Asignatura Datos del alumno Fecha

Trabajo de Investigación Apellidos:

para Innovar en
Seguridad Informática Nombre:

Actividad 2. Análisis de riesgos y amenazas

Objetivos

Los objetivos para un alumno al realizar un análisis de riesgos y amenazas son:

 Identificar riesgos potenciales: el objetivo principal es identificar los posibles

riesgos y amenazas a los que el alumno está expuesto en su entorno académico
o en actividades relacionadas, como proyectos, investigaciones o trabajos
grupales.

 Evaluar la probabilidad y el impacto: se busca evaluar la probabilidad de que

ocurran los riesgos identificados y el impacto que podrían tener en el
rendimiento académico, la seguridad personal o la reputación del alumno. Esto
permite comprender mejor los riesgos y su importancia relativa.

 Desarrollar estrategias de mitigación: una vez identificados y evaluados los

riesgos, el objetivo es desarrollar estrategias para mitigar o reducir los riesgos
identificados. Esto puede incluir medidas preventivas, como la adopción de
buenas prácticas de seguridad, la implementación de controles físicos o
tecnológicos, o la planificación de contingencias.

 Aumentar la conciencia de seguridad: un objetivo adicional es aumentar la

© Universidad Internacional de La Rioja (UNIR)
conciencia de seguridad del alumno, educarlo sobre las amenazas y los riesgos
existentes, y brindarle herramientas y conocimientos para tomar decisiones
informadas y protegerse de posibles peligros.

1
Actividades
 Asignatura Datos del alumno Fecha
Trabajo de Investigación Apellidos:
para Innovar en
Seguridad Informática Nombre:

 Mejorar la resiliencia: al realizar un análisis de riesgos y amenazas, el alumno

puede desarrollar habilidades de resiliencia para hacer frente a situaciones
adversas. Esto implica aprender a manejar el estrés, adaptarse a circunstancias
cambiantes y tomar decisiones efectivas en momentos de crisis o emergencia.

Al finalizar el análisis de riesgos y amenazas el alumno ayudará a la empresa

seleccionada para que esté mejor preparada para hacer frente a los posibles riesgos
y para tomar medidas preventivas para salvaguardar su seguridad y bienestar en su
entorno organizacional.

Pautas de elaboración

La actividad que se describe se refiere a la elaboración de la segunda parte del

trabajo de investigación, que consta de los siguientes elementos:

 2.1. Introducción y objetivos del análisis de riesgos y amenazas

Pautas de elaboración:
La introducción y objetivos del análisis de riesgos y amenazas establecen el
contexto y los propósitos del trabajo. A continuación, se describen las pautas
para elaborar esta sección:

Introducción:
• a. Contexto: describe brevemente el entorno o área en la que se realizará el
análisis de riesgos y amenazas. Puede incluir información sobre la
organización,
© Universidad Internacional de La Rioja (UNIR)el proyecto o el contexto específico en el que se lleva a cabo el
análisis.
• b. Justificación: explica por qué es importante realizar un análisis de riesgos y
amenazas en ese contexto particular. Destaca la necesidad de identificar y
evaluar los riesgos para prevenir o mitigar posibles impactos negativos.

2
Actividades
 Asignatura Datos del alumno Fecha
Trabajo de Investigación Apellidos:
para Innovar en
Seguridad Informática Nombre:

• c. Alcance: define los límites y el alcance del análisis de riesgos y amenazas.

Puede indicar qué aspectos o áreas se incluirán en el análisis y cuáles se
excluyen.

Objetivos:
• a. Objetivo general: describe el objetivo general del análisis de riesgos y
amenazas. Este objetivo debe ser claro, conciso y estar alineado con la
justificación y el alcance previamente establecidos.
• b. Objetivos específicos: enumera los objetivos específicos que se persiguen
en el análisis de riesgos y amenazas. Estos objetivos deben ser medibles y
estar relacionados directamente con el objetivo general. Pueden incluir, por
ejemplo, identificar los riesgos clave, evaluar la probabilidad y el impacto de
los riesgos, y proponer medidas de mitigación.

Pautas de elaboración del trabajo:

• a. Metodología: describe brevemente la metodología que se utilizará para
llevar a cabo el análisis de riesgos y amenazas. Puede mencionar los pasos
clave del proceso y las técnicas o herramientas específicas que se emplearán.
• b. Fuentes de información: indica las fuentes de información que se utilizarán
para recopilar los datos necesarios para el análisis. Esto puede incluir
documentación interna, entrevistas, revisiones de literatura u otras fuentes
relevantes.
• c. Proceso de análisis: explica cómo se llevará a cabo el análisis de riesgos y
amenazas. Describe los pasos que se seguirán, desde la identificación de los
riesgos
© Universidad Internacional de La Riojahasta
(UNIR)la evaluación y propuesta de medidas de mitigación.
• d. Cronograma: proporciona un cronograma tentativo que indique las etapas
y los plazos previstos para la realización del análisis de riesgos y amenazas.
Esto ayuda a establecer una línea de tiempo realista y a gestionar el tiempo de
manera efectiva.

3
Actividades
 Asignatura Datos del alumno Fecha
Trabajo de Investigación Apellidos:
para Innovar en
Seguridad Informática Nombre:

Recuerda que estas pautas pueden variar según el contexto y los requisitos
específicos del análisis de riesgos y amenazas. Es importante adaptarlas y
personalizarlas en función de las necesidades y las características particulares de
cada proyecto o situación.

 2.2. Métodos de recopilación de la información

Existen diversos métodos de recopilación de información para realizar un análisis
de riesgos y amenazas. Algunos de los más comunes son los siguientes:

• Revisión de documentación: consiste en analizar la documentación existente,

como políticas y procedimientos de seguridad, informes de incidentes
anteriores, registros de auditoría, informes de seguridad de sistemas, entre
otros. Esta información puede proporcionar datos sobre incidentes pasados,
controles existentes y posibles vulnerabilidades.

• Entrevistas: implica realizar entrevistas con personas clave dentro de la

organización, como directivos, responsables de seguridad, administradores de
sistemas, empleados de diferentes áreas, entre otros. Estas entrevistas
permiten obtener información de primera mano sobre las operaciones, los
procesos, los controles y las percepciones de los riesgos y amenazas.

• Cuestionarios y encuestas: se utilizan cuestionarios estructurados o encuestas

para recopilar información de una muestra representativa de personas o
grupos dentro de la organización. Estas herramientas pueden utilizarse para
obtener
© Universidad Internacional de datos
La Rioja (UNIR) cuantitativos y cualitativos sobre las percepciones de los
riesgos, la efectividad de los controles y las prácticas de seguridad.

4
Actividades
 Asignatura Datos del alumno Fecha
Trabajo de Investigación Apellidos:
para Innovar en
Seguridad Informática Nombre:

• Análisis de incidentes: consiste en revisar y analizar los incidentes de

seguridad pasados, tanto dentro de la organización como en la industria en
general. Estos incidentes pueden proporcionar información valiosa sobre los
riesgos y amenazas que han afectado a otras organizaciones y las lecciones
aprendidas.

• Análisis de datos y métricas: implica recopilar y analizar datos y métricas

relevantes, como registros de eventos de seguridad, datos del rendimiento de
los sistemas, estadísticas de incidentes, entre otros. Estos datos pueden
ayudar a identificar patrones, tendencias y áreas de mayor riesgo.

• Observación directa: consiste en observar directamente las operaciones, los

sistemas y los procesos dentro de la organización. Esto puede ayudar a
identificar los riesgos potenciales, los controles existentes y las posibles
brechas en la seguridad.

Es importante utilizar una combinación de estos métodos para obtener una

imagen completa y precisa de los riesgos y amenazas. Cada método tiene sus
ventajas y limitaciones, por lo que es recomendable adaptar la selección y
aplicación de los métodos según las necesidades y características del análisis de
riesgos y amenazas específico.

© Universidad Internacional de La Rioja (UNIR)

5
Actividades
 Asignatura Datos del alumno Fecha
Trabajo de Investigación Apellidos:
para Innovar en
Seguridad Informática Nombre:

 2.3. Vulnerabilidad de los sistemas informáticos

La identificación de las vulnerabilidades de los sistemas informáticos implica un
análisis exhaustivo de las debilidades y brechas de seguridad que podrían ser
explotadas por amenazas potenciales. Aquí te presento los pasos generales para
realizar esta evaluación:

• Inventario de activos: identifica y registra todos los activos de información y

los sistemas informáticos que deben ser evaluados. Esto incluye el hardware,
el software, las redes, los servidores, las aplicaciones, las bases de datos,
entre otros.

• Análisis de la arquitectura y la configuración: revisa la arquitectura de los

sistemas informáticos y su configuración para identificar posibles debilidades.
Esto implica examinar la red, los puntos de entrada, las configuraciones de
seguridad, los permisos de acceso y otros componentes clave.

• Análisis de las vulnerabilidades conocidas: utiliza herramientas de escaneo

de vulnerabilidades o bases de datos de vulnerabilidades conocidas para
identificar si los sistemas tienen alguna. Estas herramientas comparan la
configuración y el estado de los sistemas con una lista de vulnerabilidades
conocidas.

• Pruebas de penetración: realiza pruebas de penetración o «penetration

testing» para simular ataques reales y descubrir las vulnerabilidades. Esto
puede
© Universidad Internacional de implicar
La Rioja (UNIR) la realización de pruebas automatizadas o pruebas manuales
que intenten explotar las debilidades del sistema para obtener un acceso no
autorizado o realizar acciones maliciosas.

6
Actividades
 Asignatura Datos del alumno Fecha
Trabajo de Investigación Apellidos:
para Innovar en
Seguridad Informática Nombre:

• Revisión de código: si es aplicable, revisa el código fuente de las aplicaciones

para identificar las posibles vulnerabilidades de seguridad, como errores de
programación o falta de validación de datos.

• Análisis de la configuración de seguridad: evalúa las configuraciones de

seguridad de los sistemas para asegurarte de que se apliquen las mejores
prácticas de seguridad. Esto incluye revisar configuraciones de cortafuegos,
configuraciones de encriptación, políticas de contraseñas, etc.

• Análisis de logs y registros: Examina los registros y logs de los sistemas para
identificar actividades sospechosas o anomalías que puedan indicar intentos
de explotación o brechas de seguridad.

• Priorización de vulnerabilidades: una vez identificadas las vulnerabilidades,

clasifícalas según su nivel de riesgo y su impacto potencial. Esto te permitirá
priorizar las acciones de mitigación y asignar los recursos adecuados para
abordar las más críticas primero.

Es importante destacar que la evaluación de vulnerabilidades es un proceso

continuo, ya que pueden surgir nuevas con el tiempo debido a las actualizaciones
de software, cambios en la infraestructura o la evolución de las amenazas. Por lo
tanto, es recomendable realizar evaluaciones de las vulnerabilidades de forma
regular y mantener los sistemas actualizados y protegidos.

© Universidad Internacional de La Rioja (UNIR)

7
Actividades
 Asignatura Datos del alumno Fecha
Trabajo de Investigación Apellidos:
para Innovar en
Seguridad Informática Nombre:

 2.4. Causas de las vulnerabilidades

Las vulnerabilidades en los sistemas informáticos pueden tener diversas causas.
Algunas de las más comunes son las siguientes:

• Fallos en el diseño y desarrollo del software: los errores de diseño o de

implementación en el software pueden dejar brechas de seguridad que
podrían ser aprovechadas por los atacantes. Estos fallos pueden incluir
problemas de programación, falta de validación de datos, falta de un cifrado
adecuado, entre otros.

• Fallos en la configuración de seguridad: una configuración incorrecta o

inadecuada de los sistemas y las aplicaciones puede dejarlos expuestos a
riesgos. Esto puede incluir configuraciones predeterminadas débiles, permisos
de acceso incorrectos, configuraciones de red inseguras, entre otros.

• Falta de actualizaciones y parches de seguridad: no aplicar las actualizaciones

y los parches de seguridad disponibles puede dejar los sistemas vulnerables a
ataques conocidos. Los desarrolladores y fabricantes lanzan regularmente
actualizaciones y parches para corregir vulnerabilidades detectadas, por lo
que no mantener los sistemas actualizados puede aumentar el riesgo.

• Uso de software obsoleto o sin soporte: utilizar software desactualizado o sin

soporte puede ser peligroso, ya que es menos probable que se corrijan las
vulnerabilidades conocidas. Esto incluye sistemas operativos, aplicaciones y
otros
© Universidad Internacional de componentes
La Rioja (UNIR) utilizados en los sistemas informáticos.

8
Actividades
 Asignatura Datos del alumno Fecha
Trabajo de Investigación Apellidos:
para Innovar en
Seguridad Informática Nombre:

• Ingeniería social y ataques de phishing: los ataques dirigidos a los usuarios

mediante técnicas de ingeniería social o phishing pueden aprovechar la falta
de conciencia y la manipulación psicológica para obtener acceso no
autorizado a los sistemas o la información confidencial. Los usuarios pueden
ser engañados para que revelen contraseñas o información sensible.

• Uso de contraseñas débiles o reutilizadas: el uso de contraseñas débiles o la

reutilización de contraseñas en múltiples sistemas puede dejar los sistemas
vulnerables a ataques de fuerza bruta o ataques de diccionario. Esto facilita a
los atacantes adivinar o descifrar las contraseñas y obtener acceso no
autorizado.

• Falta de conciencia y formación en seguridad: la falta de conocimiento y

conciencia sobre las prácticas de seguridad informática puede llevar a
comportamientos riesgosos, como hacer clic en enlaces sospechosos,
descargar archivos no seguros o revelar información confidencial sin
precaución.

• Amenazas internas: los empleados o el personal interno malintencionado

pueden explotar su acceso privilegiado para comprometer la seguridad de los
sistemas. Esto puede incluir acciones intencionadas o negligentes que
permitan el acceso no autorizado o la divulgación de información confidencial.

Estas son solo algunas de las causas comunes de vulnerabilidades en los sistemas
informáticos.
© Universidad Internacional Es importante
de La Rioja (UNIR) abordar estas causas y aplicar medidas de seguridad
adecuadas para mitigar los riesgos y proteger los sistemas y la información
confidencial.

9
Actividades
 Asignatura Datos del alumno Fecha
Trabajo de Investigación Apellidos:
para Innovar en
Seguridad Informática Nombre:

 2.5. Tipos de vulnerabilidades

Existen varios tipos de vulnerabilidades informáticas que pueden afectar la
seguridad de los sistemas y la información. Algunos de los tipos más comunes
son los siguientes:

• Vulnerabilidades de software: estas vulnerabilidades se encuentran en el

código de los programas y aplicaciones. Pueden ser debilidades en el diseño,
errores de programación o falta de validación de datos. Estas vulnerabilidades
pueden ser explotadas por los atacantes para obtener acceso no autorizado,
ejecutar código malicioso o comprometer la integridad de los sistemas.

• Vulnerabilidades de red: estas vulnerabilidades se refieren a debilidades en la

infraestructura de red y los protocolos utilizados para la comunicación.
Pueden incluir configuraciones de red inseguras, falta de autenticación o
cifrado, puertos abiertos innecesarios o débiles, entre otros. Estas
vulnerabilidades pueden permitirles a los atacantes interceptar, manipular o
acceder a los datos transmitidos a través de la red.

• Vulnerabilidades de los sistemas operativos: se encuentran en el núcleo del

sistema operativo y en sus componentes. Pueden ser debilidades en la
configuración, fallos de seguridad en el código o falta de actualizaciones y
parches de seguridad. Estas vulnerabilidades pueden permitirles a los
atacantes obtener acceso no autorizado al sistema, obtener privilegios
elevados o ejecutar código malicioso.
© Universidad Internacional de La Rioja (UNIR)

• Vulnerabilidades de las aplicaciones web: afectan a las aplicaciones basadas

en la web. Pueden incluir problemas como la inyección de código SQL, la falta
de validación de entradas, la exposición de información confidencial, la falta
de control de acceso o la falta de protección contra ataques de cross-site

10
Actividades
 Asignatura Datos del alumno Fecha
Trabajo de Investigación Apellidos:
para Innovar en
Seguridad Informática Nombre:

scripting (XSS) y cross-site request forgery (CSRF). Estas vulnerabilidades

pueden permitirles a los atacantes comprometer las aplicaciones y obtener
acceso a datos sensibles.

• Vulnerabilidades de autenticación y gestión de acceso: se refieren a

debilidades en los sistemas de autenticación y gestión de acceso. Pueden
incluir contraseñas débiles, autenticación insegura, falta de medidas de
control de acceso o falta de un cierre de sesiones adecuado. Estas
vulnerabilidades pueden permitirles a los atacantes obtener acceso no
autorizado a los sistemas o suplantar identidades.

• Vulnerabilidades de ingeniería social: explotan la manipulación psicológica de

las personas para obtener acceso no autorizado o información confidencial.
Pueden incluir ataques de phishing, engaños telefónicos o manipulación de
empleados para revelar información sensible. Dependen de la falta de
conciencia y el comportamiento descuidado de los usuarios.

Estos son solo algunos ejemplos de los tipos de vulnerabilidades informáticas

más comunes. Es importante identificar y abordar estas vulnerabilidades a través
de prácticas de seguridad adecuadas, actualizaciones de software,
configuraciones seguras y conciencia de seguridad.

© Universidad Internacional de La Rioja (UNIR)

11
Actividades
 Asignatura Datos del alumno Fecha
Trabajo de Investigación Apellidos:
para Innovar en
Seguridad Informática Nombre:

 2.6. Herramientas para la evaluación de vulnerabilidades

Existen varias herramientas que se utilizan para llevar a cabo la evaluación de las
vulnerabilidades informáticas. Estas herramientas automatizan el proceso de
identificación y escaneo de vulnerabilidades en los sistemas y las aplicaciones. A
continuación, se presentan algunas de las más populares:

• Nessus: es una herramienta de escaneo de vulnerabilidades ampliamente

utilizada. Realiza un análisis exhaustivo de la red y los sistemas para identificar
vulnerabilidades conocidas y posibles problemas de configuración.

• OpenVAS: es una herramienta de escaneo de vulnerabilidades de código

abierto que realiza un análisis de seguridad en redes y aplicaciones.
Proporciona una amplia gama de pruebas y análisis para identificar las
vulnerabilidades y las debilidades de los sistemas.

• Qualys: es una plataforma basada en la nube que ofrece servicios de

evaluación de vulnerabilidades. Realiza escaneos regulares de la
infraestructura de TI y proporciona informes detallados sobre las
vulnerabilidades encontradas.

• Nexpose: es una herramienta de gestión de vulnerabilidades que identifica,

evalúa y prioriza las vulnerabilidades de los sistemas y aplicaciones.
Proporciona informes y recomendaciones para abordar las vulnerabilidades
identificadas.
© Universidad Internacional de La Rioja (UNIR)

• Burp Suite: es una suite de herramientas diseñada para pruebas de seguridad

de aplicaciones web. Permite realizar pruebas de penetración, identificar
vulnerabilidades de seguridad y simular ataques en aplicaciones web.

12
Actividades
 Asignatura Datos del alumno Fecha
Trabajo de Investigación Apellidos:
para Innovar en
Seguridad Informática Nombre:

• Metasploit: es una plataforma de pruebas de penetración y explotación de

vulnerabilidades. Proporciona un amplio conjunto de herramientas y módulos
que pueden utilizarse para identificar y aprovechar las vulnerabilidades de los
sistemas y las aplicaciones.

Es importante destacar que estas herramientas deben ser utilizadas con

precaución y con el consentimiento de los propietarios de los sistemas y las
aplicaciones evaluadas. También es recomendable combinar el uso de
herramientas automatizadas con pruebas manuales y análisis de seguridad
adicionales para obtener una evaluación completa y precisa de las
vulnerabilidades.

 2.7. Ejecución de pruebas de penetración en el sistema

La ejecución de pruebas de penetración en un sistema informático implica
simular ataques controlados para identificar y explotar posibles vulnerabilidades.
A continuación, se presentan los pasos generales para llevar a cabo estas
pruebas:

• Planificación: antes de comenzar las pruebas es importante realizar una

planificación adecuada. Esto implica definir su alcance, identificar los objetivos
y establecer los límites y restricciones. También se deben obtener los
permisos y acuerdos necesarios de los propietarios del sistema para realizar
las pruebas.

• de
© Universidad Internacional Recopilación
La Rioja (UNIR)de información: comienza recopilando información relevante
sobre el sistema objetivo. Esto puede incluir detalles sobre la infraestructura
de la red, los servicios en ejecución, los sistemas operativos, las aplicaciones y
cualquier información pública disponible. La recopilación de información

13
Actividades
 Asignatura Datos del alumno Fecha
Trabajo de Investigación Apellidos:
para Innovar en
Seguridad Informática Nombre:

ayuda a comprender mejor el sistema y a identificar los posibles puntos de

entrada.

• Análisis de vulnerabilidades: utiliza herramientas de escaneo de

vulnerabilidades y análisis de seguridad para identificar posibles
vulnerabilidades en el sistema. Estas herramientas escanearán los puertos
abiertos, analizarán las configuraciones y buscarán posibles debilidades
conocidas. Los resultados de estas herramientas pueden ser utilizados como
una guía para centrar los esfuerzos de la prueba en áreas específicas.

• Identificación de los puntos de entrada: busca posibles puntos de entrada

para acceder al sistema objetivo. Esto puede incluir servicios expuestos,
interfaces web, aplicaciones o sistemas de autenticación débiles. Identifica las
áreas que tienen mayor potencial para ser explotadas y que podrían
proporcionar acceso al sistema.

• Explotación de vulnerabilidades: una vez identificadas las posibles

vulnerabilidades, se procede a la etapa de explotación. En esta fase se intenta
aprovechar las vulnerabilidades para obtener acceso no autorizado, ejecutar
comandos maliciosos o realizar acciones no deseadas en el sistema. Esto
puede incluir ataques de inyección de código, ataques de fuerza bruta,
elevación de privilegios, entre otros.

• Documentación de resultados: es importante documentar detalladamente los

resultados
© Universidad Internacional de de las
La Rioja (UNIR) pruebas de penetración, se deben incluir las vulnerabilidades
identificadas, las técnicas utilizadas y los resultados obtenidos. Esto ayudará a
los propietarios del sistema a comprender los riesgos y tomar medidas para
remediar las vulnerabilidades.

14
Actividades
 Asignatura Datos del alumno Fecha
Trabajo de Investigación Apellidos:
para Innovar en
Seguridad Informática Nombre:

© Universidad Internacional de La Rioja (UNIR)

15
Actividades
 Asignatura Datos del alumno Fecha
Trabajo de Investigación Apellidos:
para Innovar en
Seguridad Informática Nombre:

• Informe y recomendaciones: elabora un informe de las pruebas de

penetración que incluya un resumen de los hallazgos, el impacto potencial y
las recomendaciones para mitigar las vulnerabilidades identificadas. Este
informe debe ser claro, conciso y debe proporcionar medidas de remedio
específicas.

Es importante recordar que las pruebas de penetración deben realizarse de

manera ética y con el consentimiento del propietario del sistema. También se
recomienda contar con profesionales de seguridad experimentados y seguir las
mejores prácticas de seguridad para garantizar que las pruebas se realicen de
manera segura y controlada.

 2.8. Análisis de caja negra y de caja blanca

Los análisis de caja negra y caja blanca son dos enfoques diferentes utilizados en
pruebas de seguridad y análisis de sistemas. A continuación, se explica cómo se
llevan a cabo cada uno:

Análisis de caja negra:

• Enfoque: se basa en la perspectiva externa, sin conocimiento interno
detallado del sistema o la aplicación que se está evaluando. El analista realiza
pruebas sin acceso al código fuente o información interna sobre la estructura
y el funcionamiento del sistema.
• Objetivo: el objetivo es simular un ataque desde fuera de la organización,
como lo haría un atacante externo o un usuario no autorizado. El analista
intenta
© Universidad Internacional de descubrir
La Rioja (UNIR) vulnerabilidades y explotarlas utilizando técnicas de
escaneo, pruebas de penetración y otros métodos de evaluación externa.
• Métodos: el analista utiliza técnicas como pruebas de inyección, escaneo de
puertos, análisis de solicitudes y respuestas, ingeniería social, entre otros,
para identificar las vulnerabilidades desde la perspectiva de un atacante

16
Actividades
 Asignatura Datos del alumno Fecha
Trabajo de Investigación Apellidos:
para Innovar en
Seguridad Informática Nombre:

externo. El análisis se centra en la entrada y la salida del sistema, sin

considerar cómo se procesan internamente los datos.

Análisis de caja blanca:

• Enfoque: se basa en el conocimiento interno detallado del sistema o la
aplicación que se está evaluando. El analista tiene acceso completo al código
fuente, a la arquitectura del sistema y a otra información interna relevante.
• Objetivo: comprender en profundidad la estructura y el funcionamiento
interno del sistema, identificar las vulnerabilidades y evaluar la efectividad de
los controles de seguridad implementados.
• Métodos: el analista examina el código fuente, realiza pruebas unitarias y de
integración, revisa la arquitectura y la configuración del sistema, y utiliza
técnicas como la revisión de código, el análisis de flujo de datos y el análisis de
dependencias para identificar las posibles vulnerabilidades y riesgos. El
análisis se centra en el funcionamiento interno del sistema y cómo
interactúan sus componentes.

Es importante destacar que ambos enfoques tienen sus propias ventajas y

limitaciones. El análisis de caja negra es útil para simular ataques externos y
evaluar la resistencia del sistema desde una perspectiva externa. El análisis de
caja blanca permite un conocimiento más detallado del sistema y puede ayudar a
identificar vulnerabilidades específicas relacionadas con el diseño, el código y la
configuración interna del sistema. En muchos casos, una combinación de ambos
enfoques, conocido como análisis de caja gris, puede ofrecer una evaluación más
completa
© Universidad Internacional de(UNIR)
de La Rioja la seguridad de un sistema.

17
Actividades
 Asignatura Datos del alumno Fecha
Trabajo de Investigación Apellidos:
para Innovar en
Seguridad Informática Nombre:

 2.9. Riesgos y amenazas detectados

La redacción de los riesgos y amenazas informáticos detectados se realiza de
manera clara y concisa, proporcionando información relevante y precisa sobre
cada riesgo o amenaza identificada. Aquí hay algunos pasos que puedes seguir
para redactarlos de manera efectiva:

• Descripción del riesgo o amenaza: comienza proporcionando una breve

descripción del riesgo o amenaza. Explica de qué se trata y cómo puede
afectar a los sistemas informáticos o a la seguridad de la información.

• Identificación de los activos afectados: indica los activos de información o

sistemas específicos que están en riesgo debido a la amenaza. Puede incluir
datos confidenciales, infraestructura de red, servidores, aplicaciones o
cualquier otro componente relevante.

• Evaluación del impacto: describe el impacto potencial que el riesgo o

amenaza puede tener en los activos o sistemas afectados. Esto puede incluir
la pérdida de datos, interrupción de servicios, daño a la reputación de la
organización o cualquier otro impacto negativo relevante.

• Probabilidad de ocurrencia: evalúa la probabilidad de que el riesgo o

amenaza se materialice. Esto puede basarse en factores como la frecuencia de
ataques similares, las medidas de seguridad existentes o cualquier otra
consideración relevante.
© Universidad Internacional de La Rioja (UNIR)

• Nivel de riesgo: clasifica el riesgo o amenaza en función de su nivel de

gravedad y prioridad. Puede ser una escala numérica o una categorización
como alto, medio y bajo. Esto ayudará a la organización a comprender la
importancia relativa de cada riesgo o amenaza.

18
Actividades
 Asignatura Datos del alumno Fecha
Trabajo de Investigación Apellidos:
para Innovar en
Seguridad Informática Nombre:

• Medidas de mitigación: proporciona recomendaciones claras y específicas

sobre las medidas de mitigación que se deben tomar para reducir o eliminar el
riesgo o amenaza. Esto puede incluir la implementación de controles de
seguridad adicionales, actualizaciones de software, entrenamiento de
usuarios, entre otros.

• Responsable y plazo: identifica a la persona o el equipo responsable de

implementar las medidas de mitigación y establece un plazo para su
ejecución. Esto asegurará que se tomen las acciones necesarias en el tiempo
adecuado.

Recuerda que la redacción debe ser clara y comprensible para el público

objetivo. Evita el uso de jerga técnica excesiva y proporciona ejemplos o casos
prácticos cuando sea posible para ilustrar el riesgo o la amenaza de la manera
más efectiva. Además, es importante revisar y actualizar regularmente los
riesgos y amenazas detectados a medida que evoluciona el entorno de seguridad
y surgen nuevas amenazas.

© Universidad Internacional de La Rioja (UNIR)

19
Actividades
 Asignatura Datos del alumno Fecha
Trabajo de Investigación Apellidos:
para Innovar en
Seguridad Informática Nombre:

Extensión y formato

Extensión máxima de la actividad en número de páginas:

Fuente Calibri, tamaño 12 e interlineado 1,5 líneas.

© Universidad Internacional de La Rioja (UNIR)

20
Actividades
 Asignatura Datos del alumno Fecha
Trabajo de Investigación Apellidos:
para Innovar en
Seguridad Informática Nombre:

Rúbrica

Análisis de Puntuación
Peso
riesgos y Descripción máxima
%
amenazas (puntos)
Elaboración correcta de: 2.1. Introducción y
Criterio 1 objetivos del análisis de riesgos y amenazas y 2 20%
2.2. Métodos de recopilación de la información.
Elaboración correcta de: 2.3. Vulnerabilidad de
Criterio 2 los sistemas informáticos, 2.4. Causas de las 2 20%
vulnerabilidades y 2.5. Tipos de vulnerabilidades.

Criterio 3 Elaboración correcta de: 2.6. Herramientas para

2 20%
la evaluación de vulnerabilidades.

Elaboración correcta de: 2.7. Ejecución de

Criterio 4 pruebas de penetración en el sistema y 2.8. 2 20%
Análisis de caja negra y de caja blanca.

Criterio 5 Elaboración correcta del informe de riesgos y

2 20%
amenazas detectados.

10 100 %

© Universidad Internacional de La Rioja (UNIR)

21
Actividades