UA1: ANÁLISIS DE RIESGOS DE

LOS SISTEMAS Y PLANIFICACIÓN

El análisis de riesgos de los sistemas de información es un
proceso crucial para la seguridad y protección de los
activos de una organización. Este proceso permite
identificar, evaluar y mitigar los riesgos que pueden afectar
la confidencialidad, integridad y disponibilidad de la
información.
INTRODUCCIÓN AL ANÁLISIS DE RIESGOS

El análisis de riesgos se basa en la identificación de tres elementos clave:

• Activos: Cualquier información o recurso de valor para la organización, como datos
confidenciales, sistemas críticos o infraestructura tecnológica.
• Amenazas: Eventos o acciones que pueden poner en riesgo la seguridad de los activos,
como ataques cibernéticos, errores humanos o desastres naturales.
• Vulnerabilidades: Debilidades en los sistemas o procesos que permiten que las
amenazas se materialicen y causen daños.
OBJETIVOS DEL ANÁLISIS DE RIESGOS

• Identificar los riesgos: El primer paso es realizar un inventario completo de

los activos de la organización y las amenazas que pueden afectarlos.

• Evaluar los riesgos: Se debe determinar la probabilidad de que cada

amenaza se concrete y el impacto potencial que podría tener en la
organización.

• Mitigar los riesgos: Se implementan medidas de seguridad para reducir la

probabilidad de ocurrencia de las amenazas o minimizar su impacto.
BENEFICIOS DEL ANÁLISIS DE RIESGOS

• Mejora la seguridad de la información: Permite tomar decisiones

informadas sobre la inversión en seguridad y la implementación de medidas
de control.

• Reduce los costos: Prevenir incidentes de seguridad puede ahorrar a la

organización grandes cantidades de dinero.

• Aumenta la confianza de los clientes y socios: Demuestra el compromiso

de la organización con la protección de la información.
METODOLOGÍAS PARA EL ANÁLISIS DE
RIESGOS
• Existen diversas metodologías para realizar un análisis de riesgos, como:
• MAGERIT: Es una metodología española que se utiliza en el ámbito de la Administración Pública.

• ISO/IEC 27005: Esta norma internacional establece los principios y directrices para llevar a cabo la gestión de riesgos de seguridad de la
información. Proporciona un marco estructurado para la identificación, evaluación y tratamiento de los riesgos de seguridad de la
información, basado en el análisis de activos, amenazas y vulnerabilidades.

• NIST SP 800-30: Publicada por el Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos, esta guía proporciona
recomendaciones para llevar a cabo la evaluación y gestión de riesgos de seguridad de la información. Se centra en identificar y analizar
amenazas, evaluar vulnerabilidades y determinar el impacto y la probabilidad de los riesgos.

• FAIR (Factor Analysis of Information Risk): Esta metodología se basa en un enfoque cuantitativo para evaluar y gestionar los riesgos de
seguridad de la información. Utiliza un modelo matemático para calcular la probabilidad y el impacto económico de los riesgos, lo que
permite una toma de decisiones más informada sobre las medidas de mitigación.

• OCTAVE: Es una metodología estadounidense que se utiliza para evaluar los riesgos en los sistemas de información.
PRINCIPALES TIPOS DE VULNERABILIDADES,
FALLOS DE PROGRAMA, PROGRAMAS
MALICIOSOS Y SU ACTUALIZACIÓN
PERMANENTE, ASÍ COMO CRITERIOS DE
PROGRAMACIÓN SEGURA
VULNERABILIDADES

• Desbordamiento de búfer: Se produce cuando se escribe más información en un búfer de memoria de lo

que este puede contener, sobrescribiendo datos adyacentes y permitiendo la ejecución de código arbitrario.

• Inyección de código: Se produce cuando un atacante introduce código malicioso en un campo de entrada
de datos, como un formulario web, que luego se ejecuta sin ser detectado.

• Cross-site scripting (XSS): Se produce cuando un atacante inyecta código JavaScript malicioso en una
página web que luego se ejecuta en el navegador del usuario víctima.

• Cross-site request forgery (CSRF): Se produce cuando un atacante engaña a un usuario para que realice
una acción no deseada en una aplicación web en la que está autenticado.

• Elevación de privilegios: Se produce cuando un atacante explota una vulnerabilidad para obtener acceso
a un sistema o recurso con permisos más altos de los que debería tener.
DESBORDAMIENTO DE BÚFER

Un ejemplo clásico de vulnerabilidad #include <stdio.h>

de desbordamiento de búfer es el int main() {
caso del programa vulnerable "gets()" char buffer[5];
en el lenguaje de programación C.
printf("Introduce tu nombre: ");
Supongamos que tenemos el siguiente gets(buffer);
código en C: printf("Hola, %s\n", buffer);
return 0;
}
 <?php

INYECCIÓN DE CÓDIGO $usuario = $_POST['usuario'];

$contraseña = $_POST['contraseña'];
$sql = "SELECT * FROM usuarios WHERE
• Un ejemplo común de vulnerabilidad de inyección usuario='$usuario' AND contraseña='$contraseña'";
de código es la Inyección de SQL, que ocurre $resultado = mysqli_query($conexion, $sql);
cuando un atacante aprovecha las entradas de
datos no filtradas o mal validadas en una if ($fila = mysqli_fetch_assoc($resultado)) {
aplicación web para insertar comandos SQL // Iniciar sesión
maliciosos en las consultas de la base de datos.
echo "Inicio de sesión exitoso";
• Supongamos que tenemos un formulario de inicio } else {
de sesión en una aplicación web que utiliza
consultas SQL para verificar las credenciales del
// Mostrar mensaje de error
usuario. El código de verificación de inicio de sesión echo "Nombre de usuario o contraseña incorrectos";
podría verse así en un lenguaje como PHP:
}
?>
INYECCIÓN DE CÓDIGO

En este código, las variables $usuario y $contraseña se obtienen directamente de los datos
proporcionados por el usuario a través del formulario de inicio de sesión. Si un atacante ingresa
datos maliciosos en estos campos, como ' or '1'='1 en el campo de contraseña, la consulta SQL
resultante sería:
SELECT * FROM usuarios WHERE usuario='' OR '1'='1' AND contraseña='' OR '1'='1'

Esta consulta siempre devolverá verdadero porque '1'='1' es una expresión lógica verdadera, lo
que significa que el atacante puede acceder al sistema sin necesidad de conocer un nombre de
usuario o contraseña válidos. Esto es solo un ejemplo simplificado; en situaciones reales, los
atacantes podrían usar técnicas más avanzadas para manipular consultas y obtener acceso no
autorizado a datos sensibles o incluso tomar el control total del sistema.
 <!DOCTYPE html>

<html>

VULNERABILIDAD DE
<head>

<title>Comentarios</title>

CROSS-SITE SCRIPTING
</head>

<body>

(XSS) <h1>Comentarios</h1>

<!-- Aquí se muestran los comentarios -->

<div id="comentarios">

Un ejemplo de vulnerabilidad de Cross-Site <?php

Scripting (XSS) podría ocurrir en una // Código PHP para obtener y mostrar los comentarios desde la base de datos

// Supongamos que los comentarios se obtienen de la base de datos y se muestran usando

aplicación web que permite a los usuarios un bucle

publicar comentarios públicos. Supongamos foreach ($comentarios as $comentario) {

echo "<p>{$comentario['contenido']}</p>";
que el sitio web tiene una función de
}
comentarios donde los usuarios pueden escribir ?>

sus comentarios y estos se muestran en la </div>

página para que otros usuarios los vean. <h2>Deja un comentario</h2>

<form action="procesar_comentario.php" method="post">

<textarea name="contenido" rows="4" cols="50"></textarea><br>

El código HTML de la página que muestra los <input type="submit" value="Publicar comentario">

comentarios podría ser algo así: </form>

</body>

</html>
VULNERABILIDAD DE CROSS-SITE SCRIPTING (XSS)

El problema surge si un usuario malintencionado decide publicar un comentario que contiene código JavaScript malicioso. Por ejemplo,
podría publicar un comentario como este:

<script>

alert("¡Has sido hackeado!");

</script>

Cuando este comentario se muestra en la página de comentarios, el código JavaScript se ejecutará en el navegador de cualquier
usuario que vea el comentario, lo que resultará en la aparición de una alerta que dice "¡Has sido hackeado!".

Esta es solo una forma de explotar una vulnerabilidad de XSS. Dependiendo de la situación, los atacantes pueden realizar acciones
más dañinas, como robar cookies de sesión, redirigir a los usuarios a sitios maliciosos o manipular el contenido de la página de la
aplicación. Es por eso que es crucial implementar medidas de seguridad adecuadas, como la validación y la sanitización de entradas
de usuario, para evitar este tipo de ataques.
 <!DOCTYPE html>

VULNERABILIDAD DE <html>

CROSS-SITE REQUEST
<head>
<title>Cambiar dirección de envío</title>
FORGERY (CSRF) </head>
<body>
Un ejemplo de vulnerabilidad de Cross- <h1>Cambiar dirección de envío</h1>
Site Request Forgery (CSRF) podría
ocurrir en un sitio web de comercio
<form action="cambiar_direccion_envio.php" method="post">
electrónico donde los usuarios pueden
<label for="nueva_direccion">Nueva dirección:</label><br>
realizar compras al hacer clic en un
<input type="text" id="nueva_direccion"
enlace o botón. name="nueva_direccion"><br><br>
<input type="submit" value="Guardar cambios">
Supongamos que el sitio web tiene una
</form>
función para que los usuarios cambien su
</body>
dirección de envío, y el formulario para
realizar este cambio se ve así: </html>
 <!DOCTYPE html>

VULNERABILIDAD DE <html>

CROSS-SITE REQUEST
<head>
<title>Ataque CSRF</title>
FORGERY (CSRF) </head>
El formulario envía una solicitud POST para cambiar <body>
dirección_envio.php con los datos de la nueva dirección de
<h1>¡Ataque CSRF!</h1>
envío. Ahora, un atacante malintencionado podría crear una
página web maliciosa con un formulario oculto que se envía
automáticamente al cargar la página:
<form action="http://sitio-web-de-comercio-
Si un usuario legítimo que está conectado al sitio web de comercio electronico.com/cambiar_direccion_envio.php" method="post">
electrónico visita esta página maliciosa mientras aún está autenticado en
<input type="hidden" name="nueva_direccion"
el sitio, el formulario oculto se enviará automáticamente al servidor del
sitio web de comercio electrónico. Debido a que la solicitud incluye las value="dirección-maliciosa">
credenciales de autenticación del usuario (en forma de cookies), el <input type="submit" value="¡Haz clic aquí para reclamar tu
servidor del sitio web de comercio electrónico aceptará la solicitud y premio!">
cambiará la dirección de envío del usuario a la dirección maliciosa
proporcionada por el atacante. </form>
</body>
De esta manera, el atacante puede engañar al usuario para que realice
acciones no deseadas en el sitio web sin que el usuario sea consciente de </html>
ello, aprovechando la confianza establecida entre el usuario y el sitio
web legítimo.
FALLOS DE PROGRAMA

• Errores de lógica: Son errores en el diseño del programa que pueden

provocar resultados inesperados o comportamientos incorrectos.

• Errores de sintaxis: Son errores en la escritura del código que impiden la

compilación o ejecución del programa.

• Excepciones no manejadas: Son errores que se producen durante la

ejecución del programa y que no se han manejado adecuadamente, lo que
puede provocar la caída del programa.
PROGRAMAS MALICIOSOS

• Virus: Programas que se autoreplican e infectan otros archivos.

• Gusanos: Programas que se autoreplican y se propagan a través de redes
informáticas.
• Troyanos: Programas que parecen legítimos pero que en realidad contienen código
malicioso.
• Ransomware: Programas que bloquean el acceso a los archivos del usuario y exigen
un rescate para desbloquearlos.
• Spyware: Programas que espían la actividad del usuario y roban información personal.
ACTUALIZACIÓN PERMANENTE

• Es importante mantener los sistemas y software actualizados con los últimos parches de
seguridad para corregir las vulnerabilidades conocidas. También es importante tener un
sistema de detección de intrusiones (IDS) y un sistema de prevención de intrusiones (IPS)
para detectar y bloquear ataques.
CRITERIOS DE PROGRAMACIÓN SEGURA

• Validar la entrada de datos: Asegurarse de que los datos introducidos por el

usuario son válidos y no contienen código malicioso.
• Utilizar prácticas de codificación seguras: Evitar errores comunes de programación
que pueden ser explotados por los atacantes.
• Mantener el software actualizado: Aplicar los últimos parches de seguridad tan
pronto como estén disponibles.
• Utilizar herramientas de seguridad: Implementar herramientas de seguridad como
firewalls, antivirus y sistemas de detección de intrusiones.
VISITAR

• OWASP Top 10: https://owasp.org/www-project-top-ten/

• SANS Top 25: https://www.sans.org/top25/

• CVE Details: https://www.cvedetails.com/

TIPOS DE MALWARE INFORMÁTICOS

Los malwares informáticos son programas maliciosos

diseñados para dañar o inutilizar un sistema informático. Se
pueden clasificar de diversas maneras, aquí te presento
algunos de los tipos más comunes
SEGÚN SU OBJETIVO

• Malware de archivo: Infectan archivos ejecutables (.exe, .com, etc.) y se activan al ejecutar el archivo
infectado.

• Malware de macro: Infectan macros en documentos de Office y se activan al abrir el documento

infectado.

• Malware de script: Infectan archivos de script (.js, .vbs, etc.) y se activan al interpretar el script
infectado.

• Malware residentes: Se alojan en la memoria del sistema y se activan cada vez que se inicia el
sistema.

• Malware de boot: Infectan el sector de arranque del disco duro y se activan cada vez que se inicia el
ordenador.
SEGÚN SU MÉTODO DE INFECCIÓN

• Malware de acción directa: Infectan archivos directamente sin necesidad de

intervención del usuario.
• Malware de caballo de Troya: Se disfrazan de programas legítimos para engañar
al usuario para que los ejecute.
• Gusanos: Se propagan por redes informáticas sin necesidad de intervención del
usuario.
• Bots: Programas que se controlan de forma remota y se utilizan para realizar
tareas maliciosas.
SEGÚN SU CAPACIDAD DE REPLICACIÓN

• Malware no polimórficos: Tienen un código constante que no

cambia.
• Malware polimórficos: Cambian su código cada vez que infectan
un nuevo elemento.
• Malware metamórficos: Cambian su estructura y código cada
vez que infectan un nuevo elemento.
CÓMO PROTEGERSE DE LOS VIRUS
INFORMÁTICOS
• Utilizar un antivirus actualizado: Un antivirus puede detectar y eliminar virus informáticos.
• Mantener el software actualizado: Los desarrolladores de software lanzan actualizaciones
para corregir vulnerabilidades que pueden ser explotadas por virus.
• Tener cuidado al abrir archivos adjuntos de correo electrónico: Los virus informáticos se
pueden propagar a través de archivos adjuntos de correo electrónico.
• No descargar archivos de fuentes no confiables: Los virus informáticos se pueden
descargar de sitios web o redes P2P no confiables.
• Realizar copias de seguridad de sus datos: En caso de que su ordenador sea infectado
por un virus, podrá restaurar sus datos desde una copia de seguridad.
PARTICULARIDADES DE
LOS DISTINTOS TIPOS DE
CÓDIGO MALICIOSO
VIRUS

• Se replican a sí mismos e infectan otros archivos.

• Pueden dañar archivos o ralentizar el sistema.
• Se propagan a través de archivos adjuntos de correo
electrónico, descargas de Internet o dispositivos
infectados.
GUSANOS

• Se replican a sí mismos y se propagan a través de

redes informáticas.
• No necesitan infectar otros archivos para causar daño.
• Pueden consumir ancho de banda y recursos del
sistema.
TROYANOS

• Parecen programas legítimos, pero en realidad contienen

código malicioso.
• Se instalan en el sistema del usuario engañándolo.
• Pueden permitir el acceso remoto al sistema o la
instalación de otros programas maliciosos.
RANSOMWARE

• Bloquea el acceso a los archivos del usuario y exige un

rescate para desbloquearlos.
• Se propaga a través de archivos adjuntos de correo
electrónico, descargas de Internet o sitios web infectados.
• Puede ser muy difícil recuperar los archivos sin pagar el
rescate.
SPYWARE

• Espía la actividad del usuario y roba información personal.

• Se instala en el sistema del usuario sin su conocimiento.
• Puede enviar la información robada a los atacantes a través de
Internet.
BOTNETS

• Red de ordenadores infectados con malware que se

controlan de forma remota.
• Se utilizan para enviar spam, realizar ataques DDoS o
propagar malware.
• Pueden ser muy difíciles de eliminar.
OTROS TIPOS DE CÓDIGO MALICIOSO

• Keyloggers: Registran las pulsaciones del teclado del usuario

para robar contraseñas y otra información confidencial.
• Rootkits: Se esconden en el sistema operativo y son difíciles de
detectar y eliminar.
• Backdoors: Permiten a los atacantes acceder al sistema del
usuario de forma remota.
PRINCIPALES ELEMENTOS DEL
ANÁLISIS DE RIESGOS Y SUS
MODELOS DE RELACIONES
ELEMENTOS DEL ANÁLISIS DE RIESGOS

• Activos: Cualquier información o recurso de valor para la organización, como datos confidenciales, sistemas
críticos o infraestructura tecnológica.

• Amenazas: Eventos o acciones que pueden poner en riesgo la seguridad de los activos, como ataques
cibernéticos, errores humanos o desastres naturales.

• Vulnerabilidades: Debilidades en los sistemas o procesos que permiten que las amenazas se materialicen y
causen daños.

• Impacto: El efecto negativo que un incidente de seguridad puede tener en la organización, en términos
financieros, operativos o reputacionales.

• Probabilidad: La posibilidad de que una amenaza se concrete y cause un incidente de seguridad.

MODELOS DE RELACIONES ENTRE LOS
ELEMENTOS
• Matriz de amenazas y vulnerabilidades: Esta matriz identifica las relaciones
entre las diferentes amenazas y vulnerabilidades que pueden afectar a la
organización.
• Diagrama de flujo de datos: Este diagrama muestra cómo fluye la
información a través de los diferentes sistemas y redes de la organización.
• Modelo de árbol de ataque: Este modelo identifica las diferentes rutas que
un atacante puede tomar para explotar una vulnerabilidad.
BENEFICIOS DEL ANÁLISIS DE RIESGOS

• Mejora la seguridad de la información: Permite tomar decisiones

informadas sobre la inversión en seguridad y la implementación de medidas
de control.

• Reduce los costos: Prevenir incidentes de seguridad puede ahorrar a la

organización grandes cantidades de dinero.

• Aumenta la confianza de los clientes y socios: Demuestra el compromiso

de la organización con la protección de la información.
METODOLOGÍAS
CUALITATIVAS Y
CUANTITATIVAS DE
ANÁLISIS DE RIESGOS
METODOLOGÍAS CUALITATIVAS

• Se basan en la experiencia y el juicio de expertos para evaluar los riesgos.

• Son útiles para identificar y evaluar riesgos difíciles de cuantificar, como los riesgos
reputacionales o los riesgos de errores humanos.
• Algunas técnicas cualitativas comunes incluyen:
o Análisis DAFO: Este análisis identifica las debilidades, amenazas, fortalezas y
oportunidades de una organización.
o Brainstorming: Esta técnica se utiliza para generar ideas y opiniones sobre los riesgos.
o Delphi: Esta técnica se utiliza para obtener el consenso de un grupo de expertos sobre los
riesgos.
METODOLOGÍAS CUALITATIVAS

• Ventajas:
o Son más flexibles y adaptables a diferentes tipos de riesgos.
o Son más rápidas y menos costosas que las metodologías cuantitativas.
o Permiten tener en cuenta factores que no se pueden cuantificar fácilmente.

• Desventajas:
o Son más subjetivas y pueden estar sujetas a sesgos.
o Pueden ser menos precisas que las metodologías cuantitativas.
o Pueden ser difíciles de comunicar a los no expertos.
METODOLOGÍAS CUANTITATIVAS

• Se basan en datos y análisis estadístico para evaluar los riesgos.

• Son útiles para evaluar riesgos que pueden ser cuantificados, como los riesgos financieros o
los riesgos de fallos técnicos.

• Algunas técnicas cuantitativas comunes incluyen:

o Análisis del árbol de fallos: Este análisis identifica las posibles causas de un fallo en un sistema.
o Análisis del árbol de eventos: Este análisis identifica las posibles consecuencias de un evento.
o Simulación de Monte Carlo: Esta técnica se utiliza para estimar la probabilidad de que ocurran
diferentes escenarios de riesgo.
METODOLOGÍAS CUANTITATIVAS

• Ventajas:
o Son más objetivas y precisas.
o Permiten una comparación más precisa de diferentes riesgos.
o Son más fáciles de comunicar a los no expertos.

• Desventajas:
o Pueden ser más costosas y llevar más tiempo que las metodologías cualitativas.
o Pueden no ser adecuadas para todos los tipos de riesgos.
o Pueden ser difíciles de aplicar si no se dispone de datos suficientes.
EJEMPLOS DE HERRAMIENTAS PARA LA
EVALUACIÓN DE RIESGOS DE SEGURIDAD
INFORMÁTICA
• NIST Risk Assessment Tool (RAT): Herramienta gratuita del NIST para la
evaluación de riesgos de seguridad informática.

• Microsoft Threat Modeling Tool (TMT): Herramienta gratuita de Microsoft

para el modelado de amenazas de seguridad informática.

• OWASP Risk Rating Methodology: Metodología de código abierto para la

calificación de riesgos de seguridad informática.
MAGERIT: METODOLOGÍA DE ANÁLISIS Y
GESTIÓN DE RIESGOS DE LOS SISTEMAS DE
INFORMACIÓN
MAGERIT es una metodología española para la gestión de riesgos de los
sistemas de información, desarrollada por el Consejo Superior de
Administración Electrónica (CSAE) del Gobierno de España. Se utiliza para
identificar, evaluar y mitigar los riesgos que pueden afectar a la seguridad de
los sistemas de información de las organizaciones.
MAGERIT SE BASA EN LAS SIGUIENTES
NORMAS INTERNACIONALES

• ISO/IEC 27001: Sistema de gestión de la seguridad de la

información.
• ISO/IEC 31000: Gestión del riesgo.
MAGERIT SE COMPONE DE TRES LIBROS

• Libro I: Método: Describe el proceso de análisis y gestión de

riesgos.
• Libro II: Guía de Aplicación: Proporciona orientación para la
aplicación de la metodología.
• Libro III: Guía de Técnicas: Describe las técnicas que se pueden
utilizar para el análisis y la gestión de riesgos.
LAS PRINCIPALES ETAPAS DEL PROCESO
MAGERIT SON
1. Definición del contexto: Se define el alcance del análisis y se identifican los activos de información a proteger.

2. Identificación de amenazas: Se identifican las amenazas que pueden afectar a los activos de información.

3. Análisis de vulnerabilidades: Se evalúan las vulnerabilidades de los sistemas de información que pueden ser
explotadas por las amenazas.

4. Estimación del riesgo: Se calcula el riesgo asociado a cada amenaza y vulnerabilidad.

5. Evaluación del riesgo: Se evalúa la importancia del riesgo y se decide si es necesario tomar medidas para
mitigarlo.

6. Tratamiento del riesgo: Se implementan medidas para mitigar el riesgo.

7. Seguimiento y revisión: Se realiza un seguimiento del riesgo y se revisa la metodología de forma periódica.
BENEFICIOS DE UTILIZAR MAGERIT

• Mejora la seguridad de los sistemas de información.

• Reduce los costos asociados a los incidentes de seguridad.
• Aumenta la confianza de los clientes y socios en la organización.
• Demuestra el compromiso de la organización con la seguridad de la
información.
• Portal de la Administración
Electrónica: https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Ma
gerit.html
EBIOS: EXPRESSION DES BESOINS
ET IDENTIFICATION DES OBJECTIFS
DE SÉCURITÉ
 EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), que se
traduce como "Expresión de las Necesidades e Identificación de los Objetivos de Seguridad",
es un método francés para evaluar y tratar los riesgos relacionados con la seguridad de los
sistemas de información (SSI). Desarrollado por la Agencia Nacional de Seguridad de Sistemas
de Información (ANSSI) de Francia, EBIOS se ha convertido en un estándar reconocido
internacionalmente y es utilizado por muchas organizaciones en todo el mundo.
CLAVES DE EBIOS

• Énfasis en las necesidades: EBIOS se centra en las necesidades de seguridad de

una organización, en lugar de centrarse únicamente en las amenazas y
vulnerabilidades.
• Identificación de objetivos: El método guía a las organizaciones para identificar
objetivos de seguridad claros y alcanzables.
• Análisis de impacto: EBIOS considera el impacto potencial de los incidentes de
seguridad en la organización.
• Adaptabilidad: EBIOS es una metodología flexible que se puede adaptar a las
necesidades de cualquier organización, independientemente de su tamaño o sector.
VERSIONES DE EBIOS

• EBIOS Risk Manager (EBIOS RM): La versión más reciente y completa,

adecuada para todo tipo de organizaciones.

• EBIOS CNES: Adaptado para su uso en la industria espacial.

• EBIOS Santé: Adaptado para su uso en el sector sanitario.

• EBIOS Lite: Versión simplificada para organizaciones pequeñas o con menos

recursos.
RECURSOS ADICIONALES

• ANSSI - EBIOS Risk Manager: https://cyber.gouv.fr/la-methode-ebios-risk-manager

• Club EBIOS: https://club-ebios.org/site/en/welcome/

• ENISA - EBIOS: https://www.enisa.europa.eu/topics/risk-management/current-risk/risk-

management-inventory/rm-ra-tools/t_ebios.html
CRAMM: MÉTODO DE ANÁLISIS Y
GESTIÓN DE RIESGOS CCTA
CRAMM, que significa CCTA Risk Analysis and Management Method (Método de Análisis y
Gestión de Riesgos CCTA), es una metodología para identificar, evaluar y gestionar los riesgos
asociados a los sistemas de información. Desarrollada originalmente por la Agencia Central de
Computación y Telecomunicaciones (CCTA) del gobierno británico, CRAMM se ha convertido
en un marco ampliamente utilizado para la evaluación de riesgos de seguridad de la
información.
CLAVES DE CRAMM

• Énfasis en el impacto empresarial: CRAMM subraya el impacto potencial de los

incidentes de seguridad en las operaciones de la empresa.
• Enfoque estructurado: La metodología proporciona un enfoque paso a paso para
la evaluación de riesgos, facilitando su seguimiento e implementación.
• Escalabilidad: CRAMM se puede adaptar a organizaciones de todos los tamaños y
se puede aplicar a diferentes tipos de sistemas de información.
• Integración con ISO 27001: CRAMM se alinea bien con la norma ISO 27001 de
gestión de la seguridad de la información.
COMPARACIÓN CON OTRAS
METODOLOGÍAS
Característica CRAMM EBIOS MAGERIT

Enfoque Impacto empresarial Necesidades de seguridad Seguridad de la Información

Basado en necesidades,
Fortalezas Estructurado, escalable Integra con ISO 27001
adaptable

Debilidades Menos énfasis en amenazas Terminología compleja Recursos en español

OCTAVE: EVALUACIÓN
OPERATIVA CRÍTICA, AMENAZAS,
ACTIVOS Y VULNERABILIDADES
 OCTAVE (por sus siglas en inglés Operationally Critical Threat, Asset, and
Vulnerability Evaluation) es una metodología de evaluación de riesgos desarrollada
por el Software Engineering Institute (SEI) del Carnegie Mellon University en Estados
Unidos. Su objetivo principal es ayudar a las organizaciones a identificar, evaluar y
mitigar los riesgos de seguridad que pueden afectar sus operaciones críticas.
CLAVES DE OCTAVE

• Enfoque en activos y operaciones: OCTAVE se centra en la protección de los activos de

información críticos para la organización y en la evaluación de los riesgos que pueden
afectar las operaciones que dependen de ellos.
• Participación de las partes interesadas: La metodología involucra a diferentes partes
interesadas de la organización en el proceso de evaluación de riesgos, lo que permite
obtener una visión completa y asegurar la aceptación de los resultados.
• Enfoque iterativo y flexible: OCTAVE se puede aplicar de forma iterativa y flexible,
adaptándose a las necesidades y recursos específicos de cada organización.
• Integración con otros marcos de seguridad: OCTAVE se puede integrar con otros marcos
de seguridad como ISO 27001 o NIST Cybersecurity Framework.
VARIANTES DE OCTAVE

• OCTAVE-S: Versión simplificada de OCTAVE para pequeñas y

medianas empresas.
• OCTAVE-Allegro: Enfoque ligero para la evaluación de riesgos
de aplicaciones web.
• OCTAVE-OA: Enfoque para la evaluación de riesgos de activos
en la nube.
CORAS: CHECK-LIST PARA LA
REVISIÓN DE RIESGOS Y
SEGURIDAD
CORAS (por sus siglas en inglés Check-list for Risk and Security Assessment) es una
herramienta de evaluación de riesgos de seguridad de la información desarrollada por
el Information Systems Audit and Control Association (ISACA). Se trata de una lista
de verificación completa que ayuda a las organizaciones a identificar y evaluar los
riesgos de seguridad que pueden afectar sus sistemas de información.
CLAVES DE CORAS

• Enfoque en controles de seguridad: CORAS se centra en la evaluación de la

eficacia de los controles de seguridad existentes para mitigar los riesgos.
• Facilidad de uso: La herramienta es fácil de usar y no requiere conocimientos
técnicos especializados.
• Amplia cobertura: CORAS cubre una amplia gama de riesgos de seguridad,
incluyendo amenazas, vulnerabilidades y controles.
• Personalización: La lista de verificación se puede personalizar para adaptarla a
las necesidades específicas de cada organización.
NIST SP 800-30: GUÍA PARA LA
REALIZACIÓN DE EVALUACIONES
DE RIESGO
 NIST SP 800-30, o Publicación Especial 800-30 del NIST (Instituto
Nacional de Estándares y Tecnología de Estados Unidos por sus siglas
en inglés), es una guía desarrollada para brindar orientación sobre
cómo realizar evaluaciones de riesgo de seguridad de la información en
sistemas y organizaciones federales. Sin embargo, su utilidad se
extiende más allá del sector público y es ampliamente utilizada por
organizaciones privadas de todo el mundo.
CLAVES DE NIST SP 800-30

• Énfasis en el ciclo de vida del riesgo: La guía promueve un enfoque

continuo para la gestión de riesgos, que incluye la identificación, evaluación,
mitigación y seguimiento de los riesgos.
• Alineación con otros marcos: NIST SP 800-30 se alinea con otros marcos
de seguridad de la información, como ISO 27001 y NIST Cybersecurity
Framework (CSF).
• Flexibilidad: La guía se puede adaptar a organizaciones de todos los
tamaños y tipos.
MEHARI CLUSIF
 MEHARI Clusif, también conocido como MEHARI-Standard, es una
versión específica del sistema MEHARI desarrollada por la asociación
francesa CLUSIF (Club de la Sécurité de l'Information Français). Está
diseñada para ser utilizada por organizaciones de todo tipo,
independientemente de su tamaño o sector de actividad.
CLAVES DE MEHARI CLUSIF

• Metodología estándar: MEHARI Clusif se basa en la metodología estándar

MEHARI, pero con algunas modificaciones y adaptaciones para el contexto francés.
• Enfoque en la gestión de riesgos: MEHARI Clusif se centra en la identificación,
evaluación y gestión de los riesgos de seguridad de la información.
• Facilidad de uso: MEHARI Clusif es una herramienta fácil de usar que no requiere
conocimientos técnicos especializados.
• Personalización: MEHARI Clusif se puede personalizar para adaptarse a las
necesidades específicas de cada organización.
ANÁLISIS HOLANDÉS A-K
 El análisis holandés A-K es un método de análisis de riesgos de
seguridad de la información que se utiliza para evaluar la probabilidad y
el impacto de las amenazas a los activos de información. Se basa en
una matriz de dos dimensiones, donde las filas representan las
categorías de activos (A-K) y las columnas representan las categorías
de amenazas (1-10).
• Categorías de activos (A-K): • Categorías de amenazas (1-10):
A: Información crítica para la empresa 1: Interrupción
B: Información confidencial 2: Intercepción
C: Información sensible 3: Modificación
D: Información interna 4: Destrucción
E: Información pública
5: Denegación de servicio
F: Hardware crítico
6: Espionaje
G: Hardware importante
7: Fraude
H: Software crítico
8: Robo
I: Software importante
9: Sabotaje
J: Datos críticos
10: Virus
K: Datos importantes
IDENTIFICACIÓN Y VALORACIÓN
DE ACTIVOS EN EL ANÁLISIS DE
RIESGOS
¿QUÉ SON LOS ACTIVOS DE
INFORMACIÓN?
Los activos de información son cualquier información o dato que tiene valor para la
organización. Estos pueden incluir:
• Información confidencial: Información que no debe ser revelada a terceros, como
datos de clientes, secretos comerciales o información financiera.
• Información sensible: Información que podría ser utilizada para causar daño a la
organización si se ve comprometida, como datos de empleados o información sobre
infraestructura crítica.
• Información crítica: Información que es esencial para las operaciones de la
organización, como datos de transacciones o registros de sistemas.
PROCESO DE IDENTIFICACIÓN Y
VALORACIÓN DE ACTIVOS
1. Identificar activos: Se realiza un inventario de todos los activos de información de
la organización.
2. Clasificar activos: Se clasifican los activos en función de su importancia y
sensibilidad.
3. Valorar activos: Se estima el valor de cada activo en términos de impacto
potencial en caso de que se vea afectado por un incidente de seguridad.
4. Documentar resultados: Se documentan los resultados de la identificación y
valoración de activos.
MÉTODOS PARA LA VALORACIÓN DE
ACTIVOS
• Análisis de impacto en el negocio (BIA): Se evalúa el impacto que tendría
la pérdida de un activo en las operaciones de la organización.

• Análisis del valor de los activos (AVA): Se calcula el valor financiero de un

activo.

• Escala de Likert: Se utiliza una escala para calificar la importancia y

sensibilidad de un activo.
HERRAMIENTAS PARA LA IDENTIFICACIÓN
Y VALORACIÓN DE ACTIVOS
• QualysGuard
• Tenable Nessus
• Rapid7 Nexpose
• Nmap
• OpenVas
EJEMPLOS DE APLICACIÓN

• Una empresa puede identificar y valorar sus datos financieros como un

activo crítico, ya que son esenciales para las operaciones de la empresa.

• Un hospital puede identificar y valorar los registros médicos de sus pacientes

como un activo confidencial, ya que contiene información personal sensible.

• Una empresa de software puede identificar y valorar su código fuente como

un activo valioso, ya que representa una inversión significativa en tiempo y
dinero.
IDENTIFICACIÓN DE AMENAZAS
PARA ACTIVOS DE INFORMACIÓN
LA IDENTIFICACIÓN DE AMENAZAS ES UN COMPONENTE CRUCIAL DEL
ANÁLISIS DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN. IMPLICA EL
PROCESO DE DESCUBRIR Y COMPRENDER LAS POSIBLES AMENAZAS QUE
PODRÍAN AFECTAR A LOS ACTIVOS DE INFORMACIÓN DE UNA
ORGANIZACIÓN.
TIPOS DE AMENAZAS

• Amenazas naturales: Desastres naturales como terremotos,

inundaciones o incendios.
• Amenazas accidentales: Errores humanos, fallos de hardware o
software, o interrupciones del servicio.
• Amenazas intencionales: Ataques cibernéticos, robo de
información, o sabotaje.
PROCESO DE IDENTIFICACIÓN DE
AMENAZAS
1. Identificar activos: Se realiza un inventario de todos los activos de información de la
organización.

2. Clasificar activos: Se clasifican los activos en función de su importancia y sensibilidad.

3. Identificar amenazas: Se realiza una lluvia de ideas para identificar todas las posibles
amenazas que podrían afectar a cada activo.

4. Analizar amenazas: Se analiza la probabilidad de que ocurra cada amenaza y su impacto

potencial en los activos.

5. Documentar resultados: Se documentan las amenazas identificadas y su análisis.

TÉCNICAS PARA LA IDENTIFICACIÓN DE
AMENAZAS
• Análisis de vulnerabilidades: Esta técnica implica identificar las debilidades y fallos de seguridad en sistemas, redes, aplicaciones y
dispositivos. El análisis de vulnerabilidades puede realizarse mediante herramientas automatizadas de escaneo de vulnerabilidades o mediante
evaluaciones manuales realizadas por expertos en seguridad.
• Monitoreo de logs y eventos: Los registros de eventos de sistemas y redes, como logs de aplicaciones, registros de seguridad y registros de
actividad de red, pueden proporcionar pistas importantes sobre posibles amenazas. El monitoreo continuo de estos registros ayuda a detectar
actividades sospechosas o inusuales que podrían indicar la presencia de amenazas.
• Inteligencia de amenazas: La inteligencia de amenazas implica recopilar información sobre tácticas, técnicas y procedimientos utilizados por
actores maliciosos, así como sobre nuevas vulnerabilidades y amenazas emergentes. Esto puede incluir el seguimiento de informes de seguridad,
boletines de vulnerabilidades, feeds de inteligencia de amenazas y grupos de discusión en línea.
• Análisis de malware: El análisis de malware implica estudiar el código malicioso para comprender su funcionamiento y comportamiento. Esto
puede ayudar a identificar las características distintivas de un malware específico y a desarrollar medidas de detección y mitigación
adecuadas.
• Simulaciones de ataques (penetration testing): Las simulaciones de ataques, también conocidas como pruebas de penetración, implican simular
los métodos y técnicas utilizados por los atacantes para evaluar la seguridad de un sistema. Esto puede ayudar a identificar vulnerabilidades y
debilidades antes de que sean explotadas por amenazas reales.
• Análisis de riesgos: El análisis de riesgos implica evaluar y priorizar los riesgos potenciales para un sistema o una organización. Esto puede
incluir la identificación de amenazas, la evaluación de vulnerabilidades, la estimación de la probabilidad de ocurrencia y el impacto potencial
de los riesgos, y la determinación de medidas de mitigación adecuadas.
BENEFICIOS DE LA IDENTIFICACIÓN DE
AMENAZAS
• Mejora la gestión de riesgos: Permite a la organización tomar medidas
para prevenir o mitigar los riesgos de seguridad.

• Optimiza la inversión en seguridad: Permite a la organización enfocar sus

recursos en proteger los activos que están más expuestos a amenazas.

• Reduce el impacto de los incidentes: Permite a la organización responder

de manera más rápida y eficaz a los incidentes de seguridad.
HERRAMIENTAS PARA LA IDENTIFICACIÓN
DE AMENAZAS
• OpenVAS

• Nessus

• QualysGuard

• Nmap

• Metasploit
EJEMPLOS DE APLICACIÓN

• Una empresa puede identificar el malware como una amenaza a sus

sistemas informáticos.

• Un hospital puede identificar el robo de datos como una amenaza a sus

registros médicos.

• Una empresa de software puede identificar la piratería como una amenaza

a su propiedad intelectual.
ANÁLISIS E IDENTIFICACIÓN DE
VULNERABILIDADES EN
SISTEMAS DE INFORMACIÓN
EL ANÁLISIS E IDENTIFICACIÓN DE VULNERABILIDADES ES UN PROCESO CRUCIAL EN LA
GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN. IMPLICA EL EXAMEN DE
LOS SISTEMAS DE INFORMACIÓN PARA IDENTIFICAR LAS DEBILIDADES QUE PODRÍAN
SER EXPLOTADAS POR LAS AMENAZAS PARA ACCEDER, MODIFICAR O DESTRUIR LOS
ACTIVOS DE INFORMACIÓN.
TIPOS DE ANÁLISIS DE
VULNERABILIDADES
• Análisis local: Se realiza en el propio sistema de información, utilizando
herramientas de escaneo de vulnerabilidades.

• Análisis remoto de caja blanca: Se realiza desde un sistema externo, con

acceso al código fuente del sistema de información.

• Análisis remoto de caja negra: Se realiza desde un sistema externo, sin

acceso al código fuente del sistema de información.
PROCESO DE ANÁLISIS E IDENTIFICACIÓN
DE VULNERABILIDADES
1. Identificar activos: Se realiza un inventario de todos los activos de información de la
organización.
2. Identificar sistemas: Se identifican los sistemas de información que contienen o procesan los
activos de información.
3. Seleccionar herramientas: Se seleccionan las herramientas de análisis de vulnerabilidades
adecuadas para cada tipo de análisis.
4. Realizar análisis: Se realizan los análisis de vulnerabilidades en los sistemas de información
seleccionados.
5. Documentar resultados: Se documentan las vulnerabilidades identificadas y su análisis.
HERRAMIENTAS PARA EL ANÁLISIS DE
VULNERABILIDADES
• Nessus: Herramienta de escaneo de vulnerabilidades de código abierto.

• Nmap: Herramienta de escaneo de puertos y redes.

• Metasploit: Herramienta para la explotación de vulnerabilidades.

• QualysGuard: Herramienta de gestión de vulnerabilidades basada en la

nube.

• OpenVAS: Herramienta de escaneo de vulnerabilidades de código abierto.

OSSTMM: MANUAL DE
METODOLOGÍA ABIERTA DE
PRUEBAS DE SEGURIDAD
OSSTMM SIGNIFICA OPEN SOURCE SECURITY TESTING METHODOLOGY
MANUAL (EN ESPAÑOL, MANUAL DE METODOLOGÍA ABIERTA DE PRUEBAS DE
SEGURIDAD). ES UN CONJUNTO DE LINEAMIENTOS Y RECOMENDACIONES
DESARROLLADAS POR LA COMUNIDAD DE SEGURIDAD INFORMÁTICA PARA
REALIZAR PRUEBAS DE SEGURIDAD DE FORMA EXHAUSTIVA Y ESTANDARIZADA
OBJETIVO DE OSSTMM

Su principal objetivo es ayudar a profesionales de la seguridad a evaluar la seguridad real de

sistemas informáticos, redes y aplicaciones. OSSTMM proporciona una metodología paso a
paso que cubre diferentes aspectos de las pruebas de seguridad, incluyendo:
• Búsqueda de vulnerabilidades
• Explotación de vulnerabilidades
• Análisis de riesgos
• Pruebas de intrusión
• Pruebas de caja negra y caja blanca
BENEFICIOS DE USAR OSSTMM

• Mejora la seguridad: Al identificar vulnerabilidades y debilidades en los sistemas,

OSSTMM ayuda a las organizaciones a mejorar su postura de seguridad y prevenir
ataques informáticos.
• Enfoque sistemático: Proporciona una metodología estructurada para realizar
pruebas de seguridad, lo que garantiza que se cubran todas las áreas importantes.
• Adaptable: Se puede adaptar a las necesidades específicas de cada organización
y tipo de sistema.
• Gratuito y de código abierto: OSSTMM es un recurso gratuito y de código abierto,
lo que lo hace accesible a organizaciones de todos los tamaños.
VERSIONES DE OSSTMM

Actualmente, la versión vigente de OSSTMM es la 3.02. Versiones

anteriores como la 2.x ya están obsoletas
ESTRUCTURA DE OSSTMM

OSSTMM se organiza en diferentes libros que cubren distintos aspectos de las pruebas de seguridad. Algunos de
los libros más importantes incluyen:

• Libro 1: Metodología: Describe el proceso general de pruebas de seguridad basado en OSSTMM.

• Libro 2: Técnicas de ataque: Detalla diferentes técnicas que utilizan los atacantes para explotar
vulnerabilidades.

• Libro 3: Herramientas: Proporciona información sobre herramientas de seguridad que se pueden utilizar para
realizar pruebas de seguridad.

• Libro 4: Objetivos de control de seguridad: Define objetivos de control de seguridad que se pueden utilizar
para evaluar la efectividad de los controles de seguridad implementados.
RECURSOS ADICIONALES

• Sitio web oficial de OSSTMM: https://www.isecom.org/research.html (en inglés)

• Guía de OSSTMM 3.02: https://www.isecom.org/OSSTMM.3.pdf (en inglés)

COMPARACIÓN CON OTROS MARCOS DE
PRUEBAS DE SEGURIDAD
OSSTMM es un marco de pruebas de seguridad completo y detallado. Si bien existen otros
marcos como PTES (penetration testing execution standard) o OWASP Testing Guide, estos
suelen enfocarse en aspectos específicos de las pruebas de seguridad, como pruebas de
intrusión o pruebas web. OSSTMM proporciona una visión más general y abarca un rango más
amplio de técnicas y metodologías.
METODOLOGÍA OWASP PARA LA
SEGURIDAD DE APLICACIONES
WEB
OWASP (OPEN WEB APPLICATION SECURITY PROJECT) NO SOLO ES UNA COMUNIDAD DE
EXPERTOS EN SEGURIDAD INFORMÁTICA, SINO QUE TAMBIÉN CUENTA CON UNA
METODOLOGÍA PROPIA PARA LA EVALUACIÓN DE LA SEGURIDAD DE LAS APLICACIONES
WEB. A DIFERENCIA DE OSSTMM (QUE ABARCA LA SEGURIDAD INFORMÁTICA EN
GENERAL), LA METODOLOGÍA OWASP SE CENTRA ESPECÍFICAMENTE EN LAS
VULNERABILIDADES Y RIESGOS PRESENTES EN LAS APLICACIONES WEB
OBJETIVOS DE LA METODOLOGÍA OWASP

• Identificar vulnerabilidades: Ayuda a los desarrolladores y profesionales de seguridad a

identificar las vulnerabilidades más comunes en las aplicaciones web, basándose en el
OWASP Top 10.

• Evaluar riesgos: Permite evaluar el riesgo asociado a cada vulnerabilidad identificada,

considerando la probabilidad de ocurrencia y el impacto potencial.

• Priorizar acciones: Facilita la priorización de las acciones correctivas para mitigar los
riesgos identificados.

• Mejorar la seguridad: En última instancia, la metodología OWASP tiene como objetivo

mejorar la seguridad de las aplicaciones web y prevenir ataques cibernéticos.
FASES DE LA METODOLOGÍA OWASP

La metodología OWASP no define fases rígidas, sino que propone un enfoque iterativo y flexible
que se puede adaptar a las necesidades específicas de cada proyecto. Sin embargo, algunas de las
actividades más comunes dentro de esta metodología incluyen:
• Recopilación de información: Se recopila información sobre la aplicación web, como su arquitectura,
tecnologías utilizadas y funcionalidad.

• Identificación de amenazas: Se identifican las amenazas potenciales a las que está expuesta la aplicación
web, utilizando como referencia el OWASP Top 10.

• Análisis de riesgos: Se evalúa el riesgo asociado a cada amenaza identificada.

• Pruebas de seguridad: Se realizan pruebas de seguridad para identificar vulnerabilidades específicas en la
aplicación web.

• Remediación: Se corrigen las vulnerabilidades identificadas.

• Informe: Se documenta el proceso de evaluación y los resultados obtenidos
HERRAMIENTAS DE LA METODOLOGÍA
OWASP
OWASP no solo proporciona una metodología, sino que también ofrece una amplia gama de
herramientas gratuitas y de código abierto que facilitan la evaluación de la seguridad de las
aplicaciones web. Algunas de las herramientas más populares incluyen:
• ZAP: Proxy web interceptador que permite interceptar el tráfico entre el navegador y la
aplicación web.
• OWASP Testing Guide: Guía detallada sobre pruebas de seguridad de aplicaciones web.
• OWASP Top 10: Lista de las diez vulnerabilidades más críticas en aplicaciones web.
• Netsparker: Herramienta comercial para el escaneo de vulnerabilidades en aplicaciones
web.
BENEFICIOS DE USAR LA METODOLOGÍA
OWASP
• Gratuita y de código abierto: Al ser gratuita y de código abierto, la metodología
OWASP está accesible a organizaciones de todos los tamaños.
• Amplia comunidad: Detrás de OWASP hay una gran comunidad de expertos que
contribuyen al desarrollo de la metodología y las herramientas.
• Centrada en aplicaciones web: A diferencia de otros marcos más generales, la
metodología OWASP se enfoca específicamente en las vulnerabilidades de las
aplicaciones web.
• Mejora la seguridad: La aplicación de la metodología OWASP ayuda a las
organizaciones a desarrollar y desplegar aplicaciones web más seguras.
RECURSOS ADICIONALES

• Sitio web oficial de OWASP: https://owasp.org/

• OWASP Top 10: https://owasp.org/www-project-top-ten/

• OWASP Testing Guide: https://owasp.org/www-project-web-security-testing-guide/

CVE
CVE SON LAS SIGLAS DE COMMON VULNERABILITIES AND EXPOSURES (EN ESPAÑOL,
VULNERABILIDADES Y EXPOSICIONES COMUNES). SE TRATA DE UN SISTEMA QUE
IDENTIFICA Y ASIGNA UN IDENTIFICADOR ÚNICO A LAS VULNERABILIDADES DE SEGURIDAD
CIBERNÉTICA DE CONOCIMIENTO PÚBLICO. ESTE SISTEMA ESTANDARIZADO AYUDA A LOS
PROFESIONALES DE LA SEGURIDAD A RASTREAR Y PRIORIZAR LAS DEBILIDADES
POTENCIALES EN SOFTWARE, HARDWARE O FIRMWARE
CARACTERÍSTICAS CLAVE DE CVE

• Identificador único: Cada vulnerabilidad recibe un ID CVE único, generalmente con el

formato CVE-AAAA-NNNN (por ejemplo, CVE-2023-4567). Este ID ayuda a evitar
confusiones y asegura que todos se refieran a la misma vulnerabilidad.

• Acceso público: La información de CVE está disponible públicamente a través de la Base

de Datos Nacional de Vulnerabilidades (NVD): https://nvd.nist.gov/ administrada por el
Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos.

• Detalles y severidad: El registro CVE de una vulnerabilidad generalmente incluye una

descripción del problema, el impacto potencial (severidad) y soluciones alternativas o
parches de conocimiento público.
BENEFICIOS DE CVE

• Estandarización: CVE proporciona un lenguaje común para discutir las

vulnerabilidades, simplificando la comunicación entre los profesionales de la
seguridad y los proveedores de software.
• Priorización: Al hacer referencia a las puntuaciones de severidad de CVE, las
organizaciones pueden priorizar qué vulnerabilidades abordar primero,
enfocándose en aquellas que representan el riesgo más significativo.
• Conciencia y educación: La disponibilidad pública de la información de CVE
aumenta la conciencia sobre los problemas de seguridad y promueve el desarrollo
y la implementación de parches de seguridad.
EJEMPLO DE UN REGISTRO CVE

Usando el ejemplo de CVE-2023-45672, si busca este ID de CVE en la NVD, podría

encontrar detalles como:
• Descripción: Una vulnerabilidad de desbordamiento de búfer en un programa de
software específico.
• Gravedad: Alta (podría permitir a los atacantes ejecutar código de forma remota
en sistemas vulnerables).
• Recomendación: Actualizar a la última versión del software que incluye un parche
para esta vulnerabilidad.
RECURSOS ADICIONALES

• Base de Datos Nacional de Vulnerabilidades (NVD): https://nvd.nist.gov/vuln

• Programa CVE: https://cve.mitre.org/

OPTIMIZACIÓN DEL PROCESO DE
AUDITORÍA Y CONTRASTE DE
VULNERABILIDADES E INFORME DE
AUDITORÍA
LA AUDITORÍA Y EL CONTRASTE DE VULNERABILIDADES SON PROCESOS
ESENCIALES PARA GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS
INFORMÁTICOS. SIN EMBARGO, ESTOS PROCESOS PUEDEN SER TEDIOSOS
Y LLEVAR MUCHO TIEMPO
PLANIFICACIÓN

• Definir el alcance de la auditoría: Es importante definir claramente qué

sistemas y aplicaciones se van a auditar.

• Identificar los activos críticos: Priorizar los activos que son más críticos para
la organización y enfocar la auditoría en ellos.

• Establecer objetivos y criterios de evaluación: Definir qué se quiere lograr

con la auditoría y qué criterios se van a utilizar para evaluar las
vulnerabilidades.
RECOPILACIÓN DE INFORMACIÓN

• Utilizar herramientas automatizadas: Existen herramientas automatizadas

que pueden ayudar a recopilar información sobre las vulnerabilidades de
los sistemas.
• Realizar pruebas manuales: Es importante realizar pruebas manuales para
complementar las pruebas automatizadas y verificar los resultados.
• Documentar los hallazgos: Es importante documentar todos los hallazgos de
la auditoría, incluyendo la descripción de la vulnerabilidad, su severidad y
las recomendaciones para su remediación.
ANÁLISIS Y EVALUACIÓN

• Utilizar un sistema de clasificación de vulnerabilidades: Utilizar un sistema

como CVSS para clasificar las vulnerabilidades según su severidad.

• Priorizar las vulnerabilidades: Priorizar las vulnerabilidades que

representan un mayor riesgo para la organización.

• Recomendar acciones de remediación: Recomendar acciones de

remediación para cada vulnerabilidad identificada.
INFORME DE AUDITORÍA

• El informe debe ser claro y conciso: El informe debe ser fácil de entender para los lectores
no técnicos.

• Debe incluir información sobre:

o El alcance de la auditoría
o Los activos evaluados
o Las metodologías utilizadas
o Los hallazgos de la auditoría
o Las recomendaciones de remediación

• Debe ser presentado de manera profesional: El informe debe tener un formato profesional
y estar libre de errores.
HERRAMIENTAS PARA LA OPTIMIZACIÓN
DEL PROCESO
• Herramientas de escaneo de
vulnerabilidades: Nessus, OpenVAS, Nmap
• Herramientas de gestión de
vulnerabilidades: Qualys, Tenable, Rapid7
• Herramientas de generación de informes: Microsoft
Word, Power BI, Tableau
CONSEJOS ADICIONALES

• Involucrar a las partes interesadas: Es importante involucrar a las partes

interesadas en el proceso de auditoría desde el principio.

• Comunicarse de manera efectiva: Es importante comunicar los resultados de

la auditoría de manera efectiva a las partes interesadas.

• Realizar auditorías regularmente: Es importante realizar auditorías de

forma regular para mantener la seguridad de los sistemas informáticos.
IDENTIFICACIÓN DE MEDIDAS DE
SALVAGUARDA Y SU EFECTO
SOBRE VULNERABILIDADES Y
AMENAZAS
LA IDENTIFICACIÓN DE LAS MEDIDAS DE SALVAGUARDA EXISTENTES EN EL
MOMENTO DE REALIZAR UN ANÁLISIS DE RIESGOS ES UN PASO
FUNDAMENTAL PARA EVALUAR LA SEGURIDAD DE UN SISTEMA O ACTIVO.
ESTAS MEDIDAS PUEDEN AYUDAR A REDUCIR LA PROBABILIDAD DE
OCURRENCIA DE UN EVENTO ADVERSO O MITIGAR SU IMPACTO
TIPOS DE MEDIDAS DE SALVAGUARDA
• Medidas de prevención: Estas medidas están diseñadas para evitar que ocurra un evento adverso. Algunos
ejemplos incluyen:
o Controles de acceso: restringen el acceso a los sistemas y datos a usuarios autorizados.
o Firewalls: protegen los sistemas de intrusiones externas.
o Antivirus: detectan y eliminan software malicioso.

• Medidas de detección: Estas medidas están diseñadas para detectar un evento adverso en caso de que
ocurra. Algunos ejemplos incluyen:
o Sistemas de detección de intrusiones (IDS): monitorean la actividad de la red para detectar comportamientos sospechosos.
o Sistemas de detección de fugas de datos (DLP): monitorean el movimiento de datos para detectar posibles fugas.

• Medidas de corrección: Estas medidas están diseñadas para mitigar el impacto de un evento adverso en
caso de que ocurra. Algunos ejemplos incluyen:
o Planes de respuesta a incidentes: definen los pasos a seguir en caso de un evento adverso.
o Copias de seguridad: permiten restaurar los datos en caso de un fallo del sistema.
ESTABLECIMIENTO DE
ESCENARIOS DE RIESGO: PARES
ACTIVO-AMENAZA
LA IDENTIFICACIÓN Y ANÁLISIS DE PARES ACTIVO-AMENAZA ES UNA ETAPA
FUNDAMENTAL EN LA EVALUACIÓN DE RIESGOS. UN ESCENARIO DE RIESGO SE
DEFINE COMO LA COMBINACIÓN DE UN ACTIVO (INFORMACIÓN, SISTEMA,
PROCESO, ETC.) Y UNA AMENAZA (EVENTO ADVERSO QUE PUEDE AFECTAR AL
ACTIVO) QUE PUEDE MATERIALIZARSE EN UN INCIDENTE DE SEGURIDAD
IDENTIFICACIÓN DE ACTIVOS

• Clasificación de activos: Identificar y clasificar los activos según su valor e

importancia para la organización.

• Análisis de criticidad: Evaluar la criticidad de cada activo considerando su

impacto en la operación del negocio.
IDENTIFICACIÓN DE AMENAZAS

• Análisis del entorno: Recopilar información sobre las amenazas presentes

en el entorno de la organización.

• Análisis de vulnerabilidades: Identificar las vulnerabilidades presentes en

los activos que pueden ser explotadas por las amenazas.
COMBINACIÓN DE ACTIVOS Y AMENAZAS

• Matriz de riesgos: Crear una matriz de riesgos que combine activos y

amenazas para identificar pares susceptibles de materializarse.

• Análisis de escenarios: Evaluar la probabilidad de ocurrencia y el impacto

potencial de cada escenario de riesgo.
PRIORIZACIÓN DE ESCENARIOS DE
RIESGO
• Criterios de priorización: Definir criterios de priorización como probabilidad
de ocurrencia, impacto potencial, criticidad del activo y existencia de
medidas de control.

• Análisis de Pareto (regla 80/20): Aplicar el análisis de Pareto para

enfocarse en los escenarios de mayor riesgo.
DESARROLLO DE PLANES DE ACCIÓN

• Diseño de estrategias: Desarrollar estrategias para prevenir o mitigar los

escenarios de riesgo priorizados.

• Implementación de medidas: Implementar medidas de control y planes de

respuesta a incidentes para cada escenario de riesgo.
HERRAMIENTAS PARA EL ESTABLECIMIENTO
DE ESCENARIOS DE RIESGO

• Herramientas de gestión de riesgos: Existen herramientas como Qualys,

Tenable o RiskVision que facilitan la identificación, análisis y priorización de
riesgos.

• Metodologías de análisis de riesgos: Metodologías como NIST RMF, ISO

27001 o MEHARI pueden guiar el proceso de análisis de riesgos.
EJEMPLOS DE ESCENARIOS DE RIESGO

• Acceso no autorizado a información confidencial: Un atacante podría

obtener acceso a información confidencial de la organización a través de
una vulnerabilidad en el sistema de seguridad.
• Interrupción del servicio de un sistema crítico: Un fallo en el sistema de
energía podría interrumpir el servicio de un sistema crítico de la
organización.
• Fuga de datos sensibles: Un malware podría infectar los sistemas de la
organización y provocar la fuga de datos sensibles.
DETERMINACIÓN DE LA
PROBABILIDAD E IMPACTO DE
MATERIALIZACIÓN DE LOS
ESCENARIOS DE RIESGO
UNA VEZ IDENTIFICADOS Y PRIORIZADOS LOS ESCENARIOS DE RIESGO, ES
NECESARIO DETERMINAR LA PROBABILIDAD DE QUE SE MATERIALICEN Y EL
IMPACTO POTENCIAL QUE PODRÍAN TENER EN LA ORGANIZACIÓN. ESTA
INFORMACIÓN ES FUNDAMENTAL PARA TOMAR DECISIONES INFORMADAS
SOBRE LA ASIGNACIÓN DE RECURSOS Y LA IMPLEMENTACIÓN DE MEDIDAS DE
CONTROL
ESTIMACIÓN DE LA PROBABILIDAD

• Análisis de las amenazas: Evaluar la frecuencia y la sofisticación de las

amenazas que pueden explotar las vulnerabilidades de los activos.

• Análisis de las vulnerabilidades: Evaluar la facilidad con la que las

vulnerabilidades pueden ser explotadas por las amenazas.

• Consideración de factores externos: Considerar factores externos como el

entorno regulatorio, la competencia y la situación económica.
ESTIMACIÓN DEL IMPACTO
• Análisis del activo: Evaluar la criticidad del activo y el impacto potencial que su
pérdida o daño tendría en la organización.
• Análisis del escenario: Evaluar las posibles consecuencias del escenario de riesgo
en términos de daños financieros, operativos y reputacionales.
• Consideración de factores adicionales: Considerar factores adicionales como la
existencia de medidas de mitigación y la capacidad de recuperación de la
organización.
HERRAMIENTAS PARA LA ESTIMACIÓN DE
PROBABILIDAD E IMPACTO
• Matrices de riesgo: Las matrices de riesgo permiten visualizar la
probabilidad e impacto de cada escenario de riesgo.

• Análisis de escenarios: El análisis de escenarios permite evaluar en detalle

las posibles consecuencias de un escenario de riesgo.

• Herramientas de evaluación de riesgos: Existen herramientas como Qualys,

Tenable o RiskVision que facilitan la estimación de probabilidad e impacto.
EJEMPLOS DE TÉCNICAS DE ESTIMACIÓN

• Escala cualitativa: Se asignan valores cualitativos a la probabilidad e

impacto (por ejemplo, baja, media, alta).

• Escala cuantitativa: Se asignan valores numéricos a la probabilidad e

impacto (por ejemplo, probabilidad del 1% al 100%, impacto del 1 al 10).

• Simulaciones: Se utilizan simulaciones para evaluar el impacto potencial de

un escenario de riesgo.
ESTABLECIMIENTO DEL NIVEL DE
RIESGO PARA PARES ACTIVO-
AMENAZA

EL ESTABLECIMIENTO DEL NIVEL DE RIESGO PARA CADA PAR ACTIVO-

AMENAZA ES UN PASO FUNDAMENTAL EN LA GESTIÓN DE RIESGOS. ESTE
PROCESO PERMITE A LAS ORGANIZACIONES DETERMINAR LA PRIORIDAD
QUE DEBEN DAR A LA PROTECCIÓN DE SUS ACTIVOS FRENTE A LAS
AMENAZAS EXISTENTES
CÁLCULO DEL RIESGO

• Probabilidad: Evaluar la probabilidad de que la amenaza se materialice y

afecte al activo.

• Impacto: Evaluar el impacto potencial que la amenaza tendría en el activo

en caso de materializarse.

• Nivel de riesgo: Multiplicar la probabilidad por el impacto para obtener el

nivel de riesgo.

RIESGO = PROBABILIDAD x IMPACTO

CRITERIOS PARA LA EVALUACIÓN DE
PROBABILIDAD E IMPACTO
• Probabilidad:
o Baja: La amenaza es poco probable que ocurra.
o Media: La amenaza tiene una probabilidad moderada de ocurrir.
o Alta: La amenaza es muy probable que ocurra.

• Impacto:
o Bajo: La amenaza causaría un daño mínimo al activo.
o Medio: La amenaza causaría un daño significativo al activo.
o Alto: La amenaza causaría un daño grave al activo.
CATEGORIZACIÓN DEL NIVEL DE RIESGO

• Bajo: El riesgo es tolerable y no requiere medidas adicionales.

• Medio: El riesgo requiere atención y medidas de control para reducirlo.

• Alto: El riesgo es inaceptable y requiere medidas inmediatas para mitigarlo.

PRIORIZACIÓN DE LOS PARES ACTIVO-
AMENAZA
• Priorizar los pares activo-amenaza con mayor nivel de riesgo.
• Enfocar los recursos en la protección de los activos más críticos
frente a las amenazas más probables y de mayor impacto.
HERRAMIENTAS PARA EL
ESTABLECIMIENTO DEL NIVEL DE RIESGO
• Herramientas de gestión de riesgos: Existen herramientas como Qualys,
Tenable o RiskVision que facilitan la evaluación y priorización de riesgos.

• Metodologías de análisis de riesgos: Metodologías como NIST RMF, ISO

27001 o MEHARI pueden guiar el proceso de análisis de riesgos.

• Matrices de riesgo: Las matrices de riesgo permiten visualizar el nivel de

riesgo para cada par activo-amenaza.
EJEMPLOS DE NIVELES DE RIESGO

• Alto: Acceso no autorizado a información confidencial, interrupción del

servicio de un sistema crítico, fuga de datos sensibles.

• Medio: Malware que infecta los sistemas de la organización, robo de

equipos portátiles, acceso no autorizado a una cuenta de usuario.

• Bajo: Phishing, spam, ataques de denegación de servicio (DoS).

DETERMINACIÓN DE CRITERIOS
DE EVALUACIÓN DEL RIESGO
LAS ORGANIZACIONES NECESITAN ESTABLECER CRITERIOS PARA
EVALUAR EL RIESGO Y DETERMINAR SI ES ACEPTABLE O NO. ESTOS
CRITERIOS DEBEN SER ESPECÍFICOS, MEDIBLES, ALCANZABLES,
RELEVANTES Y CON UN PLAZO DEFINIDO (SMART).
IDENTIFICACIÓN DE LOS OBJETIVOS DE
LA ORGANIZACIÓN
• Misión, visión y valores: Definir la misión, visión y valores de la
organización para establecer el contexto para la evaluación del riesgo.

• Apetito al riesgo: Evaluar la tolerancia de la organización al riesgo y su

disposición a aceptar diferentes niveles de riesgo.
IDENTIFICACIÓN DE LOS ACTIVOS DE LA
ORGANIZACIÓN
• Clasificación de activos: Clasificar los activos según su valor e importancia
para la organización.

• Análisis de criticidad: Evaluar la criticidad de cada activo considerando su

impacto en la operación del negocio.
IDENTIFICACIÓN DE LAS AMENAZAS

• Análisis del entorno: Recopilar información sobre las amenazas presentes

en el entorno de la organización.

• Análisis de vulnerabilidades: Identificar las vulnerabilidades presentes en

los activos que pueden ser explotadas por las amenazas.
DEFINICIÓN DE LOS CRITERIOS DE
EVALUACIÓN DEL RIESGO
• Probabilidad: Definir rangos de probabilidad (bajo, medio, alto) y su significado
para la organización.
• Impacto: Definir rangos de impacto (bajo, medio, alto) y su significado para la
organización.
• Nivel de riesgo: Definir una matriz de riesgo que combine probabilidad e impacto
para determinar el nivel de riesgo (bajo, medio, alto).
• Criterios adicionales: Considerar criterios adicionales como la existencia de
medidas de control, la capacidad de recuperación de la organización y el valor
del activo.
APROBACIÓN DE LOS CRITERIOS DE
EVALUACIÓN DEL RIESGO
• Presentación a la alta dirección: Presentar los criterios de evaluación del
riesgo a la alta dirección para su aprobación.

• Comunicación a las partes interesadas: Comunicar los criterios de

evaluación del riesgo a las partes interesadas.
EJEMPLOS DE CRITERIOS DE
EVALUACIÓN DEL RIESGO
• Probabilidad:
o Baja: Menos del 10% de probabilidad de ocurrencia.
o Media: Entre el 10% y el 50% de probabilidad de ocurrencia.
o Alta: Más del 50% de probabilidad de ocurrencia.

• Impacto:
o Bajo: Daño financiero menor a 10.000 €.
o Medio: Daño financiero entre 10.000 € y 100.000 €.
o Alto: Daño financiero mayor a 100.000 €.
RELACIÓN DE LAS DISTINTAS
ALTERNATIVAS DE GESTIÓN DE
RIESGOS
LAS ORGANIZACIONES PUEDEN UTILIZAR DIFERENTES ALTERNATIVAS
PARA GESTIONAR LOS RIESGOS
PREVENCIÓN

• Reducir la probabilidad de ocurrencia de un evento adverso.

• Ejemplos: Implementar medidas de seguridad como firewalls, antivirus y

sistemas de detección de intrusiones. Capacitar al personal sobre las
amenazas y vulnerabilidades.
DETECCIÓN

• Identificar un evento adverso en caso de que ocurra.

• Ejemplos: Implementar sistemas de detección de intrusiones (IDS) y sistemas

de detección de fugas de datos (DLP). Monitorizar la actividad de la red y
los sistemas para detectar comportamientos sospechosos.
MITIGACIÓN

• Reducir el impacto de un evento adverso en caso de que ocurra.

• Ejemplos: Implementar planes de respuesta a incidentes. Desarrollar

estrategias de recuperación ante desastres. Implementar medidas de control
de daños.
TRANSFERENCIA

• Transferir el riesgo a otra parte.

• Ejemplos: Contratar un seguro para cubrir los riesgos financieros.

Subcontratar servicios a un proveedor que pueda gestionar los riesgos de
forma más eficaz.
RELACIÓN ENTRE LAS ALTERNATIVAS

Las diferentes alternativas de gestión de riesgos no son excluyentes. Las

organizaciones pueden utilizar una combinación de estas alternativas para
gestionar los riesgos de forma eficaz.
GUÍA PARA LA ELABORACIÓN
DEL PLAN DE GESTIÓN DE
RIESGOS
UN PLAN DE GESTIÓN DE RIESGOS ES UN DOCUMENTO QUE DESCRIBE CÓMO UNA ORGANIZACIÓN IDENTIFICA, EVALÚA Y GESTIONA LOS
RIESGOS QUE PUEDEN AFECTAR AL LOGRO DE SUS OBJETIVOS. UN PLAN BIEN ELABORADO PERMITE A LA ORGANIZACIÓN:

• REDUCIR LA PROBABILIDAD DE QUE OCURRAN EVENTOS ADVERSOS.

• MINIMIZAR EL IMPACTO DE LOS EVENTOS ADVERSOS QUE SÍ OCURREN.

• APROVECHAR LAS OPORTUNIDADES QUE PUEDEN SURGIR DE LOS RIESGOS

CONTEXTO DE LA ORGANIZACIÓN

• Descripción de la organización: Incluir información sobre la misión, visión,

valores, estructura y actividades de la organización.

• Entorno de la organización: Describir el entorno legal, regulatorio,

competitivo y tecnológico en el que opera la organización.
IDENTIFICACIÓN DE RIESGOS

• Metodologías de identificación: Utilizar técnicas como brainstorming,

análisis de escenarios y análisis PESTLE para identificar los riesgos.

• Clasificación de riesgos: Clasificar los riesgos por tipo, probabilidad de

ocurrencia e impacto potencial.
EVALUACIÓN DE RIESGOS

• Análisis de probabilidad: Evaluar la probabilidad de que cada riesgo se

materialice.

• Análisis de impacto: Evaluar el impacto potencial de cada riesgo en la

organización.

• Cálculo del nivel de riesgo: Multiplicar la probabilidad por el impacto para

obtener el nivel de riesgo.
PRIORIZACIÓN DE RIESGOS

• Matriz de riesgos: Utilizar una matriz de riesgos para visualizar el nivel de

riesgo de cada uno.

• Criterios de priorización: Definir criterios como la criticidad del activo, el

impacto en la operación del negocio y la existencia de medidas de control
para priorizar los riesgos.
DESARROLLO DE ESTRATEGIAS DE
TRATAMIENTO DE RIESGOS
• Prevención: Implementar medidas para reducir la probabilidad de
ocurrencia de un riesgo.
• Detección: Implementar sistemas para detectar un riesgo en caso de que
ocurra.
• Mitigación: Implementar medidas para reducir el impacto de un riesgo en
caso de que ocurra.
• Transferencia: Transferir el riesgo a otra parte.
PLAN DE RESPUESTA A INCIDENTES

• Definición de roles y responsabilidades: Definir roles y responsabilidades

para la gestión de incidentes.

• Comunicación: Definir un plan de comunicación para informar a las partes

interesadas sobre los incidentes.

• Recuperación: Definir un plan de recuperación para restaurar los sistemas y

operaciones a la normalidad.
MONITORIZACIÓN Y REVISIÓN

• Monitorizar los riesgos: Monitorizar los riesgos de forma continua para

identificar nuevos riesgos y cambios en los riesgos existentes.

• Revisar el plan: Revisar el plan de gestión de riesgos de forma periodica

para asegurar que sigue siendo efectivo.

https://www.incibe.es/empresas/guias/gestion-riesgos-guia-empresario
ASPECTOS SOBRE
CORTAFUEGOS EN AUDITORÍAS
DE SISTEMAS INFORMÁTICOS
UN CORTAFUEGOS O FIREWALL ES UN COMPONENTE FUNDAMENTAL DE LA
SEGURIDAD INFORMÁTICA QUE ACTÚA COMO UNA BARRERA ENTRE UNA RED
INTERNA Y UNA RED EXTERNA (COMO INTERNET). SU FUNCIÓN PRINCIPAL ES
CONTROLAR EL TRÁFICO DE RED ENTRANTE Y SALIENTE, PERMITIENDO SOLO
LAS COMUNICACIONES LEGÍTIMAS Y BLOQUEANDO LAS POTENCIALMENTE
PELIGROSAS
POLÍTICA DE SEGURIDAD

• Verificación de la existencia de una política de seguridad que defina el uso

del cortafuegos.

• Evaluación de la coherencia de la política con los objetivos de seguridad de

la organización.

• Análisis de la correcta implementación de la política en el cortafuegos.

CONFIGURACIÓN

• Revisión de la configuración del cortafuegos para garantizar que solo se

permiten los puertos y protocolos necesarios.

• Verificación de que las reglas del cortafuegos estén actualizadas y sean

precisas.

• Evaluación de la eficacia de las reglas del cortafuegos para proteger la red

interna.
REGISTRO Y MONITORIZACIÓN

• Análisis de los registros del cortafuegos para detectar actividades

sospechosas.

• Implementación de un sistema de monitorización para detectar y responder

a intrusiones en tiempo real.

• Verificación de que los registros del cortafuegos se revisan y analizan

periódicamente.
PRUEBAS DE PENETRACIÓN

• Realización de pruebas de penetración para evaluar la seguridad del

cortafuegos.

• Simulación de ataques para identificar vulnerabilidades en la configuración

del cortafuegos.

• Análisis de los resultados de las pruebas de penetración para tomar

medidas correctivas.
ACTUALIZACIONES Y MANTENIMIENTO

• Verificación de que el software del cortafuegos se actualiza periódicamente

con las últimas correcciones de seguridad.

• Implementación de un plan de mantenimiento para garantizar el correcto

funcionamiento del cortafuegos.

• Capacitación del personal responsable de la administración del cortafuegos.

HERRAMIENTAS PARA LA AUDITORÍA DE
CORTAFUEGOS
• Herramientas de escaneo de puertos y vulnerabilidades: Nmap, Nessus,
OpenVAS

• Herramientas de análisis de registros: Splunk, ELK Stack

• Herramientas de simulación de ataques: Metasploit, Cobalt Strike

COMPONENTES DE UN
CORTAFUEGOS DE RED
SEGURIDAD QUE PROTEGE A UNA RED INTERNA DE INTRUSIONES
EXTERNAS. FUNCIONA COMO UNA BARRERA ENTRE LA RED INTERNA Y EL
MUNDO EXTERIOR, CONTROLANDO EL TRÁFICO DE RED QUE ENTRA Y SALE
MÓDULO DE FILTRADO

• Analiza el tráfico de red entrante y saliente.

• Compara cada paquete con las reglas predefinidas en la política de

seguridad del cortafuegos.

• Permite o bloquea el tráfico según las reglas.

BASE DE DATOS DE REGLAS

• Almacena las reglas que definen qué tipo de tráfico está permitido o
bloqueado.

• Las reglas se basan en criterios como la dirección IP, el puerto, el protocolo y

la dirección de origen y destino.
MÓDULO DE AUTENTICACIÓN

• Solicita a los usuarios que se autentiquen antes de acceder a la red interna.

• Utiliza diferentes métodos de autenticación como contraseñas, tokens o

certificados digitales.
MÓDULO DE REGISTRO

• Registra toda la actividad del cortafuegos, incluyendo las conexiones

permitidas y denegadas.

• Los registros se pueden usar para auditar la seguridad del cortafuegos y

para detectar intrusiones.
MÓDULO DE GESTIÓN

• Proporciona una interfaz para configurar y administrar el cortafuegos.

• Permite a los administradores crear y modificar las reglas de seguridad,

monitorizar la actividad del cortafuegos y realizar diagnósticos.
TIPOS DE CORTAFUEGOS DE RED
• Cortafuegos de estado: También conocidos como cortafuegos de inspección de estado, estos dispositivos monitorean el
estado de las conexiones de red y aplican reglas de filtrado basadas en el estado de la conexión. Pueden permitir o
bloquear el tráfico en función de si la conexión es parte de una sesión autorizada o no.
• Cortafuegos de filtrado de paquetes: Estos cortafuegos examinan los encabezados de los paquetes de datos que pasan a
través de ellos y aplican reglas predefinidas para permitir o bloquear el tráfico. Generalmente, operan a nivel de red
(capa 3) o de transporte (capa 4) del modelo OSI.
• Cortafuegos de aplicación: Estos dispositivos inspeccionan el tráfico a nivel de aplicación (capa 7 del modelo OSI) para
identificar y controlar aplicaciones específicas que generan o reciben datos. Pueden aplicar políticas de seguridad
granulares basadas en el tipo de aplicación, el contenido o el comportamiento del tráfico.
• Cortafuegos de proxy: Estos cortafuegos actúan como intermediarios entre los clientes y los servidores, interceptando y
filtrando todo el tráfico que pasa a través de ellos. Al hacerlo, pueden realizar inspección profunda de los paquetes y
aplicar políticas de seguridad específicas para cada protocolo o aplicación.
• Cortafuegos de próxima generación (NGFW): Estos dispositivos combinan las funcionalidades de los cortafuegos
tradicionales con capacidades avanzadas de inspección de tráfico, como la detección de intrusiones, prevención de
amenazas y análisis de comportamiento de aplicaciones. Los NGFW suelen ofrecer una protección más completa y
avanzada contra amenazas cibernéticas.
TIPOS DE CORTAFUEGOS DE RED
Cortafuegos de estado Cortafuegos sin estado
CONSIDERACIONES ADICIONALES

• Ubicación del cortafuegos: Se puede colocar en la frontera entre la red

interna y el mundo exterior, o en diferentes puntos dentro de la red interna.

• Escalabilidad: El cortafuegos debe ser capaz de manejar el volumen de

tráfico de la red.

• Redundancia: Es importante tener un sistema de respaldo en caso de que el

cortafuegos principal falle.
RELACIÓN DE LOS DISTINTOS
TIPOS DE CORTAFUEGOS POR
UBICACIÓN Y FUNCIONALIDAD
LOS CORTAFUEGOS SON UNA HERRAMIENTA FUNDAMENTAL PARA LA
SEGURIDAD DE LAS REDES INFORMÁTICAS
TIPOS DE CORTAFUEGOS POR UBICACIÓN

• Cortafuegos perimetrales: Se ubican en el borde de la red, protegiéndola

de intrusiones externas.

• Cortafuegos internos: Se ubican dentro de la red, segmentándola en

diferentes zonas de seguridad.

• Cortafuegos de aplicaciones web: Se ubican frente a las aplicaciones web,

protegiéndolas de ataques específicos.
TIPOS DE CORTAFUEGOS POR UBICACIÓN

• Cortafuegos perimetrales: Se ubican en el borde de la red, protegiéndola

de intrusiones externas.
TIPOS DE CORTAFUEGOS POR UBICACIÓN

• Cortafuegos internos: Se ubican dentro de la red, segmentándola en

diferentes zonas de seguridad.
TIPOS DE CORTAFUEGOS POR UBICACIÓN

• Cortafuegos de aplicaciones web: Se ubican frente a las aplicaciones web,

protegiéndolas de ataques específicos.
TIPOS DE CORTAFUEGOS POR
FUNCIONALIDAD
• Cortafuegos de estado: También conocidos como cortafuegos de inspección de estado, estos dispositivos monitorean el
estado de las conexiones de red y aplican reglas de filtrado basadas en el estado de la conexión. Pueden permitir o
bloquear el tráfico en función de si la conexión es parte de una sesión autorizada o no.
• Cortafuegos de filtrado de paquetes: Estos cortafuegos examinan los encabezados de los paquetes de datos que pasan a
través de ellos y aplican reglas predefinidas para permitir o bloquear el tráfico. Generalmente, operan a nivel de red
(capa 3) o de transporte (capa 4) del modelo OSI.
• Cortafuegos de aplicación: Estos dispositivos inspeccionan el tráfico a nivel de aplicación (capa 7 del modelo OSI) para
identificar y controlar aplicaciones específicas que generan o reciben datos. Pueden aplicar políticas de seguridad
granulares basadas en el tipo de aplicación, el contenido o el comportamiento del tráfico.
• Cortafuegos de proxy: Estos cortafuegos actúan como intermediarios entre los clientes y los servidores, interceptando y
filtrando todo el tráfico que pasa a través de ellos. Al hacerlo, pueden realizar inspección profunda de los paquetes y
aplicar políticas de seguridad específicas para cada protocolo o aplicación.
• Cortafuegos de próxima generación (NGFW): Estos dispositivos combinan las funcionalidades de los cortafuegos
tradicionales con capacidades avanzadas de inspección de tráfico, como la detección de intrusiones, prevención de
amenazas y análisis de comportamiento de aplicaciones. Los NGFW suelen ofrecer una protección más completa y
avanzada contra amenazas cibernéticas.