Seguridad de la

Información / Seguridad
Informática
Fundamentos
https://www.fbi.gov/contact-us/field-offices/boston/news/press-releases/fbi-warns-of-teleconferencing-and-online-classroom-hijacking-during-covid-19-pandemic
Orígenes
Conceptos
Seguridad de la información
› Preservación de la confidencialidad, integridad y disponibilidad de la información.
(ISO27000,2008. http://www.iso27000.es/glosario.html#section10s)
› La seguridad de la información es una función de negocio. (ISACA, 2008).
› Information security, dos palabras que nos hablan de la esencia misma de la
disciplina en la ciencia de la protección, de los riesgos, de las amenazas, de los análisis
de escenarios, de las buenas prácticas y esquemas normativos, que nos exigen niveles
de aseguramiento de procesos y tecnologías para elevar el nivel de confianza en la
creación, uso, almacenamiento, transmisión, recuperación y disposición final de la
información. Hablar de information security es hablar de la fuente misma de la práctica
de control y cuidado de la información en cualquier medio y condición, que busca
ofrecer una vista holística de su relación con procesos, personas y tecnologías
(ISACA Journal, 2011- https://www.isaca.org/Journal/archives/2011/Volume-5/Pages/JOnline-La-
Gerencia-de-la-Seguridad-de-la-Informacion-Evolucion-y-Retos-Emergentes.aspx)
Seguridad informática
› IT security / Computer Security es la distinción táctica y
operacional de la seguridad. Es la forma como se detallan las
implementaciones técnicas de la protección de la información, el
despliegue de las tecnologías antivirus, firewalls, detección de intrusos,
detección de anomalías, correlación de eventos, atención de incidentes,
entre otros elementos, que—articulados con prácticas de gobierno de
tecnología de información—establecen la forma de actuar y asegurar las
situaciones de fallas parciales o totales, cuando la información es el
activo que se encuentra en riesgo. (ISACA Journal, 2011-
https://www.isaca.org/Journal/archives/2011/Volume-5/Pages/JOnline-La-Gerencia-de-la-
Seguridad-de-la-Informacion-Evolucion-y-Retos-Emergentes.aspx)
Seguridad informática
› Otra definición aceptable de seguridad informática es: Un conjunto de
métodos y herramientas destinados a proteger la información y por
ende los sistemas informáticos ante cualquier amenaza, un proceso
en el cual participan además personas.
Jorge Ramió Aguirre (Madrid 2006)
Relación Seguridad de la Información y
Seguridad informática
Por lo tanto, no es lo mismo contar con un
director de seguridad informática que con un
director o gerente de seguridad de la
Estratégico Seguridad de la información. Ambos deben mantener una
Información
relación interdependiente, para alinear las dos
vistas de la seguridad: lo técnico y lo
estratégico.
Táctico Seguridad
informática Ambos deben articular un discurso socio-
estratégico que permitan integrar rápidamente
Operativo en el ADN de la compañía, el entendimiento de
la seguridad como un ejercicio natural para
hacer negocios en un mundo móvil,
interconectado y de flujos de información.

ISACA Journal, (2011). La Gerencia de la Seguridad de la Información: Evolución y Retos Emergentes.

https://www.isaca.org/Journal/archives/2011/Volume-5/Pages/JOnline-La-Gerencia-de-la-Seguridad-de-la-
Informacion-Evolucion-y-Retos-Emergentes.aspx
Dos caras de una misma moneda
Seguridad defensiva
Enfoque que aborda el lado de los
componentes técnicos del sistema de
seguridad de la información de una
organización.
Se ocupa principalmente de la
CONFIGURACIÓN EFICIENTE de los
equipos, dispositivos y sistemas de
seguridad como: antivirus, IDS/IPS,
antispam, webfilter, firewall, etc.
Seguridad ofensiva
Enfoque que aborda el lado del análisis
de vulnerabilidades y las pruebas de
penetración, bajo metodologías de
Ethical Hacking, denominadas también
como Pentesting.
Se ocupa principalmente de “poner a
prueba” los sistemas informáticos de
defensa. Pero no solo a nivel
tecnológico, también a nivel de usuario
(personas) y reglas de negocio.
Blue Team & Red Team
Elementos o factores de la seguridad
Confidencialidad
Los componentes del sistema o la
información serán accesibles sólo por
Integridad
aquellos usuarios autorizados.
Integridad
Los componentes del sistema o la
información sólo pueden ser creados y
modificados por los usuarios autorizados. Seguridad
Disponibilidad
Los usuarios deben tener disponibles todos Confidencialidad Disponibilidad

los componentes del sistema o la información

cuando así lo deseen.
Otros factores de la seguridad
Autenticidad
Propiedad o característica consistente en que una entidad es quien dice ser o bien que garantiza la
fuente de la que proceden los datos. Contra la autenticidad de la información podemos tener
manipulación del origen o el contenido de los datos. Contra la autenticidad de los usuarios de los
servicios de acceso, podemos tener suplantación de identidad (MAGERIT v3).

Trazabilidad
Aseguramiento de que en todo momento se podrá determinar quién hizo qué y en qué momento.
La trazabilidad es esencial para analizar los incidentes, perseguir a los atacantes y aprender de la
experiencia. La trazabilidad se materializa en la integridad de los registros de actividad (por
ejemplo logs). (MAGERIT v3)
Activo de Información
Activo
Un recurso o bien económico propiedad de una empresa, con el cual se obtienen
beneficios. Los activos de las empresas varían de acuerdo con la naturaleza de la
actividad desarrollada. (ISACA, Edgar E. Morrobert, CISA,CRISC)

Activo de información
Recursos, componente o funcionalidad de un sistema de información susceptible de
ser atacado deliberada o accidentalmente con consecuencias para la organización.
Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware),
comunicaciones, recursos administrativos, recursos físicos y recursos humanos.
(UNE 71504:2008 - Metodología de análisis y gestión de riesgos para los sistemas de
información - España)
Amenazas
o Causa potencial de un incidente que puede causar daños a un
sistema de información o a una organización. (UNE 71504:2008)
o Las amenazas en el contexto de un sistema informático están
relacionadas con los riesgos que corren el software, hardware y
datos. Las amenazas son de naturaleza EXTERNA.
o Las amenazas a nivel organizacional pueden categorizarse como:
o Criminalidad y Político

o Sucesos de origen físico

o Negligencia y Institucional
Vulnerabilidades
o Una vulnerabilidad se considera de naturaleza INTERNA. Es una
debilidad del sistema de información o de la organización.
o A nivel de un sistema informático las vulnerabilidades también se
pueden presentar a nivel de:
o Hardware. Políticas de protección débiles. Ambientes inadecuados para los
equipos. Componentes de baja calidad o poco confiables.
o Software. Sistema de licenciamiento y activación poco robusto. Programación
deficiente.
o Datos. Credenciales de usuarios (contraseñas débiles). Datos importantes o
críticos sin cifrar.
Vulnerabilidades
Amenazas a un sistema informático
Interrupción
o Una parte del sistema resulta destruida o no disponible en un
momento dado.
o Ejemplos:
o Destrucción de una componente del hardware

o Corte de una línea de comunicación.

o Fallas en los sistemas operativos.

o Borrado de datos.
Amenazas a un sistema informático
Interceptación
o Una entidad (persona, programa) no autorizada accede a
información, utilizando privilegios no asignados. Dificil detección.
o Ejemplos:
o Sniffing (escucha de datos)
o Escuchas de canales telefónicos.
Amenazas a un sistema informático
Modificación
o Una entidad (persona, programa) no autorizada accede a
información, utilizando privilegios no asignados; pero además,
altera o modifica la información o los componentes del sistema.
o Ejemplo:
o Modificación de bases de datos (planillas, cuentas bancarias, etc.)
Amenazas a un sistema informático
Generación o Fabricación
o Generación de nuevos objetos o datos dentro del sistema o
información.
o Ejemplos:
o Adición de registros en una base de datos

o Adición de transacciones en una red.

Amenazas a un sistema informático

Interrupción Pérdida

Interceptación Acceso

Modificación Cambio

Generación Agregación
Amenazas a un sistema informático
Otras amenazas
o Además de las amenazas mencionadas, también se consideran aquellas que son del
entorno, de carácter ambiental.
o Ejemplos:
o Hardware
o Humedad, agua, energía eléctrica (picos de voltaje), polvo, fuego.

o Software
o Borrado accidental o intencionado, copias ilegales, fallas en los discos duros, estática.

o Datos. Tiene las mismas amenazas que el software. Pero hay dos aspectos
importantes:
o No tienen valor intrínseco (su interpretación, si)

o Datos de carácter personal y privado que las leyes los protegen.

Ataques a sistemas
informáticos
Video TED Mikko Hypponen: Fighting viruses, defending the net

https://www.youtube.com/watch?v=cf3zxHuSM2Y
Tipos de ataques
Los ataques son las amenazas materializadas.
o Ataques de reconocimiento
o Escucha clandestina (sniffing).
o Análisis de tráfico
o Captura de datos.
o Ataques de acceso
o Usurpación o robo de identidad (spoofing).
o Ataques de fuerza bruta para contraseñas.
o Ataques de Denegación de Servicio (DoS)
o Ataques de spam
o Virus, gusanos.
o Ataques de inundación (flooding)
o Ataques de Ingeniería Social
Ataques a infraestructuras de red
oAtaques ARP
o Envenenamiento de tablas ARP.
o Hombre en el medio (man-in-the-middle)
oAtaques de Fuerza Bruta
o Ataques por diccionario.
oMalware
o Gusanos
o Botnets
oFlooding
o Contra tablas MAC
o Contra servicios http, ftp, etc.
Ataques a infraestructuras de red
oSniffing
oSpoofing
o DNS
oAtaques de redireccionamiento
o Redirección de puertos.
oAtaques de Tunneling.
o DNS
o SSL
Ataques contra Aplicaciones y BD.
oInyección de código (SQL, Java, etc.)
oEjecución remota de código (RCE)
oCross Site Scripting (XSS)
oDiccionario y fuerza bruta
oDeserialización de código
oFalsificación y Phishing
oExfiltración
oDefacement
El primer virus

El resultado de este virus

es el desbordamiento
de la memoria en los
servidores de correo de
Internet. David Smith
(autor) fue sentenciado a
20 meses en prisión
federal y una multa de
US$ 5,000.
Fuente: Cisco CCNA CyberOps

Ojo, la creación de virus tuvo origen años antes con virus Brian A.
para computadoras personales (PC).
El primer spam

El primer mensaje de
spam distribuido se dio
en la Agencia de
Proyectos de
Investigación Avanzada
de Red (ARPANET) en
1978.

Fuente: Cisco CCNA CyberOps

El primer gusano
Robert Morris creó el primer
gusano de Internet con 99 líneas
de código. Cuando el Gusano
Morris fue puesto liberado, el
10% de los sistemas de Internet
se paralizó. Robert Morris fue
acusado y recibió tres años de
libertad condicional, 400 horas
de servicio comunitario y una
multa de US$ 10,000.
Fuente: Cisco CCNA CyberOps
https://techcrunch.com/2019/07/09/marriott-data-breach-uk-fine/
Links de interés
oMAGERIT:
https://administracionelectronica.gob.es/pae_Home/pae_D
ocumentacion/pae_Metodolog/pae_Magerit.html
oINCIBE: https://www.incibe.es/protege-tu-
empresa/blog/analisis-riesgos-pasos-sencillo
oRISK-IT (ISACA):
https://www.isaca.org/bookstore/bookstore-risk-digital/writf
Riesgos
Definición
Riesgo (lo que probablemente pase)
o Estimación del grado de exposición a que una amenaza se
materialice sobre uno o más activos causando daños o perjuicios a
la Organización (MAGERIT v3)

Probabilidad Magnitud del

de amenaza daño (Impacto)
RIESGO

Análisis de Riesgos
o Proceso sistemático para estimar la magnitud de los riesgos a que
está expuesta una Organización.
Gestión de riesgos
o Selección e implantación de salvaguardas para conocer, prevenir,
impedir, reducir o controlar los riesgos identificados.
o El análisis y gestión de riesgos no es un FIN en si mismo, es parte
de las actividades de GESTION DE LA SEGURIDAD.
o Se pueden aplicar estándares o marcos de referencia para el
análisis de riesgos como:
o MAGERIT
o ISO/IEC 27005
o RISK-IT de COBIT
o OCTAVE
o Etc.
Análisis de Riesgos
• Recursos del sistema de información o relacionados con
Determinar Activos éste, necesarios para que la Organización funcione
correctamente y alcance los objetivos propuestos

• Situaciones o cosas que pueden causar daño a la

Determinar Amenazas organización

Determinar • Mecanismos de protección de los activos (será omitido en

el procedimiento de análisis de riesgo por un aspecto
Salvaguardas didáctico)

• Daño sobre el activo derivado de la materialización de la

Estimar Impacto amenaza

• Impacto ponderado con la tasa de ocurrencia (o

Estimar Riesgo expectativa de materialización) de la amenaza
Determinación de activos
o El principal activo es la INFORMACIÓN.
o Los servicios que se pueden prestar gracias a aquellos datos, y los
servicios que se necesitan para poder gestionar dichos datos.
o Las aplicaciones informáticas (software)
o Los equipos informáticos (hardware)
o Los soportes de información que son dispositivos de almacenamiento de
datos.
o El equipamiento auxiliar que complementa el material informático.
o Las redes de comunicaciones
o Las instalaciones que acogen equipos informáticos y de comunicaciones.
o Las personas que explotan u operan todos los elementos anteriormente
citados.
Determinación de amenazas

Grado de degradación
Totalmente degradado
Parcialmente degradado

Valoración de la
amenaza
Riesgo potencial
› zona 1 – riesgos muy
probables y de muy alto
impacto
› zona 2 – franja amarilla:
cubre un amplio rango desde
situaciones improbables y de
impacto medio, hasta
situaciones muy probables
pero de impacto bajo o muy
bajo
› zona 3 – riesgos improbables
y de bajo impacto
› zona 4 – riesgos improbables
pero de muy alto impacto
Una herramienta básica para el análisis
de riesgos
o Una herramienta básica en formato de hoja de cálculo, disponible
para OpenOffice y MS-Office, que permite realizar un análisis de
riesgo sencillo pero efectivo para el entendimiento de este tema.
o La herramienta se denomina MATRIZ DE ANALISIS DE RIESGOS
o Link de descarga: http://protejete.wordpress.com/descargas/
Matriz de Riesgos (1)
o La Matriz la basé en el método de Análisis de Riesgo con un grafo
de riesgo, usando la formula:
Riesgo = Probabilidad de Amenaza x Magnitud de Daño
o La Probabilidad de Amenaza y Magnitud de Daño pueden tomar
los valores y condiciones respectivamente:
– 1 = Insignificante (incluido Ninguna)
– 2 = Baja
– 3 = Mediana
– 4 = Alta
Matriz de Riesgos (2)
› El Riesgo, que es el producto de
la multiplicación Probabilidad de
Amenaza por Magnitud de Daño,
está agrupado en tres rangos, y
para su mejor visualización, se
aplica diferentes colores.
– Bajo Riesgo = 1 – 6 (verde)
– Medio Riesgo = 8 – 9 (amarillo)
– Alto Riesgo = 12 – 16 (rojo)
Matriz de Riesgos (3)
Determinación de Salvaguardas
Identificado los riesgos y la zona ROJA, se deberán
establecer las acciones correctivas o preventivas, por
ejemplo:
– A nivel estratégico, Implementar la ISO/IEC 27001. Sistema de Gestión de la
Seguridad de la información.
– A nivel estratégico, actualizar las políticas y procedimientos de gestión de la
seguridad de la información.
– A nivel táctico-operativo, ajuste de los sistemas de infraestructura de red.
– A nivel táctico-operativo, configuración adecuada de los sistemas de
protección (firewalls, antivirus, IDS/IPS, ACLs, etc.)
– A nivel táctico-operativo, aplicación de los controles de la ISO/IEC 27002.
– Entrenamiento y concienciación de las personas de la organización.
– Etc.
Tratamiento del Riesgo
oAceptar el riesgo
o No hacemos nada, asumimos el riesgo.
oTransferir el riesgo
o Se puede adquirir un seguro.
oEliminar el riesgo
o Eliminar el activo.
oMitigar el riesgo
o Aplicar las salvaguardas definidas.
Otras herramientas para el Análisis de
Riesgos
oPILAR (MAGERIT)
o https://www.ccn-cert.cni.es/soluciones-seguridad/ear-pilar.html
oRiskyProject Professional
o http://intaver.com/products/riskyproject-professional/
oRisk Watch
o https://riskwatch.com/
oCERO
o https://www.riesgoscero.com/soluciones/assessment
Información de Identificación
Personal (PII) y la Privacidad
Video TED: ¿Por qué me vigilan, si no soy nadie? | Marta
Peirano

https://www.youtube.com/watch?v=NPE7i8wuupk
Seguridad Vs. Privacidad
o La seguridad está orientada a la protección de información y
sistemas de una organización, como hardware, software, aspectos
de gestión, entre otros.
o La privacidad está orientada a la confidencialidad y protección de
datos e intimidad de las personas.
Vamos a proteger su identidad!!
¿Qué es PII? (1)
o PII es cualquier información sobre un individuo mantenida por
alguna institución gubernamental o privada, que incluye:
o Cualquier información que pueda usarse para distinguir o
rastrear la identidad de un individuo, como nombre, número de
seguro social, fecha y lugar de nacimiento, registros biométricos,
etc.
o Cualquier otra información que esté vinculada a un individuo,
como información médica, educativa, financiera y laboral
o Los ejemplos de PII abarcan desde el nombre o la dirección de
correo electrónico de una persona hasta los registros financieros y
médicos de una persona o su historial criminal.
¿Qué es PII? (2)
o Para distinguir a un individuo es identificar al individuo. Algunos ejemplos
de información que podría identificar a un individuo incluyen, pero no se
limitan a, nombre, número de pasaporte, número de identidad nacional o
datos biométricos.
o Rastrear a un individuo es procesar información suficiente para tomar una
determinación sobre un aspecto específico de las actividades o el estado de
un individuo. Por ejemplo, un registro de auditoría que contenga registros
de las acciones del usuario podría usarse para rastrear las actividades de
un individuo. También algunas publicaciones en las redes sociales.
o La información vinculada es información sobre o relacionada con un
individuo que está lógicamente asociada con otra información sobre el
individuo. Por ejemplo, si dos bases de datos contienen diferentes
elementos PII, entonces alguien con acceso a ambas bases de datos puede
vincular la información de las dos bases de datos e identificar a las
personas, así como acceder a información adicional sobre las personas
relacionadas con ellas. Ej. Base de datos de vehículos y datos de tarjetas
de crédito
Ejemplos de PII (1)
La siguiente lista contiene ejemplos de información que pueden ser
considerados PII:
o Nombre, nombre completo, nombre de pila.
o Número de Identidad Nacional (DNI), número de pasaporte, número
de licencia de conducir, número de registro de contribuyente (por ej.
RUC), Número de Seguro de salud, número de tarjeta de crédito.
o Información de Dirección, como dirección de calle o dirección de
correo electrónico.
o Información de activos, como Dirección IP, Dirección MAC,
direcciones de otros host específicos asociados a un individuo o
grupo.
Ejemplos de PII (2)
La siguiente lista contiene ejemplos de información que pueden ser
considerados PII:
o Número telefónicos, incluido móvil, laboral o números personal o de casa.
o Características personales, incluido fotografía, huella digital, rayos-x, u otros
datos biométricos (Por ej. escaneo de retina, firma de voz, geometría facial,
etc.)
o Información de propiedad, como número de registro de vehículos, títulos de
propiedad, entre otros.
o Información sobre un individuo que está vinculado o vinculable a uno de los
anteriores (por ejemplo: fecha de nacimiento, lugar de nacimiento, raza,
religión, peso, actividades, indicadores geográficos, información laboral,
información médica, información educativa, información financiera, etc.)
PII y prácticas de uso de información
o La protección de PII y la privacidad de la información en general son
inquietudes tanto para las personas cuya información personal está
en juego como para las organizaciones que pueden ser
responsables o tener su reputación dañada si dicha PII se accede,
utiliza o revela de manera inapropiada.
o El tratamiento de PII es distinto de otros tipos de datos porque no
solo debe protegerse, sino también recopilarse, mantenerse y
difundirse de acuerdo con la ley de protección de datos personales
(Ley 29733).
o Las Directrices de privacidad de la Organización para la Cooperación
y el Desarrollo Económico (OCDE) son los principios de privacidad
más ampliamente aceptados, de las cuales muchos países adoptan
para su dominio nacional.
PII y prácticas de uso de información
En la UNIÓN EUROPEA:
o GDPR, por sus siglas en inglés
(General Data Protection
Regulation), o RGPD por sus
siglas en español (Reglamento
General de Protección de Datos)

http://gdprpdf.org/gdpr-rgpd-ley-completa
Principios básicos de práctica justa de PII
1. Principio de limitación de recopilación
– Deberán existir límites para el recojo de datos personales y cualquiera de estos
datos deberán obtenerse con medios legales y justos y, siempre que sea
apropiado, con el conocimiento o consentimiento del sujeto implicado.
2. Principio de calidad de los datos
– Los datos personales deberán ser relevantes para el propósito de su uso y, en
la medida de lo necesario para dicho propósito, exactos, completos y actuales.
3. Principio de especificación del propósito
– El propósito del recojo de datos se deberá especificar a más tardar en el
momento en que se produce dicho recojo, y su uso se verá limitado al
cumplimiento de los objetivos u otros que no sean incompatibles con el
propósito original, especificando en cada momento el cambio de objetivo.
Principios básicos de práctica justa de PII
4. Principio de limitación de uso
– Los datos personales no deben divulgarse, ponerse a disposición o usarse de otro modo para
fines distintos a los especificados, excepto con el consentimiento del interesado o por la
autoridad de la ley.
5. Principio de transparencia
– Deberá existir una política general sobre transparencia en cuanto a evolución, prácticas y
políticas relativas a datos personales. Se deberá contar con medios ágiles para determinar la
existencia y la naturaleza de datos personales, el propósito principal para su uso y la identidad
y lugar de residencia habitual de quien controla esos datos.
6. Principio de participación individual: Todo individuo tendrá derecho a:
– que el controlador de datos u otra fuente le confirme que tiene datos sobre su persona;
– que se le comuniquen los datos relativos a su persona en un tiempo razonable; a un precio, si
existiese, que no sea excesivo; de forma razonable; y de manera inteligible;
7. Principio de salvaguarda de la seguridad
– Se emplearán salvaguardias razonables de seguridad para proteger los datos personales
contra riesgos, tales como pérdida, acceso no autorizado, destrucción, uso, modificación o
divulgación de los mismos.
Exponiendo nuestros datos
Exponiendo nuestros datos
Exponiendo nuestros datos
Exponiendo nuestros datos
Exposición de dispositivos
Exposición de dispositivos
Exposición de dispositivos
Exposición de dispositivos
Exposición de dispositivos
Actividad 01 – Análisis de Riesgos
oRealizar el análisis de riesgos de su empresa o
institución.
oIndicaciones generales:
o Adecuar la plantilla de la matriz de riesgos a la realidad de
cada caso. Considerar el catálogo de MAGERIT para los
activos.
o Formular las salvaguardas para cada caso y por prioridades.
o Determinar qué tipo de tratamiento de riesgo está aplicando a
cada caso.
o La actividad es individual o grupal (3 personas)
o Tiempo estimado: 4 horas.
o Entregable: Matriz + Informe.
o Exposición: 5 minutos.
Seguridad de la
Información / Seguridad
Informática
Fundamentos