Conceptos básicos

I. Introducción y objetivos

II. De niciones relevantes

III. Repaso nal

VI. Caso práctico con solución

V. Lecturas recomendadas

VI. Glosario
Lección 1 de 6

I. Introducción y objetivos

1.1. Introducción de la unidad

La ciberinteligencia se ha convertido en uno de los pilares fundamentales dentro de la ciberseguridad. Los

ataques son cada vez más numerosos y complejos, y lo que antes era relativamente fácil de identificar o
mitigar con herramientas estáticas hoy en día es una odisea: es necesario realizar unos análisis muy
exhaustivos y detallados de cada amenaza para poder comprender su funcionamiento, su objetivo, sus
riesgos y sus impactos.

Es por ello por lo que dentro de cada SOC (security operation center) se están diversificando las tareas de
los equipos especializados en cada función o amenaza, y ello convierte al equipo de ciberinteligencia en el
pilar clave para el resto de las áreas, puesto que es el encargado de comprender en detalle cada amenaza y
proveer de toda la información posible al resto de analistas de ciberseguridad.

De cara a poder mantener un flujo de lectura correcto, es necesario hacer una breve introducción sobre
diversos términos que son fundamentales en el ámbito de la ciberseguridad y que aparecerán en numerosas
ocasiones a lo largo del módulo.

Una vez adquirida esta base de conocimiento, esta unidad se centrará en temas más técnicos dentro del
mundo de la ciberinteligencia, como los diferentes tipos de fraude con sus vectores de entrada y
herramientas de difusión o la internet profunda (Deep Web).

C O NT I NU A R

1.2. Objetivos de la unidad

En esta unidad el alumno realizará un primer acercamiento a los términos relacionados con la ciberseguridad
-y, más concretamente, con la ciberinteligencia- con el fin de asentar las primeras bases para poder ir
adquiriendo conocimientos más técnicos y especializados:

1 Conocer las siglas y las taxonomías más utilizadas en el ámbito de la ciberinteligencia.

2 Adquirir un conocimiento básico sobre las amenazas más comunes.

3 Adquirir conocimiento sobre la estructura y la definición de un SOC.

4 Tener un primer acercamiento a los distintos equipos que existen en un SOC.

5 Aprender a identificar y conocer los CERT (computer emergency response team) locales.
Lección 2 de 6

II. Definiciones relevantes

Aunque en los siguientes temas del módulo se profundizará en muchos de los siguientes términos, a
continuación se presenta una definición introductoria de cada uno de ellos.

2.1. Phishing
Se define como el fraude en el que se realiza una suplantación de un sitio web o de una aplicación con el
objetivo de obtener, de forma ilegítima, cualquier tipo de información sensible o confidencial de un usuario.

Figura 1. Ejemplo de visualización de sitio web de phishing.

Fuente: elaboración propia.
 Figura 2. Ejemplo de código de envío de datos de phishing.
Fuente: elaboración propia.

C O NT I NU A R

2.2. Malware
Se define como el software malicioso que se crea con el fin de perpetrar acciones ilegítimas o maliciosas en
un dispositivo (móvil, computadora, ATM, etc.).

Entre estas acciones destacan la extracción ilícita de datos del dispositivo infectado o de información
sensible y confidencial del usuario, el secuestro de datos y archivos del dispositivo, la inoperatividad del
sistema o el uso de los recursos del dispositivo y la red para beneficio propio del atacante.
 Figura 3. Ejemplo de ficheros cifrados por un ransomware.
Fuente: elaboración propia.

Figura 4. Ejemplo de nota de rescate mostrada tras una infección por ransomware.
Fuente: elaboración propia.
 Figura 5. Ejemplo de inyección de código por parte de un malware bancario para el
robo ilícito de datos.
Fuente: elaboración propia.

C O NT I NU A R

2.3. ATS
ATS (automatic transfer system) son las siglas utilizadas para referirse a la técnica empleada por los
distintos tipos de malwares bancarios para, tras infectar el dispositivo de un usuario u obtener acceso
ilegítimo a su cuenta bancaria en línea, realizar transacciones o transferencias de manera autónoma a las
distintas cuentas mula propiedad de los atacantes.

C O NT I NU A R
2.4. Cuenta mula
Se define como la cuenta bancaria que se utiliza para enviar dinero de forma ilegal tras perpetrar un delito; en
este caso, por ejemplo, un acceso ilegítimo a una cuenta bancaria en línea de un usuario comprometido o
una transferencia automática programada por un malware.

A esta cuenta mula podrá acceder el atacante (en la minoría de los casos), los propietarios legítimos que
han sido “contratados” para el movimiento ilegítimo del dinero entre cuentas o los denominados muleros o
smurfers, que son personas que se dedican a la extracción del dinero robado y enviado a las cuentas mula
en los propios ATM.

Figura 6. Ejemplo de cuenta mula utilizada por un malware bancario.

Fuente: elaboración propia.

C O NT I NU A R

2.5. DGA
DGA hace referencia a domain generation algorithm. Son las siglas utilizadas para referirse a la técnica que,
cada cierto período de tiempo, genera nuevos dominios que serán utilizados por el malware en cuestión para
sus actividades maliciosas.
 C O NT I NU A R

2.6. 419 scam

También conocido como carta nigeriana, es un tipo de fraude en el que el atacante contacta con la víctima a
través del correo electrónico (como norma general) o por teléfono para establecer una relación de confianza
y solicitar un pequeño pago inicial a cambio de una supuesta gran recompensa posterior.

Los cebos más comunes utilizados en este tipo de fraude son la muerte de un príncipe nigeriano y su
herencia, el cobro de un boleto ganador de lotería o el contacto por un supuesto familiar fallecido y su
herencia que se relaciona por el apellido.

Figura 7. Ejemplo de 419 scam en el que se utiliza el cebo de la lotería.

Fuente: El Mundo

C O NT I NU A R
2.7. Abuso de marca
Aunque a priori pueden resultar fáciles de confundir por su aspecto, un abuso de marca es totalmente
distinto de un phishing: se define como el uso ilícito de una marca (símbolo, estructura y color, etc.) por parte
de un tercero (o un atacante) para obtener beneficios propios -ya sea de manera directa o indirecta-, sin
buscar la recolección de datos sensibles o de credenciales. Generalmente, se utilizan marcas muy
conocidas para obtener la confianza de la víctima.

C O NT I NU A R

2.8. SOC
Las siglas SOC hacen referencia a los centros de operaciones de seguridad (security operation center). En
estos centros -por norma general, dotados de una buena infraestructura tecnológica- se realizan todas las
labores de análisis, prevención, monitorización, etc., de la seguridad informática.
 Figura 8. Aspecto de una de las salas de un SOC.
Fuente: elaboración propia.

Entre las labores que se realizan en un SOC se incluyen las siguientes: análisis de malware, gestión del
fraude, administración de dispositivos, monitorización de redes, elaboración de casos de uso,
monitorización de redes sociales, respuesta ante incidentes, prevención de fuga de datos, etc. Para ello,
existen múltiples equipos cuyos técnicos y analistas están especializados en cada una de las tareas que se
realizan.

Algunos de estos equipos son:

24 × 7 o nivel 1
–
Es una de las piezas fundamentales de un SOC, ya que son los técnicos que realizan los turnos 24 × 7
(mañana, tarde y noche). Disponen del equipo más numeroso y deben conocer, aunque no en profundidad,
los aspectos técnicos de todos y cada uno de los servicios del SOC, puesto que de ellos dependen las
primeras respuestas a los incidentes y alertas que se trabajan y el posterior enlace con los analistas
especializados en dichas tareas.
SIEM (security information and event management)
–
El equipo de SIEM se encarga, en primer lugar, de establecer una correcta monitorización de la red y, en
segundo lugar, de recoger todos los eventos y organizarlos de modo que aporten la mayor información de
una manera simplificada para, posteriormente, elaborar casos de uso y reglas que permitan generar alertas
lo más concretas posible sobre una amenaza potencial.

Sistemas, protección de infraestructuras

–
Es el equipo que se encarga de realizar el estudio de la red para desplegar en el lugar correcto los
dispositivos de seguridad deseados (firewall, proxy, WAF, antivirus, etc.). Este servicio es de suma
importancia dentro de un SOC para no perder alertas que puedan generarse luego a través de la
monitorización del equipo de SIEM. Este grupo también administra y monitoriza dichos dispositivos,
mantiene su salud intacta y aplica cualquier modificación que sea necesaria.

SMA (social monitoring & analytics) y SI (social intelligence)

–
Realizan un proceso de escucha y monitorización completo cuyo objetivo es otorgar una visión
multidimensional del estado de una marca en la esfera en línea -de sus consumidores, campañas,
influencers y reputación-. Para ello, este equipo lleva a cabo un análisis exhaustivo del ecosistema digital
con el objetivo de incrementar la protección de las marcas, entre otros aspectos.

Revisión de código o AP (application protection)

–
Es el equipo encargado de estudiar los códigos utilizados en los sitios web, las aplicaciones, los portales,
etc., con el fin de aportar correcciones y una visión desde el ámbito del desarrollo seguro y evitar que se
produzcan grietas que puedan aprovechar los atacantes.
CSIRT
–
(computer security incident response team) y TIA (threat intelligence & analytics)

En este equipo se realizan múltiples tareas de distinta índole, las cuales pueden dividirse prácticamente en
dos partes, una que se podría denominar gestión del fraude y otra, más puramente técnica, que sería la
relacionada con el análisis del malware.

En la gestión del fraude se realizan tareas como investigaciones ad hoc, infiltración en grupos y foros
conocidos o de la internet profunda para obtener información privilegiada, takedown de sitios web
maliciosos, detección de información robada (fuga de información), etc.
Respecto a la parte más técnica, suele llevarse a cabo por analistas con conocimientos muy avanzados de
reversing para realizar análisis completos de muestras de malware, redes, protocolos y comunicación; para
poder estudiar las conexiones realizadas en los distintos ataques o por las muestras de malware,
programación o scripting; para elaborar herramientas de detección y seguimiento de amenazas y
criptografía, y para poder analizar la comunicación e información y tratar de descifrarla en la medida de lo
posible. Este equipo, junto con el de hacking ético, suele ser el encargado de realizar las tareas de IR
(incident response), que se estudiarán más adelante en este módulo.

Hacking ético, VM (vulnerability management)

–
Este equipo es el encargado de realizar revisiones de seguridad, pruebas de intrusión, análisis de
vulnerabilidades, pruebas de ataques conocidos, etc. Para ello cuentan con múltiples herramientas que, en
algunos casos, les ayudan a realizar las labores de escaneo, los intentos de explotación, etc., aunque, en
muchos otros casos, las tareas que realizan son completamente manuales y se ayudan únicamente de su
profundo conocimiento.

Dada la capacidad técnica de estos analistas, también suelen encargarse de las tareas de IR (incident
response).

C O NT I NU A R
2.9. CERT
CERT (computer emergency response team) son las siglas que definen a un equipo de respuesta ante
emergencias informáticas. Se trata de un grupo de especialistas en los distintos campos de la seguridad
informática cuya misión es desarrollar medidas preventivas y reactivas para alertar a las distintas entidades
sobre incidentes de seguridad. Existen CERT prácticamente en todos los países. Se trata de organizaciones
de confianza tanto para las entidades como para los proveedores de servicio de internet (ISP).
Lección 3 de 6

III. Repaso final

Es necesario recordar que, a pesar de que este es un entorno de rápida expansión donde se desarrollan
ciberataques cada vez más sofisticados, es importante comenzar desde la base, ya que, a veces, los
ataques más sencillos son los más efectivos. No hay que olvidar que los ciberdelincuentes se
aprovechan del desconocimiento del eslabón más débil de la cadena de seguridad -los usuarios- para
lanzar sus ofensivas.

Con esto en mente, este estudio del mundo de la ciberseguridad y la ciberinteligencia ha comenzado con
unas breves definiciones básicas. Así, se han explicado conceptos como phishing o malware, dos
técnicas de ataque de las que, seguramente, se ha oído hablar con frecuencia en los medios de
comunicación y que son empleadas con mucha frecuencia por los ciberatacantes. Además, también se
han estudiado otros conceptos más específicos -como ATS o cuenta mula, empleados en el área del
fraude bancario-, conceptos conocidos -como el de la estafa nigeriana- o más desconocidos -como el
del abuso de marca, un problema especialmente importante para las empresas-.
Aparte de los tipos y las técnicas de ataque, se ha aprendido en qué tipo de centros se lucha contra
estas amenazas, como los SOC o los CERT, y se ha elaborado una breve descripción de los equipos que
allí trabajan.

Lo más importante es aplicar todo lo aprendido en esta unidad para no caer en fraudes o estafas, ya que
podrían evitarse comprobando las URL visitadas o los archivos descargados, por ejemplo. Con todo esto
en mente, será posible proteger nuestra organización y, además, evitar ser víctimas de este tipo de
engaños en nuestra vida personal.
Lección 4 de 6

VI. Caso práctico con solución

Aplica los conocimientos adquiridos en esta unidad

Para afianzar los conocimientos adquiridos a lo largo de esta unidad se recomienda realizar la siguiente
actividad:

ENUNCIADO
Elabora una lista completa (nombre, contacto, etc.) de los CERT existentes en tu país.

VER SOLUCIÓN

SOLUCIÓN

Listado global de CERT/CSIRT. First.

Listado Europeo de CERT/CSIRT. Enisa.

Lección 5 de 6

V. Lecturas recomendadas

Cano, J. “Transformando la función de la seguridad de la información. Anticipando el futuro,

entendiendo el presente”. Blog IT-Insecurity; 2014.

Centro Criptológico Nacional. “Glosario y abreviaturas. CCN-STIC-401”; 2015.

Lección 6 de 6

VI. Glosario

El glosario contiene términos destacados para la

comprensión de la unidad

"PHISHING"
–
Fraude en el que se realiza una suplantación de un sitio web o de una aplicación con el objetivo de obtener,
de forma ilegítima, cualquier tipo de información sensible o confidencial de un usuario.
"MALWARE"
–
Software malicioso que se crea con el fin de perpetrar acciones ilegítimas o maliciosas en un dispositivo
(móvil, computadora, ATM, etc.).

ATS (“AUTOMATIC TRANSFER SYSTEM”)

–
Son las siglas utilizadas para referirse a la técnica empleada por los distintos tipos de malwares bancarios
para, tras infectar el dispositivo de un usuario u obtener acceso ilegítimo a su cuenta bancaria en línea,
realizar transacciones o transferencias de manera autónoma a las distintas cuentas mula propiedad de los
atacantes.

CUENTA MULA
–
Cuenta bancaria que se utiliza para enviar dinero de forma ilegal tras perpetrar un delito; en este caso, por
ejemplo, un acceso ilegítimo a una cuenta bancaria en línea de un usuario comprometido o una
transferencia automática programada por un malware.

DGA (“DOMAIN GENERATION ALGORITHM”)

–
Son las siglas utilizadas para referirse a la técnica que, cada cierto período de tiempo, genera nuevos
dominios que serán utilizados por el malware en cuestión para sus actividades maliciosas.

419 “SCAM”
–
También conocido como carta nigeriana, es un tipo de fraude en el que el atacante contacta con la víctima
a través del correo electrónico (como norma general) o por teléfono para establecer una relación de
confianza y solicitar un pequeño pago inicial a cambio de una supuesta gran recompensa posterior.

ABUSO DE MARCA
–
Uso ilícito de una marca (símbolo, estructura y color, etc.) por parte de un tercero (o un atacante) para
obtener beneficios propios -ya sea de manera directa o indirecta-, sin buscar la recolección de datos
sensibles o de credenciales.

SOC
–
Siglas que hacen referencia a los centros de operaciones de seguridad (security operation center).

CERT (“COMPUTER EMERGENCY RESPONSE TEAM”)

–
Son las siglas que definen a un equipo de respuesta ante emergencias informáticas. Se trata de un grupo
de especialistas en los distintos campos de la seguridad informática cuya misión es desarrollar medidas
preventivas y reactivas para alertar a las distintas entidades sobre incidentes de seguridad.