Benemérita Universidad Autónoma De

Puebla

PROYECTO FINAL

MARCO DE SEGURIDAD
Ingeniería social

Sección: 004

Cod.Materia:18056

OTOÑO 2024

Profesor: Reynold Osuna Gonzáles

Montero García José Eduardo 202448918

Mora Morales Leonardo Rafael

202449109

Olivos Fierro Alejando 202450481

Osuna Orduño José Alberto 202451009

Ortiz Medina Julio Cesar

202450845

Palacios Luna Rodrigo Emiliano

202451226
Vargas Loya Ángel Juvencio 202462619

INTRODUCCION

FinanSecure Corp. es una institución financiera de gran prestigio, con presencia en

varias regiones de América Latina. Como líder en servicios bancarios tanto para clientes
corporativos como personales, la empresa ha implementado una avanzada plataforma
digital para mejorar la atención a sus usuarios. Sin embargo, con el crecimiento digital y
la mayor interconexión entre empleados y clientes, también han aumentado las
amenazas relacionadas con la ingeniería social. En el último año, FinanSecure ha
experimentado un incremento de ataques como el phishing, la suplantación de
identidad y otras técnicas que explotan la psicología humana, poniendo en riesgo tanto
los datos confidenciales de los clientes como la integridad de las operaciones internas.

Consciente de estos riesgos, FinanSecure ha decidido dar un paso firme hacia la

implementación de un marco de seguridad integral, centrado en mitigar los ataques de
ingeniería social. El objetivo principal es fortalecer la preparación de todos los
empleados frente a este tipo de amenazas, desde los más altos ejecutivos hasta el
personal operativo. Es necesario que los colaboradores no solo cuenten con las
herramientas adecuadas para detectar estos ataques, sino que también desarrollen una
mentalidad de "pensamiento adversarial" para reconocer patrones de manipulación y
persuadir de manera efectiva a los atacantes.

En este sentido, nuestra consultoría de ciberseguridad se enfocará en una serie de

acciones estratégicas que incluyen la identificación de las principales amenazas a las
que se enfrenta la organización, el diseño de políticas de seguridad más estrictas y la

1
creación de un programa de capacitación robusto que permita a los empleados
reconocer y actuar frente a intentos de ingeniería social. Asimismo, implementaremos
simulaciones de ataques en entornos controlados para evaluar la preparación de los
empleados y la efectividad de las medidas preventivas.

Además, propondrán herramientas tecnológicas adecuadas para detectar y filtrar

amenazas en tiempo real, mejorando la visibilidad sobre los riesgos y fortaleciendo las
capacidades de respuesta. La integración de un Sistema de Gestión de Información y
Eventos de Seguridad (SIEM) permitirá centralizar los eventos de seguridad y ofrecer
una mayor capacidad de análisis y detección temprana.

Este enfoque integral no solo busca reducir los riesgos asociados con los ataques de
ingeniería social, sino también crear una cultura organizacional más sólida y proactiva
frente a las amenazas cibernéticas. Al involucrar a todos los niveles de la organización y
equipar a los empleados con el conocimiento y las herramientas adecuadas,
FinanSecure podrá no solo proteger mejor los activos y la información sensible, sino
también fortalecer su reputación como una institución financiera confiable y
comprometida con la seguridad de sus clientes. Este esfuerzo es clave para asegurar la
continuidad de sus operaciones, adaptarse a los cambios en el panorama de amenazas
cibernéticas y garantizar la confianza de los usuarios en la plataforma digital de la
empresa.

2
ANALISIS DE AMENAZAS

En nuestro marco de seguridad es muy importante el análisis de amenazas y

vulnerabilidades.

Les dejamos un análisis extenso sobre el caso “FINANSECURE”. Leyendo sus correos
electrónicos de phishing deducimos que son correos electrónicos fraudulentos que
simulan ser comunicaciones legítimas de la empresa (por ejemplo, del departamento de
TI o de recursos humanos) son una amenaza significativa. Los atacantes pueden enviar
enlaces que dirijan a páginas de phishing para robar credenciales.

El impacto que pueden tener este tipo de correos puede ser muy peligroso desde la
obtención de credenciales que puede permitir a los atacantes acceder a datos sensibles
hasta realizar transacciones no autorizadas o comprometer la integridad de la
información interna.

Pudimos averiguar que la empresa utiliza whatsapp como plataforma principal de

comunicación entre empleados, los atacantes pueden enviar mensajes que aparenten
ser de compañeros de trabajo o superiores, solicitando información confidencial o
acciones inmediatas.

Un error como la falta de verificación de identidad en estas plataformas puede llevar a

que los empleados compartan información sensible o realicen acciones perjudiciales sin
verificar la autenticidad del mensaje. Los atacantes pueden utilizar técnicas de
SPOOFING para imitar direcciones de correo electrónico o números de teléfono de
empleados o ejecutivos de FinanSecure, lo que les permite engañar a otros empleados
para que revelen información confidencial o realicen transferencias de fondos.

3
La suplantación de identidad puede resultar en pérdidas financieras significativas y en
la exposición de información sensible.

Los atacantes pueden utilizar tácticas de manipulación emocional, aprovechando

situaciones de presión o urgencia (por ejemplo, una supuesta crisis o un cambio de
política) para influir en decisiones de empleados clave. Esto puede incluir solicitudes de
transferencia urgente de fondos o la aprobación de transacciones inusuales.

Los atacantes pueden realizar llamadas telefónicas haciéndose pasar por empleados
de soporte técnico o consultores, solicitando información sensible o acceso a sistemas
críticos. Eso también puede ser conocido como VISHING, es muy importante saber eso
para nuestro marco de seguridad.

ANALISIS DE VULNERABILIDADES

Analicemos ahora las vulnerabilidades de la empresa.

Una vulnerabilidad muy redundante en la compañía es la falta de capacitación en

ciberseguridad. Solo el 15% de los empleados ha recibido capacitación en
ciberseguridad en los últimos tres años, lo que deja a la mayoría sin las habilidades
necesarias para identificar y responder a intentos de ingeniería social.

Esta empresa cuenta con una política un poco riesgosa, hablamos de las políticas de
SEGURIDAD DE LAXAS. La política de contraseñas permite la reutilización y el cambio
poco frecuente, lo que aumenta el riesgo de que las credenciales sean comprometidas.

La falta de autenticación multifactor (MFA) para el acceso remoto también expone a la

organización a riesgos adicionales.

La falta de una cultura de ciberseguridad y la percepción de que no es responsabilidad

de los empleados contribuyen a la vulnerabilidad general de la organización y la falta de
un protocolo formal para reportar incidentes de seguridad significa que los empleados
pueden no informar sobre intentos de PHISING o suplantación, lo que dificulta la
detección temprana y la respuesta a tales incidentes.

4
Uno como profesional tiene a la mano recomendaciones sobre todo lo que vimos y
estas son algunas de ellas.

Es fundamental implementar un enfoque integral que combine capacitación, políticas de

seguridad más estrictas, herramientas tecnológicas adecuadas y una cultura
organizacional centrada en la ciberseguridad. Las recomendaciones específicas
incluyen:

Implementar programas de capacitación obligatorios y frecuentes para todos los

empleados, enfocados en la identificación de correos electrónicos de PHISING,
suplantación de identidad y técnicas de manipulación emocional.

Revisar y reforzar la política de contraseñas, implementando requisitos de complejidad,

cambios más frecuentes y prohibiendo la reutilización de contraseñas. Introducir la
autenticación multifactorial para todos los accesos remotos y sistemas críticos.

Establecer políticas claras sobre el uso de dispositivos personales, incluyendo la

obligación de utilizar soluciones de seguridad y redes privadas virtuales (VPN) al
acceder a sistemas corporativos.

Introducir herramientas de ciberseguridad, como filtros de correo electrónico, sistemas

de detección de intrusiones (IDS), y un SIEM para monitorear y responder a incidentes
de seguridad.

Fomentar una cultura organizacional donde la ciberseguridad sea vista como una
responsabilidad compartida, incentivando a los empleados a reportar incidentes
sospechosos y participar activamente en la seguridad de la información.

Con la implementación de estas medidas, FinanSecure Corp. Esperemos se pueda

reducir significativamente su exposición a las amenazas de ingeniería social y fortalecer
su postura general de ciberseguridad.

5
PROPUESTAS PARA MARCO DE CIBERSEGURIDAD

1. Identificación

La fase de identificación implica comprender los activos, riesgos y vulnerabilidades de

la empresa, estableciendo una base sólida para tomar decisiones informadas sobre la
ciberseguridad.

Elementos clave:

· Inventario de activos: Realizar un inventario completo de todos los activos

tecnológicos de la empresa, incluidos servidores, estaciones de trabajo, aplicaciones,
redes y dispositivos móviles. Identificar los activos más críticos que deben protegerse.

· Evaluación de riesgos: Identificar las amenazas y vulnerabilidades que puedan afectar

a los activos de la empresa. Evaluar el impacto potencial de las amenazas en la
continuidad del negocio y en los datos sensibles.

· Política de ciberseguridad: Establecer políticas claras sobre el uso de tecnología, la

protección de datos y la gestión de accesos. Esto incluye políticas de seguridad,
privacidad y cumplimiento normativo.

· Gestión de proveedores y terceros: Evaluar los riesgos asociados con la cadena de

suministro, incluyendo a los proveedores de software y servicios que puedan tener
acceso a los servidores

2. Protección

6
La fase de protección está enfocada en la implementación de controles técnicos y
organizativos para mitigar los riesgos identificados, protegiendo la confidencialidad,
integridad y disponibilidad de los activos.

Elementos clave:

· Control de acceso: Implementar políticas de control de acceso basadas en roles

(RBAC) y la autenticación multifactor (MFA) para garantizar que solo usuarios
autorizados puedan acceder a los recursos críticos.

· Protección de datos: Utilizar cifrado para proteger los datos tanto en reposo como en
tránsito. Establecer procedimientos para la eliminación segura de datos sensibles.

· Seguridad en la red: Implementar firewalls, sistemas de detección y prevención de

intrusiones (IDS/IPS) y redes privadas virtuales (VPN) para proteger la infraestructura
de red de la empresa.

· Seguridad de aplicaciones: Asegurarse de que las aplicaciones y el software sean

evaluados regularmente para detectar vulnerabilidades. Implementar prácticas de
desarrollo seguro (DevSecOps).

· Capacitación y concientización: Desarrollar programas de formación continua para los

empleados sobre ciberseguridad, como el reconocimiento de correos electrónicos de
phishing, el uso de contraseñas seguras y la protección de dispositivos móviles.

3. Detección

La fase de detección se centra en identificar de manera temprana las posibles

amenazas a través de la supervisión y el análisis continuo.

Elementos clave:

· Monitoreo continuo: Implementar soluciones de monitoreo que detecten actividades

sospechosas en tiempo real. Esto incluye herramientas como sistemas de detección de
intrusiones (IDS), análisis de comportamiento y soluciones SIEM (Security Information
and Event Management).

7
· Análisis de vulnerabilidades: Realizar escaneos regulares de vulnerabilidades para
identificar puntos débiles en los sistemas antes de que los atacantes los exploten.

· Alertas y notificaciones: Establecer un sistema de alertas automáticas para notificar a

los administradores sobre actividades inusuales o posibles brechas de seguridad.

Respuesta

La fase de respuesta tiene como objetivo gestionar y mitigar los efectos de un incidente
de seguridad después de que ha sido detectado.

Elementos clave:

· Plan de respuesta a incidentes: Desarrollar y probar regularmente un plan de

respuesta a incidentes que defina los pasos a seguir cuando ocurra una brecha de
seguridad. El plan debe incluir cómo contener el ataque, cómo comunicar el incidente
internamente y con las partes externas (clientes, autoridades, etc.).

· Investigación y análisis forense: Realizar investigaciones para determinar la causa del

incidente y la extensión del daño. Esto puede incluir la recolección de evidencia digital y
el análisis forense para prevenir futuros ataques.

· Comunicaciones: Asegurar que exista un protocolo de comunicación claro para

notificar tanto a los empleados como a las autoridades competentes en caso de una
violación de datos.

5. Recuperación

La fase de recuperación tiene como objetivo restaurar la normalidad en las operaciones

de la empresa lo más rápido posible tras un incidente de seguridad.

Elementos clave:

· Plan de recuperación ante desastres: Establecer un plan detallado para restaurar

sistemas y servicios críticos. Esto incluye la realización de copias de seguridad
periódicas y el uso de tecnología de recuperación ante desastres (DR).

8
· Restauración de operaciones: Asegurar que los sistemas de TI críticos sean
restaurados a su estado operativo lo más rápido posible, minimizando el impacto en las
operaciones comerciales.

· Lecciones aprendidas: Realizar una evaluación posterior al incidente para identificar

fallos en los controles y mejorar las prácticas de ciberseguridad para prevenir futuros
incidentes.

Propuesta de Capacitación y Desarrollo de Pensamiento Crítico en

Seguridad

La consultora deberá diseñar programas de capacitación para todos los niveles de

empleados, enfocados en desarrollar pensamiento adversarial y fomentar la
concientización en seguridad. Esto incluye:

 Entrenamiento en Detección de Manipulación: Enseñar a los empleados a

identificar intentos de manipulación emocional y técnicas de persuasión
utilizadas por atacantes.

 Simulaciones y Juegos de Rol: Realizar sesiones prácticas en las que los

empleados respondan a posibles escenarios de ataque, analizando los sesgos
cognitivos que podrían explotar los atacantes.

Las capacitaciones para preservar algún tipo de factor valioso en una empresa son de
alta importancia, ya que esto evita que los empleados tengan que tomar
responsabilidad por cosas que no tenían la más mínima idea de cómo solucionar dicho
problema, en este caso los ciberataques, lo cual perjudica la moral, estabilidad y

9
mentalidad de un trabajador de tu empresa, puede crear insatisfacción, odio, o hasta
revuelas que puedan crear un caos en la estabilidad de tu personal laboral.

Para esto se implementan las capacitaciones, en el caso de la empresa Finan Secure

CORP., se busca implementar una capacitación en temas de la ingeniería social, donde
se entrene y se informe al personal sobre la existencia de los ataques cibernéticos con
intenciones de lucro o malicia. Al adquirir conocimientos básicos sobre estos temas se
puede reducir drásticamente las vulnerabilidades individuales del personal para que
sean más precavidos con sus acciones en internet.

México es el país más atacado por dichos ciberdelincuentes en Latinoamérica, en el

transcurso de 2022, América Latina y el Caribe experimentaron un alarmante número
de más de 360 mil millones de intentos de ciberataques. Destacando en esta lista,
México encabezó la lista con más de 187 mil millones de intentos, seguido de cerca por
Brasil con 103 mil millones, mientras que Colombia enfrentó 20 mil millones y Perú 15
mil millones de estos intentos.

La empresa Fortinet, especializada en ciberseguridad, dio a conocer estas estadísticas

en su más reciente informe sobre el panorama mundial de amenazas, elaborado por
FortiGuard Labs. Este informe destaca que la tendencia delictiva en México está en
constante aumento, evidenciando un incremento del 20% en comparación con los
resultados del año 2021.

Estudios lograron presentar esta grafica con los tipos más comunes de Cibercrímenes:

10
Imagen de https://pulsocapital.com/mexico-entre-los-10-paises-con-mas-ciberataques/

Por: Enma Reyes

25 de septiembre de 2023

Aquí es donde nuestra empresa implementara un programa de capacitación donde

logremos reducir las vulnerabilidades individuales y personales de sus empleados,
tomando con gran importancia las características de cada uno, lo primero que se haría,
seria entregarles una pequeña encuesta con este formato y diseño:

11
Para los empleados de home office o extranjeros, etc etc. Sería una encuesta digital de
FORMS, donde se lleve a cabo un registro de las respuestas para crear una estadística
sobre ellas, no importa el porcentaje de personas que, SI SEPAN sobre la ingeniería
social, sino más que nada importa los que no, aunque sea un 80% de gente que, si

12
sabe, se tiene que aplicar la capacitación, mucha gente evita practicas así por flojera y
mienten para no “Desperdiciar” tiempo. Pero el propósito principal de la encuesta tanto
física como digital, es para reconocer características que tiene que pulirse y así
implementar factores a la capacitación, para cada vez más reducir las vulnerabilidades
del personal laboral.

Ante todo, estaríamos siendo apoyados por el sitio web de KnowBe4, donde se brinda
cursos y capacitaciones para temas como la ciberdelincuencia y muchas más cosas.

Todo lo que se encuentre después de aquí, es información compilada del sitio:

https://www.knowbe4.com/ ,

Este es el diseño de la página, y su dirección web es esta: https://www.knowbe4.com/

, con la ayuda de KnowBe4, se asignaran licencias a todo el personal de Finan Secure
CORP. Donde los empleados serán los únicos que puedan acceder con sus propias
credenciales y obviamente no deben ser compartidas con más gente, ni siquiera con
sus compañeros de trabajo necesitaran por obligación llevar a cabo estos pequeños
cursos. Donde se enfocarían varios temas principales, confidencialidad de la

13
información personal y el manejo de la información confidencial, la protección personal
de tu información, detección de ataques, reacción a los ataques y profesionalismo.

Estos cursos serán una fuente importante para informar a todo el personal laboral de
que, en efecto, los cibercrímenes son abundantes a hoy en día y hay que tener cuidado,
y más cuando se trabaja con información confidencial que puede causar problemas
legales, las capacitaciones tendrán sus costos, sí, pero es importante reconocer que es
un cambio positivo a largo plazo, podrían evitarse problemas mayores que perjudiquen
el estado de la compañía total.

Los cursos ayudaran a que los empleados consigan y adapten una actitud más
cuidadosa cuando se trate de manipular y actuar con información privada, siendo más
defensivos y no accediendo a propuestas sospechosas, al mismo tiempo adaptarían
una forma de pensamiento adversarial, ya que se muestran las formas en la que los
cibercriminales atacan.

El primer curso de gran importancia seria:

Handling and sharing sensitive information

/ Manejar y compartir información sensible

Donde se dejará en claro los diferentes puntos que alguna vez se pensó que eran
inocentes, o comunes o poco aprovechables, pero que los ciberdelincuentes toman
mucha ventaja de.

14
El segundo es:

How to protect Data

/ Como proteger la información

Que como su nombre lo dice, proporcionara información adecuada para manejar,

proteger y alternar la información, y no solo la confidencialidad, pero toda información,

15
ya que al final del día, cualquier información puede ser usada en tu contra o robada
para motivos desconocidos.

El Tercero es:

2024 KnowBe4 Security Awareness Training – 30 minutes

/ 2024 KnowBe4 Capacitación en concientización sobre seguridad

16
Igual, es la capacitación sobre como pensar ante la seguridad de cualquier cosa, pero
principalmente enfocado a tener un pensamiento seguro sobre los dispositivos
electrónicos y ser cuidadoso en internet.

17
SIMULACIONES Y JUEGOS DE ROL

La estrategia más común para tener una conciencia constante en cuanto ataques es
que la empresa realice ataques simulacro para que los empleados reconozcan un
correo falso, alguna invitación o alguna propuesta falsa, ejemplos podrían ser
invitaciones a fiestas pero que tu asistencia solo será contemplada si te registras con tu
cuenta de empleado. O la clásica de phishing que es urgente un cambio de
credenciales y te terminan robando, obviamente solo son simulaciones, pero los
hackers son muy creativos en cuanto estas cosas, pero no hay que dejarse intimidar, la
práctica constante hace que consigas experiencia para evitar este tipo de
emergencias/problemas/situaciones.

Ejemplos de simulaciones pueden utilizarse plantillas simples, como alguna invitación a

una fiesta, un texto que informe urgencia de algo, el registro de algo, etc

Ejemplo de invitación falsa:

Ejemplo de urgencia/obligación falsa:

18
Las simulaciones se harían 2 veces al mes, variando el diseño y concepto de la trampa,
pero esto hará concientización a los empleados para que pregunten a sus superiores
antes de actuar, así causando que exista más confianza en el ambiente laboral y
también más socialización e interacción.

19
Un pronóstico que calculamos personalmente es que los ataques exitosos de phishing o
estafa reduzcan un 40% las probabilidades

Posibilidades de Ataques exitosos

80%

70%

60%

50%

40%

30%

20%

10%

0%
Diciembre 2024 Febrero 2024

Posibilidades de Ataques exitosos

Los resultados no pueden ser calculados en un solo mes, así que el plazo para lograr
ver los resultados seria de 2 meses.

En caso de no lograr algún tipo de cambio significativo, digamos solo reducir los
porcentajes un 10%, seria crear más dinámicas anti-tecnología para promover Detox de
tecnología o redes a los empleados, donde se promueva más la convivencia común. En
estas pueden ser No Phone Hour todos los días, donde de las 8 horas de trabajo, 1 o 2
horas se suspenda el uso de celulares (si no es necesario usarlos), y promover la
convivencia entre empleados. Así, puedes provocar diferentes reacciones, lo más
esperado o lo que se quiere, es que todos tengan la seguridad de poderse preguntar
cosas el uno al otro, al mismo que simplemente ser más consciente durante tu horario
laboral, así mejorando tu toma de decisiones, actividades como estas generan
confianza y seguridad, lo cual es sano y ayuda indirectamente contra los ataques
cibernéticos.

Para los empleados digitales es muy improbable que no funcione, ya que ellos trabajan
todo el tiempo en el ámbito digital, así que la costumbre de estar cómodo con el mundo

20
digital reduce naturalmente la probabilidad de que los empleados caigan en las
trampas, así que no se tomarían medidas extremas, simplemente advertencias y
chequeos constantes.

La práctica principal consistiría en esto:

Seguimiento y Refuerzo Continuo

 Duración: Permanente (pero cada 2 semanas)

 Descripción:

o Implementa simulaciones de phishing periódicas para mantener a los

empleados alerta.

o Proporciona actualizaciones y recordatorios regulares sobre nuevas

tácticas de phishing y mejores prácticas para evitarlas.

o Establece un canal de comunicación donde los empleados puedan hacer

preguntas o reportar incidentes sospechosos en cualquier momento.

21
Herramientas de detección
Debido a que la empresa FinanSecure no cuenta con ninguna herramienta de
ciberseguridad especializada, se plantean las siguientes herramientas para evitar que
los empleados caigan en técnicas de ingeniería social, o en dado caso de caer, la
información no sea extraída de manera exitosa.

Filtro de correo electrónico.

La primera herramienta sugerida es:

 Proofpoint Targeted Attack Protection

Esta herramienta cuenta con características que la hacen ideal para el marco de
seguridad presentado, ya que emplea aprendizaje automático y técnicas de detección
multicapa para identificar y bloquear el correo electrónico malicioso. También ayudando
al clasificar de forma dinámica las amenazas actuales y otros incidentes habituales.
Además, obtuvo la calificación más alta en el estudio de resultados por la nube en base
a seuridad en email de otoño del presente año, organizado por la compañía G2. En este
mismo estudio se puede ver también que la plataforma ya cuenta con experiencia
trabajando en entidades del mismo rubro.

Las funciones de la plataforma incluyen:

1. Detección de mensajes phishing, de impostores y fraudulentos.

La industria financiera está experimentando ataques personalizados que se hacen

pasar por mensajes legítimos (por ejemplo, transferencias bancarias, actualizaciones de
cuentas, etc.). TAP detecta patrones de fraude específicos.

2. Protege las credenciales bancarias y los datos confidenciales

Permite detecta sitios web fraudulentos diseñados para robar información financiera,
incluso aquellos diseñados para eludir técnicas de detección tradicionales.

3. Detecta y mitiga ataques multicanal

22
Los ataques contra esta clase de instituciones no sólo se producen a través de correo
electrónico, sino también a través de redes sociales, aplicaciones y mensajes de texto.
Proofpoint TAP supervisa las amenazas que utilizan múltiples canales para llegar a los
empleados o clientes del banco, como el phishing combinado con SMS o ataques a las
redes sociales.

4. SaaS Defense

Detecta la actividad de inicio de sesión sospechosa, concretamente las conexiones

desde ubicaciones inusuales y los intentos y errores de inicio de sesión excesivos.
También identifica cuando hay demasiadas conexiones de direcciones IP maliciosas
conocidas

Una ventaja adicional que ofrece la herramienta es que proporciona información

detallada de las amenazas y sus objetivos, ayudando a identificar los principales
empleados objetivo en la empresa.

La segunda herramienta sugerida es:

 Ironscales

La plataforma utiliza una combinación de tecnología. La inteligencia artificial identifica

los remitentes de correo electrónico en tiempo real, lo que evita amenazas como la
suplantación de identidad o los ataques BCC.

Esta se coloca detrás del secure email Gateway (SEG) tradicional o de los filtros
incorporados en Office 365/Google Workspace y escanea los correos electrónicos que
llegan al buzón, escaneando además los correos electrónicos enviados dentro de la
organización, así como los correos que han pasados por los filtros anteriores,
agregando otra capa de seguridad.

Funciones:

1. Está diseñado para detectar correos electrónicos de phishing que logran evadir
los filtros tradicionales eliminándolo en caso de que la detección sea positiva

23
 2. Este se basa en el correo bueno y hace uso de lo que llaman Contextual eMail
Banners.

3. Aprende los hábitos habituales de un usuario para identificar anomalías que

sugieran que una cuenta ha sido comprometida

4. Permite al empleado reportar correos electrónicos sospechosos.

Una vez detectado o denunciado, permite al departamento encarado recibir y una

notificación inmediata sobre este incidente para que se pueda responder lo antes
posible.

Sistemas de detección y prevención de intrusiones.

 Cisco Secure IPS

Identifica, clasifica y detiene con precisión el tráfico malicioso, por ejemplo, gusanos,
spyware y adware, virus de redes y abuso de aplicaciones antes de que afecten a la
empresa.

Esta herramienta se integra mediante puntos terminales de red, servidor y escritorio,

protegiendo desde positivos construidos para fines específicos y firewalls integrados,
incluyendo dispositivos IPS hasta módulos de servicio para routers y switches.

La plataforma es ideal para el maco presentado ya que, al realizarse muchas

transacciones financieras que ocurren a través de canales cifrados, y Cisco Secure IPS
puede analizar el tráfico sin comprometer el rendimiento de la red ni la seguridad.
También ofrece una visibilidad granular para rastrear y detener movimientos laterales en
la red.

 Palo Alto Networks Next-Generation Intrusion Prevention System (NGIPS)

La plataforma de Palo Alto Networks permite una identificación de aplicaciones al llegar

al firewall para determinar la identidad de la aplicación, independientemente del
protocolo, el cifrado o la táctica evasiva, vinculando así también el uso de la aplicación
con la identidad del usuario en cuestión y no de la dirección IP.

24
Esta herramienta es compatible con el marco de seguridad presentado no solo por los
puntos anteriores, sino también porque previene a la empresa no solo de amenazas de
ransomware y malware, sino también de amenazas desconocidas y selectivas. Este
proceso se logra gracias a que reduce la superficie de ataque de la red, autorizando
aplicaciones específicas y denegando todas las demás tanto de forma implícita a través
de políticas explicitas, permitiendo así tener una base de datos sobre amenazas
actualizadas.

SIEM (Sistema de Gestión de Información y Eventos de Seguridad).

 Splunk Enterprise Security (Splunk ES)

Al analizar de cerca los requisitos críticos para nuestra infraestructura de seguridad, y

Splunk Enterprise Security surge como una plataforma excepcional de gestión de
eventos e información de seguridad que transforma fundamentalmente la forma en que
abordamos la protección de datos y la inteligencia de amenazas.

En esencia, Splunk ES es un sistema sofisticado diseñado para monitorear, analizar y

visualizar volúmenes masivos de datos generados en todo nuestro ecosistema digital,
desde sitios web y aplicaciones hasta servidores, redes, sensores y dispositivos
móviles. Sus potentes capacidades se extienden mucho más allá del simple monitoreo,
ofreciendo visualización integral de datos, seguimiento de métricas de rendimiento,
búsqueda en tiempo real e indexación avanzada que brindan una visibilidad sin
precedentes de nuestro panorama tecnológico.

La escalabilidad de la plataforma es particularmente impresionante, con una capacidad

extraordinaria para manejar enormes volúmenes de datos transaccionales que son
característicos de las operaciones financieras. Esto significa que podemos integrar sin
problemas Splunk ES en nuestra compleja infraestructura sin comprometer el
rendimiento ni introducir cuellos de botella operativos. Lo que es más importante, nos
proporciona un conjunto de herramientas sólido para navegar por el intrincado entorno
regulatorio en el que operamos, ofreciendo plantillas y herramientas precisas para
demostrar el cumplimiento de estándares críticos como PCI DSS, GDPR y SOX.

25
Lo que realmente distingue a Splunk Enterprise Security son sus capacidades
avanzadas de correlación de amenazas. A diferencia de las soluciones de seguridad
tradicionales que pueden pasar por alto vectores de ataque sofisticados y matizados,
esta plataforma emplea algoritmos inteligentes para detectar posibles riesgos de
seguridad que podrían pasar fácilmente desapercibidos. Su capacidad para crear
conexiones significativas entre puntos de datos aparentemente dispares nos permite
estar varios pasos por delante de las posibles amenazas cibernéticas a través de su
análisis de seguridad avanzado y detección de amenazas impulsada por aprendizaje
automático.

La credibilidad de la plataforma se ve reforzada aún más por su adopción generalizada

en nuestro sector. Habiendo sido ampliamente probada e implementada por numerosas
instituciones financieras, Splunk ES ha demostrado su confiabilidad y eficacia en la
protección de datos financieros confidenciales y el mantenimiento de protocolos de
seguridad sólidos. Su arquitectura flexible permite investigaciones de seguridad
personalizadas y proporciona información en tiempo real que es fundamental en
nuestro entorno financiero de ritmo rápido.

 IBM QRadar

El cumplimiento normativo es un aspecto importante de QRadar. Las instituciones

financieras como la nuestra deben navegar por una compleja red de regulaciones,
incluidas PCI DSS, SOX, GDPR y BSA. Los informes de cumplimiento automatizados y
la gestión integral de registros de QRadar simplifican significativamente nuestras
obligaciones regulatorias al proporcionar un seguimiento de auditoría detallado y
garantizar el cumplimiento de estándares estrictos de la industria con una eficiencia sin
precedentes.

Desde una perspectiva operativa, los paneles centralizados de la plataforma y la

priorización inteligente de alertas revolucionarán nuestra seguridad. control. Al reducir la
fatiga de las alertas y garantizar una investigación rápida de incidentes, optimizamos la
productividad y los tiempos de respuesta del equipo de seguridad. Esto se traduce
directamente en una mitigación de riesgos más efectiva, ayudándonos a detectar

26
amenazas internas, prevenir el acceso no autorizado y proteger la reputación de
nuestra institución.

Las capacidades avanzadas de inteligencia sobre amenazas son particularmente

convincentes. QRadar nos permite adelantarnos a los modelos de amenazas
emergentes al consolidar fuentes de amenazas globales y proporcionar inteligencia de
seguridad contextual. Su escalabilidad en entornos híbridos y de nube garantiza que la
infraestructura de seguridad pueda adaptarse al entorno tecnológico cambiante de la
entidad.

Herramientas de control de accesos.

 Okta Identity Management

Es una plataforma que no solo controla el acceso, sino que se anticipa a él,
adaptándose a los riesgos de seguridad de la vida real. En un mundo digital cada vez
más complicado, las instituciones financieras han de superar la mera complejidad de los
protocolos de seguridad robustos. Ahora necesitamos sistemas que sean inteligentes y
los más receptivos que sean capaces de detectar las más sutiles señales de las
posibles amenazas. Okta es una solución en la nube que se comporta como un experto
en seguridad que permanece atento al perímetro digital.

Lo que realmente distingue a Okta es su habilidad para integrarse a la perfección en

todos los entornos tecnológicos. Ya sea una aplicación antigua, en la nube o
infraestructuras híbridas, la plataforma ofrece un método único de autenticación del
usuario que se siente natural e intuitivo.

La personalización de la autenticación de la plataforma es realmente sorprendente. No

se trata de permitir o denegar el acceso, sino de comprender el contexto del mismo.
Intentos de inicio de sesión diminutos, ubicaciones geográficas para nada habituales o
dispositivos sospechosos desencadenan otras pruebas más, de tipo inteligencia.
Imagina un guardián digital que no solo chequea la identidad, sino que también
comprende el escenario entero del inicio de sesión.

 Microsoft Entra ID

27
Microsoft Entra ID, que se encuentra profundamente integrado en el ecosistema
Microsoft, también ofrece una alternativa robusta que aprovecha las amplias
capacidades a nivel empresarial en términos de seguridad. Su principal ventaja es que
proporciona la protección de la identidad de forma integral, utilizando para ello
algoritmos de aprendizaje automático que se encargan de llevar a cabo un análisis
constante del comportamiento de los usuarios y de los posibles riesgos de seguridad.

Las instituciones financieras pueden beneficiarse de las muy sofisticadas políticas de

acceso condicional que soporta Entra ID, que permiten un control de acceso detallado
en función de la ubicación del usuario y el estado del dispositivo, de los niveles de
riesgo y de la inteligencia de amenazas en tiempo real.

Gracias a su integración perfecta con los servicios en la nube Microsoft 365 y Azure, se
incrementan de forma adicional las capas de seguridad, lo que resulta particularmente
interesante para las organizaciones que ya han hecho inversiones en las tecnologías de
Microsoft.

Las fuertes capacidades de gestión de identidades privilegiadas que puede exponer

Entra ID garantizan que el nivel de acceso administrativo de alto riesgo esté controlado,
supervisado y limitado extremadamente en el tiempo, lo que responde a una de las
inquietudes de seguridad más críticas en el mundo de las instituciones financieras.

Software para auditorías de seguridad

 Qualys Cloud Platform

La plataforma de Qualys representa un enfoque transformador para la gestión de

vulnerabilidades que va mucho más allá del análisis de seguridad tradicional. Siendo
una herramienta que no solo identifica vulnerabilidades, sino que proporcione una visión
integral de todo su ecosistema digital con una profundidad y precisión sin precedentes.
Para las instituciones financieras que necesitan una seguridad estricta manejando un
gran flujo de datos, esta herramienta ofrece una solución natica de la nube que mapea,
rastrea y evalúa continuamente los posibles riesgos de seguridad de las redes, la
infraestructura de la nube y los puntos finales. Su mayor cualidad reside en su
capacidad de proporcionar información contextual, transformando los datos de

28
vulnerabilidad sin procesar en inteligencia procesable, incluso antes de que se
materialicen.

 Tenable.io

Tenable.io, por otra parte, proporciona una visión de la auditoría de la seguridad

alternativa y, a la vez, igualmente certera. Lo que caracteriza a esta plataforma es el
enfoque sofisticado hacia la gestión de vulnerabilidades alimentado por sofisticados
algoritmos de inteligencia artificial y de aprendizaje automático. Las entidades
financieras desarrollan su trabajo en un entorno caracterizado por un flujo de amenazas
que se producen a la velocidad del rayo; Tenable.io asimila este panorama en
movimiento de forma intuitiva. La plataforma no solo encuentra vulnerabilidades, sino
que anticipa posibles vectores de ataque, prioriza los riesgos en función de sus efectos
potenciales y ofrece representa la postura de seguridad de una organización que
aparece casi como una profecía por su exactitud.

EVALUACION CONTINUA

Si bien ya hemos hablado de varios métodos de enseñanza y varios tipos de

amenazas, es necesario corroborar que la información compartida, es retenida por los
trabajadores de los departamentos, y al igual, los gerentes y jefes puedan saber actuar
dependiendo de la situación y/o ataque que se presente.

Las propuestas que se hacen son:

 Evaluaciones Pre-Programadas
 Simulaciones controladas
 Análisis continuo de Amenazas y Vulnerabilidades

Evaluaciones Pre-Programadas

Una forma muy eficaz de poder comprobar conocimientos es programar evaluaciones

de conocimientos calendarizadas, para poder obtener resultados del personal mejor
capacitado en respuesta y reacción de ciberataques, y/o intentos de ingeniería social.

29
El personal deberá estar informado de estas evaluaciones, y deberán de marcarse en el
calendario, pues todo el personal sin excepciones deberá de presentar estas pruebas.

Simulaciones Controladas

La parte más importante, para evaluar conocimientos, es aplicar simulaciones en casos

de, phishing, vishing, pretexting, etc. El departamento encargado de presentar estas
simulaciones deberá aplicar correos electrónicos falsos, llamadas simulando ser una
persona, e incluso, mensajes de texto vía WhatsApp.

Ejemplo de correo FALSO.

30
También es importante recordarle al personal que la información de cuentas, correos y
contraseñas es confidencial, y las credenciales de inicio de sesión son muy sensibles,
siempre se deberá consultar con el departamento a cargo, si es que
alguna credencial fue violada y/o modificada.

Análisis continuo de Amenazas y Vulnerabilidades

Al haber un equipo encargado de la ciber seguridad de la empresa se tiene que

mantener una constante evaluación de amenazas, pues la identificación temprana de
estas, puede ayudar a crear métodos y acciones para contrarrestar ataques de
ingeniería social, al igual que mantener actualizado al personal sobre estas
vulnerabilidades, los puede ayudar a identificarlos mas rápido, y tener respuestas mas
eficaces ante ataques de ingeniería social, lo cual puede llevar a que todo el equipo de
trabajo, se mantenga protegido de cualquier futuro ataque.

Además, desechar aquellos ataque que quedaron obsoletos ante diferentes

actualizaciones de seguridad, pues es un hecho que, ciertos métodos de ingeniería
social, hoy en día dejan de ser efectivos, aunque, no quiere decir que tengan un 0% de
probabilidad que no suceda.

31
Conclusiones

La adaptación a las nuevas tecnologías es todo un proceso que puede ser largo, se
necesita tener paciencia y sobre todo compromiso, pues es necesario de la cooperación
de todo el personal para lograr una capacitación adecuada y que todos adquieran los
conocimientos necesarios para poder defenderse ante un ataque de ingeniería social.

Las propuestas presentadas, servirán de mucha ayuda para que todo el personal este a
la altura de estos ataques, y sobre todo poder evitar futuros ataques que puedan poner
en riesgo la privacidad de la información.

Hoy en día, al seguir en constante desarrollo de tecnologías, también siguen surgiendo

nuevos métodos para tratar de engañar a los trabajadores de todas las empresas,
ninguna está exenta de sufrir un ataque, pero es responsabilidad de el personal
capacitador, evitar que puedan ser víctimas de estos ataques.

32
La unión hace la fuerza, y si todo el equipo de trabajo esta listo, y preparado para
actuar ante los ataques de ingeniería social, el porcentaje de éxito de estos se verá
drásticamente reducido, y habrá menos perdida o filtración de información.

Referencias:

1. Avast. (2023). Qué es la ingeniería social y cómo evitar estos ataques.

Recuperado de https://www.avast.com
2. Banxico. (2022). Evaluación de la ciberseguridad en el sistema
financiero mexicano. Banco de México.
3. Fisagrp. (2021). Ciberseguridad: Retos para el sector bancario.
Recuperado de https://www.fisagrp.com
4. Metacompliance. (2023). Cómo evitar los ataques de ingeniería social.
Recuperado de https://www.metacompliance.com
5. Smartekh. (2023). Estrategias efectivas contra ataques de ingeniería
social. Recuperado de https://blog.smartekh.com
6. UNAD. (2023). Impacto de la ingeniería social en el sector financiero
colombiano. Universidad Nacional Abierta y a Distancia.
7. Semana. (2022). ¿Qué están haciendo los bancos para protegerse de
los ataques cibernéticos? Recuperado de https://www.semana.com

33
8. Foro Económico Mundial. (2020). Riesgos globales de ciberseguridad.
Publicación oficial.
9. Cybeready. (2023). The ultimate guide to security awareness training.
Cybeready. https://cybeready.com/the-ultimate-guide-to-security-
awareness-training
https://cybeready.com/
10. Noonan, L. (2022, 15 octubre). ¿Qué es la suplantación de identidad en la
ciberseguridad? | MetaCompliance. MetaCompliance.
https://www.metacompliance.com/es/blog/security-awareness-training/what-is-
spoofing-in-cyber security#:~:text=El%20spoofing%20en%20ciberseguridad
%20es,cuesta%20mucho%20a%20las%20empresas.
11. Vishing: qué es, modus operandi, ejemplos y cómo evitarlo. (s. f.). LISA Institute.
https://www.lisainstitute.com/blogs/blog/vishing-que-es-modus-operandi-
ejemplos-y-consejos-preventivos
12. ¿Qué es un sistema de detección de intrusiones (IDS)? (2024, julio 15). Ibm.com.
https://www.ibm.com/es-es/topics/intrusion-detection-system
13. G2. (n.d.). SIEM Software Grid Report. Recuperado de
https://www.g2.com/reports/e21395b5-94f3-43cf-a5bb-765b80e4642a/preview?
tab=data
14. Ciberseguridad TIC. (2023). Ironscales o cómo proteger el correo a través de
banners contextualizados. Recuperado de
https://ciberseguridadtic.es/entrevistas/ironscales-o-como-proteger-el-correo-a-
traves-de-banners-contextualizados-202305031890.htm#:~:text=Ironscales
%20es%20un%20servicio%20de,las%20amenazas%20de%20correo
%20electrónico.

15. Cisco Systems. (n.d.). Cisco IPS: Seguridad de red basada en la prevención de
intrusiones. Recuperado de
https://www.cisco.com/c/dam/global/es_es/assets/publicaciones/07-08-cisco-
IPS.pdf
16. Palo Alto Networks. (n.d.). Visión general de las características del firewall.
Recuperado de https://media.paloaltonetworks.com/documents/datasheet-
firewall-feature-overview-es.pdf
17. Tenable, Inc. (n.d.). Tenable.io: Plataforma de gestión de vulnerabilidades.
Recuperado de
https://www.tenable.com/sites/drupal.dmz.tenablesecurity.com/files/datasheets/
Tenable.io-Platform-(DS)-EsLa.pdf

34
18. Qualys, Inc. (n.d.). Brochure corporativo de Qualys. Recuperado de
https://cdn2.qualys.com/docs/mktg/corporate-brochure-es.pdf
19. Microsoft. (n.d.). ¿Qué es Microsoft Entra?. Recuperado de
https://learn.microsoft.com/es-es/entra/fundamentals/whatis
20. Guru. (n.d.). Cómo usar Okta: Una guía completa. Recuperado de
https://www.getguru.com/es/reference/how-to-use-okta-a-comprehensive-
guide#:~:text=Okta%20es%20un%20servicio%20de,y%20aumentar%20la
%20eficiencia%20operativa
21. Efor. (n.d.). SIEM IBM QRadar. Recuperado de https://www.efor.es/siem-ibm-
qradar/

22. Microsoft. (n.d.). NIST Cybersecurity Framework (CSF). Microsoft Learn.

Recuperado el 4 de diciembre de 2024, de
https://learn.microsoft.com/es-es/compliance/regulatory/offering-nist-csf
23. Microsoft. (n.d.). Reglamento general de protección de datos (GDPR). Microsoft
Learn. Recuperado el 4 de diciembre de 2024, de https://learn.microsoft.com/es-
es/compliance/regulatory/gdpr
24. Giraldo Montes, Y. Z. (2021). Implementación de un modelo para la protección
de datos personales en las empresas a través de la normativa ISO 27001
25. [Trabajo de grado, Instituto Tecnológico Metropolitano]. Repositorio ITM.
Recuperado de
https://repositorio.itm.edu.co/bitstream/handle/20.500.12622/5550/
Yenifer_Zulay_Giraldo_Montes_2021.pdf?sequence=8&isAllowed=y
26. Hackmetrix. (n.d.). Ejemplos de ciberataques comunes. Hackmetrix Blog.
Recuperado el 4 de diciembre de 2024, de https://blog.hackmetrix.com/ejemplos-
de-ciberataques/
27. Kaspersky. (n.d.). Ciberseguridad para pequeñas empresas: Consejos prácticos
para protegerse. Kaspersky Resource Center. Recuperado el 4 de diciembre de
2024, de https://latam.kaspersky.com/resource-center/preemptive-safety/small-
business-cyber-security

35
 Rúbrica de evaluación del Marco de Ciberseguridad.

Criterios Descripción Sobresa Adecua Bajo Porcent

liente do aje
Identificac El documento incluye una portada que La La La portada
ión del permite identificar a quienes portada portada incluye
document elaboraron el marco de ciberseguridad incluye el incluye el menos del
o (logotipo institucional BUAP, nombre 100% de 70% de 50% de los
de la materia y clave, sección, período los los elementos
escolar, nombre del docente, título del elementos elemento solicitados.
proyecto, nombres en orden alfabético solicitados s
y matrículas de los alumnos. . solicitado 0 puntos.
s.
5 puntos
3.5
puntos
Análisis de Evaluación exhaustiva del entorno de El El El
Amenazas y trabajo de FinanSecure, identificación document documen documento
clara de métodos de ingeniería social o incluye to incluye un
Vulnerabilidad
(phishing, suplantación, manipulación un incluye análisis de
es emocional). Detalle de amenazas análisis un amenazas y
específicas y su relevancia para de análisis vulnerabilida
diferentes roles en la organización. amenazas de des escueto.
y amenaza
vulnerabili sy
dades vulnerabi
exhaustiv lidades 0 puntos.
o. genérico.

25 puntos 17.5

36
 puntos
Diseño del Inclusión de políticas de seguridad El El El
Marco de efectivas y realistas, simulaciones de document documen documento
ataques y controles preventivos y o describe to describe
Seguridad
detectivos. Se evalúa la claridad de políticas describe políticas de
las responsabilidades, la precisión de de políticas seguridad
las simulaciones y la implementación seguridad de efectivas y
de controles específicos. efectivas segurida realistas
y realistas d para el 50%
para el efectivas de las
100% de y actividades
las realistas solicitadas.
actividade para el
s 70% de
solicitadas las
. actividad 0 puntos.
es
25 solicitada
puntos. s.

17.5
puntos.
Desarrollo de un programa integral de El El El
Propuesta de capacitación para empleados en todos document documen documento
Capacitación y los niveles, centrado en la detección o incluye to incluye un
de manipulación y prácticas de un incluye programa
Pensamiento simulación. Incluir sesiones de rol y programa un integral de
Crítico análisis de sesgos cognitivos, integral program capacitación
mostrando una comprensión profunda de a integral y desarrollo
de la ingeniería social. capacitaci de del
ón y capacitac pensamient
desarrollo ión y o crítico, del
del desarroll 50% del
pensamie o del personal.
nto pensami
crítico, del ento
100% del crítico,
personal. del 70%
del
15 personal. 0 puntos.
puntos.
10.5
puntos.
Herramientas Sugerencias bien fundamentadas El El El
de Detección sobre herramientas tecnológicas que document documen documento
faciliten la detección y prevención de o describe to describe las
ataques. Ejemplo de herramientas puntualm describe herramienta
para SIEM, filtrado de correo y análisis ente las las s de
de comportamiento. Justificación clara herramien herramie detección
de la selección de herramientas y su tas de ntas de sugeridas,
integración en el marco de seguridad. detección detecció su
sugeridas, n justificación
su sugerida e
justificaci s, su integración
ón e justificaci al marco de

37
 integració ón e seguridad
n al marco integraci (50%).
de ón al
seguridad marco de
(100%). segurida
15 puntos d ( 70%).
10.5 0 puntos.
puntos.
Evaluación Propuesta de auditorías regulares y El El El
Continua y mejora continua del marco de document documen documento
seguridad. Detalle de las métricas de o incluye to incluye una
Ajuste
éxito, frecuencia de auditorías, y una incluye propuesta
procedimientos para identificar y propuesta una de
ajustar el marco frente a nuevas de propuest auditorías
amenazas. auditorías a de que
que auditoría permiten la
permiten s que evaluación
la permiten continua y
evaluació la ajuste del
n continua evaluació marco de
y ajuste n seguridad al
del marco continua 50%.
de y ajuste
seguridad del
al 100%. marco de
10 puntos segurida 0 puntos.
d al 70%.
7 puntos.
Presentación Coherencia, claridad y profesionalismo El El El
del Proyecto en la presentación final. Incluye todos document documen documento
los apartados de análisis, políticas, o se to se se presenta
capacitación, herramientas y presenta presenta en tiempo
evaluación continua, con un enfoque en tiempo en forma pero no en
práctico y bien argumentado que y forma pero no forma
pueda ser entendido por el cliente conforme en conforme lo
corporativo. lo tiempo establecido.
establecid conforme
o. lo
estableci
do.
3.5 0 puntos.
5 puntos. puntos.
Porcentaje obtenido

38