivo móvil simple puede
presentarse como un punto de acceso inalámbrico local y engañar a los usuarios desprevenidos al
asociarse con el dispositivo falso. Los delincuentes cibernéticos puede secuestrar una conexión
autorizada a un servicio o un dispositivo protegido. Los profesionales de seguridad de red pueden
implementar sistemas de autenticación mutua para responder a estas acciones. Los sistemas de
autenticación mutua requieren que el usuario autentique al servidor y solicita que el servidor autentique
al usuario.
Formas de procesamiento y cómputo de datos

El tercer estado de los datos es el de datos en proceso. Esto se refiere a los datos durante la entrada, la
modificación, el cómputo o el resultado.

La protección de la integridad de los datos comienza con la entrada inicial de datos. Las organizaciones
utilizan varios métodos para recopilar datos, como ingreso manual de datos, formularios de análisis, cargas de
archivos y datos recopilados de los sensores. Cada uno de estos métodos representa amenazas potenciales a
la integridad de los datos. Un ejemplo de daños a los datos durante el proceso de captación, incluye errores
en la entrada de datos o sensores del sistema desconectados, con funcionamiento incorrecto o inoperables.
Otros ejemplos pueden incluir formatos de datos identificación errónea, incorrectos o no coincidentes.

La modificación de los datos se refiere a cualquier cambio en los datos originales, como la modificación
manual que realizan los usuarios de los datos, el procesamiento de programas y el cambio de datos, y las
fallas en el equipo, lo que provoca la modificación de los datos. Los procesos como la codificación y
decodificación, compresión y descompresión y cifrado y descifrado son ejemplos de la modificación de los
datos. El código malicioso también provoca daños en los datos.

El daño a los datos también ocurre durante el proceso de salida de datos. La salida de datos se refiere a los
datos que salen de impresoras, pantallas electrónicas o directamente a otros dispositivos. La precisión de los
datos de salida es fundamental ya que el resultado proporciona información y afecta la toma de decisiones.
Los ejemplos de daños a los datos incluyen el uso incorrecto de delimitadores de datos, configuraciones
incorrectas de comunicación e impresoras configuradas incorrectamente.

Desafíos en la protección de datos en proceso

La protección contra la modificación de los datos no válidos durante el proceso puede tener un efecto adverso.
Los errores de software son el motivo de muchas desgracias y desastres. Por ejemplo, solo dos semanas
antes de Navidad, algunos de los comercios minoristas terceros de Amazon experimentaron un cambio en el
precio publicado en sus elementos a solo un centavo. El inconveniente duró una hora. El error provocó que
miles de compradores obtuvieran el descuento de sus vidas y la empresa perdió ingresos. En 2016, el
termostato de Nest funcionaba incorrectamente y dejó a los usuarios sin calefacción. El termostato de Nest es
una tecnología inteligente propiedad de Google. Una falla de software dejó a los usuarios, literalmente, afuera
en el frío. Una actualización de software fue el problema y las baterías del dispositivo se agotaron y le impidió
controlar la temperatura. Como resultado, los clientes no podían calentar sus hogares ni obtener agua caliente
en uno de los fines de semana más fríos del año.

La protección de los datos durante el proceso requiere sistemas bien diseñados. Los profesionales de
ciberseguridad diseñan políticas y procedimientos que requieren pruebas, mantenimientos y actualización de
sistemas para mantenerlos en funcionamiento con la menor cantidad de errores.
Medidas de protección tecnológicas con base en software

Las medidas de protección de software incluyen programas y servicios que protegen los sistemas operativos,
las bases de datos y otros servicios que operan en las estaciones de trabajo, los dispositivos portátiles y los
servidores. Los administradores instalan las contramedidas o las protecciones basadas en software en los
hosts o los servidores individuales. Existen varias tecnologías basadas en software utilizadas para proteger
los activos de la organización:

 Los firewalls del software controlan el acceso remoto a un sistema. Los sistemas operativos
generalmente incluyen un firewall o un usuario puede adquirir o descargar un software de terceros.

 Los escáneres de redes y puertos detectan y supervisan los puertos abiertos en un host o un servidor.

 Los analizadores de protocolos o los analizadores de firmas, son dispositivos que recopilan y analizan el
tráfico de red. Identifican problemas de rendimiento, detectan configuraciones incorrectas, identifican
aplicaciones que funcionan de manera incorrecta, establecen una línea de base y patrones de tráfico
normal y depuran los problemas de comunicación.

 Los escáneres de vulnerabilidad son programas informáticos diseñados para evaluar las debilidades en
las computadoras o redes.

 Los sistemas de detección de intrusiones (IDS) basados en el host examinan la actividad en los
sistemas host. Un IDS genera archivos de registro y mensajes de alarma cuando detecta actividad
inusual. Un sistema que almacena datos confidenciales o que proporciona servicios críticos es un
candidato para el IDS basado en host.

Medidas de protección tecnológicas con base en hardware

Existen varias tecnologías basadas en hardware utilizadas para proteger los activos de la organización:
  Los dispositivos de firewall bloquean el tráfico no deseado. Los firewalls contienen reglas que definen el
tráfico permitido dentro y fuera de la red.

 Los sistemas de detección de intrusiones (IDS) exclusivos detectan signos de ataques o de tráfico
inusual en una red y envía una alerta.

 Los sistemas de prevención de intrusiones (IPS) detectan signos de ataques o de tráfico inusual en una
red, generan una alerta y toman medidas correctivas.

 Los servicios de filtrado de contenido controlan el acceso y la transmisión de contenido inaceptable u

ofensivo.

Medidas de protección tecnológicas con base en la red

Existen varias tecnologías basadas en red que se utilizan para proteger los activos de la organización:

 La red privada virtual (VPN) es una red virtual segura que utiliza la red pública (es decir, Internet). La
seguridad de una VPN reside en el cifrado del contenido de paquetes entre los terminales que definen la
VPN.

 Control de acceso a la red (NAC) requiere un conjunto de verificaciones antes de permitir que un
dispositivo se conecte a una red. Algunos verificaciones comunes incluyen la instalación de
actualizaciones de software antivirus o de sistema operativo.

 Seguridad de punto de acceso inalámbrico incluye la implementación de la autenticación y

encriptación.
Medidas de protección tecnológicas con base en la nube

Las tecnologías con base en la nube cambian el componente de tecnología de la organización al proveedor de
la nube. Los tres servicios principales de computación en la nube incluyen los siguientes:

 Software como servicio (SaaS) permite que los usuarios tengan acceso al software y las bases de
datos de la aplicación. Los proveedores de la nube administran la infraestructura. Los usuarios
almacenan datos en los servidores del proveedor de la nube.

 Infraestructura como servicio (IaaS) proporciona recursos informáticos virtualizados a través de

Internet. El proveedor es el host del hardware, del software, de los servidores y de los componentes de
almacenamiento.

 Plataforma como servicio (PaaS) proporciona acceso a las herramientas de desarrollo y a los
servicios utilizados para proporcionar las aplicaciones.

Los proveedores de servicios en la nube han ampliado estas opciones para incluir la TI como servicio (ITaaS),
que brinda soporte de TI a los modelos de servicio de IaaS, PaaS y SaaS. En el modelo de ITaaS, una
organización tiene un contrato con el proveedor de la nube para servicios individuales o agrupados.

Los proveedores de servicios en la nube utilizan dispositivos de seguridad virtual que se ejecutan en un
entorno virtual con un sistema operativo preempaquetado y reforzado que se ejecuta en un hardware
virtualizado.

Cómo implementar la capacitación y formación en ciberseguridad

Invertir mucho dinero en tecnología no variará si las personas dentro de la organización son el eslabón más
débil en el área de ciberseguridad. Un programa de reconocimiento de seguridad es sumamente importante
para una organización. Un empleado puede no ser malicioso de manera intencionada, pero no conocer cuáles
son los procedimientos adecuados. Existen muchas maneras de implementar un programa de capacitación
formal:

 Hacer de la capacitación en el conocimiento de la seguridad una parte del proceso de incorporación de

los empleados

 Vincular el conocimiento de la seguridad con los requisitos o las evaluaciones de rendimiento

 Realizar sesiones de capacitación en persona

 Completar los cursos en línea

El reconocimiento de la seguridad debe ser un proceso continuo dado que las nuevas amenazas y técnicas
están siempre en el horizonte.
Establecimiento de una cultura de conocimiento de la ciberseguridad

Los miembros de una organización deben tener en cuenta las políticas de seguridad y tener el conocimiento
para hacer de la seguridad una parte de sus actividades diarias.

Un programa de reconocimiento de seguridad depende de:

 El entorno de la organización

 El nivel de amenaza

La creación de una cultura de conocimiento de la ciberseguridad es un esfuerzo continuo que requiere el

liderazgo de la administración superior y el compromiso de todos los usuarios y empleados. La modificación
de la cultura de la ciberseguridad de una organización comienza con el establecimiento de políticas y
procedimientos por parte de la administración. Por ejemplo, muchas organizaciones tienen días de
concientización sobre la ciberseguridad. Las organizaciones también pueden publicar mensajes y
señalizaciones para aumentar el conocimiento general sobre ciberseguridad. La creación de talleres y
seminarios de orientación en ciberseguridad ayudan a aumentar la conciencia.

Políticas

Una política de seguridad es un conjunto de objetivos de seguridad para una empresa que incluye las reglas
de comportamiento de usuarios y administradores y especificar los requisitos del sistema. Estos objetivos,
estas reglas y estos requisitos en conjunto garantizan la seguridad de una red, de los datos y de los sistemas
informáticos de una organización.

Una política de seguridad completa logra varias tareas:

  Demuestra el compromiso de una organización con la seguridad.

 Establece las reglas para el comportamiento esperado.

 Garantiza la uniformidad en las operaciones del sistema, el software y la adquisición y uso de hardware,
y el mantenimiento.

 Define las consecuencias legales de violaciones.

 Brinda al personal de seguridad el respaldo de la administración.

Las políticas de seguridad informan a los usuarios, al personal y a los gerentes los requisitos de una
organización para proteger la tecnología y los activos de información. Una política de seguridad también
especifica los mecanismos necesarios para cumplir con los requisitos de seguridad.

Como se muestra en la figura, una política de seguridad generalmente incluye:

 Políticas de autenticación e identificación: determinan cuáles son las personas autorizadas que
pueden acceder a los recursos de red y describen los procedimientos de verificación.

 Políticas de contraseña: garantizan que las contraseñas cumplan con requisitos mínimos y se cambien
periódicamente.

 Políticas de uso aceptable: identifican los recursos y el uso de red que son aceptables para la
organización. También puede identificar las consecuencias de las violaciones de la política.

 Políticas de acceso remoto: identifican cómo los usuarios remotos pueden obtener acceso a la red y
cuál es accesible de manera remota.

 Políticas de mantenimiento de red: especifican los sistemas operativos de los dispositivos de la red y
los procedimientos de actualización de las aplicaciones de los usuarios finales.

 Políticas de manejo de incidentes: describen cómo se manejan los incidentes de seguridad.

Uno de los componentes más comunes de la política de seguridad es una política de uso aceptable (AUP).
Este componente define qué pueden y no pueden realizar los usuarios en los distintos componentes del
sistema. El AUP debe ser lo más explícito posible para evitar la malainterpretación. Por ejemplo, un AUP
enumera las páginas web, los grupos informativos o las aplicaciones de uso intensivo de ancho de banda
específicos a las que los usuarios no pueden acceder utilizando las computadoras o la red de la empresa.
Estándares

Los estándares ayudan al personal de TI a mantener la uniformidad en el funcionamiento de la red. Los

documentos sobre estándares proporcionan las tecnologías que los usuarios o los programas específicos
necesitan, además de los requisitos o criterios del programa que una organización debe seguir. Esto permite
al personal de TI mejorar la eficiencia y simplicidad en el diseño, el mantenimiento y la resolución de
problemas.

Uno de los principios de seguridad más importantes es el de uniformidad. Por este motivo, es necesario que
las organizaciones establezcan estándares. Cada organización desarrolla estándares para admitir el entorno
operativo único. Por ejemplo, una organización establece una política de contraseñas. El estándar es que las
contraseñas requieran un mínimo de ocho caracteres alfanuméricos de letras mayúsculas y minúsculas, con
al menos un carácter especial. Un usuario debe cambiar una contraseña cada 30 días y un historial de
contraseñas de 12 contraseñas anteriores garantiza que el usuario cree contraseñas únicas por un año.

Pautas

Las pautas constan de una lista de sugerencias sobre cómo hacer las cosas de manera más eficaz y segura.
Son similares a los estándares, pero son más flexibles y generalmente no son obligatorias. Las pautas definen
cómo se desarrollan los estándares y garantizan el cumplimiento de las políticas de seguridad general.

Algunas de las pautas más útiles conforman las mejores prácticas de una organización. Además de las
mejores prácticas que define una organización, las pautas también están disponibles a partir de lo siguiente:

 Instituto Nacional de Normas y Tecnología (NIST), Centro de recursos de seguridad informática (Figura
1)
  Departamento de Seguridad Nacional (NSA), Guías para la configuraciones de seguridad (Figura 2)

 El estándar de criterios comunes (Figura 3)

Mediante el ejemplo de políticas de contraseña, una pauta es una sugerencia en l a que el usuario toma una
frase como “I have a dream” y lo convierte en una contraseña segura, Ihv@dr3 @m. El usuario puede crear
otras contraseñas a partir de esta frase al cambiar el número, mover el símbolo o cambiar el signo de
puntuación.

Procedimientos

Los documentos de procedimiento son más detallados que los estándares y las pautas. Los documentos de
procedimiento incluyen detalles de implementación que contienen generalmente instrucciones paso a paso y
gráficos.

La figura muestra un ejemplo del procedimiento que se utilizó para cambiar una contraseña. Las grandes
organizaciones deben usar documentos de procedimientos para mantener la uniformidad de la
implementación que se necesita para un entorno seguro.
Descripción general del modelo

Los profesionales de seguridad necesitan proteger la información de manera completa en la organización.

Esta es una tarea monumental y no es razonable esperar que una persona tenga todo el conocimiento
necesario. La Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional
(IEC) desarrollaron un marco de trabajo global para guiar la administración de la seguridad de la información.
El modelo de ciberseguridad de ISO es para los profesionales de la ciberseguridad lo que el modelo de red de
OSI es para los ingenieros de redes. Ambos proporcionan un marco para comprender y abordar las tareas
complejas.

Dominios de la ciberseguridad

La norma ISO/IEC 27000 es un estándar de seguridad informática publicada en 2005 y revisada en 2013. ISO
publica los estándares ISO 27000. Si bien los estándares no son obligatorios, la mayoría de los países los
utilizan como marco trabajo de facto para implementar la seguridad informática.

Los estándares ISO 27000 describen la implementación de un sistema de administración de seguridad de la

información (ISMS) completo. Un ISMS incluye todos los controles administrativos, técnicos y operativos para
mantener la información segura dentro de una organización. Doce dominios independientes representan los
componentes del estándar ISO 27000. Estos doce dominios sirven para organizar, en un nivel alto, las vastas
áreas de información bajo el término general de seguridad informática.

La estructura del modelo de ciberseguridad de ISO es diferente del modelo de OSI ya que utiliza dominios en
lugar de capas para describir las categorías de seguridad. El motivo es que el modelo de ciberseguridad de
ISO no es una relación jerárquica. Es un modelo de pares en el que cada dominio tiene una relación directa
con los otros dominios. El modelo de ciberseguridad de ISO 27000 es muy similar al modelo de OSI en que es
fundamental que los hechiceros en ciberseguridad comprendan ambos modelos para tener éxito.

Haga clic en cada dominio de la figura para ver una descripción breve.

Los doce dominios sirven como base común para desarrollar estándares de seguridad organizativa y prácticas
eficaces de administración de seguridad. También facilitan la comunicación entre organizaciones.
Objetivos de control

Los doce dominios constan de objetivos de control definidos en la parte 27001 del estándar. Los objetivos de
control definen los requisitos de alto nivel para implementar un ISM completo. El equipo de administración de
una organización utiliza los objetivos de control de ISO 27001 para definir y publicar las políticas de seguridad
de la organización. Los objetivos de control proporcionan una lista de comprobación para utilizar durante las
auditorías de administración de seguridad. Muchas organizaciones deben aprobar una auditoría de ISMS para
obtener una designación de cumplimiento del estándar ISO 27001.

La certificación y el cumplimiento proporcionan confianza para dos organizaciones que deben confiar los datos
y las operaciones confidenciales de cada uno. Las auditorías de cumplimiento y de seguridad demuestran que
las organizaciones aumentan continuamente su sistema de administración de seguridad informática.

El siguiente es un ejemplo de un objetivo de control:

Controlar el acceso a las redes mediante los mecanismos de autenticación adecuados para los usuarios y los
equipos.
Controles

El estándar ISO/IEC 27002 define los controles del sistema de administración de seguridad informática. Los
controles son más detallados que los objetivos. Los objetivos de control indican a la organización lo que debe
hacer. Los controles definen cómo alcanzar el objetivo.

Según el objetivo de control, para controlar el acceso a las redes mediante los mecanismos de autenticación
adecuados para los usuarios y los equipos, el control sería el siguiente:

Utilice contraseñas seguras. Una contraseña segura consta de al menos ocho caracteres que son una
combinación de letras, números y símbolos (@, #, $, %, etc.) si están permitidos. Las contraseñas distinguen
entre mayúsculas y minúsculas, de modo que una contraseña segura contiene letras en mayúsculas y
minúsculas.

Los profesionales de ciberseguridad reconocen lo siguiente:

 Los controles no son obligatorios, sino que están ampliamente aceptados y adoptadas.

 Los controles deben mantener la neutralidad del proveedor para evitar la imagen de que respalda a un
producto o a una empresa específica.

 Los controles son como las pautas. Esto significa que puede haber más de una manera de cumplir con
el objetivo.
El modelo de ciberseguridad de ISO y la Tríada de CID

La norma ISO 27000 es un marco de trabajo universal para cada tipo de organización. Para utilizar el marco
de trabajo de manera eficaz, una organización debe restringir los dominios, los objetivos de control y los
controles que aplican a su entorno y sus operaciones.

Los objetivos de control de ISO 27001 funcionan como una lista de verificación. El primer paso que una
organización toma es para determinar si estos objetivos de control se aplican a la organización. La mayoría de
las organizaciones generan un documento llamado Declaración de aplicabilidad (SOA). La SOA define los
objetivos de control que la organización necesita usar.

Las distintas organizaciones dan mayor prioridad a la confidencialidad, integridad y disponibilidad según el tipo
de industria. Por ejemplo, Google otorga el valor más alto a la confidencialidad y disponibilidad de los datos
del usuario y menos a la integridad. Google no verifica los datos del usuario. Amazon pone un gran énfasis a
la disponibilidad. Si el sitio no está disponible, Amazon no realiza la venta. Esto no significa que Amazon
ignora la confidencialidad a favor de la disponibilidad. Amazon solo da mayor prioridad a la disponibilidad. Por
lo tanto, Amazon puede dedicar más recursos y garantizar que haya más servidores disponibles para manejar
las compras de los clientes.

Una organización adapta su uso de los objetivos de control y los controles disponibles para satisfacer de
mejor manera sus prioridades con respecto a la confidencialidad, integridad y disponibilidad.

El modelo de ciberseguridad de ISO y los estados de los datos

Los diferentes grupos de una organización pueden ser responsables de los datos de cada uno de los distintos
estados. Por ejemplo, el grupo de seguridad de la red es responsable de los datos durante la transmisión. Los
programadores y las personas encargadas del ingreso de los datos son responsables de los datos durante el
procesamiento. Los especialistas en soporte de hardware y servidor son responsables de los datos
almacenados. Los controles de ISO abordan específicamente los objetivos de seguridad de los datos de cada
uno de los tres estados.

En este ejemplo, los representantes de cada uno de los tres grupos ayudan a identificar los controles que son
aplicables y la prioridad de cada control en su área. El representante del grupo de seguridad de la red
identifica los controles que garantizan la confidencialidad, integridad y disponibilidad de todos los datos
transmitidos.

El modelo y los mecanismos de protección de la ciberseguridad de

ISO

Los objetivos de control de ISO 27001 se relacionan directamente con las políticas, los procedimientos y las
pautas de ciberseguridad de la organización que la administración superior determina. Los controles de ISO
27002 proporcionan dirección técnica. Por ejemplo, la administración superior establece una política que
especifica la protección de todos los datos que ingresan o salen de la organización. La implementación de la
tecnología para cumplir con los objetivos de la política no involucraría a la administración superior. Es
responsabilidad de los profesionales de TI implementar y configurar correctamente el equipo utilizado para
satisfacer las directivas de la política establecidas por la administración superior.
Práctica de laboratorio: instalación de una máquina virtual en una
computadora personal

Se ha creado un archivo de imagen de máquina virtual se ha creado para que pueda instalarlo en su
computadora. En esta práctica de laboratorio, descargará e importará este archivo de imagen mediante el uso
de la aplicación de virtualización de equipos de escritorio, como VirtualBox.

Práctica de laboratorio: instalación de una máquina virtual en una computadora personal

Imagen de VM (2,5 GB)

Práctica de laboratorio: cómo explorar la autenticación, autorización

y auditoría

En esta actividad, examinará, identificará y configurará los controles de autenticación, autorización o acceso
adecuados. También instalará y configurará los controles de seguridad.

Práctica de laboratorio: autenticación, autorización y auditoría

Packet Tracer: cómo explorar el cifrado de archivos y datos

En esta actividad de Packet Tracer, cumplirá los siguientes objetivos:

 Ubicar las credenciales de la cuenta FTP para la PC portátil de Mary

 Cargar datos confidenciales mediante FTP

 Ubicar las credenciales de la cuenta FTP para la computadora de Bob

 Descargar datos confidenciales mediante FTP

 Descifrar el contenido del archivo [Link]

Packet Tracer: cómo explorar el cifrado de archivos y datos. Instrucciones

Packet Tracer: cómo explorar el cifrado de archivos y datos. Actividad

Packet Tracer: cómo usar los controles de integridad de datos y

archivos

En esta actividad de Packet Tracer, cumplirá los siguientes objetivos:

 Descargar los archivos cliente a la computadora de Mike

 Descargar los archivos cliente del servidor de archivo de respaldo a la computadora de Mike

 Verificar la integridad de los archivos cliente mediante un hash

 Verificar la integridad de los archivos imprescindibles mediante HMAC

Packet Tracer: cómo usar los controles de integridad de datos y archivos. Instrucciones

Packet Tracer: cómo usar los controles de integridad de datos y archivos. Actividad

Capítulo 3: amenazas, vulnerabilidades y ataques a la ciberseguridad

Las amenazas, las vulnerabilidades y los ataques son el objetivo central de los paladines de ciberseguridad.
Una amenaza a la ciberseguridad es la posibilidad de que ocurra un evento nocivo, como un ataque. Una
vulnerabilidad es una debilidad que hace que un objetivo sea susceptible a un ataque. Un ataque es una
explotación deliberada de una debilidad detectadas en sistemas de información de la computadora, ya sea
como objetivos específicos o simplemente como objetivos de la oportunidad. Los delincuentes informáticos
pueden tener diferentes motivaciones para seleccionar un objetivo de un ataque. Los delincuentes
cibernéticos tienen éxito al buscar e identificar continuamente los sistemas con vulnerabilidades evidentes.
Las víctimas comunes incluyen sistemas sin parches o sistemas que no cuentan con detección de virus y de
correo no deseado.

En este capítulo se examinan los ataques más comunes a la ciberseguridad. Los hechiceros cibernéticos
deben saber cómo funciona cada ataque, lo que aprovecha y cómo afecta a la víctima. El capítulo comienza
explicando la amenaza de malware y de código malicioso, y luego explica los tipos de trucos involucrados en
la ingeniería social. Un ataque cibernético es un tipo de maniobra ofensiva utilizada por los delincuentes
cibernéticos para atacar a los sistemas de información de la computadora, las redes informáticas u otros
dispositivos de la computadora, mediante un acto malicioso. Los delincuentes cibernéticos lanzan maniobras
ofensivas contra redes cableadas e inalámbricas.

¿Qué es el malware?

El software malicioso, o malware, es un término que se utiliza para describir el software diseñado para
interrumpir las operaciones de la computadora u obtener acceso a los sistemas informáticos, sin el
conocimiento o el permiso del usuario. El malware se ha convertido en un término general que se utiliza para
describir todo el software hostil o intruso. El término malware incluye virus, gusanos, troyanos, ransomware,
spyware, adware, scareware y otros programas maliciosos. El malware puede ser obvio y simple de identificar
o puede ser muy sigiloso y casi imposible de detectar.

Virus, gusanos y troyanos

Los delincuentes cibernéticos apuntan a los terminales del usuario mediante la instalación de malware. Haga
clic en Reproducir para ver una animación de los tres tipos más comunes de malware.

Virus

Un virus es un código malicioso ejecutable asociado a otro archivo ejecutable, como un programa legítimo. La
mayoría de los virus requieren la inicialización del usuario final y pueden activarse en un momento o fecha
específica. Los virus informáticos generalmente se propagan en una de tres maneras: desde medios
extraíbles; desde descargas de Internet y desde archivos adjuntos de correo electrónico. Los virus pueden ser
inofensivos y simplemente mostrar una imagen o pueden ser destructivos, como los que modifican o borran
datos. Para evitar la detección, un virus se transforma. El simple acto de abrir un archivo puede activar un
virus. Un sector de arranque o un virus del sistema de archivos, infecta las unidades de memoria flash USB y
puede propagarse al disco duro del sistema. La ejecución de un programa específico puede activar un virus
del programa. Una vez que el virus del programa está activo, infectará generalmente otros programas en la
computadora u otras computadoras de la red. El virus Melissa es un ejemplo de virus que se propaga por
correo electrónico. Melissa afectó a decenas de miles de usuarios y causó daños por una cifra estimada en
USD 1,2 mil millones. Haga clic aquí para leer más sobre los virus.

Gusanos

Los gusanos son códigos maliciosos que se replican al explotar de manera independiente las vulnerabilidades
en las redes. Los gusanos, por lo general, ralentizan las redes. Mientras que un virus requiere la ejecución de
un programa del host, los gusanos pueden ejecutarse por sí mismos. A excepción de la infección inicial, los
gusanos ya no requieren la participación del usuario. Después de que un gusano afecta a un host, se puede
propagar muy rápido en la red. Los gusanos comparten patrones similares. Todos tienen una vulnerabilidad
de activación, una manera de propagarse y contienen una carga útil.

Los gusanos son responsables de algunos de los ataques más devastadores en Internet. Por ejemplo, en
2001, el gusano Code Red infectó a 658 servidores. En 19 horas, el gusano infectó a más de 300 000
servidores.

Troyano

Un troyano es un malware que ejecuta operaciones maliciosas bajo la apariencia de una operación deseada.
Este código malicioso ataca los privilegios de usuario que lo ejecutan. Un troyano se diferencia de un virus
debido a que el troyano está relacionado con los archivos no ejecutables, como archivos de imagen, de audio
o juegos.
Bomba lógica

Una bomba lógica es un programa malicioso que utiliza un activador para reactivar el código malicioso. Por
ejemplo, los activadores pueden ser fechas,horas, otros programas en ejecución o la eliminación de una
cuenta de usuario. La bomba lógica permanece inactiva hasta que se produce el evento activador. Una vez
activada, una bomba lógica implementa un código malicioso que provoca daños en una computadora. Una
bomba lógica puede sabotear los registros de bases de datos, borrar los archivos y atacar los sistemas
operativos o aplicaciones. Los paladines cibernéticos descubrieron recientemente las bombas lógicas que
atacan y destruyen a los componentes de hardware de una estación de trabajo o un servidor, como
ventiladores de refrigeración, CPU, memorias, unidades de disco duro y fuentes de alimentación. La bomba
lógica abruma estos dispositivos hasta que se sobrecalientan o fallan.

Ransomware

El ransomware mantiene cautivo a un sistema informático o los datos que contiene hasta que el objetivo haga
un pago. El ransomware trabaja generalmente encriptando los datos de la computadora con una clave
desconocida para el usuario. El usuario debe pagar un rescate a los delincuentes para eliminar la restricción.

Algunas otras versiones de ransomware pueden aprovechar vulnerabilidades específicas del sistema para
bloquearlo. El ransomware se propaga como un troyano y es el resultado de un archivo descargado o de
alguna debilidad del software.

El pago a través de un sistema de pago ilocalizable siempre es el objetivo del delincuente. Una vez que la
víctima paga, los delincuentes proporcionan un programa que descifra los archivos o envían un código de
desbloqueo. Haga clic aquí para leer más sobre el ransomware.

Puertas traseras y rootkits

Una puerta trasera o un rootkit se refiere al programa o al código que genera un delincuente que ha
comprometido un sistema. La puerta trasera omite la autenticación normal que se utiliza para tener acceso a
un sistema. Algunos programas comunes de puerta trasera son Netbus y Back Orifice, que permiten el acceso
remoto a los usuarios no autorizados del sistema. El propósito de la puerta trasera es otorgar a los
delincuentes cibernéticos el acceso futuro al sistema, incluso si la organización arregla la vulnerabilidad
original utilizada para atacar al sistema. Por lo general, los delincuentes logran que los usuarios autorizados
ejecuten sin saberlo un programa de troyanos en su máquina para instalar la puerta trasera.

Un rootkit modifica el sistema operativo para crear una puerta trasera. Los atacantes luego utilizan la puerta
trasera para acceder a la computadora de forma remota. La mayoría de los rootkits aprovecha las
vulnerabilidades de software para realizar el escalamiento de privilegios y modificar los archivos del sistema.
El escalamiento de privilegios aprovecha los errores de programación o las fallas de diseño para otorgar al
delincuente el acceso elevado a los recursos y datos de la red. También es común que los rootkits modifiquen
la informática forense del sistema y las herramientas de supervisión, por lo que es muy difícil detectarlos. A
menudo, el usuario debe limpiar y reinstalar el sistema operativo de una computadora infectada por un rootkit.

Defensa contra malware

Algunos pasos simples pueden ayudar a brindar protección contra todas las formas de malware.

 Programa antivirus: la mayoría de los conjuntos de antivirus adquieren las formas más generalizadas
de malware. Sin embargo, los delincuentes cibernéticos desarrollan e implementan nuevas amenazas a
diario. Por lo tanto, la clave para una solución antivirus eficaz es mantener actualizadas las firmas. Una
firma es como una huella. Identifica las características de un código malicioso.
  Software de actualización: muchas formas de malware alcanzan sus objetivos mediante la explotación
de las vulnerabilidades del software, en el sistema operativo y las aplicaciones. Aunque las
vulnerabilidades del sistema operativo eran la fuente principal de los problemas, las vulnerabilidades
actuales a nivel de las aplicaciones representan el riesgo más grande. Desafortunadamente, aunque los
fabricantes de sistemas operativos son cada vez más receptivos a los parches, la mayoría de los
proveedores de aplicaciones no lo son.

Correo electrónico no deseado

El correo electrónico es un servicio universal utilizado por miles de millones de personas en todo el mundo.
Como uno de los servicios más populares, el correo electrónico se ha convertido en una vulnerabilidad
importante para usuarios y organizaciones. El correo no deseado, también conocido como “correo basura”, es
correo electrónico no solicitado. En la mayoría de los casos, el correo no deseado es un método publicitario.
Sin embargo, el correo no deseado se puede utilizar para enviar enlaces nocivos, malware o contenido
engañoso. El objetivo final es obtener información confidencial, como información de un número de seguro
social o de una cuenta bancaria. La mayor parte del correo no deseado proviene de varias computadoras en
redes infectadas por un virus o gusano. Estas computadoras comprometidas envían la mayor cantidad posible
de correo electrónico masivo.

Incluso con la implementación de estas características de seguridad, algunos correos no deseados aún
pueden llegar a la bandeja de entrada. Algunos de los indicadores más comunes de correo no deseado son
los siguientes:

 El correo electrónico no tiene asunto.

 El correo electrónico solicita la actualización de una cuenta.

 El texto del correo electrónico tiene palabras mal escritas o puntuación extraña.
  Los enlaces del correo electrónico son largos o crípticos.

 Un correo electrónico se parece a una correspondencia de una empresa legítima.

 El correo electrónico solicita que el usuario abra un archivo adjunto.

Haga clic aquí para obtener más información sobre el correo no deseado.

Si un usuario recibe un correo electrónico que contiene uno o más de estos indicadores, este no debe abrir el
correo electrónico ni los archivos adjuntos. Es muy común que la política de correo electrónico de una
organización requiera que un usuario que recibe este tipo de correo electrónico lo informe al personal de
seguridad cibernética. Casi todos los proveedores de correo electrónico filtran el correo electrónico no
deseado. Desafortunadamente, el correo electrónico no deseado aún consume ancho de banda y el servidor
del destinatario debe procesar el mensaje de igual manera.

Spyware, adware y scareware

El spyware es un software que permite a un delincuente obtener información sobre las actividades
informáticas de un usuario. El spyware incluye a menudo rastreadores de actividades, recopilación de
pulsaciones de teclas y captura de datos. En el intento por superar las medidas de seguridad, el spyware a
menudo modifica las configuraciones de seguridad. El spyware con frecuencia se agrupa con el software
legítimo o con troyanos. Muchos sitios web de shareware están llenos de spyware.

El adware muestra generalmente los elementos emergentes molestos para generar ingresos para sus autores.
El malware puede analizar los intereses del usuario al realizar el seguimiento de los sitios web visitados.
Luego puede enviar la publicidad emergente en relación con esos sitios. Algunas versiones de software
instalan automáticamente el adware. Algunos adwares solo envían anuncios, pero también es común que el
adware incluya spyware.

El scareware convence al usuario a realizar acciones específicas según el temor. El scareware falsifica
ventanas emergentes que se asemejan a las ventanas de diálogo del sistema operativo. Estas ventanas
transportan los mensajes falsificados que exponen que el sistema está en riesgo o necesita la ejecución de un
programa específico para volver al funcionamiento normal. En realidad, no existen problemas y si el usuario
acepta y permite que el programa mencionado se ejecute, el malware infectará su sistema.

Falsificación de identidad

La suplantación de identidad es una forma de fraude. Los delincuentes cibernéticos utilizan el correo
electrónico, la mensajería instantánea u otros medios sociales para intentar recopilar información como
credenciales de inicio de sesión o información de la cuenta disfrazándose como una entidad o persona de
confianza. La suplantación de identidad ocurre cuando una parte maliciosa envía un correo electrónico
fraudulento disfrazado como fuente legítima y confiable. El objetivo de este mensaje es engañar al destinatario
para que instale malware en su dispositivo o comparta información personal o financiera. Un ejemplo de
suplantación de identidad es un correo electrónico falsificado similar al que provino de un negocio minorista,
que solicita al usuario que haga clic en un enlace para reclamar un premio. El enlace puede ir a un sitio falso
que solicita información personal o puede instalar un virus.

La suplantación de identidad focalizada es un ataque de falsificación de identidad altamente dirigido. Si bien la

suplantación de identidad y la suplantación de identidad focalizada usan correos electrónicos para llegar a las
víctimas, mediante la suplantación de identidad focalizada se envía correos electrónicos personalizados a una
persona específica. El delincuente investiga los intereses del objetivo antes de enviarle el correo electrónico.
Por ejemplo, el delincuente descubre que al objetivo le interesan los automóviles y que está interesado en la
compra de un modelo específico de automóvil. El delincuente se une al mismo foro de debate sobre
automóviles donde el objetivo es miembro, fragua una oferta de venta del automóvil y envía un correo
electrónico al objetivo. El correo electrónico contiene un enlace a imágenes del automóvil. Cuando el objetivo
hace clic en el enlace, instala sin saberlo el malware en la computadora. Haga clic aquí para obtener más
información sobre los fraudes de correo electrónico.

«Vishing», «Smishing», «Pharming» y «Whaling»

El «Vishing» es una práctica de suplantación de identidad mediante el uso de la tecnología de comunicación

de voz. Los delincuentes pueden realizar llamadas de suplantación de fuentes legítimas mediante la
tecnología de voz sobre IP (VoIP). Las víctimas también pueden recibir un mensaje grabado que parezca
legítimo. Los delincuentes desean obtener los números de tarjetas de crédito u otra información para robar la
identidad de la víctima. El «Vishing» aprovecha el hecho de que las personas dependen de la red telefónica.

El «Smishing» (suplantación del servicio de mensajes cortos) es una suplantación de identidad mediante la
mensajería de texto en los teléfonos móviles. Los delincuentes se hacen pasar por una fuente legítima en un
intento por ganar la confianza de la víctima. Por ejemplo, un ataque de «smishing» puede enviar a la víctima
un enlace de sitio web. Cuando la víctima visita el sitio web, el malware se instala en el teléfono móvil.

El «Pharming» es la suplantación de un sitio web legítimo en un esfuerzo por engañar a los usuarios al
ingresar sus credenciales. El «Pharming» dirige erróneamente a los usuarios a un sitio web falsas que parece
ser oficial. Las víctimas luego ingresan su información personal pensando que se conectaron a un sitio
legítimo.

El «Whaling» es un ataque de suplantación de identidad que apunta a objetivos de alto nivel dentro de una
organización, como ejecutivos sénior. Los objetivos adicionales incluyen políticos o celebridades.

Haga clic aquí para leer un artículo de RSA sobre la suplantación de identidad y las actividades de
«smishing», «vishing» y «whaling».

Complementos y envenenamiento del navegador

Las infracciones a la seguridad pueden afectar a los navegadores web al mostrar anuncios emergentes,
recopilar información de identificación personal o instalar adware, virus o spyware. Un delincuente puede
hackear el archivo ejecutable de un navegador, los componentes de un navegador o sus complementos.

Complementos

Los complementos de memoria flash y shockwave de Adobe permiten el desarrollo de animaciones

interesantes de gráfico y caricaturas que mejoran considerablemente la apariencia de una página web. Los
complementos muestran el contenido desarrollado mediante el software adecuado.

Hasta hace poco, los complementos tenían un registro notable de seguridad. Si bien el contenido basado en
flash creció y se hizo más popular, los delincuentes examinaron los complementos y el software de Flash,
determinaron las vulnerabilidades y atacaron a Flash Player. El ataque exitoso puede provocar el colapso de
un sistema o permitir que un delincuente tome el control del sistema afectado. Espere el aumento de las
pérdidas de datos a medida que los delincuentes sigan investigando las vulnerabilidades de los complementos
y protocolos más populares.

Envenenamiento SEO

Los motores de búsqueda, como Google, funcionan clasificando páginas y presentando resultados relevantes
conforme a las consultas de búsqueda de los usuarios. Según la importancia del contenido del sitio web,
puede aparecer más arriba o más abajo en la lista de resultados de la búsqueda. La SEO (optimización de
motores de búsqueda) es un conjunto de técnicas utilizadas para mejorar la clasificación de un sitio web por
un motor de búsqueda. Aunque muchas empresas legítimas se especializan en la optimización de sitios web
para mejorar su posición, el envenenamiento SEO utiliza la SEO para hacer que un sitio web malicioso
aparezca más arriba en los resultados de la búsqueda.
El objetivo más común del envenenamiento SEO es aumentar el tráfico a sitios maliciosos que puedan alojar
malware o perpetrar la ingeniería social. Para forzar un sitio malicioso para que califique más alto en los
resultados de la búsqueda, los atacantes se aprovechan de los términos de búsqueda populares.

Secuestrador de navegadores

Un secuestrador de navegadores es el malware que altera la configuración del navegador de una

computadora para redirigir al usuario a sitios web que pagan los clientes de los delincuentes cibernéticos. Los
secuestradores de navegadores instalan sin permiso del usuario y generalmente son parte de una descarga
desapercibida. Una descarga desde una unidad es un programa que se descarga automáticamente a la
computadora cuando un usuario visita un sitio web o ve un mensaje de correo electrónico HTML. Siempre lea
los acuerdos de usuario detalladamente al descargar programas de evitar este tipo de malware.

Cómo defenderse de los ataques a correos electrónicos y

navegadores

Los métodos para tratar con correo no deseado incluyen el filtrado de correo electrónico, la formación del
usuario sobre las precauciones frente a correos electrónicos desconocidos y el uso de filtros de host y del
servidor.

Es difícil detener el correo electrónico no deseado, pero existen maneras de reducir sus efectos. Por ejemplo,
la mayoría de los ISP filtran el correo no deseado antes de que llegue a la bandeja de entrada del usuario.
Muchos antivirus y programas de software de correo electrónico realizan automáticamente el filtrado de correo
electrónico. Esto significa que detectan y eliminan el correo no deseado de la bandeja de entrada del correo
electrónico.

Las organizaciones también advierten a los empleados sobre los peligros de abrir archivos adjuntos de correo
electrónico que pueden contener un virus o un gusano. No suponga que los archivos adjuntos de correo
electrónico son seguros, aun cuando provengan de un contacto de confianza. Un virus puede intentar
propagarse al usar la computadora del emisor. Siempre examine los archivos adjuntos de correo electrónico
antes de abrirlos.

El Grupo de trabajo contra la suplantación de identidad (APWG) es una asociación del sector que se dedica a
eliminar el robo de identidad y el fraude ocasionado por la suplantación de identidad y la suplantación de
correo electrónico.

Si mantiene todo el software actualizado, esto garantiza que el sistema tenga todos los últimos parches de
seguridad aplicados para remover las vulnerabilidades conocidas. Haga clic aquí para obtener más
información sobre cómo evitar ataques al navegador
Ingeniería social

La ingeniería social es un medio completamente no técnico por el que el delincuente reúne información sobre
un objetivo. La ingeniería social es un ataque que intenta manipular a las personas para que realicen acciones
o divulguen información confidencial.

Los ingenieros sociales con frecuencia dependen de la disposición de las personas para ser útiles, pero
también se aprovechan de sus vulnerabilidades. Por ejemplo, un atacante puede llamar a un empleado
autorizado con un problema urgente que requiere acceso inmediato a la red. El atacante puede atraer la
vanidad o la codicia del empleado o invocar la autoridad mediante técnicas de nombres.

Estos son algunos tipos de ataques de ingeniería social:

Pretexto: esto es cuando un atacante llama a una persona y miente en el intento de obtener acceso a datos
privilegiados. Un ejemplo implica a un atacante que pretende necesitar datos personales o financieros para
confirmar la identidad del destinatario.

Algo por algo (quid pro quo): esto es cuando un atacante solicita información personal de una parte a
cambio de algo, por ejemplo, un obsequio.

Tácticas de ingeniería social

Los ingenieros sociales utilizan varias tácticas. Las tácticas de ingeniería social incluyen las siguientes:

 Autoridad: es más probable que las personas cumplan cuando reciben las instrucciones de “una
autoridad”

 Intimidación: los delincuentes hostigan a una víctima para que tome medidas
  Consenso/prueba social: las personas tomarán medidas si sienten que a otras personas les gusta
también

 Escasez: las personas tomarán medidas cuando consideren que existe una cantidad limitada

 Urgencia: las personas tomarán medidas cuando consideren que existe un tiempo limitado

 Familiaridad/agrado: los delincuentes desarrollan una buena relación con la víctima para establecer una
relación y confianza

 Confianza: los delincuentes crean una relación de confianza con una víctima la cual puede tomar más
tiempo en establecerse.

Haga clic en cada táctica de la figura para ver un ejemplo.

Los profesionales en ciberseguridad son responsables de formar a otras personas en la organización con
respecto a las tácticas de los ingenieros sociales. Haga clic aquí para obtener más información sobre las
tácticas de ingeniería social.
«Espiar por encima del hombro» y «hurgar en la basura»

Un delincuente observa, o espía por encima del hombre, para recoger los PIN, los códigos de acceso o los
números de tarjetas de crédito. Un atacante puede estar muy cerca de su víctima o puede utilizar los
prismáticos o las cámaras de circuito cerrado para espiar. Ese es un motivo por el que una persona solo
puede leer una pantalla de ATM en determinados ángulos. Estos tipos de medidas de seguridad hacen la
técnica de espiar por encima del hombro sea mucho más difícil.

«La basura de un hombre es el tesoro de otro hombre». Esta frase puede ser especialmente cierta en la
actividad de «búsqueda en la basura» que es el proceso por el cual se busca en la basura de un objetivo para
ver qué información desecha una organización. Tenga en cuenta proteger el receptáculo de basura. Cualquier
información confidencial debe desecharse correctamente mediante el destrozo o el uso de bolsas para
incineración, un contenedor que conserva los documentos confidenciales para la destrucción posterior
mediante incineración.

Simulación de identidad y engaños

La simulación de identidad es la acción de pretender ser alguien más. Por ejemplo, una reciente estafa
telefónica afectó a los contribuyentes. Un delincuente, que se presentó como empleado del IRS, le dijo a las
víctimas que debían dinero al IRS. Las víctimas deben pagar de inmediato a través de una transferencia
bancaria. El imitador amenazó que si no pagaba, esto generaría un arresto. Los delincuentes también utilizan
la simulación para atacar a otras personas. Pueden poner en riesgo la credibilidad de las personas al utilizan
las publicaciones del sitio web o de los medios sociales.

Un engaño es un acto realizado con la intención de embaucar o engañar. Un engaño cibernético puede
causar tanta interrupción como puede provocar una violación real. Un engaño provoca la reacción de un
usuario. La reacción puede provocar miedo innecesario y comportamiento irracional. Los usuarios transmiten
los engaños a través del correo electrónico y de los medios sociales. Haga clic aquí para visitar un sitio web
que ofrece una lista de los mensajes de engaños.

«Piggybacking» y «Tailgating»

El «Piggybacking» es una práctica mediante la cual un delincuente sigue a una persona autorizada a todas
partes para obtener ingreso a una ubicación segura o a un área restringida. Los delincuentes utilizan varios
métodos para efectuar la actividad de «piggyback»:

 Dan la apariencia de estar acompañados por una persona autorizada

 Se unen a una multitud grande y fingen ser miembro

 Apuntan a una víctima que es descuidada con respecto a las reglas de las instalaciones

El «Tailgating» es otro término que describe la misma práctica.

Una trampa evita la práctica de «piggybacking» al usar dos conjuntos de puertas. Una vez que las personas
ingresan a una puerta externa, esa puerta debe cerrarse antes de ingresar a la puerta interna.

Trucos en línea y por correo electrónico

Si en el lugar de trabajo reenvía correos electrónicos engañosos y otras bromas, películas graciosas y correos
electrónicos que no están relacionados con el trabajo, puede violar la política de uso aceptable de la empresa
y esto puede generar medidas disciplinarias. Haga clic aquí para visitar un sitio web que publica rumores y
controla la información

Cómo defenderse contra el uso de trucos

Las organizaciones deben promover el conocimiento de tácticas de ingeniería social y formar correctamente a
los empleados en relación con las medidas de prevención, como las siguientes:

 Nunca proporcione información confidencial o credenciales por correo electrónico, sesiones de chat, en
persona o por teléfono a desconocidos.

 Resista el impulso de hacer clic en correos electrónicos y enlaces de sitio web atractivos.

 Preste atención a las descargas no iniciadas o automáticas.

 Establezca políticas y brinde formación a los empleados sobre esas políticas.

 Cuando se trata de la seguridad, ofrezca a los empleados un sentido de la propiedad.

 No se sienta presionado por personas desconocidas.

Haga clic aquí para obtener más información sobre el conocimiento de ciberseguridad

Trucos en línea y por correo electrónico

Si en el lugar de trabajo reenvía correos electrónicos engañosos y otras bromas, películas graciosas y correos
electrónicos que no están relacionados con el trabajo, puede violar la política de uso aceptable de la empresa
y esto puede generar medidas disciplinarias. Haga clic aquí para visitar un sitio web que publica rumores y
controla la información

Cómo defenderse contra el uso de trucos

Las organizaciones deben promover el conocimiento de tácticas de ingeniería social y formar correctamente a
los empleados en relación con las medidas de prevención, como las siguientes:

 Nunca proporcione información confidencial o credenciales por correo electrónico, sesiones de chat, en
persona o por teléfono a desconocidos.

 Resista el impulso de hacer clic en correos electrónicos y enlaces de sitio web atractivos.

 Preste atención a las descargas no iniciadas o automáticas.

 Establezca políticas y brinde formación a los empleados sobre esas políticas.

 Cuando se trata de la seguridad, ofrezca a los empleados un sentido de la propiedad.

 No se sienta presionado por personas desconocidas.

Haga clic aquí para obtener más información sobre el conocimiento de ciberseguridad
Denegación de servicio

Los ataques de denegación de servicio (DoS) son un tipo de ataque a la red. Un ataque de DoS da como
resultado cierto tipo de interrupción de los servicios de red a los usuarios, los dispositivos o las aplicaciones.
Existen dos tipos principales de ataques de DoS:

 Cantidad abrumadora de tráfico: el atacante envía una gran cantidad de datos a una velocidad que la
red, el host o la aplicación no puede manejar. Esto ocasiona una disminución de la velocidad de
transmisión o respuesta o una falla en un dispositivo o servicio.

 Paquetes maliciosos formateados: esto sucede cuando se envía un paquete malicioso formateado a
un host o una aplicación y el receptor no puede manejarlo. Por ejemplo, una aplicación no puede
identificar los paquetes que contienen errores o paquetes incorrectamente formateados, reenviados por
el atacante. Esto hace que el dispositivo receptor se ejecute muy lentamente o se detenga.

Los ataques de DoS son un riesgo importante porque pueden interrumpir fácilmente la comunicación y causar
una pérdida significativa de tiempo y dinero. Estos ataques son relativamente simples de llevar a cabo, incluso
por un atacante inexperto.

El objetivo de un ataque de denegación de servicio es denegar el acceso a usuarios autorizados al hacer que
la red no esté disponible (recuerde los tres principios básicos de seguridad: confidencialidad, integridad y
disponibilidad). Haga clic en Reproducir en la Figura 1 para ver las animaciones de un ataque de DoS.

Un ataque de DoS distribuida (DDoS) es similar a un ataque de DoS pero proviene de múltiples fuentes
coordinadas. Por ejemplo, un ataque de DDoS podría darse de la siguiente manera:

Un atacante crea una red de hosts infectados, denominada botnet, compuesta por zombis. Los zombis son
hosts infectados. El atacante utiliza sistemas del controlador para controlar a los zombis. Las computadoras
zombis constantemente analizan e infectan más hosts, lo que genera más zombis. Cuando está listo, el pirata
informático proporciona instrucciones a los sistemas manipuladores para que los botnet de zombis lleven a
cabo un ataque de DDoS.
Haga clic en Reproducir en la Figura 2 para ver las animaciones de un ataque de DDoS. Un ataque de
denegación de servicio distribuido (DDoS) utiliza muchos zombis para sobrecargar un objetivo.

Análisis

La técnica de análisis es similar a escuchar a escondidas a alguien. Ocurre cuando los atacantes examinan
todo el tráfico de red a medida que pasa por la NIC, independientemente de si el tráfico está dirigidos a ellos o
no. Los delincuentes logran realizar análisis de la red con una aplicación de software, dispositivo de hardware
o una combinación de ambos. Como se muestra en la figura, la práctica de análisis consiste en ver todo el
tráfico de red o puede dirigirse a un protocolo, un servicio o incluso una cadena de caracteres específica,
como un inicio de sesión o una contraseña. Algunos analizadores de protocolos de red observan todo el
tráfico y modifican todo el tráfico o parte de este.

La práctica de análisis también tiene sus beneficios. Los administradores de red pueden utilizar analizadores
de protocolos para analizar el tráfico de red, identificar problemas de ancho de banda y para solucionar otros
problemas de red.

La seguridad física es importante para evitar la introducción de analizadores de protocolos en la red interna.

Falsificación de identidad (spoofing)

La falsificación de identidad es un ataque que aprovecha una relación de confianza entre dos sistemas. Si dos
sistemas aceptan la autenticación lograda por cada uno, es posible que una persona registrada en un sistema
no pase nuevamente por un proceso de autenticación para acceder al otro sistema. Un atacante puede
aprovechar esta disposición al enviar un paquete a un sistema que parece provenir de un sistema confiable.
Dado que la relación de confianza existe, el sistema objetivo puede realizar la tarea solicitada sin
autenticación.

Existen varios tipos de ataques de suplantación de identidad.

 La falsificación de direcciones MAC se produce cuando una computadora acepta los paquetes de datos
según la dirección MAC de otra computadora.

 La falsificación de direcciones IP envía paquetes IP de una dirección de origen falsificada para

disfrazarse.

 El Protocolo de resolución de dirección (ARP) es un protocolo que corrige las direcciones IP a

direcciones MAC para transmitir datos. La suplantación de ARP envía mensajes ARP falsos a través de
la LAN para conectar la dirección MAC del delincuente a la dirección IP de un miembro autorizado de la
red.

 El Sistema de nombres de dominio (DNS) asigna nombres de dominios en direcciones IP. La

suplantación de identidad de servidor DNS modifica el servidor DNS para redirigir un nombre de dominio
específico a una dirección IP diferente, controlada por el delincuente.

Ataque man-in-the-middle

Un delincuente realiza un ataque man-in-the-middle (MitM) al interceptar las comunicaciones entre las
computadoras para robar la información que transita por la red. El delincuente también puede elegir manipular
los mensajes y retransmitir información falsa entre los hosts ya que estos desconocen que se produjo una
modificación en los mensajes. El ataque MitM permite que el delincuente tome el control de un dispositivo sin
el conocimiento del usuario.
Haga clic en los pasos de la figura para aprender los conceptos básicos de un ataque MitM.

Man-In-The-Mobile (MitMo) es una variación de man-in-middle. MitMo toma el control de un dispositivo móvil.
El dispositivo móvil infectado envía información confidencial del usuario a los atacantes. ZeuS, un ejemplo de
ataque con capacidades de MitMo, permite que los atacantes capturen silenciosamente SMS de verificación
de 2 pasos enviados a los usuarios. Por ejemplo, cuando un usuario establece una Id. de Apple, debe
proporcionar un número de teléfono que admita SMS para recibir un código de verificación temporal mediante
el mensaje de texto para probar la identidad del usuario. El malware espía en este tipo de comunicación y
transmite la información a los delincuentes.

Un ataque de repetición se produce cuando un atacante captura una porción de una comunicación entre dos
hosts y luego transmite el mensaje capturado más adelante. Los ataques de repetición evitan los mecanismos
de autenticación.
Ataques de día cero

Un ataque de día cero, a veces denominado una amenaza de día cero, es un ataque de la computadora que
intenta explotar las vulnerabilidades del software que son desconocidas o no reveladas por el proveedor de
software. El término hora cero describe el momento en que alguien descubre el ataque. Durante el tiempo que
le toma al proveedor de software desarrollar y lanzar un parche, la red es vulnerable a estos ataques, como se
muestra en la figura. La defensa contra estos rápidos ataques requiere que los profesionales de seguridad de
red adopten una visión más sofisticada de la arquitectura de red. Ya no es posible contener las intrusiones en
algunos puntos de la red.
Registro del teclado

El registro del teclado es un programa de software que registra las teclas de los usuarios del sistema. Los
delincuentes pueden implementar registros de teclas mediante software instalado en un sistema informático o
a través de hardware conectado físicamente a una computadora. El delincuente configura el software de
registro de claves para enviar por correo electrónico el archivo de registro. Las teclas capturadas en el archivo
de registro pueden revelar nombres de usuario, contraseñas, sitios web visitados y otra información
confidencial.

Los registros de teclado pueden ser software comerciales y legítimos. A menudo, los padres adquieren
software de registro de clave para realizar el seguimiento de sitios web y del comportamiento de los niños que
utilizan Internet. Muchas aplicaciones antispyware pueden detectar y eliminar registros de clave no
autorizados. Si bien el software de registro de claves es legal, los delincuentes usan el software para fines
ilegales.
Cómo defenderse de los ataques

Una organización puede realizar varios pasos para defenderse de diversos ataques. Configure firewalls para
descartar cualquier paquete fuera de la red que tenga direcciones que indican que se originaron dentro de la
red. Esta situación no ocurre normalmente, e indica que un delincuente cibernéticos intentó realizar un ataque
de suplantación de identidad.

Para evitar ataques de DoS y DDoS, asegúrese de que los parches y las actualizaciones sean actuales,
distribuya la carga de trabajo en todos los sistemas de servidores y bloquee los paquetes de Prootocolo de
mensajería de control de Internet (ICMP) en la frontera. Los dispositivos de red utilizan paquetes ICMP para
enviar mensajes de error. Por ejemplo, el comando ping utiliza paquetes ICMP para verificar que un
dispositivo pueda comunicarse con otra en la red.

Los sistemas pueden evitar ser víctimas de un ataque de repetición al cifrar el tráfico, proporcionar
autenticación criptográfica e incluir una marca de tiempo con cada parte del mensaje. Haga clic aquí para
obtener más información sobre las maneras de evitar ataques cibernéticos.

Prueba de laboratorio: detección de amenazas y vulnerabilidades

Esta prueba de laboratorio presentará herramientas que pueden detectar amenazas y eliminar
vulnerabilidades de un host.

Prueba de laboratorio: detección de amenazas y vulnerabilidades

Grayware y SMiShing

La técnica de Grayware se está convirtiendo en una área problemática en la seguridad móvil con la
popularidad de los smartphones. La técnica de Grayware incluye aplicaciones que se comportan de manera
molesta o no deseada. La técnica de Grayware puede no tener un malware reconocible, pero aún puede
representar un riesgo para el usuario. Por ejemplo, el grayware puede rastrear la ubicación del usuario. Los
creadores de grayware mantienen generalmente la legitimidad al incluir las capacidades de una aplicación en
la letra chica del contrato de licencia de software. Los usuarios instalan muchas aplicaciones móviles sin
considerar realmente sus capacidades.

El término SMiShing es la abreviatura de suplantación de identidad de SMS. Utiliza el Servicio de mensajes

cortos (SMS) para enviar mensajes de texto falsos. Los delincuentes engañan al usuario al visitar un sitio web
o llamar a un número de teléfono. Las víctimas desprevenidas pueden proporcionar información confidencial
como información de la tarjeta de crédito. Visitar una página web puede provocar que el usuario descargue sin
saberlo el malware que infecta al dispositivo.

Puntos de acceso no autorizados

Un punto de acceso dudoso es un punto de acceso inalámbrico instalado en una red segura sin autorización
explícita. Un punto de acceso dudoso se puede configurar de dos maneras. La primera es cuando un
empleado bienintencionado intenta ser útil al facilitar la conexión de dispositivos móviles. La segunda manera
es cuando un delincuente tiene acceso físico a una organización al escabullirse e instalar el punto de acceso
dudoso. Dado que ambas son maneras no autorizadas, presentan riesgos para la organización.

Un punto de acceso dudoso también puede referirse al punto de acceso de un delincuente. En este caso, el
delincuente configura el punto de acceso como un dispositivo de MitM para captar información de inicio de
sesión de los usuarios.

Un ataque con AP de red intrusa utiliza el punto de acceso de delictiva gracias a una mayor potencia y
antenas más altas de ganancias de ser una mejor opción de conexión para los usuarios. Una vez que los
usuarios se conectan al punto de acceso no autorizado, los delincuentes pueden analizar el tráfico y ejecutar
ataques de MitM.

Interferencia de RF

Las señales inalámbricas son susceptibles a la interferencia electromagnética (EMI), a la interferencia de

radiofrecuencia (RFI) e incluso pueden ser vulnerables a los rayos o ruidos de luces fluorescentes. Las
señales inalámbricas también son vulnerables a la interferencia deliberada. La interferencia de radiofrecuencia
(RF) interrumpe la transmisión de una estación de radio o satelital para que la señal no alcance la estación
receptora.

La frecuencia, la modulación y el poder del que realiza la interferencia de RF debe ser igual a la del dispositivo
que el delincuente desea discontinuar para interferir correctamente la señal inalámbrica.

«Bluejacking» y «Bluesnarfing»

El Bluetooth es un protocolo de corto alcance y baja energía. El Bluetooth transmite datos en una red de área
personal, o PAN, y puede incluir dispositivos como teléfonos móviles, PC portátiles e impresoras. El Bluetooth
ha pasado por varias versiones nuevas. La configuración sencilla es una característica del Bluetooth, por lo
que no hay necesidad de usar direcciones de red. El Bluetooth utiliza el emparejamiento para establecer la
relación entre los dispositivos. Al establecer el emparejamiento, ambos dispositivos utilizan la misma clave de
acceso.
Las vulnerabilidades del Bluetooth han surgido, pero por el rango limitado de Bluetooth, la víctima y al
atacante deba estar dentro del rango de la otra persona.

 El «Bluejacking» es el término que se utiliza para enviar mensajes no autorizados a otro dispositivo
Bluetooth. Una variación de esto es enviar una imagen impactante a otro dispositivo.

 El «Bluesnarfing» ocurre cuando el atacante copia la información de la víctima de su dispositivo. Esta

información puede incluir correos electrónicos y listas de contactos.

Ataques a los protocolos WEP y WPA

Privacidad equivalente por cable (WEP): es un protocolo de seguridad que intentó proporcionar una red de
área local inalámbrica (WLAN) con el mismo nivel de seguridad que una red LAN cableada. Dado que las
medidas de seguridad física ayudan a proteger una red LAN cableada, el protocolo WEP busca proporcionar
protección similar para los datos transmitidos mediante la WLAN con encriptación.

El protocolo WEP utiliza una clave para la encriptación. No existen disposiciones para la administración de
claves con WEP, por lo que la cantidad de personas que comparten la clave crecerá continuamente. Dado
que todas las personas utilizan la misma clave, el delincuente tiene acceso a una gran cantidad de tráfico para
los ataques analíticos.

El WEP también tiene varios problemas con el vector de inicialización (IV) que es uno de los componentes del
sistema criptográfico:

 Es un campo de 24 bits, lo cual es demasiado pequeño.

 Es un texto no cifrado, lo que significa que es legible.

 Es estático, por lo que los flujos de claves idénticas se repetirán en una red ocupada.

El protocolo de acceso protegido Wi-Fi (WPA) y luego el WPA2 salieron como protocolos mejorados para
reemplazar al protocolo WEP. El protocolo WPA2 no tienen los mismos problemas de encriptación porque un
atacante no puede recuperar la clave al observar el tráfico. El protocolo WPA2 es susceptible a ataques
porque los delincuentes cibernéticos pueden analizar los paquetes que se envían entre el punto de acceso y
un usuario legítimo. Los delincuentes cibernéticos utilizan un analizador de protocolos de paquetes y luego
ejecutan los ataques sin conexión en la contraseña.

Defensa contra los ataques a dispositivos móviles e inalámbricos

Existen varios pasos a seguir para defenderse de los ataques a los dispositivos móviles e inalámbricos. La
mayoría de los productos de WLAN utilizan configuraciones predeterminadas. Aproveche las características
básicas de seguridad inalámbrica como la autenticación y la encriptación al cambiar los ajustes de
configuración predeterminada.

Restrinja la ubicación del punto de acceso con la red al colocar estos dispositivos fuera del firewall o dentro de
una zona perimetral (DMZ) que contenga otros dispositivos no confiables, como correo electrónico y
servidores web.

Las herramientas de WLAN como NetStumbler pueden descubrir puntos de acceso dudosos o estaciones de
trabajo no autorizadas. Desarrolle una política de invitado para abordar la necesidad cuando los invitados
legítimos necesitan conectarse a Internet mientras están de visita. Para los empleados autorizados, utilice una
red privada virtual (VPN) de acceso remoto para el acceso a la WLAN.
Packet Tracer: cómo configurar los protocolos WEP/WPA2
PSK/WPA2 RADIUS

En esta práctica de laboratorio de Packet Tracer se presentarán las medidas de seguridad utilizadas para
prevenir ataques en dispositivos móviles e inalámbricos.

 Configure el protocolo WEP para Healthcare at Home

 Configure el protocolo WPA2 PSK para Gotham Healthcare Branch

 Configure el protocolo WPA2 RADIUS para Metropolis Bank HQ

Packet Tracer: protocolos WEP/WPA2 PSK/WPA2 RADIUS. Instrucciones

Packet Tracer: protocolos WEP/WPA2 PSK/WPA2 RADIUS. Actividad

Scripting entre sitios

El scripts entre sitios (XSS) es una vulnerabilidad que se encuentra en las aplicaciones Web. El XSS permite a
los delincuentes inyectar scripts en las páginas web que ven los usuarios. Este script puede contener un
código malicioso.

Los scripts entre sitios tienen tres participantes: el delincuente, la víctima y el sitio web. El delincuente
cibernético no apunta a una víctima directamente. El delincuente aprovecha la vulnerabilidad en un sitio web o
una aplicación web. Los delincuentes introducen scripts de cliente en sitios web que ven los usuarios, las
víctimas. El script malicioso se transfiere sin saberlo al navegador del usuario. Un script malicioso de este tipo
puede acceder a cookies, tokens de sesiones u otra información confidencial. Si los delincuentes obtienen la
cookie de sesión de la víctima, pueden suplantar la identidad de ese usuario.

Inyección de códigos

Una manera de almacenar datos en un sitio web es utilizar una base de datos. Existen diferentes tipos de
bases de datos, como una base de datos de Lenguaje de consulta estructurado (SQL) o una base de datos de
Lenguaje de marcado extensible (XML). Los ataques de inyección XML y SQL aprovechan las debilidades del
programa, como no validar las consultas de la base de datos correctamente.

Inyección XML

Cuando se utiliza una base de datos de XML, una inyección XML es un ataque que puede dañar los datos.
Una vez que el usuario proporciona la entrada, el sistema obtiene acceso a los datos necesarios mediante
una consulta. El problema se produce cuando el sistema no inspecciona correctamente la solicitud de entrada
proporcionada por el usuario. Los delincuentes pueden manipular la consulta al programarla para que se
adapte a sus necesidades y puedan tener acceso a la información de la base de datos.

Todos los datos confidenciales almacenados en la base de datos son accesibles para los delincuentes y
pueden hacer cualquier cantidad de cambios en el sitio web. Un ataque de inyección XML amenaza a la
seguridad del sitio web.

Inyección SQL

El delincuente cibernético ataca a una vulnerabilidad al insertar una declaración maliciosa de SQL en un
campo de entrada. Nuevamente, el sistema no filtra correctamente los caracteres de entrada del usuario en
una declaración de SQL. Los delincuentes utilizan la inyección SQL en sitios web o cualquier base de datos
SQL.

Los delincuentes pueden suplantar la identidad, modificar datos existentes, destruir datos o convertirse en
administradores de servidores de bases de datos.

Desbordamiento del búfer

Un desbordamiento de búfer se produce cuando los datos van más allá de los límites de un búfer. Los búferes
son áreas de memoria asignadas a una aplicación. Al cambiar los datos más allá de los límites de un búfer, la
aplicación accede a la memoria asignada a otros procesos. Esto puede llevar a un bloqueo del sistema,
comprometer los datos u ocasionar el escalamiento de los privilegios.

El CERT/CC de la Universidad de Carnegie Mellon estima que casi la mitad de todos los ataques de
programas informáticos surgen históricamente de alguna forma de desbordamiento del búfer. La clasificación
genérica de desbordamientos del búfer incluye muchas variantes, como rebasamientos de búfer estático,
errores de indexación, errores de cadena de formato, incompatibilidades de tamaño del búfer ANSI y Unicode,
y rebasamiento en pila.

Ejecuciones remotas de códigos

Las vulnerabilidades que permiten que los delincuentes cibernéticos ejecuten códigos maliciosos y tomen el
control de un sistema con los privilegios del usuario que ejecuta la aplicación. La ejecución remota de códigos
permite que un delictiva ejecutar cualquier comando en una máquina de destino.

Considere, por ejemplo, Metasploit. Metasploit es una herramienta para desarrollar y ejecutar el código de
ataque contra un objetivo remoto. Meterpreter es un módulo de ataque dentro de Metasploit que proporciona
características avanzadas. Meterpreter permite a los delincuentes escribir sus propias extensiones como un
objeto compartido. Los delincuentes cargan e introducen estos archivos en un proceso en ejecución del
objetivo. Meterpreter carga y ejecuta todas las extensiones de la memoria, para que nunca incluyan la unidad
de disco duro. Esto también significa que estos archivos se desplazan bajo el radar de la detección antivirus
Meterpreter tiene un módulo para controlar la cámara web de un sistema remoto. Una vez que el delincuente
instala Meterpreter en el sistema de la víctima, este puede ver y capturar imágenes desde la cámara web de
la víctima.

Controles ActiveX y Java

Al explorar la Web, es posible que algunas páginas no funcionen correctamente a menos que el usuario
instale un control ActiveX. Los controles ActiveX y Java proporcionan la funcionalidad de un complemento a
Internet Explorer. Los controles ActiveX son piezas de software instalados por usuarios para proporcionar
funcionalidades extendidas. Los terceros escriben algunos controles ActiveX y estos pueden ser maliciosos.
Pueden monitorear los hábitos de navegación, instalar malware o registrar teclas. Los controles ActiveX
también funcionan en otras aplicaciones de Microsoft.

Java opera a través de un intérprete, la Máquina virtual Java (JVM). La JVM habilita la funcionalidad del
programa de Java. La JVM aísla el código no confiable del resto del sistema operativo. Existen
vulnerabilidades que permiten que el código no confiable sortee las restricciones impuestas por el sandbox.
También existen vulnerabilidades en la biblioteca de clase Java, que una aplicación utiliza para su seguridad.
Java es la segunda vulnerabilidad de seguridad más grande junto al complemento Flash de Adobe.
Defensa de los ataques a las aplicaciones

La primera línea de defensa contra un ataque a las aplicaciones es escribir un código sólido.
Independientemente del idioma usado o el origen de entrada externa, la práctica de programación prudente es
tratar como hostil las entradas que estén fuera de una función. Valide todas las entradas como si fueran
hostiles.

Mantenga actualizado todo el software, que incluye sistemas operativos y aplicaciones, y no ignore los
indicadores de actualización. No todos los programas se actualizan automáticamente. Como mínimo,
seleccione la opción de actualización manual. Las actualizaciones manuales permiten a los usuarios ver
exactamente qué actualizaciones se realizan.