Nombre

Wilkin Rafael Pineda Rubio

Matricula

22-EISN-1-025

Facultad

ingeniería en Sistema y Computación

Asignatura

Gestión de Riesgo

Sección

1101

Tema

Vulnerabilidades y amenazas

Profesor

Julio Serrano Carlos

10 de febrero 202
Vulnerabilidades y amenazas
Una vulnerabilidad, en términos de TI, es una debilidad o fallo en un sistema de
información que pone en riesgo la seguridad de la información, pudiendo permitir que un
atacante pueda comprometer la integridad, disponibilidad o confidencialidad de la misma,
así como otras dimensiones de la seguridad pertinentes para nuestra organización, como
pueden ser la trazabilidad o la autenticidad.

Por todo esto es necesario encontrarlas y eliminarlas lo antes posible. Estos agujeros
pueden tener distintos orígenes, como, por ejemplo, fallos de diseño, errores de
configuración o falta de procedimientos.

Por su parte, una amenaza es toda acción que aprovecha una vulnerabilidad para atentar
contra la seguridad de un sistema de información. Es decir, que podría tener un potencial
efecto negativo sobre algún elemento de nuestros sistemas.

Las amenazas pueden proceder de ataques (fraude, robo, virus), sucesos físicos
(incendios, inundaciones) o negligencia y decisiones organizacionales (mal manejo de
contraseñas, no usar cifrado). Desde el punto de vista de una organización pueden ser
tanto internas como externas.

Por tanto, las vulnerabilidades son las condiciones y características propias de los
sistemas de una organización que la hacen susceptible a las amenazas, como, por ejemplo,
debilidades en controles de seguridad o controles de seguridad inexistentes. El problema
es que, en el mundo real, si existe una vulnerabilidad, siempre existirá alguien que
intentará explotarla, es decir, sacar provecho de su existencia.

En definitiva, las amenazas son externas a los activos de información y las

vulnerabilidades suelen ser atributos o aspectos del activo que la amenaza puede explotar.
Si bien las amenazas tienden a ser externas a los activos, no provienen necesariamente de
fuera de la organización. De hecho, la mayoría de los incidentes de seguridad de la
información de hoy se originan dentro del perímetro de la organización.

Categorización de las amenazas

Las amenazas se pueden dividir en las siguientes categorías:

• Criminalidad
Son todas las acciones, causado por la intervención humana, que violan la ley y que están
penadas por esta. Con criminalidad política se entiende todas las acciones dirigido desde
el gobierno hacia la sociedad civil. Por ejemplo, allanamiento, sabotaje, robo/hurto,
fraude, espionaje, malware, etc.

• Sucesos de origen físico

Son todos los eventos naturales y técnicos, así como también eventos indirectamente
causados por la intervención humana. Por ejemplo, incendio, inundación, terremoto,
polvo, sobrecarga eléctrica, falta de corriente, etc.

• Negligencia y decisiones institucionales

Son todas las acciones, decisiones u omisiones por parte de las personas que tienen poder
e influencia sobre el sistema. Al mismo tiempo son las amenazas menos predecibles
porque están directamente relacionado con el comportamiento humano. Por ejemplo, falta
de reglas, falta de capacitación, no cifrar datos críticos, mal manejo de contraseñas, etc.

Categorización de las vulnerabilidades

Por otro lado, las vulnerabilidades se pueden clasificar en las siguientes categorías:

• Ambientales / Físicas

Como pueden ser desastres naturales, ubicación, capacidad técnica, materiales, etc.

• Económica

Escasez y mal manejo de recursos. Por ejemplo, no tener recursos para gestionar una
determinada tecnología de la información o un control de seguridad, supondrá una
vulnerabilidad que se podría explotar debido a que no se gestiona correctamente.

• Socio-educativa

Relaciones, comportamientos, métodos, conductas, etc. Esto tiene que ver con la cultura
organizacional cuando se permiten actividades arriesgadas, como compartir contraseñas
entre diferentes empleados.

• Institucional / Política

Se refiere a procesos, organización, burocracia, corrupción, autonomía, etc.

Ejemplos de amenazas y vulnerabilidades.

A modo de ejemplo, podemos ver algunas categorías de amenazas y vulnerabilidades

definidas por el estándar internacional ISO 27001 una norma de ciberseguridad
ampliamente reconocida a nivel mundial y en republica dominicana NORTIC A7:2016.

Amenazas:
• Acceso a la red o al sistema de información por personas no autorizadas.
• Amenaza o ataque con bomba.
• Incumplimiento de relaciones contractuales.
• Infracción legal.
• Destrucción de registros.
• Desastre generado por causas humanas.
• Desastre natural, incendio, inundación, rayo.
• Divulgación de contraseñas.
• Malversación y fraude.
• Errores en mantenimiento.
• Fuga de información.
• Interrupción de procesos de negocio.
• Código malicioso.
• Contaminación.
• Instalación no autorizada de software.
• Acceso físico no autorizado.
Vulnerabilidades:
La mente Humana
• Interfaz de usuario complicada.
• Contraseñas predeterminadas no modificadas.
• Eliminación de medios de almacenamiento sin eliminar datos.
• Sensibilidad del equipo a los cambios de voltaje.
• Inadecuada seguridad del cableado.
• Inadecuada gestión de capacidad del sistema.
• Clasificación inadecuada de la información.
• Falta de formación y conciencia sobre seguridad.
 • Inadecuada segregación de funciones.
• Falta de documentación interna.
• Desprotección en equipos móviles.

Entorno real de la gestión de riesgo.

LA GESTIÓN DE VULNERABILIDADES

El proceso de gestión de vulnerabilidades comienza con el descubrimiento de activos en

nuestra red. Utilizando herramientas como Nmap, realizamos un mapeo completo de
todos los dispositivos y servicios conectados. Este paso es fundamental porque no
podemos proteger lo que no conocemos. Nmap nos permite ver desde computadoras y
servidores hasta dispositivos IoT que podrían pasar desapercibidos.

Una vez identificados nuestros activos, pasamos al escaneo de vulnerabilidades utilizando

Nessus o Qualys. Estas herramientas actúan como "detectores" que buscan
sistemáticamente debilidades en nuestros sistemas. Es como realizar un chequeo médico
completo a nuestra infraestructura tecnológica, identificando desde problemas críticos
hasta pequeñas debilidades que podrían explotar los atacantes.

Para sitios web y aplicaciones, OWASP ZAP realiza un análisis específico. Esta
herramienta examina cada rincón de nuestras aplicaciones web, buscando
vulnerabilidades comunes como inyección SQL, cross-site scripting y otros problemas de
seguridad web. Es similar a tener un auditor de seguridad dedicado que revisa
constantemente nuestras aplicaciones.

La priorización es crucial: no todas las vulnerabilidades son igualmente críticas.

Utilizando el sistema de puntuación CVSS (Common Vulnerability Scoring System),
clasificamos cada vulnerabilidad según su gravedad. Las vulnerabilidades críticas en
sistemas importantes se atienden primero, mientras que los problemas menores se
programan para corrección posterior.

Para el seguimiento y documentación, herramientas como Jira nos permiten mantener un

registro detallado de cada vulnerabilidad, desde su descubrimiento hasta su resolución.
Es como tener un historial médico completo de nuestra infraestructura de TI, donde cada
problema se documenta, se trata y se verifica su solución.
Finalmente, el monitoreo continuo con OpenVAS asegura que nuevas vulnerabilidades
sean detectadas rápidamente. Es como tener un sistema de vigilancia 24/7 que nos alerta
sobre nuevas amenazas o problemas de seguridad que puedan surgir.

Este proceso cíclico de identificación, análisis, corrección y verificación debe ser

continuo, adaptándose a nuevas amenazas y cambios en nuestra infraestructura. La
seguridad no es un destino, sino un viaje constante de mejora y adaptación.

GESTIÓN DE AMENAZAS

El proceso de gestión de amenazas comienza con la detección temprana utilizando

sistemas SIEM como Splunk o IBM QRadar. Estos sistemas actúan como el "sistema
nervioso" de nuestra seguridad, recolectando y analizando datos de toda la red en tiempo
real. Cuando detectan actividad sospechosa, como intentos de acceso no autorizado o
patrones de comportamiento anormal, generan alertas inmediatas.

DETECCIÓN Y ANÁLISIS

Los EDR como CrowdStrike Falcon o Carbon Black funcionan como "guardias de
seguridad digitales" en cada dispositivo. Monitoreando constantemente el
comportamiento de los sistemas, pueden detectar y bloquear amenazas antes de que
causen daño. Por ejemplo, si un archivo comienza a cifrar documentos de forma
sospechosa (posible ransomware), el EDR lo detectará y detendrá automáticamente.

RESPUESTA A INCIDENTES

Cuando se detecta una amenaza, se activa el plan de respuesta:

1. Contención Inmediata:
• Aislamiento de sistemas afectados
• Bloqueo de accesos sospechosos
• Activación de controles de emergencia
2. Investigación:
• Análisis forense digital
• Identificación del origen
• Evaluación del impacto
3. Remediación:
• Eliminación de malware
 • Restauración de sistemas
• Fortalecimiento de defensas
•

HERRAMIENTAS EN ACCIÓN

FireEye y Recorded Future proporcionan inteligencia sobre amenazas en tiempo real. Es

como tener un radar que detecta amenazas antes de que lleguen a nosotros. Por ejemplo,
si se descubre un nuevo tipo de malware atacando empresas similares, estas herramientas
nos alertarán para que podamos prepararnos.

MONITOREO CONTINUO

El proceso es cíclico y continuo:

• Los SIEM monitorean constantemente

• Los EDR protegen los endpoints

• La inteligencia de amenazas nos mantiene informados

• Las herramientas de respuesta están listas para actuar

MEJORA CONTINUA

Cada incidente se documenta y analiza para:

• Mejorar las defensas

• Actualizar políticas

• Refinar procedimientos

• Capacitar al personal