Curso en Introducción a la Ciberseguridad
LECCIÓN 6
Sistemas de Protección
Escuela de Empresa 82
�Curso en Introducción a la Ciberseguridad
Como estamos estudiando en el presente curso, el ciberespacio ocupa hoy cada
vez más espacio en nuestra acción diaria, la ciberseguridad como elemento en
pleno desarrollo, los ciberriesgos existentes o la necesidad de claves que
aporten seguridad a nuestro paso por las redes en un mundo interconectado
hace fundamental que los sistemas de protección sean elementos de análisis, a
esta cuestión responde la presente lección.
Los sistemas de protección: La gestión de la información como elemento
de prevención de ciberataques
Como hemos visto, la gestión de la información como elemento en sí mismo se
presente como fundamental en los mecanismos de ciberseguridad como en las
estrategias de ciberataques. Por ello, dentro de los sistemas de protección la
puesta en valor de acciones concretas que permitan mantener la seguridad de
los datos e informaciones, se muestran como fundamentales, existiendo al
respecto una serie de buenas prácticas que toda estrategia de ciberseguridad
deberá tener presente, acciones cuyas características principales serán las
siguientes con respecto a esa gestión de la información, al efecto de prevenir
ciberataques:
I. La integridad: La información solo puede ser manipulada por las personas
autorizadas y de la forma establecida.
II. La confidencialidad: A la información y datos solo pueden acceder las
personas autorizadas para ello. Siendo dicho acceso para los propósitos
establecidos y en el instante especificado.
Escuela de Empresa 83
�Curso en Introducción a la Ciberseguridad
III. La disponibilidad: La información deberá estar disponible y accesible por
las personas usuarias autorizadas en el momento que sea necesario.
IV. La Irrefutabilidad: Cabe señalar dentro de esta característica en lo que a
la gestión de la información se refiere que, el acceso o modificación de la
información por parte del usuario deberá ser irrefutable. De esta forma,
siempre se deberá poder conocer quien, cuando, desde donde y el motivo,
por el que un usuario accedió o manipulo una información determinada.
V. El control de los accesos: Otro de las características de una correcta
gestión de la información es aquella que hace referencia al
establecimiento de controles de acceso, es decir mecanismos que
permitan implementar elementos de seguridad en cuanto a la penetración
en los sistemas y aplicaciones, ya sea a través de credenciales, claves u
otros elementos. Cabe señalar aquí, que las credenciales de acceso a la
información deberán siempre estar correctamente vinculadas a los roles
de cada usuario, así como a los permisos y restricciones oportunas.
VI. Gestión segura de contraseñas: Aunque pudiera parecer un hecho
recurrente, hoy en día existen muchos ciberataques de éxito que parten
de la debilidad en la gestión de las contraseñas de personas, empresas u
organizaciones. Además, y como elemento permanente se presenta en la
cotidianeidad de las acciones la presencia de uso de multitud de
contraseñas para poder acceder a la gran variedad de servicios en la nube
y recursos locales, como correos electrónicos, plataformas corporativas,
redes sociales, acceso a programas de gestión, etc. Algo que en muchas
ocasiones genera lo contrario a una correcta gestión de contraseñas. El
hecho de disponer de una política en la gestión y uso de contraseñas
Escuela de Empresa 84
�Curso en Introducción a la Ciberseguridad
permite aumentar notablemente el nivel de seguridad y privacidad de la
información. Así, y como normas fundamentales a seguir en este aspecto
para la construcción de contraseñas seguras en la red, se deberían seguir
una serie de normas básicas siendo estas las siguientes:
a) Contraseñas robustas: Las contraseñas no deberán ser fáciles ni
predecibles por parte de los ciberatacantes. A este respecto, no
pueden estar con hábitos, familias, bienes o hobbies que puedan
ser identificados. Es recomendable aquí llevar a cabo combinación
de palabras de diferentes ámbitos, símbolos y números. Siendo el
mínimo de caracteres de ocho.
b) Sin reutilización: La reutilización de las contraseñas es otro de los
elementos que forman parte de las normas básicas de gestión.
Esta prohibición se extiende a toda la relación con la red. Por ello,
las contraseñas deberán ser renovadas y no volverán a ser
utilizadas.
c) Caducidad programada: Las contraseñas tendrán que tener
siempre para su correcta gestión y prevención de ataques una
caducidad programada no superior a un año.
d) El uso de los gestores de claves: Dentro de las normas básicas de
acción con respecto a la utilización de contraseñas, se muestra
como un elemento recomendable el que hace referencia al uso de
aplicaciones que permitan la gestión de contraseñas antimalware.
Hay que recordar que en la gestión de claves no sólo nos referimos
al ámbito de la utilización de los ordenadores sino también a los
dispositivos móviles (smartphones) no dejan de ser ordenadores
Escuela de Empresa 85
�Curso en Introducción a la Ciberseguridad
que gestionan información y están conectados a internet, de
manera que también deben tener un Antimalware instalado.
Los sistemas de protección: Activos y pasivos ante el malware
Dentro de los sistemas de protección en el ámbito de la ciberseguridad con
respecto a los malware existen dos sistemas: Activos y pasivos. Si bien de
manera previa a la activación de estos, debemos llevar a cabo la detección del
ciberriesgo, al respecto existen dos técnicas automatizadas que sirven a este
objeto, siendo estas las siguientes:
I. Por firmas: A través de este procedimiento se lleva a cabo la detección de
las aplicaciones buscando su firma, esta no es más que la cadena de
caracteres que identifican de forma única a la aplicación.
II. Detección heurística: Técnica proactiva que analiza una aplicación y
compara su actividad con patrones que vienen a exponer la existe de una
presencia de una actividad maliciosa. Estas herramientas de detección
están ampliamente implementadas en los programas de detección de
software malicioso, llamados antivirus o antimalware.
Pero volviendo a los métodos de protección, como señalábamos anteriormente
podemos encontrar sistemas activos y pasivos. Siendo las características de
estos las siguientes:
I. Métodos activos:
Se desarrollan a través de la utilización de aplicaciones que permiten la
detección de los virus y aplicaciones maliciosas, o la prevención mediante
Escuela de Empresa 86
�Curso en Introducción a la Ciberseguridad
el control de las actividades. Los más frecuentes en este ámbito son los
antivirus -es decir aplicaciones cuyo diseño responde al objetivo de
detectar y eliminar malware utilizando métodos de detección por firmas y
heurística- y el filtrado de archivos – compuesto por reglas automáticas
que sirven para filtrar el tipo de archivos que pueden descargarse de
internet o que pueden ser aceptados como adjunto a un correo
electrónico- serían estas las dos vías de acción más usuales de los
métodos activos.
II. Métodos pasivos
Responden estos a la aplicación de la lógica y la evitación de acciones
peligrosas que puedan poner en riesgo la seguridad de los sistemas de
comunicación, ordenadores y bases de datos, en algunos manuales se
denominan también como buenas prácticas. Son varios los principios
básicos por los que se rigen estos instrumentos siendo los principales:
a) El mínimo privilegio: Todas las personas usuarias de sistemas
informáticos tienen que tener privilegios o permisos para la
ejecución de tareas y acciones específicas vinculadas sólo a su
ámbito de trabajo. Pero nunca más allá de dichos permisos,
estando limitada su actuación a su ámbito.
b) Mínima superficie de exposición: Este principio se basa en que, a
mayor superficie de exposición, mayor es el número de
vulnerabilidades se está expuesto. Es decir, la compartición de
archivos por ejemplo será restringida al objetivo de conexión de
esa información con el destinatario, sin ir más allá.
Escuela de Empresa 87
�Curso en Introducción a la Ciberseguridad
c) Defensa en profundidad: Este principio se basa en la defensa o
protección por capas. Es decir, tendremos que contar con
diferentes fases de defensa en la red que permitan en el caso de
caída de una primera, disponer de una segunda línea de defensa.
La combinación de un antivirus y un sistema de prevención de
intrusos -también conocido como IPS- se muestran como usuales
y habituales en la acción.
Cabe señalar en este punto que el factor humano aparece en muchas ocasiones
como un elemento a aprovechar ampliamente por los ciberdelincuentes, al
generar los mismos con sus acciones en muchas veces inconscientes
vulnerabilidades que son utilizadas por esto al objeto de lograr sus objetivos. Por
ello, para evitar en lo que sea posible estas posibles vías de acción para las
incidencias en la red, los roles de los usuarios de los sistemas informáticos
deberán estar definidos de manera clara, con las restricciones y permisos
adecuados como anteriormente señalábamos. Aparece aquí la prevención como
un elemento de acción común y necesaria. No obstante, al objeto de asegurar la
corrección de la actividad de los seres humanos en el ámbito del ciberespacio
existen una serie de principios y normas básicas que se deberán de cumplir en
el marco de la prevención necesaria en el contexto de la ciberseguridad, dichas
normas serán las siguientes como viene a señalar la Asociación Nacional de
Ciberseguridad:
a) Cumplimiento de políticas: La definición de correctas políticas y procesos
es una gran herramienta de protección frente amenazas. Se debería
considerar prioritario implementar sistemas de gestión de la seguridad de
la información (SGSI) o en su defecto políticas y procesos específicos
para mitigar riesgos. Así como formar y concienciar al personal sobre la
necesidad de su correcto cumplimiento.
Escuela de Empresa 88
�Curso en Introducción a la Ciberseguridad
b) Confiabilidad: Es muy importante que los empleados de la empresa sean
conscientes de que los protocolos y las normas son imprescindibles para
garantizar la seguridad de los activos y como consecuencia la continuidad
del negocio. Pero el ser humano es proclive a cometer errores, así que es
igualmente, necesario concienciar a los empleados de la necesidad de
c) comunicar cualquier error cometido lo antes posible, para poder mitigar
cualquier riesgo o impacto.
d) Formación: La empresa tiene la obligación a formar a sus empleados en
ciberseguridad y el empleado por su parte debe tener conciencia de la
importancia de formarse adecuadamente en los conocimientos básicos de
ciberseguridad, que le serán aplicables incluso a sus actividades
personales.
e) Soporte: Cuando algún empleado de la organización deba realizar algún
proceso que pueda representar un riesgo especial, debe tener soporte
técnico para poder realizarlo de la forma menos peligrosa posible.
f) Comunicación: Las comunicaciones que se efectúan entre empleados o
departamentos, deben ser formales. No es válido utilizar ningún método
que pueda provocar errores o confusiones.
g) Nada es confiable es la red: El usuario deberá desconfiar absolutamente
de todo, por supuesto sin llegar a la paranoia como señalan diferentes
estudios. Por ello se deberán tener preocupaciones en la utilización de
programas, archivos y elementos de hardware.
Escuela de Empresa 89
�Curso en Introducción a la Ciberseguridad
Gráfico con imagen de diferentes programas de seguridad
Los sistemas de protección: La utilización del correo electrónico
Dentro de los sistemas de protección, el análisis del correo electrónico es uno de
los elementos a tener en cuenta en el presente manual. Así, esta vía se presenta
como una de las de mayor utilización por parte de los ciberdelincuentes que ven
en la misma un camino de acceso para lograr los objetivos de sus ciberataques.
Al objeto, el uso de técnicas de ingeniería social para llevar a cabo la infectación
con malware de equipos informáticos o el robo de datos son prácticas habituales
en un mundo interconectado en las comunicaciones a través del tradicional
correo electrónico. Por ello, la puesta en marcha de una serie de normas de uso
de esta herramienta debe servir al objeto de evitar el éxito de las acciones de los
ciberdelincuentes, siendo las más básicas las siguientes:
I. Mantener una activación de las alertas en el uso del mail: La lógica, la
intuición y la precaución son los grandes aliados como señala la
Escuela de Empresa 90
�Curso en Introducción a la Ciberseguridad
asociación española de ciberseguridad o el Incibe. Por ello la
preocupación ante un correo extraño debe ser la línea de acción a seguir.
II. No creer en lo gratuito: Nada de lo que puedan ofrecer gratis será
realmente positivo, el simple hecho de enviar un correo electrónico ha
tenido un coste. Así esta norma de actividad en materia de correo
electrónico viene a indicar que las campañas publicitarias donde ofrecen
servicios o con costes ridículos pueden esconder consecuencias
negativas para nuestros sistemas de seguridad.
III. Evitar la interconexión con las personas desconocidas: Si el remitente es
un desconocido hay que activar todas las alarmas y estar muy atentos al
contenido del correo, ya que podría fácilmente ser un correo malicioso.
IV. Evitar los archivos adjuntos un peligro: Otra de las reglas fundamentales
en el uso del mail, es aquella que viene a indicar la prohibición en la
descarga de un archivo adjunto a un correo electrónico, si no se está
completamente seguro de que proviene de un remitente de confianza y/o
se esperaba la recepción del adjunto.
V. Contraseñas: Las contraseñas deben ser como hemos visto
anteriormente en esta lección fuertes, no reutilizadas y deben renovarse
de forma periódica.
VI. Antimalware actualizado: La mayoría de Antimalware o Antivirus realizan
análisis automáticos de los correos antes de mostrarlas al usuario, por
consiguiente, es necesario tener instalada alguna aplicación de este tipo
al efecto de evitar el daño causado por un ciberataque que aproveche las
vulnerabilidades de un sistema de protección ya desactualizado
Escuela de Empresa 91
�Curso en Introducción a la Ciberseguridad
VII. Navegador actualizado: Los navegadores son aplicaciones informáticas
que como cualquier otra tienen vulnerabilidades que los ciberdelincuentes
aprovechan, es necesario mantener los navegadores actualizados a la
última versión con el fin de que tengan solucionadas el mayor número de
vulnerabilidades posible.
Sistemas de protección: Otras precauciones en la actividad en el
ciberespacio
Junto a todo lo anteriormente señalado, existen también una serie de
precauciones que siguiendo las indicaciones de las entidades anteriormente
señaladas como la Asociación Nacional de Ciberseguridad y el Incibe han venido
a configurar una serie de medidas de protección basadas en gran parte en la
precaución y las buenas prácticas en lo que a nuestra navegación por el
ciberespacio se refiere, siendo estas las siguientes:
I. Navegar siempre a través de los sitios de confianza: Visitar sitios
conocidos y de confianza no es una garantía 100% de que estén libres de
aplicaciones maliciosas, pero existe una certeza comprobable en que
estarán más controladas que sitios de dudosa titularidad.
Escuela de Empresa 92
�Curso en Introducción a la Ciberseguridad
Gráfico Medidas de Protección frente a ciberriesgos
Fuente: Observatorio Nacional de Telecomunicaciones y de la Sociedad de la Información
II. Páginas web con https: Las páginas web cuya dirección empieza por
https, son direcciones seguras, no se deberían realizar operaciones
bancarias o transacciones en webs cuya dirección no empiece por https,
ya que en esos casos estamos generando agujeros de acceso para los
ciberdelincuentes en cuanto a la captación de datos.
Escuela de Empresa 93
�Curso en Introducción a la Ciberseguridad
III. Direcciones correctas (URLs): Se debe verificar las direcciones de los
sitios Web (URLs) que se visitan ya que existen muchas tentativas de
engaño, dirigiendo a los usuarios a páginas web malignas que tienen una
apariencia igual a la original y que solo se podrán diferenciar verificando
que la dirección es la correcta.
IV. No aceptar descargas: Si una página web solicita que se realice una
descarga de un programa, no se deberá aceptar dicha descarga a
excepción que se esté totalmente seguro de que se está descargando una
aplicación de confianza.
V. Antimalware actualizado: La mayoría de Antimalware o Antivirus, realizan
análisis automáticos de las Webs antes de mostrarlas al usuario, del
mismo modo disponen de listas de sitios Web maliciosos, por
consiguiente, es necesario tener instalada alguna aplicación de este tipo.
Aplicaciones de confianza. Ya se ha comentado del peligro de descargar
e instalar software pirata, pero en este punto se hace mención a todo tipo
de software pirata, no solo el que se puede descargar de internet.
Escuela de Empresa 94
�Curso en Introducción a la Ciberseguridad
Imagen resumen de los tipos de malware más frecuentes
Sistemas de Protección: Las necesidades específicas de la nube
Otro de los ámbitos vinculados al ciberespacio en donde se deben analizar los
sistemas de protección es el de la nube, el sistema cloud que tanto ha
evolucionado en los últimos años y que requiere de un análisis somero al
respecto en esta lección. Al efecto, debemos señalar que el auge de esta
herramienta de servicios se ha estructurado en una relación en la que es el
proveedor quien debe de aportar los mecanismos de seguridad y de protección
de los datos que la empresa, organización o persona haya aportado. Al respecto
son varias las cuestiones que deberemos tener presentes en este ámbito:
Al producirse una pérdida del control total de la información depositada, será una
exigencia necesaria la búsqueda de garantías que el proveedor deberá aportar,
todo ello en base al cumplimiento de una serie de normas estrictas seguridad.
Existen dos normativas ISO que hacen referencia explícita a estos tipos de
Escuela de Empresa 95
�Curso en Introducción a la Ciberseguridad
servicios: La norma ISO 27017 (Controles de seguridad para servicios Cloud) y
la norma ISO 27018 (Requisitos para la protección de la información de
identificación personal en sistemas Cloud), que pueden ser un factor decisivo al
seleccionar el proveedor de servicios.
En todo proceso de comunicación e intercambio de información en la nube
deberá existir un protocolo seguro y de cifrado de datos a través de
procedimientos adecuados al respecto.
La existencia en los procesos de interconexión con la nube de sistemas
operativos de confianza. Es decir, aquellos que han sido creados y diseñados
desde cero o que han sido adaptados a partir de sistemas operativos
convencionales con la intención de que cumplan requisitos fundamentales como
asegurar la integridad de la información y las operaciones, la limitación de los
privilegios de los accesos a los recursos o asegurar la confidencialidad de estos
procesos entre otros.
Los sistemas de protección: La gestión de las Wifi
Al igual que anteriormente veníamos señalando para el ámbito de la nube, en el
ámbito de la conectividad por wifi también debemos de observar una serie de
medidas que sirvan al efecto de velar por la ciberseguridad en la conexión en
estos ámbitos, evitando la penetración o ataques desde este canal por parte de
los ciberdelincuentes, al respecto serán pautas de acción las siguientes:
I. Asignar a la wifi el sistema de seguridad más avanzado: WPA2. En el
ámbito de la conectividad por wifi Buscaremos las opciones de
Escuela de Empresa 96
�Curso en Introducción a la Ciberseguridad
seguridad para configurar un sistema de cifrado o encriptación WPA2
con un cifrado AES.
II. Cambiar la contraseña por defecto: Toda red Wifi tiene de inicio una
contraseña por defecto, si bien dicha cuenta debe ser modificada. Por
ello, debemos establecer una clave de acceso a la red wifi de al menos
12 caracteres con mayúsculas, minúsculas, números y símbolos.
III. Cambiar el nombre de la wifi o SSID: El mismo viene normalmente
definido por defecto, por ello debe ser sustituido por uno que no
sugiera cuál es nuestro operador y que no guarde relación con la
contraseña de acceso a la red.
IV. Modificar la contraseña para cambiar la configuración: Para acceder
al panel de configuración necesitaremos conocer la contraseña de
acceso. Esta se encuentra en la documentación de nuestro dispositivo,
pero por su sencillez por defecto -suelen ser claves como 1234 o
admin- conviene ser sustituida al objeto de evitar un ciberataque y la
utilización del router de manera ajena.
V. Apagar el router si nos ausentamos varios días: Todo ello al objeto de
evitar la penetración en nuestro sistema.
Los sistemas de protección: La identificación y la reacción ante los ataques
en el ciberespacio
Por último y dentro de esta lección objeto de estudio en el presente manual
deberemos analizar los aspectos referentes a las acciones de identificación y
Escuela de Empresa 97
�Curso en Introducción a la Ciberseguridad
reacción ante los ataques en el ámbito del ciberespacio. Así, se muestra como
fundamental en este campo todo lo que tiene que ver con la reacción organizada
ante la detección de cualquier tipo de incidente derivado de un ciberriesgo ya
activo y convertido en incidente o ataque. No por menos, ello ayudará a
minimizar el impacto de los incidentes relacionados con esa violación de la
ciberseguridad que la empresa, organizaciones, institución o personas hubiera
sufrido Se establece así un protocolo de actuación que deberá contener como
mínimo una serie de fases, tales como las siguientes:
I. La detección: Partiendo de que la seguridad permanente y total no existe,
ocurriendo siempre algún incidente en nuestra ciberseguridad, llegamos
a la lógica de la necesidad de disponer de métodos y herramientas de
detección de incidentes
II. La evaluación: Tras la primera fase, se pasa a la denominada de
evaluación en ella se viene a determinar el nivel de impacto que este tiene
sobre los activos de la empresa, organización o la persona, siendo estos
de bajo, medio o alto impacto. Al respecto, en este último caso nos
encontraremos ante un tipo de incidente de seguridad en los que se dé
una fuga de información, un acceso no autorizado, una alteración de
activos o el uso inapropiado de recursos. De esta forma, para determinar
el nivel de impacto se analizarán factores como:
a) El daño actual: El perjuicio o daño que ha efectuado el incidente
hasta el mismo momento en que se ha detectado.
b) El daño futuro: El perjuicio o daño futuro que puede efectuar el
incidente.
Escuela de Empresa 98
�Curso en Introducción a la Ciberseguridad
c) Los recursos: Recursos disponibles por la organización o
disponibilidad de recursos externos y tiempos de respuesta.
d) Los aspectos normativos/legales: La necesidad de efectuar o no
reclamaciones, denuncias o imponer sanciones.
III. La reacción: La tercera fase tendrá como objetivo dar respuesta al
incidente y ciberataque recibido.
Escuela de Empresa 99
