Introducción a la Seguridad

Informática
1. ¿Qué es la Informática?
La informática es la ciencia que estudia el tratamiento
automático y racional de la información mediante
dispositivos electrónicos y sistemas computacionales.
Incluye tanto el hardware como el software, y abarca
desde el procesamiento de datos hasta la inteligencia
artificial. Por ejemplo, sistemas de gestión empresarial,
videojuegos, algoritmos de inteligencia artificial,
computadoras personales y redes de datos son parte de
esta disciplina.
2. ¿Qué es la Seguridad
Informática?
La seguridad informática es el conjunto de medidas,
prácticas y herramientas diseñadas para proteger los
sistemas informáticos y la información que contienen.
Su objetivo es asegurar la confidencialidad, integridad y
disponibilidad de los datos. Ejemplos incluyen el uso de
firewalls para prevenir accesos no autorizados, la
implementación de políticas de contraseñas, cifrado de
comunicaciones, detección de intrusos y respaldos
periódicos de datos.
 EL INSTITUTO NACIONAL CISSP (CERTIFIED
DE ESTÁNDARES Y INFORMATION SYSTEMS
TECNOLOGÍA (NIST) ES UNA SECURITY PROFESSIONAL)
AGENCIA DEL GOBIERNO ES UNA CERTIFICACIÓN DE
ESTADOUNIDENSE QUE (ISC)² QUE VALIDA
3. Marcos de PUBLICA DIRECTRICES
ESENCIALES SOBRE
CIBERSEGURIDAD, COMO
CONOCIMIENTOS
AVANZADOS EN
SEGURIDAD INFORMÁTICA,
Referencia: EL NIST CYBERSECURITY
FRAMEWORK, NIST SP 800-
INCLUYENDO SEGURIDAD
DE REDES, CONTROL DE

NIST, CISSP y 53, Y SP 800-70. ACCESO Y GESTIÓN DE

RIESGOS.

CISA

CISA (CERTIFIED
INFORMATION SYSTEMS
AUDITOR) ES UNA
CERTIFICACIÓN DE ISACA
ORIENTADA A LA
AUDITORÍA, CONTROL Y
ASEGURAMIENTO DE
SISTEMAS DE
INFORMACIÓN, CON UN
ENFOQUE EN
GOBERNANZA Y
EVALUACIÓN DE RIESGOS.
4. Principios
Fundamentales
de Seguridad
Informática
Confidencialidad
Confidencialidad

La confidencialidad protege la
información para que solo
personas autorizadas puedan
acceder a ella.
Ejemplos:
Protege la confidencialidad de los datos al guardar
archivos con algoritmos como AES.
Cifra la comunicación entre navegador y servidor,
evitando que terceros intercepten datos.
Solo usuarios autorizados pueden ingresar al sistema
mediante nombre de usuario y contraseña.
Asigna etiquetas como pública, confidencial o
restringida para controlar accesos.
Evita que mensajes sean leídos por terceros durante su
transmisión.
 Esta foto de Autor desconocido está bajo licencia CC BY-SA

Integridad
Integridad
La integridad garantiza que la
información no haya sido
alterada de forma no autorizada.

Esta foto de Autor desconocido está bajo licencia CC BY-SA

Ejemplos
- Hashes y sumas de verificación.
- Firmas digitales.
- Bitácoras de cambios en sistemas.
- Control de versiones en software.
- Validaciones de entrada en bases de datos.
 Esta foto de Autor desconocido está bajo licencia CC BY-SA

Disponibilidad
Disponibilidad
La disponibilidad asegura que los
datos estén accesibles cuando se
necesiten.
Ejemplos
Redundancia de servidores.
Sistemas de respaldo de energía.
Procedimientos de recuperación ante desastres.
Sistemas de alta disponibilidad.
Monitoreo y mantenimiento continuo.
 5. Estrategia de Seguridad
Es un enfoque o plan general que guía cómo proteger los activos informáticos de una
organización.

Su naturaleza es Filosófica y de alto nivel. Define "qué se quiere lograr" y "cómo se

abordará la seguridad".

No define que controles y como se implementaran los controles, para eso

normalmente después de definir la estrategia se debe adoptar uno o varios
frameworks de seguridad, estos establecen los controles que se deben
implementar y proporcionan una guía técnica para hacerlo.
 6. Frameworks de Seguridad
Es un marco estructurado de referencia, normalmente estandarizado, que
detalla controles, procesos y mejores prácticas para implementar la seguridad.

Su naturaleza es Práctica y técnica. Define "qué se debe hacer" y en qué

orden, con guías claras.
7. Integración de Estratega de Seguridad
con Frameworks de Seguridad
A continuación, se explican algunas metodologías de seguridad y como se
pueden aplicar determinados frameworks para desarrollar cada metodología.

Analogía:
Imagina que las estrategias de seguridad son como el plan de comer saludable.
Luego, NIST 800-207 o la ISO/IEC 27001 y 27002 son como las guías
alimentarias específicas, con tablas, recetas y ejemplos.
 Zero Trust ZTA

1. Zero Trust Architecture (ZTA)

¿Qué es?
Un modelo que asume que nada
dentro o fuera del perímetro de red es
confiable por defecto, y que todo
acceso debe ser verificado y validado
continuamente.
Ejemplos de adopción:
Google: Implementó su modelo de
seguridad BeyondCorp (inspiración de
Zero Trust)
Microsoft: Ha transformado su
infraestructura interna bajo un
enfoque Zero Trust
Amazon AWS: Integra principios de
Zero Trust en servicios como IAM, WAF,
API Gateway, etc.
Frameworks para implementar Zero Trust Architecture (ZTA)

Framework Cómo contribuye

Define arquitectura, componentes y
NIST SP 800-207 principios de Zero Trust. Es el estándar
de referencia oficial.
Enfoca los controles técnicos y de
políticas en base a la verificación
CIS Controls v8
continua y el principio de menor
privilegio.
Permite identificar y mitigar vectores
MITRE ATT&CK de ataque que Zero Trust busca
bloquear.
Defense in Depth
(Seguridad en Capas)
¿Qué es?
Estrategia que consiste en aplicar múltiples capas de
seguridad independientes (perímetro, red, host,
aplicación, datos, identidad), de modo que si una falla,
las demás protegen.
Ejemplos de adopción:
Amazon AWS: Seguridad desde la capa física hasta el
plano de datos, incluyendo Firewalls, VPC, IAM, DLP, etc.
Microsoft Azure: Requiere este enfoque por defecto con
sus herramientas de defensa (NSG, ASGs, Defender, Key
Vault, etc.)
Google Cloud: Usa Capas de seguridad desde Identity-
Aware Proxy, VPC Service Controls hasta DLP.

Esta foto de Autor desconocido está bajo licencia CC BY-SA-NC

Frameworks para implementar Defense in Depth

Framework Cómo se relaciona

Establece un Sistema de Gestión de
ISO/IEC 27001 Seguridad que incluye controles para
múltiples capas.
Agrupa controles por capas como red,
CIS Controls v8
endpoint, identidad y datos.
Aborda protección y respuesta en
NIST CSF (Cybersecurity Framework)
distintas capas de defensa.
Risk-Based
Security Strategy
(Seguridad
basada en
Riesgo)
¿Qué es?

Una estrategia donde los recursos y

controles se priorizan de acuerdo con el
impacto potencial de amenazas sobre
activos críticos del negocio.

Ejemplos de adopción:

Microsoft: Su enfoque de seguridad para

clientes empresariales parte del análisis de
riesgo para definir niveles de protección (Ej.
Microsoft Purview Risk & Compliance).

Google: Aplica seguridad adaptativa en

función del riesgo del usuario, el dispositivo
y la ubicación.

Amazon AWS: Permite segmentar riesgos

por tipo de carga de trabajo y nivel de
criticidad.
Frameworks para implementar Risk-Based Security Strategy

Framework Cómo ayuda

Marco especializado para análisis de
NIST SP 800-30 riesgo de seguridad de sistemas de
información.
Gestión del riesgo en el contexto de
ISO/IEC 27005
un SGSI.
Modelo cuantitativo ampliamente
adoptado en empresas para evaluar
FAIR Framework
riesgo cibernético en términos
financieros.
Tiene una subcategoría dedicada al
NIST CSF (Categoría [Link])
análisis de riesgos y amenazas.
Cyber
Resilience

Las decisiones de seguridad se

priorizan con base en la evaluación
del riesgo: activos críticos,
amenazas probables y nivel de
impacto.

Cyber Resilience es un enfoque

integral que busca no solo prevenir
ataques, sino también resistir,
adaptarse, recuperarse y continuar
operando durante y después de un
incidente de seguridad.
Frameworks para implementar Risk-Based Security Strategy

Framework / Norma ¿Cómo aporta a Cyber Resilience?

Define funciones claves: Identify, Protect,
NIST Cybersecurity Framework (CSF) Detect, Respond, Recover → Resiliencia
cibernética práctica.
Guía específica de cyber resilience
NIST SP 800-160 Vol. 2
engineering en sistemas.
Estándar internacional de continuidad
ISO/IEC 22301
del negocio.
Planificación de continuidad para
ISO/IEC 27031
tecnología de la información.
Apoya en mejorar detección y respuesta,
MITRE ATT&CK & D3FEND
claves en resiliencia.
En su componente de gestión de
COBIT 2019
continuidad y evaluación de riesgos.
8. Tipos de
Ataques
Comunes y
Modernos
Existen múltiples tipos de
ataques que comprometen la
seguridad informática.

Esta foto de Autor desconocido está bajo licencia CC BY-SA

Phishing
Suplantación de identidad a través de correos falsos.

- Correo simula provenir de un banco para robar

información personal.

- Enlaces en mensajes que llevan a sitios fraudulentos.

- Copias de sitios legítimos para engañar a los usuarios y

robar credenciales.

- Mensajes que fingen ser de RRHH para engañar a

empleados.

- Correos personalizados para un individuo o empresa

específica.

Esta foto de Autor desconocido está bajo licencia CC BY-NC

SQL Injection
Inserción de comandos SQL maliciosos para alterar
bases de datos.
- Usar SQL malicioso para ingresar sin credenciales
válidas.
- Extraer información sensible sin permisos.
- Eliminar datos manipulando consultas SQL.
- Agregar contenido no legítimo a las bases de datos.
- Descubrir cómo está organizada la información
interna.
QRJacking
Manipulación de códigos QR
para redirigir a sitios maliciosos.

- QR falso sobre cartel legítimo.

- QR en correos engañosos.

- Redirección a formularios de
phishing.

- Instalación de malware desde

enlaces QR.

- Suplantación de sistemas de
pagos móviles.

Esta foto de Autor desconocido está bajo licencia CC BY-SA-NC

Ransomware
Secuestro de información mediante cifrado.
- Cifrado de archivos y solicitud de rescate.
- Interrupción de servicios hospitalarios.
- Propagación automática en la red.
- Doble extorsión (cifrado y filtración de datos).
- Uso de exploits para entrar a sistemas vulnerables.