Universidad Nacional de San Cristóbal de

Huamanga
Escuela Profesional en Ingenierı́a de Sistemas
Ciclo de Actualización Profesional para fines de
Titulación
Curso: Ciberseguridad
Material Semana 1 a la Semana 6
[Link]
Hubner Janampa Patilla1
1
Departamento de Matemática y Fı́sica.

23 de julio de 2022

1
Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

Resumen

Índice
1. ¿Qué es la ciberseguridad? 3

2. ¿Por qué es importante la ciberseguridad? 3

3. Objetivos de la ciberseguridad y causas de los riesgos 3

4. Datos sobre ciberseguridad 4

5. ¿Qué es la arquitectura de seguridad empresarial? 6

5.1. Los principios fundamentales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
5.2. Cómo lograr una protección integral . . . . . . . . . . . . . . . . . . . . . . . . . . 7
5.3. Beneficios de una arquitectura de seguridad empresarial . . . . . . . . . . . . . . . 7
5.4. Arquitectura de seguridad empresarial con Check Point . . . . . . . . . . . . . . . 8

6. Cómo optimizar sus costos de ciberseguridad 8

6.1. Factores que afectan los costos de ciberseguridad . . . . . . . . . . . . . . . . . . . 8
6.2. ¿Cómo optimizar sus costos de ciberseguridad? . . . . . . . . . . . . . . . . . . . . 9
6.3. Optimice sus costos de ciberseguridad con Infinity ELA . . . . . . . . . . . . . . . 9

7. ¿Qué es un ciberataque? 10

8. Ataques cibernéticos en las noticias 10

8.1. Conflicto Rusia/Ucrania . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
8.2. Vulnerabilidad de Apache Log4j . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
8.3. Ataque SolarWinds Sunburst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
8.4. Ataques de ransomware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

9. Tipos de ataques cibernéticos 11

[Link] de ataques cibernéticos 11

[Link] ataque cibernético es prevenible 13

12.¿Qué es Cyber Security Kill Chain? 13

12.1. ¿Cuáles son los pasos de la Kill Chain de la ciberseguridad? . . . . . . . . . . . . 13

[Link] matriz de MITRE: tácticas y técnicas en entornos industriales 16

13.1. ¿Qué es el marco MITRE ATT&CK? . . . . . . . . . . . . . . . . . . . . . . . . . 17
13.2. El marco MITRE ATT&CK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

14.¿Qué es el código malicioso? 17

14.1. Cómo funciona el código malicioso . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
14.2. Ejemplos de código malicioso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
14.3. Cómo protegerse contra ataques de código malicioso . . . . . . . . . . . . . . . . . 19

[Link]́n de código malicioso con Check Point 19

16.¿Qué es la denegación de servicio (DoS)? 20

16.1. Orı́genes de las amenazas de denegación de servicio . . . . . . . . . . . . . . . . . . 20
16.2. Evolución de las amenazas de denegación de servicio . . . . . . . . . . . . . . . . . 20

ÍNDICE 2
Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

17.¿Qué es un cortafuegos? 20
17.1. Historial de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
17.2. Tipos de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
17.3. ¿Qué hacen los cortafuegos? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
17.4. ¿Por qué necesitamos cortafuegos? . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
17.5. Inspección de la capa de red frente a la capa de aplicación . . . . . . . . . . . . . . 22
17.6. Las 5 funciones de cortafuegos imprescindibles . . . . . . . . . . . . . . . . . . . . 22
17.7. Selección del cortafuegos de próxima generación adecuado . . . . . . . . . . . . . . 24
17.8. La importancia de NAT y VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
17.9. Firewalls de próxima generación y más allá . . . . . . . . . . . . . . . . . . . . . . 24

18.¿Qué es VPN (red privada virtual)? 25

18.1. ¿Cómo funciona una VPN? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
18.2. Tipos de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
18.3. Beneficios de una VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
18.4. ¿Es una VPN segura? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
18.5. Limitaciones y riesgos de seguridad de las VPN . . . . . . . . . . . . . . . . . . . . 28
18.6. Seguridad de la capa de red: IPsec y redes privadas virtuales . . . . . . . . . . . . 28
18.7. IPsec y redes privadas virtuales (VPN) . . . . . . . . . . . . . . . . . . . . . . . . . 29
18.8. Los protocolos AH y ESP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
18.9. El datagrama IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
[Link]: gestión de claves en IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

19.¿Qué es un sistema de prevención de intrusos (IPS)? 30

19.1. ¿Por qué se deben utilizar los sistemas de prevención de intrusos (IPS)? . . . . . . 31
19.2. ¿Cómo funcionan los sistemas de prevención de intrusos (IPS)? . . . . . . . . . . . 31

A. Lista de Figuras y Tablas 31

B. Funcionamiento de Software Malicioso 31

B.1. Operación y terminologı́a . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

C. Ataques de denegación de servicio (DDoS) 34

D. Las Vulnerabilidades más Importantes en las Redes 35

ÍNDICE 3
Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

1. ¿Qué es la ciberseguridad?
La ciberseguridad es la protección de los sistemas conectados a Internet, como hardware, soft-
ware y datos, contra las ciberamenazas. La práctica es utilizada por personas y empresas para
protegerse contra el acceso no autorizado a los centros de datos y otros sistemas informáticos.

Una estrategia sólida de ciberseguridad puede proporcionar una buena postura de seguridad
contra ataques maliciosos diseñados para acceder, alterar, eliminar, destruir o extorsionar los sis-
temas y datos confidenciales de una organización o usuario. La ciberseguridad también es funda-
mental para prevenir ataques que tienen como objetivo deshabilitar o interrumpir las operaciones
de un sistema o dispositivo.

2. ¿Por qué es importante la ciberseguridad?

Con un número cada vez mayor de usuarios, dispositivos y programas en la empresa moderna,
combinado con el aumento de la avalancha de datos, muchos de los cuales son sensibles o confiden-
ciales, la importancia de la ciberseguridad sigue creciendo. El creciente volumen y la sofisticación
de los atacantes cibernéticos y las técnicas de ataque agravan aún más el problema.

3. Objetivos de la ciberseguridad y causas de los riesgos

Desde hace poco más de 50 años asistimos a una revolución que nos ha introducido en la era de
la información o, si se quiere, del conocimiento, y que está propiciada por el uso masivo de sistemas
de información y redes de ordenadores, en adelante simplemente sistemas. Sus rasgos distintivos
son la rapidez con la que se ha extendido y la profundidad de los cambios que está provocando
en la sociedad e incluso en la vida personal de los individuos. Por eso, dependemos crı́ticamente
de estos sistemas, de modo que su inoperatividad o malfuncionamiento, accidental o deliberado,
comporta graves consecuencias, incluso para la sociedad en general.

Por consiguiente, delincuentes de todo tipo tratan de hallar vulnerabilidades que, explotadas,
les permita obtener beneficios económicos, polı́ticos, propagandı́sticos o crear sensaciones de in-
seguridad entre la ciudadanı́a. No es extraño que en el Global RiskReport 2019 del World
Economics Forum, la ciberseguridad figurase como el quinto riesgo en probabilidad de ocurrencia
y el octavo por su impacto de un total de 30 riesgos contemplados. Por su parte, el informe del es-
tado de la Unión Europea de 2017, señalaba que en algunos paı́ses los ciberdelitos superaban el
50 % del total de delitos y el 80 % de las empresas habı́an sufrido al menos un incidente de este tipo.

Debemos ahora precisar el concepto de ciberdelito y de ciberseguridad. Con el primero, entende-

mos las actividades delictivas realizadas con ayuda de redes y sistemas de información o
bien contra estos mismos. Ası́, son ilı́citos para los cuales estos sistemas son el medio para perpetrar
el delito (fraude, interceptación de comunicaciones, pederastia, etc.) o bien su objetivo (borrado el
disco duro, interrupción del servicio web, etc.).

En el primer caso, son delitos tradicionales vehiculados a través de las redes y sólo en el segundo
nos encontramos ante delitos de nuevo cuño. A su vez, por ciberseguridad nos referimos al conjunto
de técnicas, sistemas de gestión y otras medidas que pretenden proteger la información digital, y
los medios que la tratan, de incidentes deliberados o accidentales. Se diferencia de la seguridad
de la información en que esta trata de proteger dicha información sea cual sea su soporte (papel,
electrónico, etc.) o forma de tratamiento (manual o automatizado).

Ası́ definida, la ciberseguridad tiene como objetivo preservar tres propiedades de la información:
la confidencialidad (o sea, que la información sólo sea revelada a los usuarios autorizados), la
integridad (es decir, que sea exacta y completa, lo que está relacionado con que sólo sea modi-
ficada por los usuarios habilitados) y la disponibilidad (en otras palabras, que esté disponible

3 OBJETIVOS DE LA CIBERSEGURIDAD Y CAUSAS DE LOS RIESGOS 4

Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

en tiempo y forma exclusivamente para los usuarios legitimados). No obstante, algunos añaden la
autenticidad (que la información provenga de la fuente alegada), el no repudio (que el autor
no pueda rechazar su autorı́a), la trazabilidad (que pueda rastrearse su ciclo de vida), etc.

Para concluir, resta exponer algunas causas de los riesgos que comporta el uso de estos sistemas.
Unas son intrı́nsecas a la naturaleza de los mismos y otras extrı́nsecas.

Respecto de las primeras, cabe destacar su complejidad, que, como es sabido, es uno de los
principales enemigos de la seguridad. Por ejemplo, un sistema operativo cualquiera tiene millones
de lı́neas de código, ejecutándose sobre ellas el resto de los programas, también conformados por
otros millones de lı́neas de código y a menudo interactuando entre sı́.

Además, la conectividad de los equipos (todos conectados con todos), los hace grandemente
interdependientes. De este modo, un equipo infectado, o en poder de un delincuente, puede dañar
grave e instantáneamente a sistemas situados en sus antı́podas. Finalmente, tres factores extrı́nsecos
influyen negativamente en la ciberseguridad. El primero es el costo; el segundo, el rendimiento
(que se ve resentido por las medidas de ciberseguridad); y, por último, la usabilidad, ya que estas
medidas dificultan las tareas de los usuarios.

Pero es imposible concluir sin mencionar una última causa de inseguridad: la enorme ca-
rencia de expertos en esta materia que, aunque variable de unas regiones a otras, en total se
estima en más de un millón de profesionales en estos momentos.

4. Datos sobre ciberseguridad

Sin más preámbulos, aquı́ está nuestra lista de los 22 datos más impactantes sobre cibersegu-
ridad que necesitas saber para 2022:

1. En 2021 se registró el costo promedio más alto de una violación de datos en 17 años, con un
costo que aumentó de US$3.86 millones a US$4.24 millones por año. (Informe de IBM sobre
el costo de una violación de datos de 2021)
2. El giro hacia el trabajo remoto, impulsado por la pandemia de COVID 19, tuvo un impacto
directo en los costos de las filtraciones de datos. El costo promedio de una brecha fue de
US$1.07 millones más alto cuando el trabajo remoto fue uno de los factores que causó la
violación.(Informe de IBM sobre el costo de una violación de datos de 2021)
3. La causa más común de filtración de datos fue el robo de credenciales de usuario. Como un
vector de ataque comúnmente utilizado, fueron responsables del 20 % de las brechas, y estas
filtraciones causaron un costo promedio de US$4.37 millones. (Informe de IBM sobre el costo
de una violación de datos de 2021)
4. A mediados de 2021, el proveedor de software de gestión de IT Kaseya vio sus sistemas
comprometidos por el ransomware Sodinokibi. Los perpetradores pidieron un rescate de US$
70 millones: la tarifa de ransomware más grande que haya sido exigida hasta el momento.
(Informe de amenazas ESET T2 2021)
5. El 36 % de las brechas se relacionaron con ataques de phishing, lo cual implica un aumento
del 11 % que, en parte, podrı́a atribuirse a la pandemia de COVID 19. Como era de esperarse,
se ha observado que los ciberdelincuentes modifican sus campañas de phishing en función de
lo que está siendo noticia en cada momento. (Informe de Verizon sobre investigaciones de
violaciones de datos 2021)
6. Los ataques de ingenierı́a social son la amenaza más grave para la administración pública,
representando el 69 % de todas las brechas de la administración pública analizadas por Verizon
en 2021. (Informe de Verizon sobre investigaciones de violaciones de datos 2021)

4 DATOS SOBRE CIBERSEGURIDAD 5

Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

7. Poco después de que Log4Shell, la vulnerabilidad crı́tica en la utilidad de registro Log4j,

fuera revelada en diciembre de 2021, ESET detectó y bloqueó cientos de miles de intentos de
explotación. La mayorı́a de ellos, localizados en Estados Unidos y Reino Unido
8. En 2021 se registró un increı́ble aumento en la detección de malware bancario de Android.
En el primer cuatrimestre aumentó un increı́ble 158,7 %, y en el segundo experimentó un
crecimiento continuo del 49 %. Esto deberı́a considerarse como una tendencia preocupante,
ya que los troyanos bancarios tienen un impacto directo en las finanzas de sus objetivos.
(Informe de amenazas ESET T2 2021)
9. Cuatro años después, WannaCryptor (también conocido como WannaCry) sigue siendo una
amenaza global a tener en cuenta. En el segundo cuatrimestre, el infame troyano que infecta
máquinas vulnerables con el exploit EternalBlue, encabezó las listas de las principales de-
tecciones de ransomware de ESET, representando el 21,3 % de las detecciones. (Informe de
amenazas ESET T2 2021)
10. Las estafas de inversión en criptomonedas siguen siendo cada vez más populares. Entre oc-
tubre de 2020 y mayo de 2021, las vı́ctimas fueron estafadas por más de US$80 millones.
Se espera incluso que el número real sea mayor, ya que muchas personas se avergüenzan de
admitir que han sido engañadas. (Comisión Federal de Comercio de los Estados Unidos)
11. La criptomoneda ha sido el método de pago preferido de los ciberdelincuentes, especialmente
cuando se trata de ransomware. Hasta US$ 5.2 billones de transacciones salientes de Bitcoin
pueden estar vinculadas a pagos de ransomware, involucrando las 10 variantes de ransomware
más comunes. (Informe de FinCEN sobre tendencias de ransomware en los datos de la Ley
de Secreto Bancario)
12. A principios de 2021, la infame botnet Emotet, una de las amenazas de malware más dura-
deras y omnipresentes, fue desconectada en una operación de aplicación de la ley a escala
global. Unos 700 servidores de comando y control se desconectaron en el operativo. (Europol)
13. La estimación de la fuerza laboral en ciberseguridad, que evalúa el número de profesionales
de la ciberseguridad disponibles alrededor del mundo, estimó que el grupo de especialistas
en 2021 es de unos 4.2 millones. Esto implica un aumento de 700.000 en comparación con el
año anterior. (Estudio sobre la fuerza laboral en ciberseguridad 2021 (ISC)2)
14. El mismo estudio también concluyó que, por segundo año consecutivo, la brecha de personal
de ciberseguridad ha disminuido. Mientras que en 2020 el número de especialistas en ciber-
seguridad adicionales que las organizaciones necesitaban para defender sus archivos era de
3.12 millones, en 2021 ese número se ha reducido a 2.72 millones. (Estudio sobre la fuerza
laboral en ciberseguridad 2021 (ISC)2)
15. Para compensar la escasez de profesionales de ciberseguridad necesarios para defender efi-
cazmente los activos crı́ticos de las organizaciones, la fuerza laboral global de ciberseguridad
tendrı́a que crecer en un enorme 65 %. (Estudio sobre la fuerza laboral en ciberseguridad
2021 (ISC)2)
16. Un total de 82 % de las organizaciones ha admitido haber aumentado sus presupuestos de
ciberseguridad durante el año pasado. Estos fondos representan hasta el 15 % del gasto total
en IT. (Informe de Accenture sobre el estado de la resiliencia de la ciberseguridad 2021)
17. En los últimos años, los atacantes han pasado de solo infestar sistemas con ransomware a la
doble extorsión en la que, además, amenazan con filtrar los datos y divulgarlos al público o
venderlos. Tanto es ası́ que las amenazas de filtrar los datos robados han experimentado un
fuerte aumento, pasando del 8,7 % en 2020 a un 81 % en el segundo cuatrimestre de 2021.
(Panorama de amenazas 2021 de ENISA)
18. Hubo un aumento significativo en los costos generales de remediar un ataque de ransomware.
Mientras que en 2020 el costo era de US$761.106, en 2021 el costo total se disparó a US$1.85
millones. (Panorama de amenazas 2021 de ENISA)

4 DATOS SOBRE CIBERSEGURIDAD 6

Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

19. El número de ataques de denegación de servicio distribuidos (DDoS, por sus siglas en inglés)
también ha ido en aumento, en parte, debido a la pandemia de COVID 19. En 2020 se
produjeron más de 10 millones de ataques, 1.6 millones más que el año anterior. (Panorama
de amenazas 2021 de ENISA)
20. En 2020, el Centro de Delitos en Internet (IC3) de la Oficina Federal de Investigaciones
(FBI) recibió un récord de 791.790 denuncias por delitos cibernéticos. Las pérdidas reportadas
fueron responsables de unos US$4.200 billones en pérdidas. (Informe sobre delitos en Internet
2020 del FBI)
21. Las estafas de “Fraude del CEO” (Business Email Compromise BEC) siguen siendo el ci-
berdelito más costoso, con pérdidas que superan los US$ 1.86 billones en 2020, de acuerdo
con los últimos datos disponibles del FBI. En comparación, la segunda estafa más costosa, el
fraude de confianza/romance registró “solamente” US$600 millones. (Informe sobre delitos
en Internet 2020 del FBI)
22. Los adultos mayores se vieron afectados de manera desproporcionada por el delito cibernético,
ya que alrededor del 28 % de las pérdidas totales por fraude fueron sufridas por vı́ctimas
mayores de 60 años. Esto representa aproximadamente US$ 1.000 millones en pérdidas para
las vı́ctimas de edad avanzada. (Informe de fraude de adultos mayores 2020 FBI)

5. ¿Qué es la arquitectura de seguridad empresarial?

Los ataques cibernéticos se han convertido en una preocupación importante en varias industrias
y negocios a medida que el panorama de amenazas ha aumentado exponencialmente. Los actores
de amenazas han mejorado su velocidad de ataque, intensidad y complejidad, por lo que el costo
de una brecha de seguridad se disparó. El ransomware , las violaciones de datos y otras amenazas
cibernéticas se han convertido en las principales preocupaciones de los equipos de liderazgo de las
empresas.

Al mismo tiempo, la infraestructura corporativa se está volviendo cada vez más compleja y el
perı́metro de seguridad en el que las empresas han confiado tradicionalmente está fragmentado. El
crecimiento del trabajo remoto, la infraestructura en la nube y el uso de dispositivos móviles y de
IoT crean desafı́os de seguridad.

La arquitectura de ciberseguridad del pasado puede haber sido suficiente para gestionar ame-
nazas cibernéticas menos sofisticadas y continuas. La protección contra las ciberamenazas más
avanzadas requiere una arquitectura de seguridad moderna.

5.1. Los principios fundamentales

Una arquitectura de seguridad empresarial es una estrategia para brindar protección integral
a una organización contra amenazas cibernéticas. Los tres principios básicos son la consolidación,
la confianza cero y la prevención de amenazas.

1. Consolidación: Según una encuesta de 1200 organizaciones realizada por Panaseer, la em-
presa promedio ha implementado 76 soluciones de seguridad independientes. La implemen-
tación, configuración y administración de todas estas soluciones consume mucho tiempo y
recursos, y generan un volumen abrumador de alertas, lo que perjudica la visibilidad de la
seguridad y la administración de amenazas.
Una arquitectura de seguridad consolidada es esencial para gestionar de forma eficaz y es-
calable el riesgo de seguridad de una organización. La integración de seguridad permite la
visibilidad de la seguridad y la gestión de amenazas a través de una interfaz centralizada y
fácil de usar, lo que elimina el cambio de contexto ineficiente y mejora el rendimiento del
SOC (Security Operations Center) corporativo.

5 ¿QUÉ ES LA ARQUITECTURA DE SEGURIDAD EMPRESARIAL? 7

Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

2. Confianza cero: A menudo, las empresas adoptan un enfoque de seguridad centrado en

el perı́metro en el que los miembros internos son inherentemente confiables y se les otorga
acceso y permisos que no son necesarios para su función. Como resultado, la mayorı́a de las
filtraciones de datos involucran el abuso de cuentas privilegiadas.
Una estrategia de seguridad de confianza cero adapta los permisos asignados a un usuario,
aplicación o sistema a lo que es necesario para su función. Esto limita la probabilidad y el
impacto de los incidentes de seguridad al limitar a qué puede acceder un atacante dentro del
entorno de una organización.
Una arquitectura de seguridad empresarial hace posible la confianza cero efectiva. La integra-
ción de seguridad en toda la empresa permite la aplicación constante de controles de acceso
de confianza cero en todo el entorno de una organización.
3. Prevención de amenazas: A menudo, las arquitecturas de seguridad corporativa se centran
en la detección. Una vez que se ha identificado una amenaza potencial, las herramientas y el
personal de seguridad toman medidas para bloquear o remediar la intrusión. Sin embargo, esta
estrategia centrada en la detección significa que el SOC corporativo siempre está reaccionando
a los ataques, brindándoles la oportunidad de causar daños o expandir su posición antes de
que comience la respuesta a incidentes.
La prevención es un enfoque estratégico para la gestión de amenazas. Una arquitectura de
seguridad empresarial debe tomar medidas de manera proactiva para bloquear los vectores
de acceso utilizados por los ciberatacantes e identificar y bloquear las amenazas antes de que
lleguen a los sistemas corporativos. Con la prevención, un atacante no tiene oportunidad de
acceder o dañar los sistemas corporativos, lo que minimiza el costo y el impacto de un ataque
en la organización
.

5.2. Cómo lograr una protección integral

Una arquitectura de seguridad empresarial es una estrategia integrada y completa para proteger
a la organización contra las ciberamenazas. Para lograr una protección integral, una organización
debe asegurarse de que no haya brechas de visibilidad o protección que puedan atravesar un ataque.
La mejor manera de lograr esto es mediante el uso de un conjunto de soluciones de seguridad
integrales de un solo proveedor. Las soluciones que están diseñadas para integrarse y usarse juntas
son más fáciles de monitorear y administrar y eliminan superposiciones costosas o brechas de
seguridad.
Un acuerdo de licencia empresarial (ELA) proporciona un medio para que una organización
implemente soluciones de seguridad de manera simple y eficiente en todo su entorno. Con un ELA,
una organización tiene acceso a todas las soluciones de seguridad cibernética de un proveedor para
lograr una seguridad completa e integrada en redes, terminales, dispositivos móviles, infraestructura
en la nube y dispositivos IoT.

5.3. Beneficios de una arquitectura de seguridad empresarial

Al implementar una arquitectura de seguridad cibernética empresarial con un ELA, una orga-
nización puede lograr beneficios significativos, que incluyen:
1. Menor TCO (Coste Total de Propiedad): una arquitectura de seguridad integrada con
un ELA elimina las herramientas de seguridad superpuestas e infrautilizadas. Además, con
un ELA, una organización puede tener acceso a precios y descuentos competitivos.
2. Eficiencia operativa: una arquitectura de seguridad empresarial se compone de soluciones
que están diseñadas para trabajar juntas para brindar a la organización una protección inte-
gral contra las amenazas. Al eliminar las brechas de seguridad y las soluciones superpuestas
y simplificar el monitoreo y la administración de la seguridad, una arquitectura de seguri-
dad empresarial aumenta la eficiencia de la arquitectura de seguridad corporativa y SOC
(Security Operations Center).

5 ¿QUÉ ES LA ARQUITECTURA DE SEGURIDAD EMPRESARIAL? 8

Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

3. Interoperabilidad con la infraestructura de TI y las integraciones existentes: una

arquitectura de ciberseguridad empresarial se construye a partir de soluciones diseñadas para
la integración. Esto permite que una organización integre soluciones con su infraestructura
existente.
4. Solución de seguridad empresarial para empresas de todos los tamaños: con un
ELA, una organización compra créditos que brindan acceso a varias soluciones de seguridad.
Esto permite que una organización adapte su arquitectura de seguridad a sus necesidades y
presupuesto únicos.

5.4. Arquitectura de seguridad empresarial con Check Point

El conjunto de soluciones de seguridad de Check Point brinda a una organización las herra-
mientas que necesita para protegerse contra la gama completa de amenazas cibernéticas que
puede enfrentar. Para obtener más información sobre la postura de seguridad actual de su
organización y cualquier brecha potencial, realice la revisión de seguridad gratuita de Check
Point.

Infinity ELA de Check Point brinda acceso a la gama completa de soluciones de seguridad
de Check Point bajo una única licencia corporativa. Para obtener más información sobre
Infinity ELA, consulte el folleto del producto . Luego , regı́strese para una consulta para
saber cómo Infinity ELA podrı́a ayudar a simplificar, agilizar y fortalecer la ciberseguridad
de su organización.

6. Cómo optimizar sus costos de ciberseguridad

Para los dueños de negocios, la protección contra las amenazas cibernéticas y garantizar la conti-
nuidad del negocio es una prioridad máxima. En la realidad actual, donde las amenazas cibernéticas
están en todas partes, la seguridad cibernética se ha convertido en un componente clave para ga-
rantizar operaciones comerciales fluidas en cualquier industria que emplee sistemas de información.

Definir la rentabilidad de la seguridad al invertir en contramedidas de ciberseguridad es una

decisión financiera y operativa importante para la mayorı́a de las empresas. Una arquitectura de
seguridad consolidada puede ahorrarle a una organización millones en el costo total de propiedad
(TCO) y reducir las pérdidas por ransomware y otros ataques.

Sin embargo, según Gartner , el 82 % de los lı́deres en seguridad y riesgo no tienen en cuenta
los impactos ambientales o comerciales al desarrollar los presupuestos. Al operar en un silo y no
alinearse con las necesidades comerciales, no logran maximizar el impacto de su gasto en seguridad.

6.1. Factores que afectan los costos de ciberseguridad

Los costos de ciberseguridad de una organización pueden depender de una variedad de factores.
Algunos de los principales determinantes del gasto en seguridad incluyen:

1. Industria: algunos sectores verticales de la industria, como la banca y la atención médica,

están mucho más regulados que otros debido a su acceso a información confidencial. Además
del costo de lograr y mantener el cumplimiento de varias regulaciones, estos datos de alto valor
también hacen que estas industrias sean un objetivo común para los actores de ciberamenazas.

2. Tamaño de la empresa: cada dispositivo y empleado dentro de una organización es un

vector de ataque potencial para los ciberdelincuentes. Cuanto mayor sea el número de em-
pleados de una empresa, mayor será su superficie de ataque y más medios potenciales para
que un atacante obtenga acceso.

6 CÓMO OPTIMIZAR SUS COSTOS DE CIBERSEGURIDAD 9

Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

3. Impacto de una infracción: algunas organizaciones dependen en gran medida de los sis-
temas de TI, y un ataque cibernético exitoso puede ser devastador. Para otros, un ataque
similar puede ser un inconveniente pero no impedir que la organización mantenga sus ope-
raciones. Cuanto mayor sea el costo y el impacto de una infracción, más debe gastar una
empresa para prevenirla.
4. Seguridad ineficiente: según una encuesta de Panaseer de 2022 de 1200 empresas de EE.
UU. y el Reino Unido, la empresa promedio implementó 76 soluciones de seguridad inde-
pendientes dentro de su infraestructura. Si estas soluciones tienen capacidades superpuestas,
reducen la eficiencia y aumentan el costo de la seguridad.

6.2. ¿Cómo optimizar sus costos de ciberseguridad?

La optimización de los costos de ciberseguridad requiere que una organización identifique las
fuentes comunes de gasto excesivo en ciberseguridad. Algunas de las mejores prácticas que
las organizaciones pueden adoptar para optimizar sus costos de ciberseguridad incluyen:

1. Asociarse con profesionales de la seguridad: la brecha de habilidades en seguridad ci-

bernética significa que adquirir y retener el talento de seguridad que una organización necesita
internamente es difı́cil y costoso. Asociarse con un proveedor de seguridad externo
ofrece acceso a servicios de seguridad esenciales respaldados por garantı́as de rendimiento.

2. Implemente una suite de seguridad consolidada: una variedad de soluciones de se-

guridad independientes es costosa, ineficiente y difı́cil de administrar. Una arquitectura de
seguridad consolidada puede eliminar las ineficiencias de las soluciones de seguridad su-
perpuestas y los servicios de seguridad no utilizados o infrautilizados.
3. Implemente una estrategia de seguridad de confianza cero: la seguridad de confian-
za cero restringe el acceso a las aplicaciones y los recursos en función de las necesidades
comerciales. Al limitar el acceso de las cuentas de los usuarios, Zero Trust reduce el riesgo
de infracciones porque los atacantes no pueden aprovechar los permisos excesivos.
4. Centrarse en la prevención, no en la detección: los programas de ciberseguridad a
menudo se centran en la detección y respuesta de amenazas; sin embargo, esto puede
resultar en una respuesta después de que el daño ya está hecho. Un enfoque de seguridad
mejor y más rentable es prevenir una amenaza antes de que suceda en lugar de responder
después del hecho. La mejor manera de proteger su presupuesto y la reputación de
su empresa es evitar las infracciones, ya que una filtración de datos promedio cuesta $4,24
millones .

6.3. Optimice sus costos de ciberseguridad con Infinity ELA

Las organizaciones rara vez obtienen el valor de su dinero cuando pagan por la ci-
berseguridad. A menudo, es difı́cil determinar qué hace exactamente una solución en particular
y cómo se integrarı́a en la arquitectura de ciberseguridad existente de una organización . Como
resultado, las organizaciones terminan con un conjunto complejo de soluciones de seguridad que
se superponen y, en algunos casos, no se usan o se usan infrautilizadas, que son administradas por
un equipo de seguridad de tamaño reducido y sobrecargado de trabajo.

Incluso si una organización ha diseñado su arquitectura de seguridad para optimizar la eficien-

cia, puede sufrir gastos excesivos en seguridad. Dado que el uso puede ser difı́cil de predecir, las
empresas pueden sobredimensionar sus licencias y soluciones de seguridad para garan-
tizar que tengan capacidad si la necesitan. Como resultado, los equipos de seguridad desperdician
recursos que podrı́an utilizarse mejor en otros lugares.

La mejor manera de optimizar los costos de ciberseguridad corporativa es con un acuerdo de

licencia empresarial (ELA) . Con un ELA, una organización puede redistribuir los créditos

6 CÓMO OPTIMIZAR SUS COSTOS DE CIBERSEGURIDAD 10

Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

no utilizados según sea necesario para satisfacer las necesidades comerciales en evolución. Esto
permite a una organización dimensionar correctamente su gasto en seguridad cibernética mientras
aprovecha al máximo los beneficios de una arquitectura de seguridad consolidada.

Check Point Infinity ELA permite que una organización optimice todos los aspectos de su
gasto en seguridad al proporcionar acceso a una arquitectura de seguridad consolidada a través de
un ELA. Una arquitectura de seguridad consolidada es la mejor manera de optimizar y agilizar los
procesos y la arquitectura de seguridad de una organización. Obtenga más información sobre sus
beneficios hoy. Luego, regı́strese para una consulta de Infinity ELA para desarrollar una arquitec-
tura de seguridad que se adapte a las necesidades comerciales y de seguridad de su organización.

7. ¿Qué es un ciberataque?
Un ataque cibernético es un ataque lanzado por ciberdelincuentes utilizando una o más
computadoras contra una o varias computadoras o redes. Un ataque cibernético puede desha-
bilitar computadoras de manera malintencionada, robar datos o usar una computadora
violada como punto de lanzamiento para otros ataques. Los ciberdelincuentes utilizan una
variedad de métodos para lanzar un ciberataque, incluidos malware, phishing, ransomware,
denegación de servicio, entre otros métodos.

8. Ataques cibernéticos en las noticias

8.1. Conflicto Rusia/Ucrania
Check Point Research (CPR) ha publicado información sobre ciberataques que se han visto en
el contexto del actual conflicto entre Rusia y Ucrania. En los primeros tres dı́as de batalla, los
ataques cibernéticos contra el gobierno y el sector militar de Ucrania aumentaron en un asombroso
196 %. El número de ciberataques a empresas rusas ha aumentado un 4 %. Los correos electrónicos
de phishing en idiomas eslavos orientales se multiplicaron por siete, con un tercio de esos correos
electrónicos de phishing maliciosos enviados desde direcciones de correo electrónico ucranianas a
receptores rusos.

8.2. Vulnerabilidad de Apache Log4j

El 9 de diciembre de 2021 se informó una vulnerabilidad grave de ejecución remota de código
(RCE) en el paquete de registro de Apache Log4j 2 versiones 2.14.1 e inferiores (CVE-2021-
44228) 1 . Con más de 400 000 descargas desde su repositorio de GitHub, Apache Log4j es el
paquete de registro de Java más popular. Es utilizado por una gran cantidad de empresas en todo
el mundo y permite a los usuarios iniciar sesión en una variedad de aplicaciones populares. Es fácil
explotar esta falla, que permite a los actores de amenazas tomar el control de los servidores web
basados en Java y realizar ataques de ejecución remota de código.

8.3. Ataque SolarWinds Sunburst

El mundo se enfrenta ahora a lo que parece ser un ataque cibernético de quinta generación: un
ataque multivectorial sofisticado con caracterı́sticas claras de la pandemia cibernética. Llamado
Sunburst por los investigadores, creemos que este es uno de los ataques más sofisticados y severos
jamás vistos. Se ha informado que el ataque afectó a las principales oficinas del gobierno de EE.
UU., ası́ como a muchas organizaciones del sector privado.

1 Las Vulnerabilidades y exposiciones comunes ( en inglés, Common Vulnerabilities and Exposures, siglas

CVE), es una lista de información registrada sobre vulnerabilidades de seguridad conocidas, en la que cada referencia
tiene un número de identificación CVE-ID, descripción de la vulnerabilidad, que versiones del software están afecta-
das, posible solución al fallo (si existe) o como configurar para mitigar la vulnerabilidad y referencias a publicaciones
o entradas de foros o blog donde se ha hecho pública la vulnerabilidad o se demuestra su explotación.

8 ATAQUES CIBERNÉTICOS EN LAS NOTICIAS 11

Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

Esta serie de ataques fue posible cuando los piratas informáticos pudieron incorporar una
puerta trasera en las actualizaciones de software de SolarWinds 2 . Más de 18 000 empresas y
oficinas gubernamentales descargaron lo que parecı́a ser una actualización regular de software en
sus computadoras, pero en realidad era un caballo de Troya. Al aprovechar una práctica de TI
común de actualizaciones de software, los atacantes utilizaron la puerta trasera para comprometer
los activos de la organización, permitiéndoles espiar a la organización y acceder a sus datos.

8.4. Ataques de ransomware

El resurgimiento del ransomware ha ido en aumento. Pequeñas agencias gubernamentales locales
y estatales, principalmente en la parte sureste de los EE. UU., han sido vı́ctimas. La transformación
digital está erosionando los perı́metros de red tradicionales con la adopción de la computación en
la nube, los servicios de suscripción basados en la nube y la ubicuidad de los dispositivos móviles.
Esta mayor expansión de vectores significa más formas de atacar una organización.

En el tercer trimestre de 2020, Check Point Research registró un aumento del 50 % en el

promedio diario de ataques de ransomware, en comparación con la primera mitad del año. Las
organizaciones de todo el mundo sufrieron una ola masiva de ataques de ransomware, siendo la
atención médica la industria más atacada. A medida que estos ataques continúan al madurar tanto
en frecuencia como en intensidad, su impacto en los negocios ha crecido exponencialmente. Los
principales tipos de ransomware fueron Maze y Ryuk.

9. Tipos de ataques cibernéticos

Las amenazas cibernéticas de generación V y VI 3 son ahora una realidad para las empresas.
Los ciberdelincuentes son conscientes de los avances recientes en la ciberseguridad de las empresas
y han adaptado sus ataques para eludir y vencer las medidas de seguridad tradicionales. Para
evitar la detección, los ciberataques modernos tienen varios vectores y utilizan código polimórfico.
Como resultado, detectar y responder a las amenazas es más desafiante que nunca.

El objetivo principal de los ciberdelincuentes y la primera lı́nea de defensa de una organización

en el mundo del trabajo remoto es el punto final. Asegurar la fuerza de trabajo remota requiere una
comprensión de los riesgos cibernéticos más comunes que experimentan los empleados, ası́ como
soluciones de seguridad de punto final capaces de detectar, prevenir y resolver estos ataques.

Los ataques cibernéticos vienen en una variedad de formas diferentes . Los ciberdelincuen-
tes utilizan muchos métodos diferentes para lanzar un ciberataque, un ataque de phishing, una
explotación de credenciales comprometidas y más. A partir de este acceso inicial, los ciberdelin-
cuentes pueden lograr diferentes objetivos, incluidas infecciones de malware, ransomware, ataques
de denegación de servicio, robo de datos y más.

10. Tendencias de ataques cibernéticos

En su informe de mitad de año , Check Point Research proporciona un análisis de la primera
mitad de 2021, analizando las tendencias globales de ataques cibernéticos en malware en general,
2 SolarWinds Inc es una empresa estadounidense que desarrolla software para empresas cual les ayuda a ad-
ministrar sus redes, sistemas e infraestructura de tecnologı́a de la información. Tiene su sede en Austin, Texas con
oficinas de desarrollo de productos y ventas en varios lugares de los Estados Unidos y otros paı́ses. La empresa cotizó
en bolsa desde mayo de 2009 hasta finales de 2015, y de nuevo a partir de octubre de 2018.
3 Un ataque de Gen V, también conocido como un ciberataque de quinta generación, es un vetor de ataque de

múltiples vectores a gran escala que está diseñado para infectar múltiples componentes de una infraestructura de
tecnologı́a de la información, incluidas redes, máquinas virtuales, instancias en la nube y dispositivos de punto final.
Los ataques de quinta generación pueden ser extremadamente peligrosos porque pueden propagarse rápidamente y
superar las defensas convencionales basadas en la detección, como los firewalls. Los ataques de la Generación V son
parte de la evolución natural de las amenazas, ya que el cambio de defensas obliga a los atacantes a perfeccionar su
arte. NotPetya y WannaCry son dos ejemplos tempranos de ataques de Gen V.

10 TENDENCIAS DE ATAQUES CIBERNÉTICOS 12

Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

ransomware y malware móvil y en la nube.

1. Tendencia 1: Ataques a la cadena de suministro de software en aumento

En los ataques a la cadena de suministro de software, el actor de la amenaza suele instalar
un código malicioso en el software legı́timo modificando e infectando uno de los componentes
básicos en los que se basa el software. Al igual que con las cadenas fı́sicas, las cadenas de
suministro de software son tan fuertes como su eslabón más débil.

Los ataques a la cadena de suministro de software se pueden dividir en dos categorı́as princi-
pales. El primero incluye ataques dirigidos que tienen como objetivo comprometer objetivos
bien definidos, escaneando su lista de proveedores en busca del eslabón más débil por el cual
podrı́an ingresar. Por ejemplo, el hackeo de SolarWinds proporcionó a los atacantes un ca-
mino para explotar muchas organizaciones grandes y de alto perfil.

En la segunda categorı́a, las cadenas de suministro de software se utilizan para comprometer

a tantas vı́ctimas como sea posible mediante la localización de un eslabón débil con un gran
radio de distribución. Un ejemplo de un ataque de este tipo es el hack Kaseya, software
explotado por ciberdelincuentes utilizado por proveedores de servicios gestionados (MSP)
para obtener acceso a las redes de sus clientes.
2. Tendencia 2: los ataques de ransomware no van a desaparecer
El ransomware se ha convertido en una de las principales preocupaciones de seguridad ci-
bernética para muchas organizaciones en los últimos años. Este malware pone en riesgo las
operaciones y los datos corporativos y conlleva un alto precio de recuperación.

El éxito generalizado de estos ataques ha impulsado el crecimiento y la innovación en la

industria del ransomware. Mientras los ataques de ransomware continúen siendo altamente
rentables, los operadores de ransomware continuarán refinando sus técnicas y malware y
llevando a cabo sus ataques.
3. Tendencia 3: Nubes bajo ataque
La creciente popularidad de los entornos de nube pública ha llevado a un aumento de los
ataques cibernéticos dirigidos a recursos y datos confidenciales que residen dentro de estas
plataformas. La mala configuración y la gestión deficiente de los recursos de la nube siguen
siendo la amenaza más importante para el ecosistema de la nube y fueron una de las princi-
pales causas de una gran cantidad de incidentes de robo de datos y ataques experimentados
por organizaciones en todo el mundo.

Las campañas de criptominerı́a en la nube han aumentado con técnicas mejoradas capaces
de evadir los productos básicos de seguridad en la nube. Los hosts de Docker 4 han quedado
expuestos y las campañas de criptominerı́a de los competidores que operan en la nube se
cerraron. Los investigadores de Check Point también fueron testigos de un aumento en el
número de explotaciones contra infraestructuras de nube pública.
4. Tendencia 4: Los criptomineros desperdician recursos corporativos
El malware de criptominerı́a o cryptojacking está diseñado para realizar ”minerı́a”de crip-
tomonedas en máquinas infectadas. Esta minerı́a consume energı́a y recursos de CPU para
encontrar bloques válidos para la cadena de bloques y ganar dinero para el atacante.

4 Docker es un proyecto de código abierto que automatiza el despliegue de aplicaciones dentro de contenedores

de software, proporcionando una capa adicional de abstracción y automatización de virtualización de aplicaciones

en múltiples sistemas operativos.

10 TENDENCIAS DE ATAQUES CIBERNÉTICOS 13

Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

5. Tendencia 5: Ataques a dispositivos móviles

La pandemia de COVID-19 provocó un aumento masivo en el uso de dispositivos móviles a
medida que el trabajo remoto aumentó drásticamente. A medida que los dispositivos móviles
se convirtieron en el centro de las operaciones comerciales, también llamaron la atención de
los ciberdelincuentes.

En 2021, el 46 % de las organizaciones tuvo un incidente en el que se descargó una aplicación

móvil maliciosa en un dispositivo corporativo. La creciente amenaza del malware móvil, ası́
como el aumento de los ataques de phishing dirigidos a los usuarios de dispositivos móviles
(a través de SMS, correo electrónico, etc.), ha creado riesgos de seguridad para casi todas las
organizaciones.

11. Un ataque cibernético es prevenible

A pesar de la prevalencia de los ataques cibernéticos, los datos de Check Point sugieren que
el 99 por ciento de las empresas no están protegidas de manera efectiva. Sin embargo, un ataque
cibernético es prevenible . La clave para la defensa cibernética es una arquitectura de seguridad
cibernética integral que tenga varias capas y abarque todas las redes, terminales y dispositivos
móviles, y la nube . Con la arquitectura adecuada, puede consolidar la gestión de varias capas de
seguridad y controlar la polı́tica a través de un único panel. Esto le permite correlacionar eventos
en todos los entornos de red, servicios en la nube e infraestructuras móviles.
Además de la arquitectura, Check Point recomienda estas medidas clave para prevenir ciber-
ataques:

1. Mantener la higiene de seguridad

2. Elija la prevención sobre la detección
3. Cubre todos los vectores de ataque
4. Implementar las tecnologı́as más avanzadas
5. Mantenga su inteligencia de amenazas actualizada

12. ¿Qué es Cyber Security Kill Chain?

El modelo de la Kill Chain de la ciberseguridad (cadena de exterminio de la ciberseguri-
dad) explica el procedimiento tı́pico que siguen los ciberdelincuentes para completar un ataque
cibernético con éxito. Se trata de un marco desarrollado por Lockheed Martin, derivado de
los modelos de ataque militares y trasladado al mundo digital para ayudar a los equipos a
comprender, detectar y prevenir las ciberamenazas persistentes. Aunque no todos los ciberataques
aplicarán los siete pasos del modelo de la Kill Chain de la ciberseguridad, la inmensa mayorı́a de
los ataques los utilizan casi todos, a menudo abarcando del paso 2 al paso 6.

12.1. ¿Cuáles son los pasos de la Kill Chain de la ciberseguridad?

Existen otros modelos de Kill Chain de la ciberseguridad desarrollados por otras empresas,
pero en aras de la simplicidad, vamos a ceñirnos al modelo de Lockheed Martin, que es el marco
más conocido del sector.

1. Paso 1: Reconocimiento: Como cualquier forma de guerra tradicional, los ciberataques

más exitosos comienzan con mucha recopilación de información. El reconocimiento es el
primer paso de la Kill Chain de la ciberseguridad y utiliza muchas técnicas, herramientas y
funciones comunes para explorar la web, como:

Motores de búsqueda

12 ¿QUÉ ES CYBER SECURITY KILL CHAIN? 14

Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

Archivos web
Servicios públicos en la nube
Registro de nombres de dominio
Comando WHOIS
Analizadores de protocolos de paquetes (Wireshark, tcpdump, WinDump, etc.)
Rastreo de red (nmap)
Comando DIG
Ping
Escaneos de puertos (Zenmap, TCP Port Scanner, etc.)

Los ciberdelincuentes emplean una amplia variedad de herramientas y técnicas para

recopilar información sobre sus objetivos, cada una de las cuales expone distintos fragmentos
de datos que pueden utilizar para encontrar puertas de acceso a sus aplicaciones, redes y
bases de datos que, cada vez más, están en la nube. Es importante que proteja sus datos
confidenciales detrás de defensas SASE5 en la nube, cifrado y páginas web seguras para
evitar que los atacantes localicen información comprometedora mientras navegan por los
recursos que usted pone a disposición del público, incluidas las aplicaciones y los servicios en
la nube.
2. Paso 2: Preparación: Una vez que un atacante haya recopilado suficiente información
sobre su objetivo, elegirá uno o varios vectores de ataque para iniciar la intrusión a su
espacio. Un vector de ataque es un medio que emplea un ciberdelincuente para lograr el
acceso no autorizado a sus sistemas y su información. Los vectores de ataque varı́an des-
de los más básicos hasta los más técnicos, pero lo que hay que tener en cuenta es que los
ciberdelincuentes suelen elegir los objetivos evaluando el coste frente al retorno de la inversión.

Cualquier cosa, desde la capacidad de procesamiento hasta el tiempo necesario para obtener
valor, es un factor que los atacantes tienen en cuenta. Los ciberdelincuentes tı́picos se
abrirán paso fácilmente por la ruta de menor resistencia, por eso es tan importante
considerar todos los puntos de entrada posibles a lo largo de la superficie de ataque (todos
los puntos totales en los que se es susceptible de un ataque) y reforzar su seguridad como
corresponda.
Los vectores de ataque más comunes son:

Credenciales poco seguras o robadas

Servicios de acceso remoto (RDP, SSH, VPN)
Empleados descuidados
Atacantes internos
Cifrado deficiente o ausencia de cifrado
Errores de configuración del sistema
Relaciones de confianza entre dispositivos y sistemas
Phishing (ingenierı́a social)
Ataques de denegación de servicio
Ataques de intermediario (MITM)
Troyanos
Ataques de inyección SQL
Y muchos más
5 (Secure Access Service Edge) es la solución que da forma a la primera lı́nea de defensa frente al cibercrimen.

12 ¿QUÉ ES CYBER SECURITY KILL CHAIN? 15

Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

Recuerde: un ciberdelincuente solo necesita un vector de ataque para tener éxito. Por
lo tanto, la fortaleza de su seguridad se mide por su punto más débil y de usted depende
descubrir dónde se encuentran esos posibles vectores de ataque. Los ataques de ransomware
siguen explotando los servicios de acceso remoto para lograr el acceso, hacer movimientos
laterales, detectar datos confidenciales para filtrarlos al exterior, todo ello antes de cifrarlos
y enviar solicitudes de rescate.

Ası́ pues, por lo general, una vez que un atacante está dentro, el siguiente movimiento
es encontrar distintas formas de moverse lateralmente a través de su red o sus recursos en
la nube y elevar sus privilegios de acceso para, con su ataque, recopilar la información más
valiosa, y mantenerse oculto durante el mayor tiempo posible. Para prevenir este tipo de
comportamiento, es necesario adoptar principios de ((confianza cero)) que, una vez aplicados
a la arquitectura de seguridad y de la red, solicitan constantemente la reafirmación de la
identidad a los usuarios que se mueven de un área a otra dentro de las redes o aplicaciones.
3. Paso 3: Distribución:
Ahora que un ciberdelincuente ha conseguido acceder a sus sistemas, tendrá la
libertad que necesita para distribuir la carga de lo que tenga reservado para usted (malware,
ransomware, spyware, etc.). Configurará programas para todo tipo de ataques, ya sean inme-
diatos, programados o desencadenados por una determinada acción (ataque de bomba lógica).
A veces, estos ataques son un movimiento único y, en otras ocasiones, los ciberdelincuentes
establecerán una conexión remota a su red que se supervisará y administrará constantemente.

Desde la detección de malware con Next Gen SWG hasta el descifrado TLS y la
inspección del tráfico web y en la nube son componentes clave para prevenir la distribución
de este tipo de cargas. Cada vez más, los ataques se distribuyen a través de la nube; el
porcentaje de malware distribuido en la nube frente al distribuido en la web ya es del 68 %.
Es esencial ejecutar servicios de escaneo de amenazas en lı́nea en el tráfico web y en la nube,
ası́ como llevar un control del estado de todos los dispositivos de endpoint, para garantizar
que la empresa no esté infectada con ningún software malicioso.

4. Paso 4: Explotación: Una vez que el atacante ha distribuido su carga, comienza la

explotación del sistema, que depende del tipo de ataque. Como se mencionó anteriormente,
algunos ataques se programan para más adelante y otros se activan cuando el objetivo ejecuta
una acción especı́fica; es lo que se conoce como ((bomba lógica)). Estos programas a veces
incluyen caracterı́sticas de ofuscación para ocultar su actividad y origen, con el fin de evitar
la detección.

Una vez que se activa el programa ejecutable, el ciberdelincuente podrá iniciar el

ataque según lo previsto, lo que nos lleva a los siguientes pasos, que abarcan diferentes tipos
de explotaciones.

5. Paso 5: Instalación: Si un ciberdelincuente ve la oportunidad de realizar ataques

en el futuro, su siguiente movimiento es instalar una puerta trasera para acceder de forma
constante a los sistemas del objetivo. De esta manera, puede moverse dentro y fuera de la
red del objetivo sin correr el riesgo de que lo detecten al volver a entrar a través de otros
vectores de ataque.

Este tipo de puertas traseras se pueden establecer a través de rootkits y creden-

ciales débiles, y siempre y cuando su comportamiento no presente ninguna señal de alerta
para un equipo de seguridad (como tiempos de inicio de sesión inusuales o grandes movi-
mientos de datos), estas intrusiones pueden ser difı́ciles de detectar. La arquitectura SASE
está unificando defensas de seguridad para recopilar metadatos útiles sobre usuarios, dispo-
sitivos, aplicaciones, datos, actividad y otros atributos, para ayudar a investigar y mejorar
la detección de anomalı́as.

12 ¿QUÉ ES CYBER SECURITY KILL CHAIN? 16

Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

6. Paso 6: Comando y control: Una vez que los programas y las puertas traseras
están instalados, el atacante tomará el control de los sistemas y ejecutará cualquier ataque
que tenga pensado para usted. Cualquier acción emprendida aquı́ será con el único fin de
mantener el control de la situación con el objetivo, lo que puede tomar todo tipo de formas,
como instalar ransomware, spyware u otros medios para filtrar datos al exterior en el futuro.

Desafortunadamente, una vez que se detecta una intrusión y una fuga de infor-
mación, probablemente sea demasiado tarde: los ciberdelincuentes ya tendrán el control de
su sistema. Por eso es importante contar con medidas de protección que controlen y evalúen
los movimientos de datos en busca de cualquier actividad sospechosa. Es mucho más proba-
ble que una máquina detecte y evite el comportamiento malicioso más rápido que cualquier
administrador de red.
7. Paso 7: Acciones sobre los objetivos: Todo ha llevado a esto. Esta es la fase de
ejecución continua en la que un atacante emprende acciones sobre su objetivo y
puede cifrar sus datos para pedirle un rescate, filtrar sus datos al exterior para obtener
un beneficio económico, hacer que caiga su red mediante un ataque por denegación de servicio
o vigilar los comportamientos en su sistema para encontrar otros accesos mediante spyware,
por nombrar solo algunas posibles consecuencias. El espionaje y la vigilancia son las acciones
principales en este último paso de la Kills Chain, en el que los atacantes mantienen una
actitud discreta y persisten.

Por eso, es crucial monitorizar el movimiento de datos y detectar comportamientos

sospechosos en tiempo real, porque los atacantes se moverán lo más rápido posible
para conseguir sus objetivos. Nunca hay tiempo suficiente para reaccionar a todas las
posibles anomalı́as dentro de una gran estructura corporativa, por lo que su papel en la
prevención debe ser proactivo en lugar de reactivo.

13. La matriz de MITRE: tácticas y técnicas en entornos

industriales
La organización MITRE ha desarrollado una matriz para el seguimiento y análisis de los
incidentes detectados en el mundo industrial que recopila gran parte de las tácticas, técnicas y
procedimientos utilizados. En este artı́culo se pretende describir el contenido de dicha matriz.

El proyecto ATT&CK footnote, presentado en 2013, pretendı́a ser un estándar para descri-
bir y categorizar comportamientos de los atacantes y clasificar los mismos en tácticas,
técnicas y procedimientos. Actualmente, el proyecto cuenta con varias matrices para diferentes
ámbitos, donde se recopilan diferentes tácticas y técnicas dependiendo del tema abordado. Las
matrices se basan en tácticas, que son métodos utilizados para alcanzar un objetivo especı́fico; y
técnicas, que definen la forma de realizar acciones o estrategias concretas para alcanzar diferen-
tes objetivos definidos dentro de cada táctica. Ambas poseen un identificador único asociado que
permite hacer una referencia a ellas sin generar dudas.
Entre las matrices, además de la relacionada con Sistemas de Control Industrial, pueden con-
sultarse otras que también aportan información de interés:

1. PRE-ATT&CK – Matriz que recopila las tácticas y técnicas detectadas en algunos ataques
y que guardan estrecha relación con las dos primeras fases (reconocimiento y preparación) de
la taxonomı́a de ataque propuesta por Loocked Martin (Cyber Kill Chain). Podrı́a decirse
que en esta matriz se recopilan los trabajos previos al ataque.
2. Enterprise – Relacionada con ataques en entornos corporativos. Dado que los entornos
corporativos evolucionan tanto como la tecnologı́a que se despliega dentro de los mismos,
se han creado diferentes submatrices dependiendo del sistema operativo (Windows, macOS

13 LA MATRIZ DE MITRE: TÁCTICAS Y TÉCNICAS EN ENTORNOS INDUSTRIALES17

Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

y Linux) y algunas tecnologı́as como la Cloud (AWS, GCP, Azure, Office 365, Azure AD,
SaaS).
3. Mobile – MITRE ha incorporado dentro de sus matrices dos especı́ficas para tratar dispo-
sitivos móviles, una relacionada con el acceso a dispositivos, y otra para efectos originados
en la red que pueden ser utilizados por adversarios sin acceso a dispositivos. Se han definido
para sistemas iOS y Android.

13.1. ¿Qué es el marco MITRE ATT&CK?

El marco MITRE ATT&CK, una herramienta creada por MITRE Corporation , desglosa el
ciclo de vida del ciberataque en sus etapas componentes y proporciona información detallada sobre
cómo se puede lograr cada etapa. Los equipos de seguridad pueden aprovechar esta información
de varias maneras para mejorar la detección y respuesta a amenazas (TDR) .

13.2. El marco MITRE ATT&CK

El marco MITRE ATT&CK está diseñado para generar conciencia y comprensión sobre cómo
funcionan los ataques cibernéticos. Para lograr esto, organiza la información en una jerarquı́a, que
incluye:
1. Tácticas: MITRE ATT&CK Las tácticas son objetivos de alto nivel que un atacante
puede desear lograr durante un ciberataque. Esto incluye etapas de un ataque como obtener
acceso inicial a un sistema, comprometer cuentas de usuario y moverse lateralmente a través
de la red.
2. Técnicas: Para cada una de las Tácticas de alto nivel, MITRE ATT&CK define múltiples
Técnicas para lograr el objetivo. Por ejemplo, un atacante puede obtener acceso a las cre-
denciales del usuario a través de un ataque de adivinación de fuerza bruta, robándolas del
sistema operativo y otros métodos.
3. Subtécnicas: algunas técnicas MITRE ATT&CK se pueden lograr de varias otras maneras
(llamadas subtécnicas). Por ejemplo, un ataque de contraseña de fuerza bruta podrı́a lograrse
mediante el descifrado de hash de contraseña, el relleno de credenciales u otros medios.
Las tácticas, técnicas y subtécnicas de MITRE ATT&CK profundizan en una forma especı́fica
en la que un atacante puede lograr un objetivo. Para cada una de estas técnicas, MITRE ATT&CK
incluye una descripción del ataque, ası́ como lo siguiente:
1. Procedimientos: Los procedimientos describen ejemplos especı́ficos del uso de una técnica.
Esto incluye malware, herramientas de piraterı́a y actores de amenazas que se sabe que usan
esa técnica en particular.
2. Detección: para una técnica determinada, MITRE ATT&CK recomienda métodos para
detectar la técnica. Esta sección es invaluable para diseñar defensas de seguridad cibernética
porque describe los tipos de información que se deben recopilar para detectar un ataque en
particular.
3. Mitigación: La sección de mitigación describe los pasos que una organización puede tomar
para prevenir o reducir el impacto de una técnica en particular. Por ejemplo, el uso de la
autenticación multifactor (MFA) es una mitigación común para las técnicas diseñadas para
lograr el acceso a las cuentas de los usuarios.

14. ¿Qué es el código malicioso?

El código malicioso funciona como cualquier tipo de software: se implementa como un conjunto
de instrucciones que se ejecutan en una computadora y se puede diseñar para lograr una variedad
de efectos diferentes. El código malicioso puede robar información confidencial, denegar el acceso
a datos o funcionalidades importantes, o lograr otros efectos.

14 ¿QUÉ ES EL CÓDIGO MALICIOSO? 18

Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

14.1. Cómo funciona el código malicioso

Para que el código malicioso logre su propósito, debe lograr la ejecución, lo que se puede hacer de
varias maneras. Algunos de los métodos que un atacante puede usar para ejecutar código malicioso
en una computadora de destino incluyen:
1. Ingenierı́a social: un atacante puede usar phishing y otras tácticas de ingenierı́a social
para entregar malware a un usuario. Si el usuario ejecuta este malware, se ejecuta un código
malicioso en su dispositivo.
2. Scripts maliciosos: los sitios web pueden incluir código ejecutable que se ejecuta en el
contexto de un navegador web. Los scripts maliciosos incrustados en un sitio web pueden
recopilar información confidencial o explotar vulnerabilidades dentro del navegador para ob-
tener acceso a la computadora de un usuario.

3. Explotación de vulnerabilidades: las vulnerabilidades en el software que procesa datos

de usuario que no son de confianza pueden permitir que los datos de usuario cuidadosamente
elaborados se interpreten y ejecuten como código. Estas vulnerabilidades de ejecución remo-
ta de código (RCE) permiten ejecutar código malicioso con el acceso y los permisos de la
aplicación vulnerable.

4. Exploits de la cadena de suministro: las empresas suelen utilizar software de terceros e

incluyen bibliotecas de terceros en sus aplicaciones. Un atacante podrı́a insertar una funcio-
nalidad maliciosa en este código externo o aprovechar sus vulnerabilidades para obtener la
ejecución del código en un dispositivo de destino.
5. Cuentas comprometidas: los ciberdelincuentes suelen intentar robar las credenciales de
las cuentas legı́timas de los empleados. Con estas credenciales, un atacante puede acceder
directamente a los sistemas corporativos mediante soluciones de acceso remoto como VPN o
RDP 6 y ejecutar código malicioso en los dispositivos corporativos.

14.2. Ejemplos de código malicioso

El código malicioso se puede diseñar para lograr varios propósitos. Algunos tipos comunes de
código malicioso incluyen:

1. Ransomware : el ransomware está diseñado para denegar el acceso a los archivos y datos
de una organización cifrándolos con una clave que solo el atacante conoce. Luego, el atacante
exige el pago de un rescate a cambio de restaurar el acceso a los datos de la organización.
2. Ladrones de información: los ladrones de información recopilan información confidencial
del dispositivo de un usuario. Esto podrı́a incluir credenciales de inicio de sesión, datos de
tarjetas de crédito y otra información confidencial.
3. Puertas traseras: las puertas traseras proporcionan a un atacante acceso remoto a un
dispositivo infectado. Esto se usa a menudo para obtener acceso inicial a los sistemas de una
organización y preparar el escenario para ataques de seguimiento.

4. Caballos de Troya : Los troyanos son malware que parece un archivo legı́timo. A menudo
se entregan a través de ataques de phishing o descargas maliciosas.
6 Remote Desktop Protocol (RDP) Protocolo de Escritorio Remoto es un protocolo propietario desarrollado

por Microsoft que permite la comunicación en la ejecución de una aplicación entre una terminal (mostrando la
información procesada que recibe del servidor) y un servidor Windows (recibiendo la información dada por el
usuario en el terminal mediante el ratón o el teclado).

14 ¿QUÉ ES EL CÓDIGO MALICIOSO? 19

Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

14.3. Cómo protegerse contra ataques de código malicioso

Algunas formas en que una organización puede protegerse contra la amenaza de código malicioso
incluyen:

1. Capacitación en seguridad para empleados: los ciberdelincuentes comúnmente usan

ataques de phishing para entregar malware o robar credenciales para cuentas de usuario.
Capacitar a los empleados para que reconozcan y respondan adecuadamente a este tipo de
ataques puede disminuir el riesgo de código malicioso para la organización.
2. Soluciones antiphishing: incluso los empleados mejor capacitados no detectarán todas
las amenazas de phishing. Las organizaciones deben implementar soluciones antiphishing
que eviten que los correos electrónicos que contengan enlaces o archivos adjuntos maliciosos
lleguen a las bandejas de entrada de los usuarios.
3. Software antivirus y antimalware: el antivirus y el antimalware pueden detectar y blo-
quear la entrada de código malicioso en el dispositivo de un usuario y evitar que se ejecute.
4. Navegación web segura: un atacante puede ejecutar código malicioso en el dispositivo
de un usuario utilizando scripts maliciosos integrados en una aplicación web o descargas
maliciosas de un sitio web. Las soluciones de navegación segura pueden identificar y bloquear
la ejecución de scripts maliciosos y la descarga de archivos maliciosos en los dispositivos de
los empleados.
5. Escaneo de vulnerabilidades de software: los ciberdelincuentes pueden explotar las vul-
nerabilidades de software para lograr la ejecución de código malicioso. Las prácticas seguras
de DevOps y las pruebas de seguridad estáticas y dinámicas pueden ayudar a prevenir vul-
nerabilidades en las aplicaciones de una organización. El análisis de vulnerabilidades puede
identificar vulnerabilidades en las aplicaciones implementadas, lo que permite a una organi-
zación aplicar parches y actualizaciones.
6. Parches y actualizaciones de software: una técnica común mediante la cual los ciberde-
lincuentes implementan código malicioso es mediante la explotación de software con vulne-
rabilidades conocidas. La aplicación inmediata de actualizaciones de software puede permitir
que una organización cierre las brechas de seguridad antes de que un atacante pueda apro-
vecharlas.
7. Gestión de acceso de confianza cero: los actores de amenazas cibernéticas que se afianzan
en los sistemas de una organización pueden usar ese acceso para moverse lateralmente y
acceder a otros sistemas. La implementación de ZTNA 7 y privilegios mı́nimos limita el daño
que el código malicioso puede causar a una organización.

15. Prevención de código malicioso con Check Point

Los actores de amenazas cibernéticas usan código malicioso para atacar a las organizaciones de
varias maneras. Para obtener más información sobre las principales amenazas a las que se enfrentan
las empresas, consulte el Informe de seguridad cibernética 2022 de Check Point.

Check Point Harmony proporciona capacidades de prevención de amenazas lı́deres en la in-

dustria en todo el entorno de TI de una organización. Para ver cómo Harmony Suite bloquea los
ataques de códigos maliciosos.
7 Zero Trust Network Access - El modelo de seguridad de confianza cero establece que un usuario solo debe tener

el acceso y los permisos que necesita para cumplir su función. Este es un enfoque muy diferente al proporcionado por
las soluciones de seguridad tradicionales, como las VPN , que otorgan al usuario acceso completo a la red de destino.
Acceso a la red de confianza cero (ZTNA), también conocido como perı́metro definido por software (SDP) , las
soluciones están diseñadas para implementar y hacer cumplir la polı́tica de confianza cero de una organización. Los
usuarios que intentan conectarse a las aplicaciones de una organización solo pueden hacerlo si necesitan ese acceso
para realizar sus funciones. Esto reduce drásticamente el riesgo cibernético de una organización y la exposición a
las amenazas cibernéticas.

15 PREVENCIÓN DE CÓDIGO MALICIOSO CON CHECK POINT 20

Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

16. ¿Qué es la denegación de servicio (DoS)?

Un evento de denegación de servicio (DoS) es un ataque cibernético en el que los piratas in-
formáticos o los delincuentes cibernéticos buscan hacer que una máquina host, un servicio en lı́nea
o un recurso de red no esté disponible para sus usuarios previstos.

Los ataques de denegación de servicio distribuidos pueden ser el tipo de incidente de piraterı́a
más conocido (los ataques GitHub de 2018 y Dyn DDoS de 2016 son los más destacados), pero
hay muchos otros tipos de ataques de denegación de servicio que no necesariamente involucran el
ataque distribuido o enfoque de red de bots. Sin embargo, en prácticamente todos los casos, los
eventos de denegación de servicio se caracterizan porque la máquina o el servicio de destino se
inunda con el tráfico entrante hasta el punto en que los recursos de procesamiento o de ancho de
banda se ven abrumados y desconectados.

16.1. Orı́genes de las amenazas de denegación de servicio

En los ataques de denegación de servicio convencionales, el pirata informático transmite múlti-
ples solicitudes a la máquina o servicio de destino con direcciones de protocolo de Internet
(IP) de retorno ficticias. Cuando el servidor intenta autenticar estas direcciones, encuentra una
ola de respuestas de códigos de error, lo que desencadena una cadena recurrente de tráfico SMTP
que puede saturar rápidamente el servidor. De manera similar, con un Smurf Attack, el pirata
informático transmitirı́a paquetes a múltiples hosts con una dirección IP falsificada perteneciente
a esas máquinas de destino. Cuando las máquinas host del destinatario responden, se inundan de
manera efectiva con el tráfico de paquetes de respuesta.

En una inundación SYN, un atacante aprovecha el proceso TCP 3-Way Handshake (SYN,
SYN-ACK, ACK) para desconectar un servicio. En el protocolo de enlace de 3 vı́as, el servidor
A iniciarı́a un mensaje de solicitud de SINCRONIZACIÓN de TCP al servidor B. Al recibir
la solicitud, el host B (la máquina de destino) envı́a un paquete de reconocimiento de SINCRO-
NIZACIÓN al servidor A. Es en este punto que la denegación de servicio se produce. En un
intercambio legı́timo para establecer una conexión de socket TCP, el siguiente paso serı́a que el
host A enviara un mensaje de reconocimiento al host B, pero cuando el hacker que controla el
host A evita que esto suceda, el protocolo de enlace no se puede completar. El resultado es que el
host B tiene un puerto conectado que no está disponible para solicitudes adicionales.

16.2. Evolución de las amenazas de denegación de servicio

Las inundaciones SYN, los ataques banana y otros tipos de ataques DoS convencionales to-
davı́a se usan en la actualidad y, por supuesto, los ataques DDoS impulsados por botnets siguen
siendo una amenaza constante.

Pero en los últimos años, los piratas informáticos maliciosos han ampliado la cantidad de máqui-
nas y servicios a los que apuntan, y ampliaron considerablemente la superficie de amenazas. Cada
vez más, las organizaciones son objeto de ataques de degradación del servicio de menor inten-
sidad que infligen costosas ralentizaciones del servicio sin desconectar completamente los recursos.

17. ¿Qué es un cortafuegos?

Un Firewall es un dispositivo de seguridad de red que monitorea y filtra el tráfico de red entran-
te y saliente en función de las polı́ticas de seguridad establecidas previamente por una organización.

En su forma más básica, un firewall es esencialmente la barrera que se encuentra entre una red
interna privada y la Internet pública. El objetivo principal de un cortafuegos es permitir la entrada
de tráfico no amenazante y mantener fuera el tráfico peligroso.
Vea la figura 1

17 ¿QUÉ ES UN CORTAFUEGOS? 21
Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

Figura 1: Filtering rules based on TCP and UDP destination port numbers

17.1. Historial de cortafuegos

Los cortafuegos existen desde finales de la década de 1980 y comenzaron como filtros de paque-
tes, que eran redes configuradas para examinar paquetes, o bytes, transferidos entre computadoras.
Aunque los cortafuegos de filtrado de paquetes todavı́a se usan en la actualidad, los cortafuegos
han recorrido un largo camino a medida que la tecnologı́a se ha desarrollado a lo largo de las
décadas.

1. Gen 1 Virus: Generación 1, fines de la década de 1980, los ataques de virus en PC inde-
pendientes afectaron a todas las empresas e impulsaron los productos antivirus.
2. Gen 2 Networks: Generación 2, mediados de la década de 1990, los ataques de Internet
afectaron a todos los negocios e impulsaron la creación del firewall.
3. Gen 3 Applications: Generación 3, principios de la década de 2000, explotando vulnerabi-
lidades en aplicaciones que afectaron a la mayorı́a de las empresas e impulsaron los productos
de sistemas de prevención de intrusiones (IPS).
4. Gen 4 Payload: Generación 4, aprox. 2010, aumento de ataques polimórficos, evasivos,
desconocidos y dirigidos que afectaron a la mayorı́a de las empresas e impulsaron productos
anti-bot y sandboxing.
5. Gen 5 Mega: Generación 5, aprox. 2017, megaataques a gran escala, multivectoriales, utili-
zando herramientas de ataque avanzadas y está impulsando soluciones avanzadas de preven-
ción de amenazas.

En 1993, el CEO de Check Point, Gil Shwed, presentó el primer firewall de inspección con
estado, FireWall-1. Veintisiete años después, un firewall sigue siendo la primera lı́nea de defensa
de una organización contra los ataques cibernéticos.

Los firewalls actuales, incluidos los firewalls de próxima generación y los firewalls de red, admiten
una amplia variedad de funciones y capacidades con caracterı́sticas integradas, que incluyen:

Prevención de amenazas de red

Control basado en aplicaciones e identidad
Soporte de nube hı́brida
Rendimiento escalable

Vea la figura 9

17.2. Tipos de cortafuegos

1. Filtrado de paquetes: Una pequeña cantidad de datos se analiza y distribuye de acuerdo
con los estándares del filtro.
2. Servicio de proxy: Sistema de seguridad de red que protege mientras filtra los mensajes
en la capa de aplicación.

17 ¿QUÉ ES UN CORTAFUEGOS? 22
Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

Figura 2: Rules for filtering based on ACK field bit

3. Inspección de estado: Filtrado dinámico de paquetes que monitorea las conexiones activas
para determinar qué paquetes de red permitir a través del Firewall.
4. Cortafuegos de próxima generación (NGFW): Cortafuegos de inspección profunda de
paquetes con inspección a nivel de aplicación.

17.3. ¿Qué hacen los cortafuegos?

Un Firewall es una parte necesaria de cualquier arquitectura de seguridad y elimina las conje-
turas de las protecciones a nivel de host y las confı́a a su dispositivo de seguridad de red.

Los cortafuegos, y especialmente los cortafuegos de última generación, se centran en blo-

quear el malware y los ataques a la capa de aplicación, junto con un sistema de prevención de
intrusiones (IPS) integrado, estos cortafuegos de próxima generación pueden reaccionar de forma
rápida y sin problemas para detectar y reaccionar ante ataques externos en toda la red. Pue-
den establecer polı́ticas para defender mejor su red y realizar evaluaciones rápidas para detectar
actividades invasivas o sospechosas, como malware, y cerrarlas.

17.4. ¿Por qué necesitamos cortafuegos?

Los cortafuegos, especialmente los cortafuegos de última generación , se centran en bloquear el
malware y los ataques a la capa de aplicación. Junto con un sistema integrado de prevención de
intrusiones (IPS) , estos firewalls de próxima generación pueden reaccionar de manera rápida y
sin problemas para detectar y combatir ataques en toda la red.

Los cortafuegos pueden actuar sobre polı́ticas establecidas previamente para proteger mejor
su red y pueden realizar evaluaciones rápidas para detectar actividades invasivas o sospechosas,
como malware, y cerrarlas. Al aprovechar un firewall para su infraestructura de seguridad, está
configurando su red con polı́ticas especı́ficas para permitir o bloquear el tráfico entrante y saliente.

17.5. Inspección de la capa de red frente a la capa de aplicación

La capa de red o los filtros de paquetes inspeccionan los paquetes en un nivel relativamente bajo
de la pila de protocolos TCP/IP, lo que no permite que los paquetes atraviesen el cortafuegos a
menos que coincidan con el conjunto de reglas establecido donde el origen y el destino del conjunto
de reglas se basan en el Protocolo de Internet ( IP) direcciones y puertos. Los firewalls que
realizan la inspección de la capa de red funcionan mejor que los dispositivos similares que realizan
la inspección de la capa de aplicación.

La desventaja es que las aplicaciones no deseadas o el malware pueden pasar por los puertos
permitidos, por ejemplo, el tráfico de Internet saliente a través de los protocolos web HTTP y
HTTPS, puerto 80 y 443 respectivamente.

17.6. Las 5 funciones de cortafuegos imprescindibles

Desde pequeñas puertas de enlace hasta grandes soluciones de hiperescala, los firewalls vienen
en una variedad de opciones. Aquı́ discutimos las 5 caracterı́sticas y capacidades del software que

17 ¿QUÉ ES UN CORTAFUEGOS? 23
Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

cualquier firewall debe tener para prevenir ataques cibernéticos de manera efectiva.

1. Gestión de seguridad unificada: Las organizaciones deben hacer frente a la creciente

complejidad de la seguridad de la red . Las redes de la mayorı́a de las empresas son cada
vez más grandes y complejas a medida que los dispositivos móviles, las implementaciones
en la nube y los dispositivos de Internet de las cosas (IoT) se unen a las estaciones de
trabajo de los usuarios tradicionales y los servidores locales en la red corporativa. Al mismo
tiempo, las ciberamenazas son cada vez más sofisticadas y numerosas. Como resultado, las
empresas deben implementar, monitorear y mantener una gama cada vez mayor de soluciones
de seguridad para administrar su riesgo cibernético.
El firewall de próxima generación de una organización deberı́a ayudar a aliviar la com-
plejidad de la seguridad, no contribuir a ella. Un firewall con funcionalidad integrada de
administración de seguridad unificada (USM) permite que el equipo de seguridad de
una organización administre y haga cumplir las polı́ticas de seguridad de manera fácil y efi-
ciente en todo su entorno de red. Esto permite que el equipo de seguridad se mantenga al dı́a
con la superficie de ataque digital en expansión de la empresa y minimice el riesgo cibernético
de la organización.
2. Prevención de amenazas: Cuanto más tiempo tenga acceso una amenaza cibernética a
la red de una organización, más costoso será remediarlo. Los ataques cibernéticos pueden
causar daños y gastos adicionales de varias maneras diferentes.
La filtración de datos confidenciales puede dar lugar a sanciones legales y reglamentarias, el
ransomware puede disminuir la productividad y provocar una pérdida de beneficios, e incluso
el malware simple a menudo tiene mecanismos de persistencia diseñados para que sea difı́cil
y lento eliminarlo de un sistema. Minimizar el daño que un ciberataque puede causar a una
red requiere la prevención de amenazas.
Al identificar y bloquear un ataque antes de que cruce el lı́mite de la red, una organización
anula la amenaza que representa para la red. Esta es la razón por la cual un fire-
wall de red con funcionalidad integrada de prevención de amenazas, que incluye
antiphishing, antimalware, antibot e integración con fuentes de inteligencia de
amenazas de alta calidad, es un componente esencial de la estrategia de ciberseguridad
de una organización.
3. Inspección basada en aplicaciones e identidad: Los esfuerzos de transformación digital
significan que el panorama de red de una organización está en constante evolución. Las
nuevas aplicaciones se implementan en la red corporativa para lograr ciertos objetivos y
otras se eliminan gradualmente cuando se vuelven obsoletas. Diferentes aplicaciones requieren
diferentes polı́ticas. Algunas aplicaciones pueden ser tráfico de alta prioridad, mientras que
otras deben bloquearse, limitarse o administrarse de otra manera en la red.
El firewall de próxima generación de una organización debe ser capaz de identificar la
aplicación que genera un flujo de tráfico particular y aplicar polı́ticas especı́ficas de la apli-
cación a ese tráfico. Las organizaciones también están compuestas por una serie de personas
con diferentes funciones y responsabilidades laborales.
Las polı́ticas de seguridad de una organización también deben poder configurarse en
función de la identidad del usuario. Los empleados dentro de una organización deben tener
acceso a diferentes sistemas y poder usar diferentes conjuntos de aplicaciones. Un firewall
debe admitir la creación y aplicación de polı́ticas en función de la identidad del
usuario.
4. Soporte de nube hı́brida: Casi todas las organizaciones usan computación en la nube
y la gran mayorı́a usa una implementación de nube hı́brida. Las implementaciones de
nube pública y privada tienen diferentes requisitos de seguridad, y es necesario que una
organización pueda aplicar polı́ticas de seguridad coherentes en entornos basados en la nube
alojados por varios proveedores. Por esta razón, el firewall de próxima generación de una
organización debe incorporar soporte de nube hı́brida.

17 ¿QUÉ ES UN CORTAFUEGOS? 24
Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

El firewall debe ser fácilmente implementable y escalable en cualquier entorno

de nube importante y permitir que el equipo de seguridad de una organización administre
todas sus configuraciones de seguridad desde una sola consola. Según Gartner , el 99 % de
los fallos de seguridad en la nube hasta 2025 serán culpa del cliente , un problema
que el cortafuegos de la empresa deberı́a ayudar a evitar a la organización.
5. Rendimiento escalable: Muchas organizaciones han hecho la transición a una in-
fraestructura basada en la nube debido a su mayor escalabilidad y flexibilidad. En última
instancia, queremos los beneficios de la nube, en la nube y en las instalaciones. En la nube,
esto simplemente significa elegir una plantilla NGFW. En lo que respecta a las instalaciones,
esto significa mirar más allá de las soluciones de clústeres de alta disponibilidad heredadas.
La hiperescala es la capacidad de una arquitectura para escalar adecuadamente a medida
que se agrega una mayor demanda al sistema. Esto implica la capacidad de aprovisionar
y agregar sin problemas más recursos al sistema que conforman un entorno informático
distribuido más grande.
La hiperescala es necesaria para construir un sistema distribuido robusto y escalable. En
otras palabras, es la estrecha integración de las capas de almacenamiento, cómputo y virtua-
lización de una infraestructura en una única arquitectura de solución.

17.7. Selección del cortafuegos de próxima generación adecuado

Elegir el firewall adecuado para su organización puede ser un desafı́o, ya que existen varias
opciones diferentes y no todas son iguales. Las soluciones de firewall abarcan toda la gama, desde
pequeñas puertas de enlace hasta soluciones de hiperescala.
El primer paso para elegir un firewall de próxima generación que sea capaz de garantizar la
seguridad de la red de su organización tanto ahora como en el futuro es comprender las caracterı́sti-
cas vitales que debe proporcionar un firewall de próxima generación. Para obtener más información
sobre qué buscar en un firewall, consulte esta guı́a.

17.8. La importancia de NAT y VPN

Los cortafuegos también realizan funciones básicas de nivel de red, como traducción de direc-
ciones de red (NAT) y red privada virtual (VPN).

La traducción de direcciones de red oculta o traduce las direcciones IP internas de clientes o

servidores que pueden estar en un rango de direcciones privadas, como se define en RFC 1918 a
una dirección IP pública. Ocultar las direcciones de los dispositivos protegidos preserva la canti-
dad limitada de direcciones IPv4 y es una defensa contra el reconocimiento de la red, ya que la
dirección IP se oculta de Internet.

De manera similar, una red privada virtual (VPN) extiende una red privada a través de una
red pública dentro de un túnel que a menudo está encriptado donde el contenido de los paquetes
está protegido mientras atraviesa Internet. Esto permite a los usuarios enviar y recibir datos de
forma segura a través de redes públicas o compartidas.

17.9. Firewalls de próxima generación y más allá

Los firewalls de última generación inspeccionan los paquetes en el nivel de la aplicación de
la pila TCP/IP y pueden identificar aplicaciones como Skype o Facebook y hacer cumplir la
polı́tica de seguridad según el tipo de aplicación.

Hoy en dı́a, los dispositivos UTM (Administración Unificada de Amenazas) y los Fi-
rewalls de Próxima Generación también incluyen tecnologı́as de prevención de amenazas como el

17 ¿QUÉ ES UN CORTAFUEGOS? 25
Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

sistema de prevención de intrusiones (IPS) o Antivirus para detectar y prevenir malware y amena-
zas. Estos dispositivos también pueden incluir tecnologı́as de sandboxing 8 para detectar amenazas
en los archivos.

A medida que el panorama de la seguridad cibernética continúa evolucionando y los ataques

se vuelven más sofisticados, los firewalls de próxima generación seguirán siendo un componente
esencial de la solución de seguridad de cualquier organización, ya sea que se encuentre en el centro
de datos, la red o la nube. Para obtener más información sobre las capacidades esenciales que debe
tener su Firewall de próxima generación, descargue la Guı́a del comprador de Firewall de próxima
generación (NGFW) hoy.
Vea la figura 3:

Figura 3: Bastion host between a private network and the bad network

Vea la figura 4
Vea la figura 5

18. ¿Qué es VPN (red privada virtual)?

Si bien muchos protocolos de red tienen cifrado incorporado, esto no es cierto para todo el
tráfico de Internet. Esto significa que un atacante podrı́a espiar y modificar los datos a medida
que fluyen por la red. Una red privada virtual (VPN) está diseñada para solucionar este problema.
8 Un sandbox es una réplica del área operativa de un ordenador, solo que sin acceso al resto de la red. Si estás
utilizando un solo programa, el sandboxing establece el programa a un lado en un entorno separado. El sandbox en
sı́ funciona de forma aislada, imitando tu sistema. Esto protege tu ordenador y red en el caso de un problema de
seguridad.

18 ¿QUÉ ES VPN (RED PRIVADA VIRTUAL)? 26

Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

Figura 4: Firewalls in a changing parameter security

Proporciona una conexión segura y privada entre dos puntos que se comunican a través de una
red pública.

18.1. ¿Cómo funciona una VPN?

Una VPN proporciona una conexión segura y encriptada entre dos puntos. Antes de confi-
gurar la conexión VPN, los dos extremos de la conexión crean una clave de cifrado compartida.
Esto se puede lograr proporcionando a un usuario una contraseña o utilizando un algoritmo de
intercambio de claves.
Una vez que se ha compartido la clave, se puede usar para cifrar todo el tráfico que fluye a
través del enlace VPN. Por ejemplo, una máquina cliente cifrará los datos y los enviará al otro
extremo de la VPN. En esta ubicación, los datos se descifrarán y se reenviarán a su destino. Cuando
el servidor de destino envı́a una respuesta, todo el proceso se completará a la inversa.

18.2. Tipos de VPN

Las VPN están diseñadas para proporcionar una conexión privada y encriptada entre dos
puntos, pero no especifica cuáles deberı́an ser estos puntos. Esto hace posible el uso de VPN en
algunos contextos diferentes:

1. VPN de sitio a sitio: una VPN de sitio a sitio está diseñada para conectar de forma segura

18 ¿QUÉ ES VPN (RED PRIVADA VIRTUAL)? 27

Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

dos sitios distribuidos geográficamente. La funcionalidad VPN está incluida en la mayorı́a

de las puertas de enlace de seguridad en la actualidad. Por ejemplo, un firewall de próxima
generación (NGFW) implementado en el perı́metro de una red protege la red corporativa y
también sirve como una puerta de enlace VPN. Todo el tráfico que fluye de un sitio a otro
pasa a través de esta puerta de enlace, que encripta el tráfico enviado a la puerta de enlace
en el otro sitio. Esta puerta de enlace descifra los datos y los reenvı́a a su destino.
2. VPN de acceso remoto: una VPN de acceso remoto está diseñada para vincular a usuarios
remotos de forma segura a una red corporativa. Por ejemplo, cuando surgió la pandemia de
COVID-19 en 2020, muchas organizaciones hicieron la transición a una fuerza laboral remota
y configuraron VPN de acceso remoto seguro desde los clientes remotos para conectarse a
operaciones comerciales crı́ticas en el sitio corporativo.
3. VPN como servicio: VPN como servicio o VPN en la nube es una VPN alojada en una
infraestructura basada en la nube donde los paquetes del cliente ingresan a Internet desde
esa infraestructura en la nube en lugar de la dirección local del cliente. Las VPN para con-
sumidores suelen utilizar este modelo, lo que permite a los usuarios protegerse mientras se
conectan a Internet a través de Wi-Fi público inseguro y brindan cierto anonimato mientras
acceden a Internet.

18.3. Beneficios de una VPN

Las VPN pueden proporcionar a los usuarios y empresas una serie de beneficios, tales como:

1. Conectividad segura: la conexión encriptada de una VPN hace que sea imposible que un
tercero espı́e la conexión sin conocer las claves secretas utilizadas para encriptar y proteger
los datos mientras están en tránsito.
2. Redes distribuidas simplificadas: cualquier computadora accesible desde Internet públi-
ca debe tener direcciones IP públicas, ya sea directamente o mediante la traducción de
direcciones de red (NAT). Una VPN de sitio a sitio simula una conexión directa entre
las dos redes, lo que les permite usar direcciones IP privadas para el tráfico interno.
3. Control de acceso: cada organización tiene sistemas y recursos que están diseñados para
que solo sean accesibles para los usuarios internos. Una VPN proporciona a un usuario o sitio
remoto acceso interno, ya que el punto final de la VPN está dentro del firewall de la red,
lo que permite permitir el acceso a estos recursos a usuarios remotos autorizados sin hacer
que estos recursos sean de acceso público.
En la figura 7 podemos ver...

18.4. ¿Es una VPN segura?

Una VPN utiliza criptografı́a para proporcionar sus garantı́as de seguridad y privacidad. De
esta forma, las VPN pueden cumplir con los tres criterios de seguridad de la información:

1. Confidencialidad: la privacidad de los datos se garantiza cifrando todos los datos que fluyen
a través de la red pública.
2. Integridad del mensaje: los códigos de autenticación de mensajes (MAC) aseguran que
cualquier modificación o error en los datos transmitidos sea detectable. En resumen, esto
detecta cuando un mensaje es manipulado o interferido de alguna manera, ya sea intencio-
nalmente o no.
3. Autenticación: el proceso inicial de autenticación y uso compartido de claves prueba la
identidad de ambos extremos de la conexión VPN, lo que evita el uso no autorizado de la
VPN. Al proporcionar todas las funciones de la trı́ada CIA, las VPN garantizan una
conexión segura y privada para sus usuarios.

18 ¿QUÉ ES VPN (RED PRIVADA VIRTUAL)? 28

Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

18.5. Limitaciones y riesgos de seguridad de las VPN

Si bien las VPN están diseñadas para desempeñar un papel vital para las empresas modernas,
no son una solución perfecta. Las VPN tienen varias limitaciones que afectan su usabilidad y la
ciberseguridad corporativa, que incluyen:

1. Visibilidad fragmentada: las VPN están diseñadas para proporcionar conectividad punto
a punto segura con cada usuario de VPN en su propio enlace. Esto dificulta que el equipo de
seguridad de una organización mantenga la visibilidad completa de la red necesaria para la
detección y respuesta efectivas a las amenazas.
2. Sin seguridad integrada: una organización debe implementar soluciones de seguridad adi-
cionales detrás de la VPN para identificar y bloquear contenido malicioso e implementar
controles de acceso adicionales.
3. Enrutamiento ineficiente: las VPN se pueden usar en un modelo de centro y radio para
garantizar que todo el tráfico fluya a través de la pila de seguridad centralizada de la orga-
nización para su inspección. A medida que el trabajo remoto y las aplicaciones en la nube
se vuelven más comunes, este desvı́o puede no ser el camino óptimo entre el cliente y la
aplicación en la nube o Internet.
4. Escalabilidad deficiente: como solución de seguridad de punto a punto, las VPN escalan
de manera deficiente. Por ejemplo, la cantidad de conexiones VPN de sitio a sitio en una red
completamente conectada crece exponencialmente con la cantidad de sitios. Esto crea una
infraestructura de red compleja que es difı́cil de implementar, monitorear y proteger.
5. Vulnerabilidades de puntos finales: los puntos finales que tienen acceso legı́timo a la
VPN a veces pueden verse comprometidos a través de phishing y otros ataques cibernéticos.
Dado que el punto final tiene acceso total a los recursos de VPN, también lo tiene el actor
de amenazas que ha comprometido el punto final.

18.6. Seguridad de la capa de red: IPsec y redes privadas virtuales

El protocolo de seguridad IP, más conocido como IPsec, proporciona seguridad en la capa de
red. IPsec proporciona seguridad a los datagramas IP intercambiados por cualesquiera dos entida-
des de la capa de red, incluyendo hosts y routers. Como enseguida veremos, muchas instituciones
(corporaciones, agencias gubernamentales, organizaciones sin ánimo de lucro, etc.) utilizan IPsec
para crear redes privadas virtuales (VPN, Virtual Private Network), que funcionan sobre la red
Internet pública.

Antes de entrar en los detalles especı́ficos de IPsec, demos un paso atrás y consideremos qué
es lo que implica proporcionar confidencialidad en la capa de red. Con la confidencialidad en la
capa de red entre una pareja de entidades de red (por ejemplo, entre dos routers, entre dos hosts
o entre un router y un host) la entidad emisora cifra las cargas útiles de todos los datagramas que
envı́e hacia la entidad receptora. La carga útil cifrada podrı́a ser un segmento TCP, un segmento
UDP, un mensaje ICMP, etc. Si dispusiéramos de tal servicio de la capa de red, todos los datos
enviados de una entidad a la otra (incluyendo los mensajes de correo electrónico, las páginas web,
los mensajes de acuerdo TCP y los mensajes de administración, como ICMP y SNMP) estarı́an
ocultos a ojos de posibles terceros que pudieran estar husmeando los mensajes que circulan por la
red. Por esta razón, decimos que la seguridad de la capa de red proporciona un servicio básico de
“ocultación”.

Además de la confidencialidad, un protocolo de seguridad de la capa de red podrı́a poten-

cialmente proporcionar otros servicios de seguridad. Por ejemplo, podrı́a ofrecer mecanismos
de autenticación del origen de modo que la entidad receptora pueda verificar cuál es el origen
del datagrama seguro. Un protocolo de seguridad de la capa de red podrı́a proporcionar un ser-
vicio de integridad de los datos de modo que la entidad receptora pueda comprobar si se ha
producido alguna alteración del datagrama mientras este se encontraba en tránsito. Un servicio

18 ¿QUÉ ES VPN (RED PRIVADA VIRTUAL)? 29

Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

de seguridad de la capa de red también podrı́a proporcionar mecanismos para prevenir ataques
por reproducción, lo que significa que Benito podrı́a detectar cualquier datagrama duplicado
que un atacante pudiera insertar. Como pronto veremos, IPsec de hecho proporciona mecanismos
para todos estos servicios de seguridad, es decir, para la confidencialidad, la autenticación de
origen, la integridad de los datos y la prevención de los ataques por reproducción.

18.7. IPsec y redes privadas virtuales (VPN)

Normalmente, una institución que abarque múltiples regiones geográficas deseará disponer de
su propia red IP, de modo que sus hosts y servidores puedan intercambiarse datos de
forma segura y confidencial. Para conseguir este objetivo, esta institución podrı́a implantar
realmente una red fı́sica independiente (incluyendo routers, enlaces y una infraestructura DNS)
que esté completamente separada de la red Internet pública. Dicha red separada, dedicada a una
institución concreta, se denomina red privada. No es sorprendente que tales redes privadas puedan
llegar a ser muy costosas, ya que la institución necesitará comprar, instalar y mantener su propia
infraestructura fı́sica de red.

En lugar de implantar y mantener una red privada, muchas instituciones crean ac-
tualmente redes VPN sobre la red Internet pública existente. Con una VPN el tráfico entre
sucursales se envı́a a través de la red Internet pública, en lugar de enviarse a través de una red
fı́sicamente independiente. Pero para proporcionar confidencialidad, el tráfico entre sucursales se
cifra antes de entrar en la Internet pública.

En la Figura 7 se muestra un ejemplo simple de red VPN. Aquı́, la institución está compues-
ta por una oficina principal, una sucursal y una serie de vendedores itinerantes que suelen acceder
a Internet desde la habitación de su hotel. (En la figura solo se muestra uno de esos vendedores.)
En esta VPN, cuando dos hosts situados en la oficina principal se intercambian datagramas IP
o cuando dos hosts de la sucursal quieren comunicarse utilizan el protocolo simple y tradicional
IPv4 (es decir, sin servicios IPsec). Sin embargo, cuando dos hosts de la institución se comunican a
través de una ruta que atraviesa la red Internet pública, el tráfico se cifra antes de entrar en Internet.

Para entender cómo funciona una red VPN, veamos un ejemplo simple en el contexto de
la Figura 7. Cuando un host de la oficina principal envı́a un datagrama IP a un vendedor que se
encuentra en un hotel, el router de pasarela de la oficina principal convierte el datagrama IPv4
simple en un datagrama IPsec y luego reenvı́a dicho datagrama IPsec hacia Internet.

Vea la figura 7
Este datagrama IPsec tiene de hecho una cabecera IPv4 tradicional, de modo que los routers
de la red Internet pública procesan el datagrama como si se tratara de un datagrama IPv4 normal;
para ellos el datagrama es, de hecho, como cualquier otro. Pero como se muestra en la Figura 8, la
carga útil del datagrama IPsec incluye una cabecera IPsec, que es utilizada para el procesamiento
IPsec; además, la carga útil del datagrama IPsec está cifrada. Cuando el datagrama IPsec llega al
portátil del vendedor, el sistema operativo del equipo descifra la carga útil y proporciona algunos
otros servicios de seguridad, como la verificación de la integridad de los datos, y pasa la carga útil
descifrada hacia el protocolo de la capa superior (por ejemplo, hacia TCP o UDP). Esto es solo una
pequeña panorámica de cómo una institución podrı́a utilizar IPsec para crear una red VPN.

18.8. Los protocolos AH y ESP

IPsec es un protocolo bastante complejo que está definido en más de una docena de docu-
mentos RFC. Dos documentos importantes son RFC 4301, que describe la arquitectura global de
seguridad IP, y RFC 6071, que proporciona una panorámica de la serie de protocolos IPsec. En la
serie de protocolos IPsec hay dos protocolos principales: el protocolo de cabecera de autenticación
(AH, Authentication Header) y el protocolo de carga útil de seguridad para encapsulación
(ESP, Encapsulation Security Payload).

18 ¿QUÉ ES VPN (RED PRIVADA VIRTUAL)? 30

Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

Cuando una entidad IPsec de origen (normalmente un host o un router) envı́a datagramas
seguros a una entidad de destino (también un host o un router) lo hace con el protocolo AH o
el protocolo ESP. El protocolo AH proporciona autenticación del origen e integridad de los da-
tos, pero no proporciona confidencialidad. El protocolo ESP proporciona autenticación del origen,
integridad de los datos y confidencialidad. Puesto que la confidencialidad a menudo es crı́tica para
las redes VPN y otras aplicaciones IPsec, el protocolo ESP se utiliza mucho más ampliamente que
el protocolo AH.

Vea la figura 8
Con el fin de desmitificar IPsec y evitar buena parte de las complicaciones asociadas nos vamos
por tanto a centrar exclusivamente en el protocolo ESP.

18.9. El datagrama IPsec

Habiendo descrito las asociaciones de seguridad, podemos ahora describir la estructura real del
datagrama IPsec. IPsec tiene dos formas distintas de paquete, una para el denominado modo
túnel y otra para el denominado modo transporte. El modo túnel, al ser más apropiado para las
redes VPN, está más ampliamente implantado que el modo transporte. Con el fin de desmitificar
todavı́a más IPsec y evitar buena parte de los aspectos más complejos, nos vamos a centrar por
tanto exclusivamente en el modo túnel. Una vez que tenga una sólida comprensión de dicho modo,
el lector deberı́a poder aprender por su cuenta los detalles acerca del modo transporte.
Vea la figura 9

18.10. IKE: gestión de claves en IPsec

Cuando una red VPN tiene un pequeño número de puntos terminales (por ejemplo, solo dos
routers, como en la Figura 9), el administrador de la red puede introducir manualmente la infor-
mación de la SA (claves y algoritmos de cifrado/autenticación y los ı́ndices SPI) en las bases de
datos SAD de los puntos terminales. Este tipo de “introducción manual” de las claves resulta ob-
viamente poco práctico para una VPN de gran tamaño, que puede constar de centenares o incluso
miles de hosts y routers IPsec. Las tareas de implantación de gran envergadura y geográficamente
distribuidas requieren un mecanismo automatizado para la creación de las SA. IPsec lleva a cabo
este tipo de tarea mediante el protocolo de Intercambio de claves de Internet (IKE, Internet
Key Exchange), especificado en RFC 5996.

IKE presenta algunas similitudes con el procedimiento de acuerdo en SSL. Cada entidad IPsec
tiene un certificado, que incluye la clave pública de la entidad. Al igual que en SSL, el protocolo
IKE exige que las dos entidades intercambien certificados, negocien los algoritmos de autenticación
y cifrado e intercambien de modo seguro el material necesario para crear las claves de sesión para
las SA de IPsec. A diferencia de SSL, IKE emplea dos fases para llevar a cabo estas tareas.

19. ¿Qué es un sistema de prevención de intrusos (IPS)?

En resumen, un sistema de prevención de intrusos o Intrusion Prevention System (IPS), tam-
bién conocido como sistema de prevención de detección de intrusiones (IDPS), es una tecnologı́a
que vigila una red para detectar cualquier actividad maliciosa que intente aprovechar la vulnera-
bilidad conocida.

La función principal de un sistema de prevención de intrusos es identificar cualquier actividad

sospechosa y detectar y permitir (IDS) o prevenir (IPS) la amenaza. El intento se registra e informa
a los administradores de red o al personal del Centro de operaciones de seguridad (SOC).
Vea la figura 10:

19 ¿QUÉ ES UN SISTEMA DE PREVENCIÓN DE INTRUSOS (IPS)? 31

Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

19.1. ¿Por qué se deben utilizar los sistemas de prevención de intrusos

(IPS)?
Las tecnologı́as IPS pueden detectar o prevenir ataques de seguridad de red, como
ataques de fuerza bruta, ataques de denegación de servicio (DoS) y vulnerabilidades de seguridad.
Una vulnerabilidad es una debilidad en un sistema de software y una vulnerabilidad de seguridad
es un ataque que aprovecha esa vulnerabilidad para obtener el control de un sistema.

Cuando se anuncia una vulnerabilidad de seguridad, a menudo existe una ventana de opor-
tunidad para que los atacantes aprovechen esa vulnerabilidad antes de que se aplique el parche de
seguridad. En estos casos, se puede utilizar un sistema de prevención de intrusos para bloquear
rápidamente estos ataques.

Debido a que las tecnologı́as IPS vigilan los flujos de paquetes, también se pueden usar para
hacer cumplir el uso de protocolos seguros y denegar el uso de protocolos inseguros como versiones
anteriores de SSL o protocolos que utilizan cifrados débiles. Vea la figura 11:

19.2. ¿Cómo funcionan los sistemas de prevención de intrusos (IPS)?

Las tecnologı́as IPS tienen acceso a paquetes donde se implementan, ya sea como sistemas
de detección de intrusos de red (NIDS) o como sistemas de detección de intrusos de host
(HIDS). El IPS de red tiene una vista más amplia de toda la red y puede implementarse en lı́nea
en la red o fuera de lı́nea en la red como un sensor pasivo que recibe paquetes de un puerto TAP
9
o SPAN 10 de la red.

El método de detección empleado puede estar basado en firma o anomalı́a. Las firmas
predefinidas son patrones de ataques de red conocidos. El dispositivo IPS compara los flujos
de paquetes con la firma para ver si hay una coincidencia de patrones. Los sistemas de detección
de intrusos basados en anomalı́as utilizan heurı́stica para identificar amenazas, por
ejemplo, comparando una muestra de tráfico con una lı́nea de base conocida.
Vea la figura 12:

A. Lista de Figuras y Tablas

Índice de figuras
1. Filtering rules based on TCP and UDP destination port numbers . . . . . . . . . . 21
2. Rules for filtering based on ACK field bit . . . . . . . . . . . . . . . . . . . . . . . 22
3. Bastion host between a private network and the bad network . . . . . . . . . . . . 25
4. Firewalls in a changing parameter security . . . . . . . . . . . . . . . . . . . . . . . 26
5. TCP, UDP, and port number filtering firewall . . . . . . . . . . . . . . . . . . . . . 38
6. VPN connections and firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
7. Red privada virtual (VPN). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
8. Formato del datagrama IPsec.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
9. Asociación de seguridad (SA) de R1 a R2. . . . . . . . . . . . . . . . . . . . . . . . 40
10. The architecture of a network-based intrusion detection system . . . . . . . . . . . 41
11. The various places of placing the IDS sensors . . . . . . . . . . . . . . . . . . . . . 41
12. The various places of placing the IDS sensors . . . . . . . . . . . . . . . . . . . . . 42
9 TAP significa Test Access Port (Puerto de Acceso de Pruebas). Los Network Taps (dispositivos de escucha

de red) son dispositivos que permiten examinar el tráfico de red sin intervenir en el flujo de datos. Trabajan a nivel
1 de OSI, por lo que no realizan ninguna función de redirección o encaminamiento del tráfico.
10 Port Mirroring, también conocido como SPAN (Switch Port Analyzer), son puertos designados en un

dispositivo de red (switch), que están programados para enviar una copia de los paquetes de red vistos en un puerto
(o una VLAN completa) a otro puerto, donde los paquetes puede ser analizado.

ÍNDICE DE FIGURAS 32
Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

13. Sistema inmune digital. Fuente: Stallings, W. (2010). Cryptography And Net-
work Security Principles And Practice (p.799):(Fifth Edition) EEUU: Pren-
tice Hall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
14. Operación del software para el bloqueo de comportamiento de software malicioso.
Fuente: Stallings, W. (2010). Cryptography And Network Security Principles
And Practice (p.800):(Fifth Edition) EEUU: Prentice Hall. . . . . . . . . . . . . 43
15. Modelo de propagación del gusano. Fuente: Stallings, W. (2010). Cryptography
And Network Security Principles And Practice (p.803):(Fifth Edition) EEUU:
Prentice Hall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
16. Ubicación para el monitoreo de gusanos (Worm). Fuente: Stallings, W. (2010). Cry-
ptography And Network Security Principles And Practice (p.809):(Fifth
Edition) EEUU: Prentice Hall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
17. Ataque distribuido de inundación basado en SYN. Fuente: Stallings, W. (2010). Cry-
ptography And Network Security Principles And Practice (p.811):(Fifth
Edition) EEUU: Prentice Hall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
18. Ataque ICMP distribuido. Fuente: Stallings, W. (2010). Cryptography And Net-
work Security Principles And Practice (p.811):(Fifth Edition) EEUU: Pren-
tice Hall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
19. Direct DDoS attack. Fuente: Stallings, W. (2010). Cryptography And Network
Security Principles And Practice (p.813):(Fifth Edition) EEUU: Prentice Hall. 45
20. Reflector DDoS attack. Fuente: Stallings, W. (2010). Cryptography And Net-
work Security Principles And Practice (p.813):(Fifth Edition) EEUU: Pren-
tice Hall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
21. Las 14 vulnerabilidades más importantes en las redes de computadoras. Fuente: Mc-
Clure, S., Scambray, J., y Kurtz, G. (2010). Secretos y Soluciones de Seguridad
en Redes (p.648).(1era Edición): España: McGraw Hill/Interamericana. . . . . . 47

Índice de cuadros
1. Terminologı́a de programas maliciosos. (Parte 1) . . . . . . . . . . . . . . . 32
2. Terminologı́a de programas maliciosos. (Parte 2) . . . . . . . . . . . . . . . 33

B. Funcionamiento de Software Malicioso

B.1. Operación y terminologı́a
La Figura 13 ilustra los pasos tı́picos en el funcionamiento del sistema inmune digital:
1. Un programa de monitoreo en cada PC utiliza una variedad de técnicas heurı́sticas ba-
sadas en el comportamiento del sistema, cambios sospechosos en los programas para inferir
que un virus puede estar presente. El programa de monitoreo envı́a una copia de cualquier
programa que cree que está infectado a una máquina administrativa dentro de la organización.
2. La máquina administrativa encripta la muestra y la envı́a a una máquina de análisis
central para tratar el virus.
3. Esta máquina crea un entorno en el que el programa infectado puede ser ejecutar con
seguridad para el análisis. Las técnicas utilizadas para este fin incluyen la emulación, o la
creación de un entorno protegido dentro del cual el programa sospechoso puede ser ejecutado
y monitoreado. La máquina de análisis de virus produce un procedimiento o prescripción
para identificar y eliminar el virus.
4. La prescripción resultante se envı́a de vuelta a la máquina administrativa.
5. La máquina administrativa remite la prescripción al cliente infectado.
6. La prescripción también se envı́a a otros clientes de la organización.

B FUNCIONAMIENTO DE SOFTWARE MALICIOSO 33

Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

Nombre Descripción
Virus Malware que, cuando se ejecuta, intenta replicarse en otro código
ejecutable; cuando sucede esto se dice que el código está infectado.
Cuando se ejecuta el código infectado, el virus también ejecuta.
Worm (Gusano) Un programa informático que puede ejecutarse de forma indepen-
diente y que se propaga de sı́ mismo la versión de su funciona-
miento completo en otros hosts de una red.
Logic bomb (Bomba Un programa insertado en el software por un intruso. Una bom-
Lógica) ba lógica permanece inactiva hasta que se haya cumplido una
condición predefinida; el programa luego desencadena un acto no
autorizado.
Trojan horse (Caballo Un programa de computadora que parece tener una función útil,
de Trolla) pero también tiene una función potencialmente maliciosa que eva-
de los mecanismos de seguridad, a veces explotando autorizaciones
legı́timas de una entidad del sistema que invoca el programa ca-
ballo de Troya.

Cuadro 1: Terminologı́a de programas maliciosos. (Parte 1)

7. Los suscriptores de todo el mundo reciben actualizaciones regulares de antivirus para que se
protegan de nuevos virus.
La Figura 14 ilustra el funcionamiento de un bloqueador de comportamiento. El software de
comportamiento-bloqueo se ejecuta en servidores y computadoras de escritorio, que se instruye a
través de polı́ticas establecidas por el administrador de la red para permitir que se lleven a cabo
acciones benignas, y para interceder cuando ocurren acciones no autorizadas o sospechosas. El
módulo bloquea cualquier software sospechoso desde la ejecución.

Un bloqueador aı́sla el código en un sandbox, que restringe el acceso del código a varios re-
cursos y aplicaciones del sistema operativo. El bloqueador luego envı́a una alerta. El bloqueador
de comportamiento puede bloquear software sospechoso en tiempo real.

Ahora describiremos la Figura 14, a través de los cuatro pasos.

1. Los administradores de sistemas verifican el comportamiento aceptable del software, y cargan

las polı́ticas a un servidor. Las polı́ticas también pueden ser cargados desde los escritorios de
trabajo.

2. Software malicioso logra filtrarse a través del firewall.

3. Comportamiento del software de bloqueo (sandboxes)11 en el servidor controla el código
sospechoso, para evitar que el software sospechoso se ejecute.
4. El administrador es alertado por el servidor de ese código sospechoso que ha sido identificado
y aislado (sandboxed), esperando al administrador la decisión sobre si el código debe ser
eliminado o permitirle ejecutarse.

Ahora describimos un modelo (Figura 15) para la propagación de gusanos basado en un

análisis reciente de ataques de gusanos. La velocidad de propagación y el número total de hosts
infectados depende de una serie de factores, incluido el modo de propagación, la vulnerabilidad o
vulnerabilidades explotadas, y el grado de similitud con ataques anteriores.

11 Un entorno de pruebas o sandbox, en el contexto del desarrollo de software o desarrollo web, es un entorno

cerrado que aı́sla los cambios en el código, fruto de la experimentación, del propio entorno de producción o entorno
de edición.

B FUNCIONAMIENTO DE SOFTWARE MALICIOSO 34

Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

Nombre Descripción
Backdoor/trapdoor Cualquier mecanismo que elude un control de seguridad normal;
(Puerta Trasera o puede permitir el acceso no autorizado a una funcionalidad.
Trampa)
Mobile Code Softwa- Script, macro u otra instrucción portátil, que se pueden enviar sin
re (Software de Código cambios a una colección de plataformas heterogéneas y ejecutarse
Móvil) con una semántica idéntica.
Exploits Código especı́fico para una única vulnerabilidad o conjunto de
vulnerabilidades.
Downloaders Programa que instala otros elementos en una máquina que está
bajo ataque. Usualmente, un descargador se envı́a por correo
electrónico
Auto-Rooter Herramientas maliciosas de piratas informáticos que se utilizan
para entrar en máquinas nuevas de forma remota.
Backdoor/Trapdoor Cualquier mecanismo que elude un control de seguridad normal;
(Puerta Trasera o puede permitir el acceso no autorizado a una funcionalidad.
Trampa)
(Kit Virus Generator) Conjunto de herramientas para generar nuevos virus de forma
automática.
Spammer Programs Se usa para enviar grandes volúmenes de correos electrónicos no
(Programas de Spam) deseados.
Flooders (Inundación) Se usa para atacar sistemas informáticos en red con un gran
volumen de tráfico para llevar a cabo un ataque de denegación de
servicio (DoS).
Keyloggers Captura las pulsaciones de teclas en un sistema comprometido.
Rootkit Conjunto de herramientas de pirateo informático utilizadas des-
pués de que un atacante se haya infiltrado en un sistema informáti-
co y haya obtenido acceso a nivel raı́z.
Zombie, Bot Programa activado en una máquina infectada que se activa para
lanzar ataques en otra máquinas.
Spyware Software espı́a que recopila información de una computadora y la
transmite a otro sistema.
Adware Publicidad integrada en el software. Puede dar lugar a anuncios
emergentes o a la redirección de un navegador hacia un sitio web
comercial.

Cuadro 2: Terminologı́a de programas maliciosos. (Parte 2)

B FUNCIONAMIENTO DE SOFTWARE MALICIOSO 35

Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

Un ataque que es una variación de un ataque anterior reciente puede ser contrarrestado más
eficazmente que un ataque más nuevo. La Figura 15 muestra la dinámica de ataque para un
conjunto tı́pico de parámetros. La propagación procede a través de tres fases. En la fase inicial,
la cantidad de hosts aumenta exponencialmente. Para ver que esto es ası́, considere un caso simpli-
ficado en el que un gusano se inicia desde un solo host e infecta dos anfitriones cercanos. Cada uno
de estos hosts infecta dos hosts más, y ası́ sucesivamente. Estos resultados tienen un crecimiento
exponencial. Después de un tiempo, los hosts infectantes pierden algo de tiempo atacando hosts
infectados, lo que reduce la tasa de infección.

Durante la fase intermedia, el crecimiento es aproximadamente lineal, pero la tasa de infección

es rápida. Luego el ataque entra en una fase de finalización lenta, ya que el gusano busca los
hosts restantes que son difı́ciles de identificar.
La Figura 16 muestra un ejemplo de una arquitectura de contramedida de gusanos. El sistema
funciona de la siguiente manera, los números en la Figura 16 se refieren a los números en la
siguiente lista:

1. Los sensores implementados en varias ubicaciones de la red detectan un posible gusano. La

lógica del sensor también se puede incorporar a los sensores del sistema de detección de
intrusos (IDS).
2. Los sensores envı́an alertas a un servidor central que correlaciona y analiza la entrada de
alertas. El servidor de correlación determina la probabilidad de que un ataque de gusano sea
observado y de sus caracterı́sticas clave de ataque.
3. El servidor de correlación reenvı́a su información a un entorno protegido, donde el gusano
potencial puede ser aislado para su análisis y prueba.
4. El sistema protegido prueba el software sospechoso apropiadamente contra una versión ins-
trumentada de aplicación especı́fica para identificar la vulnerabilidad.
5. El sistema protegido genera uno o más parches de software y los prueba.
6. Si el parche no es susceptible a la infección y no compromete la funcionalidad de la aplicación,
el sistema envı́a el parche al host de la aplicación para actualizar la aplicación especı́fica.

C. Ataques de denegación de servicio (DDoS)

Un ataque DDoS intenta consumir los recursos del objetivo para que no pueda proporcionar
servicio. Una forma de clasificar los ataques DDoS es en términos del tipo de recurso que es con-
sumado. En términos generales, el recurso consumido es un host interno en el sistema de destino
o la capacidad de transmisión de datos en la red local.

Un ejemplo simple de ataque interno de recursos es el ataque de inundación SYN. La Figura

17 muestra los pasos involucrados:
1. El atacante toma el control de múltiples hosts a través de Internet, instruyendo a ellos para
contactar al servidor web objetivo.
2. Los hosts esclavos comienzan a enviar paquetes TCP/IP SYN (sincronización / inicializa-
ción), con información errónea de retorno de la dirección IP al objetivo.
3. Cada paquete SYN es una solicitud para abrir una conexión TCP. Para cada uno de tales
paquetes, el servidor web responde con un SYN/ACK (sincronizar / confirmar), intentando
establecer una conexión TCP. El resultado es que las conexiones legı́timas se niegan mientras
que la maquina de la vı́ctima está esperando completar conexiones falsas semiabiertas.
La Figura 18 ilustra un ejemplo de un ataque que consume transmisión de datos de recursos.
Los siguientes pasos están involucrados:

C ATAQUES DE DENEGACIÓN DE SERVICIO (DDOS) 36

Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

1. El atacante toma el control de múltiples hosts a través de Internet, instruyendo enviar pa-
quetes ICMP12 ECHO13 con la dirección IP falsificada del objetivo a un grupo de hosts
que actúan como reflectores, como se describe a continuación.
2. Los nodos en el sitio de rebote reciben múltiples solicitudes falsificadas y responden enviando
paquetes de eco de respuesta al sitio de destino.
3. El enrutador del objetivo se inunda con paquetes del sitio de rebote, sin dejar la capacidad
legı́tima de transmisión de datos para el tráfico.

Otra forma de clasificar los ataques DDoS es como DDoS directo o ataque reflector. En
un ataque DDoS directo (Figura 19), el atacante puede implantar software zombis en una serie
de sitios distribuidos en Internet. A menudo, el ataque DDoS implica dos niveles de máquinas
zombies: zombies maestros y zombis esclavos. Los hosts de ambas máquinas se han infectado
con código malicioso. El atacante coordina y activa los zombies maestros, que a su vez coordinan
y desencadenan los zombies esclavos. El uso de dos niveles de zombies hace que sea más difı́cil
rastrear el ataque.

Un ataque DDoS reflector agrega otra capa de máquinas (Figura 20). En este tipo de
ataque, los zombis esclavos construyen paquetes que requieren una respuesta, que contiene la
dirección IP del objetivo, la dirección IP de origen, del encabezado del paquete IP. Estos paquetes
se envı́an a máquinas no infectadas conocidas como reflectores. La máquina no infectada responde
con paquetes dirigidos a la máquina objetivo.

En un ataque reflector DDoS, el ataque puede involucrar más máquinas y más tráfico que
un ataque DDoS directo y por lo tanto ser más dañino. Además, rastrear el ataque o filtrar el
ataque de paquetes es más difı́cil porque el ataque proviene de una gran dispersión máquinas no
infectadas.

D. Las Vulnerabilidades más Importantes en las Redes

La siguiente lista hace referencia a las vulnerabilidades más importantes en las redes de compu-
tadoras, las que fueron tomadas como referencia de McClure (2010).
1. Control de acceso inadecuado de enrutador : las ACL de enrutador mal configuradas pueden
permitir la fuga de información a través de ICMP, IP, NetBIOS y permitir acceso no
autorizado a servicios en sus servidores DMZ.

2. Los puntos de acceso remoto no asegurados ni monitoreados proporcionan uno de los medios
de acceso más fáciles a su red corporativa. Quienes trabajan en casa a menudo se conectan
a Internet con poca protección, exponiendo archivos confidenciales al ataque.
3. La fuga de información puede proporcionar al atacante versiones del sistema operativo y la
aplicación, e información de usuarios, grupos, recursos compartidos y DNS vı́a transferencias
de zona y servicios en ejecución como SNMP, finger, SMTP, telnet, rusers, rpcinfo,
NetBIOS.
4. Los hosts que ejecutan servicios innecesarios (como RPC, FTP, DNS, SMTP) se compro-
meten fácilmente.
5. Contraseñas débiles que se adivinan fácilmente en el nivel de la estación de trabajo pueden
hacer que sus servidores queden comprometidos.
12 El Protocolo de Mensajes de Control de Internet o ICMP (por sus siglas en inglés de Internet Control

Message Protocol) es el sub protocolo de control y notificación de errores del Protocolo de Internet (IP). Como tal,
se usa para enviar mensajes de error, indicando por ejemplo que un router o host no puede ser localizado. También
puede ser utilizado para transmitir mensajes ICMP Query.
13 Un Echo Reply (Respuesta de Eco) en el protocolo ICMP es un mensaje generado como respuesta a un mensaje

Echo Request (petición de Eco).

D LAS VULNERABILIDADES MÁS IMPORTANTES EN LAS REDES 37

Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

6. Cuentas de usuario o de prueba con privilegios excesivos.

7. Servidores de Internet mal configurados, sobre todo secuencias de comandos CGI y ASP en
servidores anónimos FTP con directorios en que cualquiera puede escribir y vulnerabilidades
XSS.
8. Una firewall o una ACL de enrutador mal configurada puede permitir acceso a sistemas
internos directamente o una vez que un servidor DMZ queda comprometido.
9. Software que no está parchado, que es obsoleto o vulnerable o que se deja en la configuración
predeterminada, sobre todo en servidores Web.
10. Controles excesivos de archivos o directorios (recursos compartidos de Windows, exportacio-
nes NFS de UNIX).
11. Excesivas relaciones de confianza como confianzas de dominio de Windows, .rhosts de UNIX,
[Link] y archivos SSH pueden proporcionar a los atacantes acceso no autorizado a
sistemas confidenciales.
12. Servicios no autentificados, como X Windows, permiten a los usuarios capturar tecleos
remotos o después de que el software se ha instalado.
13. Capacidades inadecuadas de registro, monitoreo y detección en el nivel de la red y el host.
14. Falta de directivas, procedimientos, estándares y directivas de seguridad aceptados y bien
promulgados.

Referencias
[1] Álvarez, G., y Peréz, P. (2004). Seguridad Informática para Empresas:(1era edición)
España: McGraw Hill/Interamericana.
[2] Costas, S. (2014). Seguridad y Alta Disponibilidad :(1era edición) España-Madrid:RA-MA.
[3] Chen, L., Ji, J., & Zhang, Z. (2013). Wireless Network Security, Theories and Appli-
cations:(4ta edición) EEUU: Springer.
[4] Gómez, J. (2014). Matemáticos, Espı́as y Piratas Informáticos, Codificación y Crip-
tografı́a:(1era Edición) España: Editoriales y Audiovisuales S.A.
[5] Johnson, N., Duric, Z., & Jajodia, S. (2000). Information Hiding Steganography and
Watermarking - Attacks and Countermeasures: EEUU: Springer.
[6] Johnsonbaugh, R. (2005). Matemáticas Discretas:(Sexta Edición) EEUU: Pearson Educa-
ción.
[7] Katzenbeisser, S. & Petitcolas, F. (2000). Information hiding techniques for stegano-
graphy and digital watermarking : EEUU:Artech House Books.
[8] Kurose, F. & Ross, K.(2010). Redes de Computadoras un Enfoque Descendente:(5ta
Edición) EEUU: Pearson.
[9] Moliner, F. (2005). Informáticos de la Generalitat Valenciana Grupos A y B. Bloque
Especı́fico:(1era Edición) España: Editorial MAD.
[10] McClure, S.,Scambray, J., y Kurtz, G. (2010). Secretos y Soluciones de Seguridad en
Redes:(1era edición) España: McGraw Hill/Interamericana.
[11] Sweigart, A. (2013). Hacking Secret Ciphers with Python:(1th edition) San Francisco,
California - U.S.A.: Commons Attribution-Noncommercial-Share Alike 3.0 United States Li-
cense.

REFERENCIAS 38
Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

[12] Susanna, S. (2012). Matemáticas Discretas con Aplicaciones:(4ta edición) EEUU: Cen-
gage Learning.

[13] Stallings, W. (2011). Network Security Essentials : Applications And Stan-

dars:(Fourth Edition) EEUU: Prentice Hall.
[14] Stallings, W. (2010). Cryptography And Network Security Principles And Practi-
ce:(Fifth Edition) EEUU: Prentice Hall.

[15] Tanenbaum, A. (2003). Redes de Computadoras:(4ta edición) EEUU: Prentice Hall.

REFERENCIAS 39
Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

Figura 5: TCP, UDP, and port number filtering firewall

REFERENCIAS 40
Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

Figura 6: VPN connections and firewalls

REFERENCIAS 41
Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

Figura 7: Red privada virtual (VPN).

Figura 8: Formato del datagrama IPsec..

Figura 9: Asociación de seguridad (SA) de R1 a R2.

REFERENCIAS 42
Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

Figura 10: The architecture of a network-based intrusion detection system

Figura 11: The various places of placing the IDS sensors

REFERENCIAS 43
Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

Figura 12: The various places of placing the IDS sensors

Figura 13: Sistema inmune digital. Fuente: Stallings, W. (2010). Cryptography And Network
Security Principles And Practice (p.799):(Fifth Edition) EEUU: Prentice Hall.

REFERENCIAS 44
Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

Figura 14: Operación del software para el bloqueo de comportamiento de software malicioso. Fuen-
te: Stallings, W. (2010). Cryptography And Network Security Principles And Practice
(p.800):(Fifth Edition) EEUU: Prentice Hall.

Figura 15: Modelo de propagación del gusano. Fuente: Stallings, W. (2010). Cryptography And
Network Security Principles And Practice (p.803):(Fifth Edition) EEUU: Prentice Hall.

REFERENCIAS 45
Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

Figura 16: Ubicación para el monitoreo de gusanos (Worm). Fuente: Stallings, W. (2010). Crypto-
graphy And Network Security Principles And Practice (p.809):(Fifth Edition) EEUU:
Prentice Hall.

Figura 17: Ataque distribuido de inundación basado en SYN. Fuente: Stallings, W. (2010). Cry-
ptography And Network Security Principles And Practice (p.811):(Fifth Edition) EEUU:
Prentice Hall.

REFERENCIAS 46
Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

Figura 18: Ataque ICMP distribuido. Fuente: Stallings, W. (2010). Cryptography And Network
Security Principles And Practice (p.811):(Fifth Edition) EEUU: Prentice Hall.

Figura 19: Direct DDoS attack. Fuente: Stallings, W. (2010). Cryptography And Network
Security Principles And Practice (p.813):(Fifth Edition) EEUU: Prentice Hall.

REFERENCIAS 47
Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

Figura 20: Reflector DDoS attack. Fuente: Stallings, W. (2010). Cryptography And Network
Security Principles And Practice (p.813):(Fifth Edition) EEUU: Prentice Hall.

REFERENCIAS 48
Ciberseguridad Ciclo de Actualización Profesional UNSCH - 2022

Figura 21: Las 14 vulnerabilidades más importantes en las redes de computadoras. Fuente: Mc-
Clure, S., Scambray, J., y Kurtz, G. (2010). Secretos y Soluciones de Seguridad en Redes
(p.648).(1era Edición): España: McGraw Hill/Interamericana.

REFERENCIAS 49