Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Curriculo CyberOps Cap 1
Curriculo CyberOps Cap 1
En este capítulo, conocerán a los actores, los métodos y los motivos de los ciberataques. Las
personas se vuelcan a la ciberdelincuencia por diferentes motivos. Los Centros de Operaciones de
Seguridad trabajan para combatir el ciberdelito. Prepararse para trabajar en un Centro de
Operaciones de Seguridad (Security Operations Center, SOC) implica obtener certificados, asistir a
cursos de educación formal y hacer uso de servicios de empleo para adquirir experiencia en
pasantías y empleos.
En esta actividad de clase, se verá un video de TED Talk que analiza diversas vulnerabilidades en la
seguridad. También se investigará una de las vulnerabilidades mencionadas en el video.
1.1. El peligro
1.1.1. Historias de Guerra
1.1.1.1 Personas secuestradas
1
Cisco Cybersecurity Operations
Sarah pasó por su cafetería favorita para tomar su bebida de la tarde. Realizó el pedido, le pagó al
empleado y esperó mientras los baristas trabajaban sin descanso para cumplir con los pedidos
pendientes. Sarah sacó su teléfono, abrió el cliente inalámbrico y se conectó a lo que ella suponía
que era la red inalámbrica libre de la cafetería.
Sin embargo, sentado en un rincón de la tienda, un hacker acababa de configurar una zona de
cobertura inalámbrica abierta “falsa” como si fuera la red inalámbrica de la cafetería. Cuando
Sarah se conectó al sitio web de su banco, el hacker le usurpó la sesión y obtuvo acceso a las
cuentas bancarias.
Haga clic aquí para echar un vistazo rápido a un video publicado en 2008 que demuestra cómo una
red inalámbrica es vulnerable a la piratería. En este curso, conocerán las tecnologías de seguridad
que evitan fácilmente este tipo de ataques.
Rashid, un empleado en el
departamento financiero de una
empresa importante que cotiza en
bolsa, recibe un correo electrónico
de su CEO con un PDF adjunto. El
PDF es sobre las ganancias del tercer
trimestre de la empresa. Rashid no recuerda que su departamento haya creado ese PDF. Esto
despierta su curiosidad y decide abrir el archivo adjunto.
La misma situación ocurre en toda la organización, ya que decenas de otros empleados se ven
tentados a hacer clic en el archivo adjunto. Cuando se abre el PDF, el ransomware se instala en las
computadoras de los empleados y comienza el proceso de recopilación y encriptación de datos
corporativos. El objetivo de los atacantes es ganar dinero, ya que piden un rescate por regresarle a
la empresa sus datos.
Haga clic aquí para ver una dramatización de cómo podría suceder este ataque de ransomware.
Algunos de los programas de malware actuales son tan sofisticados y costosos de crear que los
expertos en seguridad creen que solamente un estado nacional o un grupo de naciones podrían
2
Cisco Cybersecurity Operations
tener la influencia y financiación para crearlo. Este malware puede tener como objetivo atacar la
infraestructura vulnerable de una nación, como el sistema de agua o la red eléctrica.
Este fue el propósito del gusano Stuxnet, que infectó unidades USB. Estas unidades fueron
transportadas por cinco proveedores de componentes iraníes, con la intención de infiltrarse en
instalaciones nucleares que recibían soporte de dichos proveedores. Stuxnet fue diseñado para
infiltrar sistemas operativos Windows y, luego, atacar el software Step 7. Step 7 fue desarrollado
por Siemens para sus controladores lógicos programables (Programmable Logic Controllers, PLC).
Stuxnet estaba buscando un modelo específico de los PLC Siemens que controlaran las centrífugas
de plantas nucleares. El gusano se transmitió de las unidades USB infectadas a los PLC y,
finalmente, dañó muchas de las centrífugas.
Zero Days, una película estrenada en 2016, busca documentar el desarrollo e implementación de
los ataques dirigidos mediante el malware Stuxnet.
1.1.2.1 Aficionados
Los actores maliciosos incluyen, entre otros, a aficionados, hacktivistas, grupos del crimen
organizado, agentes patrocinados por el estado y grupos terroristas. Los actores maliciosos son
individuos o un grupo de personas que realizan ciberataques contra otro individuo u organización.
Los ciberataques son actos intencionales y maliciosos que tienen como objetivo afectar
negativamente a otra persona u organización.
Los aficionados, también conocidos como script kiddies, tienen poca o ninguna habilidad. A
menudo utilizan herramientas ya existentes o instrucciones que encuentran en Internet para
3
Cisco Cybersecurity Operations
iniciar ataques. Algunos solo son curiosos, mientras que otros intentan provocar daños para
demostrar sus habilidades. A pesar de que usan herramientas básicas, los resultados pueden ser
devastadores.
1.1.2.2. Hacktivistas
Los hacktivistas son hackers que protestan contra una variedad de ideas políticas y sociales. Los
hacktivistas protestan públicamente contra las organizaciones o los gobiernos mediante la
publicación de artículos y videos, la filtración de información confidencial y la interrupción de
servicios web con tráfico ilegítimo mediante ataques de denegación de servicio distribuido (DDoS).
Gran parte de la actividad de hacking que amenaza nuestra seguridad constantemente está
motivada por el beneficio financiero. Estos ciberdelincuentes quieren obtener acceso a nuestras
cuentas bancarias, datos personales y cualquier otro dato que pueda utilizar para generar flujo de
efectivo.
4
Cisco Cybersecurity Operations
En los últimos años, se han visto muchas historias sobre estados nacionales que realizan hacking a
otros países o interfieren con la política interna. Los estados de una nación también están
interesados en utilizar el ciberespacio para espionaje industrial. El robo de la propiedad intelectual
puede otorgar una ventaja significativa a un país en el comercio internacional.
La defensa contra las consecuencias del ciberespionaje y la ciberguerra patrocinados por el estado
continuará siendo una prioridad para los profesionales de la ciberseguridad.
Internet de las cosas (IoT) se encuentra a nuestro alrededor y se expande con rapidez. Apenas
estamos comenzando a aprovechar los beneficios de IoT. Constantemente se están desarrollando
nuevas maneras de utilizar elementos conectados. IoT ayuda a los individuos a conectar elementos
para mejorar la calidad de vida. Por ejemplo, muchas personas utilizan actualmente dispositivos
portátiles conectados para realizar el seguimiento de su actividad física. ¿Cuántos dispositivos
poseen actualmente que se conecten a su red doméstica o a Internet?
¿Qué grado de seguridad ofrecen estos dispositivos? Por ejemplo, ¿quién escribió el firmware?
¿Prestó atención el programador a los defectos de seguridad? ¿Es vulnerable a ataques el
termostato conectado en sus hogares? ¿Qué hay de su grabadora de video digital (DVR)? Si se
encuentran vulnerabilidades de seguridad, ¿es posible aplicar un parche en el firmware del
dispositivo para eliminar la vulnerabilidad? Muchos dispositivos en Internet no se actualizan con el
firmware más reciente. Algunos dispositivos más antiguos ni siquiera se desarrollaron para
actualizarse con parches. Estas dos situaciones crean oportunidades para los actores maliciosos y
riesgos de seguridad para los propietarios de estos dispositivos.
Avi Rubin, profesor de Ciencias de la computación en la Universidad Johns Hopkins, destaca los
peligros de no proteger todos nuestros dispositivos conectados. Haga clic aquí para ver su charla
de TED.
5
Cisco Cybersecurity Operations
El impacto económico de los ciberataques es difícil de determinar con precisión; sin embargo,
según un artículo en Forbes, se calcula que las empresas pierden USD 400 mil millones al año por
ciberataques.
Nombre
Número de seguridad social
Cumpleaños
Números de tarjetas de crédito
Números de cuentas bancarias
Identificación emitida por el gobierno
Información sobre dirección (calle, correo electrónico, números de teléfono)
Uno de los objetivos más lucrativos de los ciberdelincuentes es obtener listas de PII que puedan
vender en la web oscura. Solamente es posible tener acceso a la web oscura con software
especializado y la utilizan los ciberdelincuentes para proteger sus actividades. La PII robada puede
utilizarse para crear cuentas falsas, como tarjetas de crédito y préstamos a corto plazo.
En marzo de 2016, una violación de los datos de un proveedor de atención médica dejó
al descubierto los datos personales de 2,2 millones de pacientes.
En abril de 2016, robaron de un organismo estatal una computadora portátil y unidades
portátiles que incluían información personal de 5 millones de personas.
6
Cisco Cybersecurity Operations
En mayo de 2016, una violación de los datos de una empresa de pagos dejó expuesta
información sobre nóminas, impuestos y beneficios de más de 600 000 empresas.
Las empresas están cada vez más preocupadas por el espionaje corporativo en el ciberespacio.
Una importante preocupación adicional es la pérdida de confianza que surge cuando una empresa
es incapaz de proteger los datos personales de sus clientes. La pérdida de la ventaja competitiva
puede deberse más a esta falta de confianza que al hecho de que otra empresa o país robe
secretos comerciales.
No solo las empresas sufren ataques. En febrero de 2016, un hacker publicó los datos personales
de 20 000 empleados de la Oficina Federal de Investigaciones (FBI) de EE. UU. y de
9000 empleados del Departamento de Seguridad Nacional (DHS) de EE. UU. Aparentemente, el
hacker tuvo motivos políticos.
7
Cisco Cybersecurity Operations
Los elementos principales de un SOC (que aparecen en la figura) son las personas, los procesos y la
tecnología.
El SANS Institute (www.sans.org) divide en cuatro los roles que las personas desempeñan en los
SOC:
8
Cisco Cybersecurity Operations
Administrador del SOC: este profesional administra todos los recursos del SOC y sirve
como punto de contacto para el cliente o la organización en su totalidad.
En este curso, se ofrece la preparación para una certificación adecuada para el puesto de analista
de alertas de categoría 1, también conocido como analista de ciberseguridad.
La figura del SANS Institute representa gráficamente cómo interactúan entre sí estos roles.
9
Cisco Cybersecurity Operations
Los sistemas SIEM se usan para recopilar y filtrar datos; detectar, clasificar, analizar e investigar
amenazas; y administrar recursos a fin de implementar medidas preventivas y afrontar futuras
amenazas. Las tecnologías del SOC incluyen una o más de las siguientes:
10
Cisco Cybersecurity Operations
Cisco cuenta con un equipo de expertos que ayudan a garantizar la resolución oportuna y precisa
de incidentes. Cisco ofrece una amplia gama de capacidades de respuesta, preparación y
administración de incidentes:
Servicio Cisco Smart Net Total Care para la resolución rápida de problemas
Equipo de respuesta ante los incidentes de seguridad de los productos (PSIRT) de Cisco
Equipo de respuesta ante los incidentes de seguridad de las computadoras (CSIRT) de
Cisco
Servicios administrados de Cisco
Operaciones tácticas de Cisco (TacOps)
Programa de seguridad física y seguridad de Cisco
La mayoría de las redes empresariales tienen que estar funcionando en todo momento. El
personal de seguridad entiende que, para que la organización logre sus prioridades, debe
mantenerse la disponibilidad de la red.
Cada empresa o industria tiene una tolerancia limitada al tiempo de inactividad de la red. Esa
tolerancia suele basarse en una comparación entre el costo del tiempo de inactividad y el costo de
protección contra el tiempo de inactividad. Por ejemplo, en un comercio minorista pequeño con
una sola ubicación, puede resultar suficiente que un router sea el único punto de falla. Sin
embargo, si gran parte de las ventas de ese comercio proviene de compradores en línea, el
propietario puede decidir brindar determinado nivel de redundancia para asegurar que siempre
haya disponible una conexión.
11
Cisco Cybersecurity Operations
Sin embargo, el nivel de seguridad no debe ser tan alto como para interferir en las necesidades de
los empleados o las funciones empresariales. El secreto es lograr siempre un equilibrio entre un
buen nivel de seguridad y la posibilidad de que la empresa funcione con eficacia.
12
Cisco Cybersecurity Operations
1.2.2.1. Certificaciones
La certificación CCNA Cyber Ops proporciona un valioso primer paso en la adquisición del
conocimiento y las habilidades que se necesitan para trabajar con un equipo de SOC. Puede ser
una parte valiosa de una profesión en el fascinante y cada vez más importante campo de las
operaciones de ciberseguridad.
(ISC)² es una organización internacional sin fines de lucro que ofrece la famosa certificación de
CISSP. También ofrece una variedad de otras certificaciones de diversas especialidades en
ciberseguridad.
GIAC, que se fundó en 1999, es una de las organizaciones de certificación de seguridad más
antiguas. Ofrece una amplia gama de certificaciones en siete categorías.
Títulos
Toda persona que considere trabajar en ciberseguridad, debería pensar seriamente en comenzar
una carrera de grado técnica o una licenciatura en ciencias informáticas, ingeniería eléctrica,
13
Cisco Cybersecurity Operations
La programación por computadora es una habilidad esencial para cualquiera que desee trabajar en
ciberseguridad. Si nunca aprendió a programar, Python es el primer lenguaje que debe aprender.
Python es un lenguaje de código abierto orientado a objetos que usan frecuentemente los
analistas de ciberseguridad. También es un lenguaje de programación popular para sistemas
basados en Linux y redes definidas por software (SDN).
Indeed.com
Publicitado como el sitio de trabajo número uno del mundo, Indeed.com atrae a más de
180 millones de visitantes exclusivos por mes de más de 50 países diferentes. Indeed.com es
verdaderamente un sitio de trabajo mundial. Ayuda a las empresas de todos los tamaños a
contratar a los mejores talentos y ofrece las mejores oportunidades para quienes buscan trabajo.
CareerBuilder.com
CareerBuilder ayuda a muchas empresas grandes y prestigiosas. Como resultado, este sitio atrae a
los candidatos específicos que poseen la mayor educación y las credenciales más altas. Los
empleadores que publican en CareerBuilder comúnmente obtienen más candidatos con títulos
universitarios, credenciales avanzadas y certificaciones industriales.
USAJobs.gov
El gobierno federal de EE. UU. publica cualquier vacante en USAJobs. Haga clic aquí para obtener
más información sobre cómo postularse.
14
Cisco Cybersecurity Operations
LinkedIn es una red profesional de más de 530 millones de usuarios en más de 200 países cuyo
objetivo es ayudar a las personas a ser más productivas y exitosas. LinkedIn también es un
excelente sitio para obtener información profesional y oportunidades laborales. Haga
clic aquí para obtener más información sobre LinkedIn y crear una cuenta.
Pasantías
Para ayudar a reducir la brecha de habilidades de seguridad, Cisco presentó el Programa de becas
de ciberseguridad global en 2016. Cisco tiene por objetivo aumentar el grupo de talentos con
conocimiento experto en ciberseguridad esencial. Las inscripciones comienzan en el otoño y se
nombrará a los beneficiarios a finales de la primavera. Haga clic aquí para obtener más
información sobre las becas.
Agencias temporarias
Si resulta difícil encontrar un primer trabajo, una empresa de trabajo temporal puede ser un
excelente puntapié inicial. La mayoría de estas empresas ayudan a perfeccionar las hojas de vida y
a formular recomendaciones sobre las habilidades adicionales que un candidato podría obtener
para atraer más a posibles empleadores.
Muchas organizaciones utilizan empresas de trabajo temporal para cubrir vacantes durante los
primeros 90 días. Luego, si el empleado realiza un buen trabajo, la organización puede ofrecer
comprarle el contrato a la empresa de trabajo temporal para convertir al empleado en un
trabajador permanente a tiempo completo.
El primer trabajo
15
Cisco Cybersecurity Operations
categoría 1. Trabajar para un centro de llamadas o mesa de soporte puede ser el primer paso para
obtener la experiencia necesaria para avanzar en su profesión.
En esta práctica de laboratorio, se investigará y analizará qué se necesita para ser un defensor de
la red.
En el comienzo del capítulo, aprendieron que las personas, las empresas y hasta las naciones
pueden ser víctimas de ciberataques. Hay varios tipos de atacantes, incluidos los aficionados que
atacan por diversión y prestigio, los hacktivistas que atacan para respaldar una causa política, y los
hackers profesionales que atacan con fines de lucro. Además, las naciones pueden atacar a otras
para obtener beneficios económicos mediante el robo de propiedad intelectual, o para dañar o
destruir los recursos de otro país. Las redes vulnerables a los ataques no son solamente redes
empresariales de computadoras y servidores, sino también miles de dispositivos en Internet de las
cosas.
Para trabajar en un SOC, ahora saben que es posible estudiar para obtener certificaciones
ofrecidas por una serie de diferentes organizaciones. Además, pueden obtener títulos de
educación superior relevantes para el campo de las ciberoperaciones y aprender otras habilidades,
como la programación mediante Python. Es posible encontrar trabajo en numerosos sitios web de
16
Cisco Cybersecurity Operations
empleo, y hay empresas que pueden ayudar a encontrar trabajos temporales, pasantías o trabajos
permanentes.
17