Unidad 2 - Tarea 3 - Estudio de servicios, ataques y procesos -

Rúbrica de evaluación y entrega de la actividad

NOMBRE DEL (OS) ESTUDIANTE (ES):

FABIAN ANDRES SANTIAGO RÍOS
CC:1065644310

NOMBRE TUTOR:
JOHN FREDDY QUINTERO

Grupo: 219018_11

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA -
ECBTI ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA AÑO
2020
1. Las amenazas avanzadas se consolidan como ataques de
última generación, es importante que usted como experto
tenga la capacidad de Describir por lo menos cuatro ataques
tipo APT “Advanced Persistent Threat” que se hayan dado en
el transcurso de 2019 a nivel mundial.

Ataque 1: En junio del 2019, se encontró un conjunto inusual de

muestras utilizadas para atacar a entidades diplomáticas,
gubernamentales y militares en países del sur y sudeste de Asia, llevado
a cabo por ´Platinum¨ uno de los actores de APT más avanzados
tecnológicamente. En esta campaña, los atacantes utilizaron una
sofisticada e inédita técnica esteganográfica para ocultar sus
comunicaciones. También, resulta interesante que los atacantes
decidieran implementar las utilidades que necesitaban en forma de un
enorme conjunto: un ejemplo de que la arquitectura basada en marcos
es cada vez más popular. 

Ataque 2: Los implantes móviles son ahora una parte estándar del
conjunto de herramientas de muchos grupos de APT. En mayo del 2019,
unos delincuentes informáticos, aprovecharon una vulnerabilidad en el
día cero de WhatsApp; que consistía en realizar una llamada por dicha
aplicación a los usuarios, y a su vez esta se encontraba específicamente
diseñada para desencadenar un desbordamiento de búfer en WhatsApp,
que permitía al atacante controlar la aplicación y ejecutar en ella un
código arbitrario, con lo que los atacantes consiguieron espiar a los
usuarios, leer sus chats cifrados, encender el micrófono y la cámara e
instalar spyware para una mayor vigilancia.

Ataque 3: El APT HoneyMyte llevó a cabo un ataque ‘watering hole’ en el

sitio web de un gobierno del sudeste asiático, el cual parecía aprovechar
las técnicas de listas blancas y de ingeniería social para infectar a sus
objetivos. La carga útil final fue un archivo ZIP simple que contenía un
archivo "readme" que incitaba a la víctima a ejecutar un implante Cobalt
Strike.

Ataque 4: El grupo Lazarus es uno de los actores de amenazas

persistentes avanzadas (APT). En 2019, los investigadores descubrieron
que este grupo, estaba utilizando un nuevo framework malicioso
implementado en C++ en una nueva oleada de ataques.
2. El ecosistema de ataques informáticos avanza en cuanto al
desarrollo de algunos ataques, por otro lado, existen ataques
desarrollados años atrás, pero logran evolucionar, usted debe
Describir cómo podría llevar a cabo un ataque a un sistema
informático y cómo debería protegerse la organización contra
este ataque. Dentro de los ataques que se deben trabajar usted
debe seleccionar tres ataques; los ataques disponibles son los
siguientes:

APT
Smishing
Ransomware
Defacement
Vishing
Pharming

RANSOMWARE: es un software malicioso que al infectar nuestro equipo

le da al ciberdelincuente la capacidad de bloquear un dispositivo desde
una ubicación remota y encriptar nuestros archivos quitándonos el
control de toda la información y datos almacenados. 

El ataque sería así:

• Primero debemos identificar páginas o cualquier información que

nos pueda conducir a la víctima a acceder a un enlace fraudulento,
al adjunto de correo electrónico o a un archivo descargable que
contiene el virus.

• Después, Por medio de una VPN, cambiamos la IP, para evitar

ser detectados, y una vez la victima ha accedido al archivo o al
enlace infectado, el código que lleva el malware se inserta en la
computadora, dando inicio a procesos obligados para completar
las actividades maliciosas.

 El malware que ya se encuentra activo, comienza a comunicarse

con los servidores de clave de cifrado, obteniendo la clave pública
que nos va a permitir encriptar los datos de la víctima. Es en estos
servidores donde se almacenan los códigos para cambiar los
archivos, los cuales empiezan a trabajar desde el momento en que
se conecta el malware.

 Cuando tenemos seleccionados los archivos de la víctima, se

procede a moverlos y renombrarlos, mezclando la información
para que el sistema de la computadora del usuario ya no pueda
 proporcionarle acceso, siendo ahora necesario desencriptarlos
para poder recuperarlos.  

 Por último, realizamos el pedido de rescate, para lo que le

aparecerá a la víctima, un aviso en la pantalla de la computadora
infectada, en la que le notificamos que sus datos han sido
secuestrados y que sólo los devolveremos si el usuario realiza el
pago de un rescate a través de bitcoin. Después que se realiza el
pago, le enviamos a la víctima la clave de cifrado que
desbloqueará su computadora.

¿Cómo debería protegerse la organización contra este ataque?

-Manteniendo el sistema operativo actualizado para evitar fallos de

seguridad.

-Teniendo instalado y actualizado un buen antivirus.

-No abriendo correos electrónicos o archivos con remitentes

desconocidos, y evitando navegar por páginas no seguras o con
contenido no verificado.

-Pero la mejor forma de protegerse, es mantener a los empleados

actualizados y capacitados.

-SMISHING: Es una modalidad de fraude, a través de un mensaje no

deseado con finalidad comercial, normalmente maliciosa, que se
distribuye a través de aplicaciones de mensajería instantánea, SMS o
mensajes privados en páginas web.

El ataque sería así:

 Primero, debemos comprar una Sim Card en la calle, la cual no

tendrá nuestros datos personales.

 Después, debemos hacer que la víctima caiga en la trampa,

podemos enviar un mensaje de texto, que supuestamente procede
de su entidad bancaria. En ese mensaje se le informa que por
razones de seguridad se le ha deshabilitado como usuario para
operar en la banca online, debiendo acceder a un enlace para
solucionar el problema, en el que el cliente expondrá datos
 personales como nombre, numero de cedula, contraseñas entre
otros.

 Luego, vamos a ponernos en contacto telefónico directamente con

la víctima, siempre diciendo que la llamada procede de su banco,
y mientras hablamos, le comentamos que debe facilitarnos de
forma inmediata las claves que le aparecen en los SMS que está
recibiendo simultáneamente, con las que inmediatamente
conseguiremos llevar a cabo transferencias desde la cuenta de la
víctima a la nuestra, o realizar compras en línea.

 Por último, destruyo la Sim Card para evitar ser expuesto.

¿Cómo debería protegerse la organización contra este ataque?

-Si se recibe un mensaje de un contacto conocido que está fuera

de contexto o que no encaja en la conversación mantenida,
preguntarle antes de hacer clic.

-No hacer clic en enlaces o elementos adjuntos si no se está

seguros de la identidad del remitente.

-Comprobar la procedencia de cualquier enlace recibido antes de

hacer clic sobre él.

-Configurar adecuadamente las opciones de privacidad de las

aplicaciones de mensajería instantánea que se utilizan para evitar
que lleguen mensajes de remitentes desconocidos.

-Mantener actualizadas tanto las aplicaciones de mensajería como

nuestros dispositivos.

-VISHING: es un tipo de estafa informática que se realiza a través de

llamadas telefónicas y que busca obtener información bancaria de las
personas.

El ataque sería así:

 Primero debemos empaparnos sobre la víctima, esto lo podemos

hacer tomando alguna información que este pública en internet o
 las redes sociales y así crear todo un escenario más creíble y de
confianza para engañar a la víctima más fácilmente.

 Luego, realizaremos la llamada bajo el protocolo de comunicación

de Internet VoIP (llamadas telefónicas a través de redes de
Internet) para dejar menos rastro.

 Llamaremos a la víctima, haciéndonos pasar por su entidad

bancaria usando los mismos términos que estas utilizan,
montando todo un escenario creíble como imitar ruidos de fondo,
sonidos de oficina, teclados, impresoras y todo un sin fin de
efectos reales.

 Por último, crearemos una situación de urgencia, en la que le

haremos creer a la victima que si no proporciona sus datos
inmediatamente, puede perder su cuenta bancaria o que esta será
bloqueada inmediatamente, para que así la victima se atemorice y
nos facilite sus datos y contraseñas.

¿Cómo debería protegerse la organización contra este ataque?

Para prevenir este tipo de engaños, lo mejor siempre es no dar

información delicada por teléfono, no devolver llamadas telefónicas
extrañas y si la conversación se torna sospechosa y extraña, lo mejor es
colgar inmediatamente. Luego, comunica a las autoridades
correspondientes lo sucedido y avisa a otros compañeros para que no
caigan en el juego de la usurpación de identidades por voz.directamente
en la barra del navegador, para evitar ingresar en alguna página web
realizada por el atacante.

3. Los indicadores de compromiso son esenciales dentro de los

procesos de seguridad informática, por lo que usted como
experto en Seguridad Informática debe: Describa y genere
ejemplos sobre el concepto de IoC´s “Indicadores de
Compromiso”, ¿por qué es tan importante este concepto en el
campo de acción de la seguridad informática?

Un Indicador de Compromiso, es una herramienta, que nos va a permitir

la descripción de un incidente de ciberseguridad o cualquier actividad
maliciosa, que es posible identificar mediante patrones. También
permiten mejorar la reacción, generar una alerta y una respuesta al
momento de ser detectados por algún sistema de seguridad sin perder
el tiempo en análisis adicionales que no ofrezcan valor en las
conclusiones.

¿por qué es tan importante este concepto en el campo de acción de la

seguridad informática?

Porque gracias a los IOC, las organizaciones, tienen la posibilidad de

prevenir ataques a partir de la detección de vulnerabilidades ya
explotadas anteriormente en equipos diferentes a los que fueron
atacados previamente por un grupo de cibercriminales. Además, permite
identificar redes o endpoint infectados cuyos ataques no fueron
detectados a tiempo

4. Las auditorías son indispensables dentro de cualquier

organización, así que como experto en Seguridad Informática
usted debe definir los diversos procesos de auditoría como:
Auditoría caja negra, auditoría caja blanca, auditoría caja gris;
anexo a las definiciones debe generar un ejemplo para cada tipo
de auditoría.

AUDITORIA DE CAJA NEGRA

En esta auditoría, el auditor no posee conocimientos de la

infraestructura tecnológica de la entidad. Esta revisión de seguridad es
ideal para simular ataques realizados por parte de personal externo a la
organización y conocer el nivel de exposición a un ataque. En este tipo
de revisión de seguridad el equipo de auditores tampoco dispone a priori
de usuarios con los que interactuar con las aplicaciones a analizar, si no
que este, deberá recopilar en este tipo de trabajo información sobre la
plataforma, para plantear los escenarios de ataque más plausibles.

Ejemplo: Un profesional le realizara auditoria mediante pentest a una

empresa, para esto la empresa autoriza previamente al profesional y le
permite ingresar, a lo cual el profesional realiza un pentesting mediante
diferentes herramientas de kalylinux donde obtiene gran cantidad de
información como la seguridad de su infraestructura, de su sitio web,
software utilizados, servidores conectados, sistemas operativos y
servicios de cada uno

AUDITORIA DE CAJA BLANCA

Es una auditoría de seguridad más exhaustiva. En ella, se facilita

información técnica sobre los activos a auditar incluyendo, según los
activos analizados, información tal como usuarios, contraseñas y
mecanismos de seguridad existentes. Con este enfoque el auditor no
necesita dedicar un esfuerzo extra a la búsqueda de información y
permite focalizar los esfuerzos en aquellos elementos que son críticos
para su negocio.

Ejemplo: La empresa que va a ser auditada por un profesional le

entrega información técnica como la siguiente documentación:
segmentos de red, mapa de red, firewall, impresora en red, sistemas
operativos utilizados, tipo de autenticación, usuarios, tecnología del sitio
web.

AUDITORIA DE CAJA GRIS

Es una mezcla de las dos auditorias anteriores, en la cual ya se posee

cierta información específica para realizar la prueba de intrusión. Dada
esta forma, auditoria de Caja Gris invertirá tiempo y recursos para
identificar vulnerabilidades y amenazas, basándose en la cantidad de
información específica que tiene. Es el tipo de auditoria más
recomendada.

Ejemplo: La empresa x comparte una información básica al auditor, al

cual le piden que a intente escalar al resto del sistema además el cual
inicia su test desde diferentes puntos iniciando con las redes interna y
externa, posteriormente pasa al wifi, a través de un puesto de uno de
los empleados.

5. Identificar alertas de seguridad que logren comprometer los

datos dentro de la red de una organización es vital e
indispensables para reaccionar ante posibles ataques
informáticos, usted como experto en seguridad informática debe
generar contenido para una organización que solicitó su
concepto: ¿Qué es un IDS? ¿Qué función tiene un IDS? Mencione
un IDS free, no olviden mencionar las plataformas sobre las
cuales trabajan estos IDS al igual que sus características
técnicas.

¿Qué es un IDS?

IDS o sistema de detección de intrusos, puede definirse como un

software, que tiene como función, vigilar cuidadosamente el tráfico en la
red para detectar actividades anormales o sospechosas, y de este modo,
reducir el riesgo de intrusión.

¿Qué función tiene un IDS?

 Detección de ataques en el momento que están ocurriendo o

poco después.
 Automatización de la búsqueda de nuevos patrones de ataque.
 Monitorización y análisis de las actividades de los usuarios.
 Auditoría de configuraciones y vulnerabilidades de
determinados sistemas.
 Análisis de comportamiento anormal.
 Automatizar tareas como la actualización de reglas, la
obtención y análisis de logs, la configuración de cortafuegos y
otros.

Mencione un IDS free.

IDS Suricata: es un motor de detección de amenazas de red maduro,

rápido y robusto, gratuito y de código abierto. puede utilizar en
cualquier plataforma Linux, Mac, FreeBSD, UNIX y Windows.

Características técnicas:

 Multi-Threaded Processing: permite la ejecución de varios

procesos / subprocesos de forma simultánea.

 Automatic Protocol Detection: podemos escribir reglas

independientemente del puerto que un protocolo use, ya sea por
defecto o no ya que éste es automáticamente detectado.

 HTTP Log Module: independientemente de las alertas, vuelca

todas las peticiones HTTP.

6. En las técnicas de auditoría de caja negra Qué función tendría

el programa Nmap? ¿Qué resultados se obtiene al hacer uso de
esta aplicación? Mencione los comandos principales y básicos
para nmap; deben describir que comando se puede utilizar en
nmap para hacer uso de los scripts programados para análisis de
vulnerabilidades ya que es un tema avanzado.
Como en la auditoria de caja negra, no se tiene acceso a la información
interna de la empresa, El programa nmap, que es un escáner, permite
realizar un gran número de funciones que serán de gran ayuda para
llevar a cabo dicha auditoria. Nos permitirá evaluar el status de
seguridad de un equipo informático, descubrir servicios, máquinas,
puertos en una red informática, que protocolo utilizan, cual sistema
operativo aneja y su versión, servicios en funcionamiento, que Firewall
lo protege, etc.. Su fiabilidad es bastante alta.

 Comando nmap -F [IP]: este comando escanea solo los 100

puertos más populares con la opción -F (escaneo rápido).

 Comando nmap -Sv [IP]: Escaneo TCP para FTP (21), SSH (22),
SMTP (25), HTTP (80), POP (110), IMAP (143), HTTPS (443), SMB
(445). La detección de servicio (-sV) también está habilitada en
esta configuración de escaneo de puertos y obtendrá la versión de
los servicios en ejecución.
 Comando nmap -sP [IP]: esta opción le dice a Nmap que solo
realice un escaneo de ping y luego imprima los hosts disponibles
que respondieron al escaneo. No se realizan más pruebas (como
escaneo de puertos o detección de SO)

 Comando nmap -A [IP]: Use el interruptor -A para determinar el

sistema operativo para un sistema remoto.

 Comando nmap -O [IP]: Habilita la detección del sistema

operativo en el escaneo de nmap.

 Comando nmap -sA [IP]: Al escanear sistemas sin filtrar, los

puertos abiertos y cerrados devolverán un paquete RST. Nmap
luego los etiqueta como no filtrados, lo que significa que son
accesibles por el paquete ACK, pero no se sabe si están abiertos o
cerrados. 

 Comando nmap -sT [IP]: Escanear servicios basados en TCP.

 Comando nmap -sU [IP]: Escanear servicios basados en UDP.

 Comando nmap -sV [IP]: Detecte malware y puertas traseras

ejecutando pruebas exhaustivas en algunos servicios populares
del sistema operativo, como Identd, Proftpd, Vsftpd, IRC, SMB y
SMTP.

Scripts NMAP para el escaneo de vulnerabilidades.

  Auth: ejecuta todos sus scripts disponibles para autenticación

 Default: ejecuta los scripts básicos por defecto de la herramienta

 Discovery: recupera información del target o víctima

 External: script para utilizar recursos externos

 Intrusive: utiliza scripts que son considerados intrusivos para la

víctima o target

 Malware: revisa si hay conexiones abiertas por códigos maliciosos

o backdoors (puertas traseras)

 Safe: ejecuta scripts que no son intrusivos

 Vuln: descubre las vulnerabilidades más conocidas

 All: ejecuta absolutamente todos los scripts con extensión NSE

disponibles

7. Los expertos en seguridad informática suelen utilizar

herramientas, scripts, y sistemas operativos que sean
funcionales a su actividad; Usted debe Consultar información
técnica acerca de Kali Linux 2.0 y describir el objetivo principal
de este Sistema Operativo; además debe describir y mencionar
por lo menos 4 herramientas incorporadas en el sistema
operativo Kali Linux, de tal manera, que pueda construir grupos
para identificarlas, ejemplo: Kali Linux contiene un grupo de
herramientas destinadas al análisis de vulnerabilidades en
páginas web dentro de las que encontramos: Beef, Nikto,
posteriormente definen la función de cada herramienta, ejemplo:
Nikto funciona para X, o Y; Beef funciona para Y o Z.

Kali Linux es un sistema operativo basado en Debian GNU/Linux, con

requisitos técnicos como: ✓ Hardware: mínimo 20 Gb de espacio, 2 GB
de RAM, procesador i386 y AMD64, dispositivo CD/DVD o puerto USB. ✓
La aplicación Kali Linux se encuentra integrada con LiveBuild.

 Permite instalación con USB en vivo con un amplio soporte.

 Permite encriptar el disco de forma segura y eficiente.

 Debido a su amplia gama de herramientas permite una

configuración general o muy específica y detallada del sistema.

 Posee árbol de código abierto, todos podemos aportar a su

desarrollo.

 Soporta gran cantidad de dispositivos inalámbricos

 Entorno de desarrollo seguro y confiable.

 Soporte multi-lenguaje.

 Permite ser totalmente personalizado.

 Soporte ARMEL y ARMHF.

 Completamente gratis.

Esta aplicación es enfocada a la seguridad informática y auditoria,

compuesto por más de 300 herramientas que permiten orientarse en un
objetivo específico o general, por esto es considerado el sistema
operativo utilizado por los hackers por excelencia.

8. Los procesos de seguridad se ejecutan para encontrar

falencias en los sistemas, las organizaciones son particularmente
importantes dentro del plan de seguridad, así que como experto
en seguridad usted debe definir: ¿Qué es Pentesting? Describa y
mencione los pasos para ejecutar un pentesting adecuado.

PENTESTING: Es un ataque que se le realiza al sistema informático de

las organizaciones, con el fin de detectar fallas o debilidades en la
seguridad de las mismas y así poder prevenirlas.

Pasos para ejecutar un pentesting adecuado.

 Fase I (Contacto): En esta etapa, se habla con el cliente para

explicarle en que consiste un pentesting, cuales van a ser los
 servicios que se van a ofrecer, el pago, y los problemas que puede
acarrear la implementación de este ataque, ya que, una web caída
durante algunas horas puede suponer un grave daño económico
mientras que para otras sería mucho más grave que se robara
información de sus bases de datos.
 Fase de recolección de información: se tratará de obtener toda la
información posible de la empresa disponible a través de arañas y
de scanners y así hacernos una idea de los sistemas y programas
con los que funciona la organización. La actividad de los
empleados en redes sociales de la empresa también puede revelar
que sistemas utilizan, sus correos electrónicos, etc.
 Fase de modelado de amenaza: Una vez se obtiene toda la
información posible de la empresa, se debe pensar muy bien en la
estrategia de ataque o penetración que se va a realizar. No deben
ocurrir errores y es mejor planear lo que se va a llevar a cabo
antes de empezar.
 Fase de Análisis de vulnerabilidades: antes de llevar a cabo el
ataque o penetración, es importante analizar el éxito del mismo,
en base a la identificación de vulnerabilidades. Se debe utilizar
correctamente todo el arsenal de herramientas a su disposición
para conseguir los objetivos establecidos en pasos anteriores.

 Fase de Explotación: En esta fase, se debe intentar conseguir

acceso a los sistemas objetivo del test de penetración, para lo que
se ejecutara exploits contra las vulnerabilidades identificadas en
fases anteriores.

 Fase de Post-Explotación: Cuando se logra ingresar en el sistema

informático de la empresa, se trata de conseguir el máximo nivel
de privilegios, información de la red y acceso al mayor número
posible de sistemas identificando que datos y/o servicios tenemos
a nuestro alcance.

 Fase de Informe: en esta fase final, se presenta el resultado de la

penetración al cliente, de manera que este comprenda la seriedad
de los riesgos emanantes de las vulnerabilidades descubiertas,
remarcando aquellos puntos en los que la seguridad se había
implantado de manera correcta y aquellos que deben ser
corregidos y de qué manera.

9. Las vulnerabilidades son explotadas con frecuencia por medio

de una serie herramientas, usted debe Definir con sus palabras
qué es un exploit?, qué utilidad tiene en el mundo de la
seguridad informática? y qué componentes conforman el
exploit?.

EXPLOIT: Se considera como un fragmeto de sofware, que se utiliza

como una puerta de entrada a los sistemas informáticos, con el fin de
automatizar el aprovechamiento de un error, fallo o vulnerabilidad, a fin
de causar un comportamiento no deseado o imprevisto en los
programas informáticos, hardware, o componente electrónico.

componentes conforman el exploit

 Payload: es un conjunto de datos que son los que finalmente se

usaran para explotar la falla.

 Shellcode: Programa dentro del exploit con instrucciones

autocontenidas, para lograr la ejecución por parte del procesador
en el sistema vulnerable.

 NOP sled: es una serie de instrucciones NOP (opcode: 0x90) de un

determinado tamano que se agrega antes de la shellcode.

10. Teniendo en cuenta el anexo 3 usted como experto en

seguridad y al analizar el ataque que sufrió UNADHACK genere
una serie de recomendaciones para poder mitigar y reducir
este tipo de ataque informático.

Las recomendaciones que toda entidad debe tener en cuenta para

prevenir los ataques informáticos mencionados en este informe y el
que sufrió UNADHACK y PEPITOUNIVERSITY son las siguientes:

• Realizar las actualizaciones del Sistema Operativo a las versiones

más resientes y robustas.

• Usar antivirus y aplicaciones anti-malware.

• Activar el Firewall que permita la protección a paginas web.

• Usar bloqueo de contenido web mediante reglas de restricción del
proxy.
• Usar soluciones de seguridad (equipos tecnológicos de seguridad).
• Realizar las actualizaciones y soportes respectivos al BD.
 • Capacitar a los empleados en técnicas de seguridad de la
información y ciberseguridad.
• Diseñar e implementar políticas de seguridad de la información,
guía de buenas prácticas y seguridad de la información y formato de
confidencialidad de la información dirigidos tanto a usuarios internos
como para externos de la entidad.
 Mantener contacto permanente con los CSIRT gubernamentales y
con los equipos o grupos que también participan como entidades
responsables de la seguridad digital Nacional, para reportar los
incidentes informáticos, conocer las amenazas que pueden vulnerar
su seguridad y tomar las recomendaciones realizadas por estos
equipos de respuesta a incidentes de seguridad informática.

11. Definir con sus palabras qué es un CSIRT, alcance y tipos

de CSIRT´s; además debe identificar los CSIRT´s “Computer
Security Incident Response Team” establecidos en Colombia
mencionando si es sectorial o privado para posteriormente
describir el objetivo de cada uno.

CSIRT: (Equipo de Respuesta frente a Incidencias de Seguridad

Informática) es un grupo de profesionales que recibe los informes
sobre incidentes de seguridad, analiza las situaciones y responde a
las amenazas.
Alcance: estará determinado por las necesidades de los recursos
humanos, capacitación técnica, infraestructura, herramientas y
presupuesto. No obstante, en forma general el alcance es el
siguiente:

Inicia con la recepción de notificaciones de ataques o vulnerabilidades

informáticas por parte de su comunidad objetivo, organizaciones
nacionales e internacionales y el estudio o monitoreo constante de la
redes, con la información recolectada se realiza el estudio, análisis e
identificación del ataque o vulnerabilidad para finalizar brindando
respuestas oportunas a los incidentes identificados, asesoramiento en
análisis de riesgos, planes de continuidad del negocio, análisis de
malware, análisis forense, gestión de vulnerabilidades, formación de
conciencia ciudadana con la difusión de alertas y recomendaciones de
seguridad de la información para prevenir incidentes de seguridad
informática.

Tipos de CSIRT:

 CSIRTs Internos
  CSIRTs Nacionales
 CSIRTs Académicos
 CSIRTs De infraestructuras críticas
 CSIRTs De proveedores
 CSIRTs Comerciales
 CSIRTs Gubernamentales
 CSIRTs Del sector militar

Computer Security Incident Response Team” establecidos en Colombia

(Sector público)

 CSIRT de Gobierno: su objetivo es prestar el servicio de

prevención y respuesta a los incidentes de seguridad
informática que afectan a las entidades públicas del país.

 CSIRT-PONAL: su objetivo es atender las necesidades de

prevención, atención e investigación de los eventos e incidentes
de seguridad informática, con el fin de proteger la
infraestructura tecnológica, los activos de información y mitigar
el impacto ocasionado por la materialización de los riesgos
asociados con el uso de las tecnologías de la información y las
telecomunicaciones en las organizaciones y la comunidad en
general a nivel Nacional.

 CSIRT Financiero: su objetivo es apoyar a las entidades

financieras en el fortalecimiento de sus capacidades
preventivas y reactivas, fortalecer los estándares de
ciberseguridad del sector financiero para la gestión de crisis e
incidentes sectoriales y promover la comunidad de intercambio
de información de ciberseguridad del sector financiero con
organismos nacionales e internacionales.

Computer Security Incident Response Team” establecidos en Colombia

(Sector privado)

 CSIRT-CCIT: es el equipo de Respuesta a Incidentes de Seguridad

Informática de la Cámara Colombiana de Informática y
Telecomunicaciones CCIT, su objetivo es, coordinar la atención a
incidentes de seguridad informática en Colombia, permitiendo el
contacto directo con los centros de seguridad de sus empresas
 afiliadas para coordinar el tratamiento y solución de las solicitudes
y denuncias sobre problemas de seguridad informática

 CSIRT OLIMPIA: el objetivo es realizar la identificación, análisis, y

gestión de soluciones de amenazas o vulnerabilidades en la
seguridad informática, permitiendo así a la compañía ofrecer
soluciones tecnológicas para proteger el ecosistema digital de las
personas, empresas y ciudades.

 CSIRT-ETB: su objetivo es recibir, identificar, contener, erradicar,

recuperar, incidentes de seguridad y eventos que se informan con
respecto a los clientes de ETB.

12. Debe realizar un vídeo para explicar y sustentar cada uno de

los puntos asignados, este vídeo debe ser publicado en youtube,
además que no se acepta música de fondo y el estudiante deberá
salir en el vídeo y su voz es fundamental para la explicación, las
URL’s de los vídeos deben ser anexadas al documento
consolidado.

https://www.youtube.com/watch?v=0l7vORwgp9g

Bibliografía

 Ataque a un sistema informático y cómo debería protegerse la

organización www.incibe.es/protege-tu-empresa/blog/botnet-y-
sabersi-tu-empresa-forma-parte-ella

 Ciberguerra contra la OTAN: ¿Quiénes son Earworm y APT28?,

recuperado de:
www.pandasecurity.com/spain/mediacenter/seguridad/ciberguerra
-contra-la-otan-earworm-y-apt28/

 Horfan Álvarez, D., & Mark, A., & Gómez Blandón, L. (2005).
Sistema de seguridad en redes locales utilizando sistemas
multiagentes distribuidos. Net-Mass. Revista Facultad de
Ingeniería Universidad de Antioquia, (34), 101-113. [2] Seguridad
 de sitios web, recuperado de:
https://developer.mozilla.org/es/docs/Learn/Serverside/Primeros_
pasos/seguridad_sitios_web [3

 Microsoft advirtió que un grupo de hackers vinculado a la

inteligencia rusa está interfiriendo con las elecciones en Europa,
recuperado de:
www.infobae.com/america/mundo/2019/02/21/microsoftadvirtio-
que-un-grupo-de-hackers-vinculado-a-la-inteligencia-rusaesta-
interfiriendo-con-las-elecciones-en-europa/

 Sniffer que funciones en sistemas operativos Linux y Windows

Recuperado de: www.locurainformaticadigital.com/2018/03/02/7-
mejoresanalizadores-de-red-sniffers-windows-y-linux/

 IDS en los diferentes sistemas operativos Recuperado de:

www.locurainformaticadigital.com/2018/03/02/7-
mejoresanalizadores-de-red-sniffers-windows-y-linux/