Grupos de Actores de La Amenaza

Grupos de actores de la amenaza
Visión general del módulo
Este módulo se centra en el aspecto "ofensivo" de la ciberseguridad, es

decir, los ciberatacantes y sus técnicas. ¿Cómo atacan? ¿Qué puede
salir mal? Se incluyen los siguientes temas:
 Tipos de grupos de ciberatacantes

 Tipos de ciberataques
 Los pasos de una secuencia de ciberataque típica, utilizando la
infraestructura de Lockheed Martin Cyber Kill Chain
 Tácticas y técnicas del atacante, utilizando la matriz de MITRE
ATT&CK
 Cómo funciona la economía de los ciberdelitos
 Ingeniería social y ataques de ingeniería social más comunes
 Inteligencia de código abierto (OSINT) y códigos comunes que
utilizan los ciberatacantes
 Métodos de exploración técnica
 Estudios de caso de alto nivel de ciberataques para saber qué es
posible y qué ocurre en el mundo
Grupos de actores de la amenaza

Los profesionales de ciberseguridad deben tener en cuenta los distintos
tipos de grupos de actores de la amenaza o grupos de ciberatacantes.
Son grupos diferentes y varían significativamente en motivación, recursos
y técnicas. Vamos a revisar y comparar los cinco principales tipos de
grupos de ciberatacantes.
Grupo 1: Script Kiddie

El primer grupo es el menos avanzado, el Script Kiddie. El término "Script
Kiddie" hace referencia a aquellas personas que utilizan programas,
normalmente herramientas de hackeo básicas, sin entender
verdaderamente qué ocurre entre bastidores. Pueden tener un
conocimiento básico de las redes y la programación, pero carecen de
habilidades técnicas, así como de paciencia o intención estratégica.
RESUMEN
 En la práctica, este grupo demográfico está formado principalmente
por jóvenes o adolescentes que aprenden de forma autodidacta a
través de foros, vídeos y experimentación.
 Para muchos, la principal motivación del pirateo es la reputación, el
estatus ante la comunidad de hackers, por diversión o
resentimiento.
 Desde el punto de vista de la dotación de recursos, los Script
Kiddies utilizan herramientas de prueba de penetración existentes y
exploits disponibles públicamente.
 En la mayoría de los casos, disponen de muy pocos fondos.
Tienden a demostrar pocos conocimientos de técnicas
profesionales, aparte de cuentas desechables o proxies básicos.
 Desde el punto de vista defensivo, las organizaciones deben
asegurarse de que su planificación de parches sea eficaz. Si se
desarrolla algún exploit sencillo, es muy probable que se
despliegue en algún punto. Las defensas deben ser suficientes
para garantizar que otro destino parezca más fácil, lo que debería
ser suficientemente disuasorio.
Perfil de un Script Kiddie

¿Quiénes son? ¿Cuál es su objetivo?
Personas autodidactas, normalmente adolescentes Buscan mejorar su reputación o atacar para divertirse
¿Qué recursos tienen? ¿Cómo puede protegerse contra ellos?
Poca financiación; poca o ninguna ayuda y experiencia técnica; Asegúrese de que la planificación de parches sea eficaz y que
pueden utilizar herramientas gratuitas escritas por otros las defensas básicas de perímetro estén actualizadas

Grupo 2: Hactivistas
El segundo grupo son los hactivistas. Hactivista es un término que
combina "hacker" y "activista". Los hactivistas buscan un cambio político
o económico y utilizarán el hackeo para conseguirlo.
RESUMEN
 El atributo definitorio clave de los hactivistas es que están

motivados por razones ideológicas.
 Las personas que pertenecen a un grupo de hactivistas son muy
variadas. Al igual que el grupo Script Kiddie, está formado por
principiantes impresionables, pero cuando la causa se convierte en
un problema de gran actualidad, se unen a ellos miembros más
experimentados de la comunidad de seguridad.
 Las motivaciones de los grupos de hactivistas están definidas por
sus objetivos, que varían enormemente. En general, implica apoyar
una causa en la que creen. Puede ser un bando del conflicto de
Oriente Medio, actividades políticas, etc.
 El ejemplo más famoso de este grupo sería el colectivo de
hactivistas llamado Anonymous. Anonymous es un grupo de
hactivistas internacional y descentralizado conocido por sus
ciberataques a distintos gobiernos, instituciones y organismos
gubernamentales, y corporaciones.
 Los hactivistas utilizan una amplia gama de herramientas básicas
que pueden ser muy eficaces cuando se ejecutan a gran escala.
Los programas de denegación de servicio (DoS) son un ejemplo
notable de esta área.
 Mientras un script kiddie individual supone una pequeña amenaza,
varios cientos lanzando ataques paralelos pueden ser
significativamente más difíciles de manejar.
 Como organización, la astucia es muy importante. Si una
organización hace negocios en un área sensible (por ejemplo,
experimentación con animales, causas políticas), es posible que
sufra un ataque en algún punto. Tener buenas defensas no será
suficiente para disuadir todos los ataques, por lo que las
organizaciones deberán planificar métodos para enfrentarse a una
serie de ataques.
Perfil de un hactivista
dealistas motivados que forman coaliciones flexibles Desean propiciar un cambio
Operan a gran escala con distintas herramientas y su mayor Garantizar defensas que puedan afrontar un ataque disruptivo
tributo es el tamaño ampliado
Grupo 3: Banda criminal

Siempre que exista la posibilidad de hacer dinero fácil, los delincuentes
serán un problema para la sociedad. La creación de Internet ofrece a los
delincuentes nuevos métodos para aprovecharse de sus víctimas a una
gran escala, y con una variedad y facilidad sin precedentes. En lugar de
correr riesgos en persona, los delincuentes pueden enviar millones de
correos electrónicos infectados desde el otro lado del mundo y exigir un
rescate a una víctima para luego transferir fondos en criptomoneda para
evadir los métodos convencionales de la policía. La captura de estos
delincuentes es extremadamente difícil y, debido a la legislación
internacional, garantizar un proceso penal es prácticamente imposible.
Desgraciadamente, la mayoría de delincuentes conocen estos hechos.
RESUMEN
 Este es el grupo en más rápido crecimiento y, como resultado, el

más amplio.
 Dentro del grupo, hay una gran variedad de actividades. Las
bandas pueden realizar ataques de cibersecuestro (donde la
víctima se ve obligada a pagar para recuperar el acceso de sus
recursos), cometer extorsiones (donde la amenaza de un ataque
mayor garantiza dinero en concepto de protección), cometer robos
convencionales de datos del cliente o propiedad intelectual, etc.
 La ciberdelincuencia es un trabajo a tiempo completo y puede
llegar a ser muy lucrativo. Las bandas pueden ser desde pocas
personas organizadas hasta multinacionales con cientos de
miembros. Dentro de cada banda, a menudo hay especialistas que
pueden comercializar con la información en la web obscura. Por lo
tanto, las bandas criminales están muy avanzadas y bien
organizadas.
 Desde el punto de vista de los recursos, las bandas criminales a
menudo desarrollan y despliegan sus propios programas
maliciosos. En algunos casos, incluso alquilan acceso a otros
servicios menos técnicos. Como todas las ventas de software,
anuncian y alojan revisiones, e incluso tienen soporte técnico. Las
bandas criminales tienen acceso a importantes cantidades de
infraestructura, por ejemplo, servidores y dominios.
 Para protegerse de las bandas criminales, deben existir defensas
eficaces de activos críticos. Aunque descubrir secuestro de datos
en el portátil de un empleado puede ser molesto para la empresa,
descubrir secuestro de datos en un servidor de producción puede
ser devastador.
 Desde el punto de vista financiero, los delincuentes siempre
adoptarán el esquema de dinero fácil más rápido y sencillo.
Perfil de una banda criminal
Grupos de personas en equipos nacionales e internacionales Motivados por intereses lucrativos
Amplia gama de herramientas y equipos, adquiridos y Es necesario tener personal muy cualificado que proteja los
omercializados en la web obscura activos críticos y realice copias de seguridad
Grupo 4: Hacker de estado-nación o amenazas

persistentes avanzadas (APT)
El siguiente, y uno de los que recibe más atención mediática, quizás
desmesurada, son los atacantes de estado-nación. Muchas
organizaciones militares de todo el mundo consideran ahora el
ciberespacio la quinta esfera de conflicto, aparte de mar, tierra, aire y
espacio. Muchas naciones han demostrado la capacidad de ejercer su
poder más allá de sus fronteras con amplias consecuencias.
RESUMEN
 La función de los hackers de estado-nación es proporcionar una

ventaja estratégica a su país. Puede variar desde el
reconocimiento y la recopilación de información (por ejemplo,
espionaje tradicional/inteligencia de señales) hasta la manipulación
y subversión de información.
 Los miembros de estas organizaciones están altamente
cualificados y entrenados, y tienen diferentes perfiles. Trabajan a
tiempo completo utilizando los métodos más avanzados en sus
distintos campos.
 Sus motivaciones están estrechamente alineadas con objetivos
políticos o estratégicos. Un ejemplo reciente serían las actividades
rusas relacionadas con las elecciones presidenciales americanas
de 2016. El objetivo era interferir con la elección, así como incitar la
discordia social o política.
 Desde el punto de vista de los recursos, los hackers de estado-
nación tienen acceso a investigaciones avanzadas, equipos de
infraestructura dedicados y un tremendo apoyo político.
 La protección contra determinados hackers de estado-nación es
tremendamente difícil para las organizaciones. Para ello, se
requieren defensas de seguridad eficaces, plenamente capacitadas
y coordinadas.
Perfil de un hacker de estado-nación

Especialistas altamente cualificados y entrenados Seguir planes estratégicos de varios años en una amplia gama
de cuestiones
Presupuestos enormes, herramientas muy avanzadas e Es increíblemente difícil; se requieren defensas totalmente
nvestigación de punta coordinadas en todos los aspectos de la organización
Grupo 5: Amenazas internas

El último grupo, y probablemente el más preocupante, es el de las
amenazas internas. Con internas nos referimos a un miembro dentro de
una organización que de manera intencionada o accidental actúa contra
ella.
RESUMEN
 Las amenazas internas pueden empezar por una simple actitud

negativa en la organización y terminar generando un mayor
resentimiento.
 Las motivaciones varían enormemente y pueden tener un origen
muy variado, siendo la actitud y los intereses financieros dos de los
más comunes. En otros casos, los motivadores pueden ser la
notoriedad o la fama.
 Un ejemplo común de amenaza interna es un empleado al que le
hacen chantaje para que permita el acceso de alguien a sus
cuentas corporativas. Otro ejemplo común es un empleado
descontento que roba secretos corporativos antes de que le
despidan. Quizás el ataque de amenaza interna más famoso de
todos los tiempos fue el de Edward Snowden, que robó una gran
cantidad de archivos de la Agencia de Seguridad Nacional (NSA)
de EE.UU. antes de ofrecérselos a WikiLeaks.
 Los ataques de las amenazas internas normalmente se basan en
habilidades técnicas. Aunque algunos empleados pueden husmear
o utilizar la ingeniería social para conseguir el acceso de otros,
normalmente utilizan sus propios permisos y acceso corporativo.
 La mejor defensa contra las amenazas internas se consigue
mediante la investigación de antecedentes de los empleados, una
dirección eficaz y controles técnicos. Recurrir a controles técnicos a
menudo se considera una solución fácil para muchas empresas,
pero también falla porque, en el fondo, estamos intentando detener
usuarios que están extremadamente familiarizados con el sistema.
Generalmente, son muchas las señales de aviso antes de que
alguien lance un ataque interno. Por ejemplo, trabajar solo,
expresar resentimiento, dar una baja calidad de trabajo o realizar
actividades inexplicables. Detectar estas señales es muy
importante.
Perfil de una amenaza interna

Miembros del personal que trabajan contra los intereses de una Venganza o motivos financieros
organización, ya sea deliberada o accidentalmente
No se requiere presupuesto ni tampoco recursos; utilizan el Supervisar el personal atentamente y garantizar que la cultura
cceso que ya tienen de la organización sea eficaz en la prevención de estos
problemas
Nota: a veces, estas descripciones de los tipos de ciberatacantes no son

siempre precisas. En las operaciones, los hactivistas pueden reclutar
script kiddies y los hackers de nación-estado pueden reclutar bandas
criminales. Asimismo, algunos ciberatacantes pueden disfrazar su trabajo
para parecer menos avanzados de lo que están. Estos hechos pueden
dificultar la atribución de las amenazas a los responsables correctos.
Hackers de sombrero blanco

Hemos descrito los cinco tipos más comunes de ciberatacantes que
tienen motivaciones personales o motivaciones ilícitas que suponen una
amenaza. No obstante, también existen los hackers de sombrero blanco.
Un hacker de sombrero blanco elige utilizar y monetizar su conjunto de
habilidades para hacer el bien, no para actividades delictivas o de
explotación. También denominados “hackers éticos”, los hackers de
sombrero blanco asumen una mentalidad de un auténtico hacker y
utilizan sus mismos métodos, pero con el objetivo de probar y reforzar los
sistemas para ayudar a los clientes y consumidores a estar más
protegidos a la hora de la verdad.
Aquí vemos a dos expertos líderes en ciberseguridad que entran en la
categoría de sobrero blanco y utilizan sus conjuntos de habilidades para
ofrecer sus conocimientos y un asesoramiento útil y a menudo bien
remunerado a las organizaciones de todo el mundo.
Brian Krebs Georgia Wiedman
Brian es un conocido periodista que investiga los Georgia es una empresaria global en el campo de la
ciberdelitos. Empezó su carrera como reportero para el ciberseguridad y ha trabajado como probadora de
Washington Post, donde escribió el blog Security Fix penetración, investigadora de seguridad, oradora,
de 1995 a 2009 y amplió las fronteras de la instructora y autora. Ha conseguido un gran número
información periodística sobre ciberseguridad. seguidores gracias a su trabajo en explotación de
Actualmente, posee el conocidísimo blog Krebs on smartphones y seguridad de dispositivos móviles,
Security y en 2019 fue reconocido como “Persona del como fundadora y CTO de Shevirah.
año en ciberseguridad” por la revista CISO MAG.
Dato curioso: el interés de Brian en la ciberseguridad
empezó después de que su red local completa fuese Dato curioso: Georgia es una inversora de proximi
atacada por un grupo de hackers chino. y ha ofrecido conferencias y formación en todo el
mundo en escenarios como la NSA, West Point y
Black Hat.

Este es el final de la lección. Asegúrese de seleccionar el recuadro
"Actividad finalizada" para realizar un minicuestionario y demostrar los
conocimientos que ha adquirido en esta lección. Se mostrarán tres
escenarios para identificar el tipo correcto de grupo de ciberatacante.
Esto es necesario para terminar la lecc
Tipos de ciberataques
Hay muchos métodos con los que un ciberatacante puede entrar y
explotar un sistema. A menudo, los ataques no son técnicos, sino una
explotación de cómo las personas interactúan con el sistema de forma
equivocada y vulnerable. En esta lección, hemos seleccionado algunos
tipos comunes de ciberataques. Es una muestra representativa que
proporciona varios ejemplos ilustrativos, en lugar de una lista completa.
Vamos a examinarlos detalladamente.
Ataque de Denegación de servicio (DoS)
 Un ataque DoS es cualquier tipo de ataque que dé como resultado
una caída del sistema completa o parcial.
 Los medios para realizar un ataque DoS varían de provocar la
caída del sistema a bloquearlo o que no pueda continuar su trabajo
debido a niveles anormales del tráfico de red enviado.
EJEMPLO
Un atacante puede enviar un archivo formateado malicioso a un servidor
para provocar su sobrecarga. Un ejemplo sería el ataque de mil millones
de risas, donde un archivo XML hace referencia a sí mismo,
expandiéndose a un archivo considerablemente más grande.
Ataque de Denegación de servicio distribuida (DDoS)

 Un ataque DDoS es un ataque DoS que proviene de más de una
fuente al mismo tiempo.
 Las máquinas utilizadas en este tipo de ataques se conocen
colectivamente como “botnets”, y previamente se habrán infectado
con software malicioso para que el atacante pueda controlarlas
remotamente.
 Según una investigación, es probable que diez millones de
sistemas estén infectados con programas botnet en todo el mundo.
EJEMPLO
Un atacante puede enviar un gran número de solicitudes de página a un
servidor web en un breve espacio de tiempo para sobrecargarlo. Se
observa un impacto similar en los sitios web de venta de entradas, donde
un pico en la demanda de usuarios puede sobrecargar los sistemas.
Ataque de suplantación de identidad

 Un ataque de suplantación de identidad es la práctica de enviar
mensajes que parecen de fuentes de confianza con el objetivo de
obtener información personal o influir en los usuarios para que
realicen una acción.
 Combina la ingeniería social con trucos técnicos.
 Usuarios incautos abren el correo electrónico y pueden
proporcionar información protegida o descargar malware.
EJEMPLO
Un atacante puede enviar un correo electrónico con un archivo adjunto o
un enlace a un sitio web falso que carga malware en un sistema de
destino.
Ataque de suplantación de identidad focalizado
 Los ataques de suplantación de identidad focalizados son un tipo
de actividad de suplantación muy focalizada.
 Los atacantes dedican tiempo a realizar investigaciones de los
destinos y crear mensajes personales y relevantes que, por lo
tanto, son más efectivos.
EJEMPLO
Un atacante recopila información de un destino de sus redes sociales y le
llama fingiendo ser un representante del banco. El atacante le explica
que su cuenta está comprometida y le pide transferir dinero a una cuenta
bancaria "segura". El ataque es convincente debido al conocimiento
aparentemente legítimo del atacante.
Malware
 Malware es un término general para el software malicioso. Es un
software diseñado para afectar negativamente a un usuario de
destino sin el consentimiento informado del mismo.
 A menudo se desencadena en secreto cuando el usuario ejecuta
un programa o descarga un archivo, a veces sin querer.
 Una vez activo, el malware puede bloquear el acceso a datos y
programas, robar información o dejar los sistemas inoperables.
EJEMPLO
En los distintos tipos de malware, encontrará ejemplos relacionados con
su función, por ejemplo, registradores de claves (que capturan las
pulsaciones de una víctima) o secuestro de datos (donde se secuestran
los archivos de la víctima a cambio del pago de un rescate).
Ataque de Man in the middle (MitM)

 El ataque MitM se produce cuando los hackers se insertan en la
comunicación entre un cliente y un servidor.
 Esto permite a los hackers ver qué se está enviando y recibiendo a
ambos lados.
EJEMPLO
Un atacante puede configurar una zona de WiFi "gratis" en un ubicación
pública transitada. El atacante podrá examinar la comunicación de
cualquiera que se conecte a esa red WiFi, y redirigir a las víctimas a
pantallas falsas de inicio de sesión o insertar anuncios en las páginas
web.
Ataque de Sistema de nombres de dominio (DNS)

 DNS es uno de los protocolos básicos utilizados en Internet.
 Básicamente, el protocolo DNS permite al sistema resolver un
dominio en una dirección IP, lo que permite al usuario, por ejemplo,
acceder al sitio web principal de BMW escribiendo “bmw.com”, en
lugar de escribir la dirección IP, que es difícil de recordar.
 DNS se utiliza prácticamente en todos los sistemas. Como
protocolo básico de Internet, muchos vectores de ataque van
dirigidos directamente a DNS, incluida la suplantación DNS, la
apropiación de dominios y el envenenamiento de caché (por citar
unos pocos).
EJEMPLO
En 2016, el servicio DNS proporcionado por una empresa llamada Dyn
sufrió un ataque. Como resultado, se produjeron cortes de servicio en
gran parte de EE.UU., dejando a millones de estadounidenses sin poder
acceder ni utilizar Internet.
Inyección de Lenguaje de consulta estructurado (SQL)

 SQL permite a los usuarios consultar las bases de datos.
 La inyección de SQL es la colocación de código malicioso en las
consultas SQL, generalmente a través de una entrada de página
web. Un ataque satisfactorio permite ejecutar mandatos comunes.
Esto incluye la supresión de la propia base de datos.
 La inyección de SQL es una de las técnicas de hackeo web más
comunes.
EJEMPLO
En el Reino Unido, dos adolescentes consiguieron atacar el sitio web de
TalkTalk en 2015 para robar cientos de miles de registros de clientes de
una base de datos a la que se podía acceder de forma remota.
Esto representa un buen número de ciberataques diferentes que afectan

actualmente a las organizaciones y las personas. Encontrará ataques
DoS en las organizaciones que aparecen a menudo en las noticias; los
ataques de suplantación de identidad son los más eficaces a nivel
personal; y los ataques de malware están aumentando y evolucionando
constantemente.
Actividad
Hecho: ninguna persona, organización o país es inmune al peligro
de los ciberataques.
En esta actividad, puede ponerse el sombrero de explorador para
acceder a los siguientes mapas en tiempo real y a visualizaciones
estadísticas de ciberataques que se producen en todo el mundo. Dedique
un momento a acceder a cada sitio. Pueden tardar un poco en cargarse.
Consulte las estadísticas. Vea simplemente cuántos ataques se están
produciendo en todo el mundo. Ahora mismo.
1. Vaya al mapa en tiempo real de  Navegue por el mapa mundial interactivo y pulse y visite un p
ciberamenazas de Kapersky específico para ver sus datos más recientes.
 Busque los países con más ataques
Ver más grande  Puede cambiar el idioma en la parte superior de la página web
 Renueve los tipos codificados por colores de las amenazas y l
2. Vaya al mapa de amenazas de  Observe los detalles del ataque que se desplazan en la parte in
Fortinet pantalla.
 Puede averiguar rápidamente dónde se están produciendo
Ver más grande ataques actualmente.
 Este es un subconjunto de datos. Seleccione ? para ver la leye
tipos de ataques visualizados. Seleccione i para obtener más i
3. Vaya al mapa en tiempo real de  Vea los ataques en activo que se están produciendo en el map
ciberamenazas de Bitdefender países seleccionados.
 Consulte las distintas instancias de correo no deseado, am
Ver más grande ataques.
 Observe que hay un "país de ataque" y un "país de destino".

descripciones para identificar el tipo correcto de ciberataque que
representa. Esto es necesario para terminar la lección.
Financiación y rentabilidad de los
ciberdelitos
Si bien algunos ciberatacantes están motivados por el activismo o el
interés nacional, el principal impulsor del delito cibernético es la
rentabilidad. En esta lección, examinaremos algunos métodos sobre
cómo los ciberdelincuentes ganan y usan su dinero.
Ecosistema subterráneo
El primer elemento que resulta fundamental para la economía del delito
cibernético es un mercado internacional pujante compuesto por cientos
de foros, plataformas y sistemas. Dentro de este entorno de mercado, los
delincuentes compran y venden datos, identidades y herramientas para
obtener beneficios. Por ejemplo, un área de interés muy común es el
lavado de dinero. Si los ciberdelincuentes roban algo de dinero a una
víctima, deben tener un método para hacer que el dinero robado sea
utilizable y, de forma ideal, imposible de rastrear. Pueden hacerlo
mediante el uso de un tercero especialista, de manera similar a una
subcontratación.
Al igual que una economía tradicional, la especialización es un generador
de eficacia y permite a los delincuentes centrarse en lo que cada uno
hace mejor.
Inyección inicial de efectivo
En un mercado consolidado, entonces, ¿cómo obtienen dinero los
delincuentes? A continuación se detallan tres métodos generales
mediante los cuales pueden hacerlo.
Robo a la  El método más directo son los delincuentes que intentan robar dinero de su víctima
víctima objetivo.
 Si bien esto puede hacerse poniendo en jaque sistemas bancarios o cuentas, la
forma más común es a través de un fraude o engaño.
 Estas estafas son a menudo el "cebo de soporte técnico" u otros trucos similares
destinados a persuadir a una víctima para que ceda al criminal un beneficio
financiero, como regalar datos bancarios e información personal.
Contratación de  A veces los delincuentes ofrecen sus servicios para llevar a cabo tareas ilegales en
un delincuente representación de personas y organizaciones normales.
 Esto se hace comúnmente mediante un ataque de denegación de servicio (DoS) que
intenta sobrecargar partes clave de un servicio. Por ejemplo, un delincuente puede
ofrecer la posibilidad de que una organización o una persona individual deje fuera
de combate a un competidor o rival.
 En este modelo, el criminal no coge el dinero de la víctima. Alternativamente, la
organización o la persona individual le paga unos honorarios.
 Otro ejemplo de esto es el mal uso de un sistema bajo un estilo mercenario.
Imagine a una persona que contrata a un delincuente para robar la propiedad
intelectual clave de un competidor o destruir las bases de datos de un rival.
Extorsión a la  En este modelo, el delincuente adquiere la capacidad de perturbar a una víctima

víctima desactivando sus sistemas clave o amenazando con divulgar datos confidenciales.
 En los últimos años, esto se ha hecho popular con la llegada del secuestro de datos.
En un ataque de secuestro de datos, los sistemas y archivos clave de la víctima se
cifran de tal manera que los deja inoperantes. Para restaurar los sistemas y archivos,
se pide a la víctima que pague al delincuente un rescate para recibir la clave de
descifrado.
 Otras formas de extorsión pueden incluir la amenaza de divulgar datos de la
organización o del cliente, como correos electrónicos embarazosos de los ejecutivos
o bases de datos de clientes.

Criptomoneda
En los últimos años, ha habido un rápido aumento de las monedas
controladas criptográficamente, llamadas criptomonedas. La
criptomoneda original, el Bitcoin, propuso un nuevo método para el
intercambio monetario basado en un registro contable compartido
llamado Blockchain. Este concepto se ha basado en nuevas monedas
posteriores que se han creado en los últimos años.
Cuando se utiliza un registro contable anónimo fuera del control del
gobierno, los pagos están diseñados para ser casi imposibles de regular
o bloquear. Esto hace que las criptomonedas sean increíblemente útiles
para el blanqueo de dinero o para otras actividades delictivas del
mercado.
Una consecuencia notable de las criptomonedas fue el rápido
crecimiento del secuestro de datos. En este modelo de negocio, la
víctima tiene que pagar al atacante. Cuando esto se hizo originalmente
con alternativas al dinero en efectivo, como tarjetas de regalo, el proceso
era lento y poco fiable. Ahora, con el uso de criptomonedas, es más fácil
para las víctimas hacer pagos ocultos.
El ecosistema en acción
Veamos un caso práctico hipotético que reúne todos los elementos
monetarios. En este escenario, seguiremos una campaña de ataque a lo
largo de su ciclo de vida. ¡Siga el rastro del dinero!
1. La primera etapa del viaje implica a una banda criminal que crea una pieza de malware que registra
pulsaciones de teclado y capturas de pantalla.
2. Los autores de malware compran una lista de direcciones de correo electrónico conocidas a un
tercero y envían el malware como un archivo adjunto de correo electrónico. El objetivo es que el
malware opere en las máquinas de las víctimas para que sus datos bancarios y contraseñas puedan
ser robadas y enviadas a los autores del malware. A partir de este punto, su trabajo está hecho.
Tienen una lista de usuarios y contraseñas de inicios de sesión bancarios.
3. Ahora, el autor del malware puede intentar retirar dinero personalmente o vender los datos a otra
banda para que finalice el proceso.
4. La banda criminal puede intentar iniciar sesión utilizando las credenciales y realizar transferencias
de dinero a intermediarios con los que haya trabajado anteriormente. En este caso, los
intermediarios suelen ser individuos inocentes o desesperados que acuerdan permitir un flujo de
dinero a través de sus cuentas a cambio de una remuneración.
5. Para finalizar el proceso, la banda criminal puede obligar a los intermediarios a comprar y transferir
criptomonedas a cuentas controladas por la banda. Una vez hecho esto, se ha completado la
campaña. Si la policía investiga el delito, el proceso a menudo finaliza en el intermediario, que es el
punto donde se pierde la pista.

Ingeniería
En este curso aprenderá aspectos acerca de la importancia de las
personas a la hora de diseñar sistemas seguros. Las personas, ya sean
empleados o clientes, a menudo son mal gestionadas en entornos de
seguridad. Se les puede dar consejos confusos o contradictorios, evitar
que sigan las buenas prácticas o simplemente pueden cansarse. Todo
esto las pone en una posición vulnerable para ser potencialmente
víctimas de un posible atacante cibernético. En esta lección,
destacaremos la ingeniería social y las técnicas que usan los atacantes.
En lugar de piratear un sistema, ¡examinemos cómo se piratea a la
persona!
¿Qué es la ingeniería social?
La ingeniería social es el arte de hacer que alguien haga lo que usted
quiere que haga. ¡Se superpone en gran medida con los campos
académicos que incluyen psicología, biología e incluso matemáticas!
En ciberseguridad, la ingeniería social es el uso del engaño para
manipular a las personas para que divulguen información confidencial o
personal que luego puede usarse con fines fraudulentos. Básicamente,
¿cómo puede alguien engañar a otra persona para que renuncie a algo
que es privado? Los ataques de ingeniería social son el arte oscuro de
usar las interacciones sociales para engañar a alguien y hacer que
cometa un error de seguridad.
Las tácticas de ingeniería social pueden emplearse en persona, por
teléfono o en línea a través de sitios web, correo electrónico y redes
sociales.
Una vez que un atacante puede hacer que un individuo realice una
determinada acción, el atacante puede obtener acceso a sistemas
confidenciales, robar activos o avanzar hacia un ataque más complejo.
Esta noción de centrarse en persuadir o engañar a las personas puede
parecer poco fiable. Pero existen muchos casos prácticos que muestran
que la ingeniería social es una técnica increíblemente poderosa para los
atacantes.
EJEMPLOS
Las tácticas efectivas de ingeniería social pueden suponer el robo de los
ahorros de personas vulnerables a través de estafas y abusos de
confianza. Para las organizaciones con sedes físicas, la ingeniería social
también incluye el seguimiento personalizado, o muy de cerca, de
individuos para obtener acceso a zonas seguras.
¿Por qué funciona la ingeniería social?
La ingeniería social funciona porque los humanos son imperfectos. Hay
dos elementos clave para esto: nuestras decisiones son irracionales y
nuestra toma de decisiones es errónea. Veamos cada uno con mayor
detalle.
Comportamiento irracional
Todos podemos exhibir un comportamiento irracional al tomar decisiones
que no coinciden con nuestros intereses a largo plazo. Si todos nuestros
comportamientos estuvieran centrados y fueran lógicos, no
presentaríamos vicios. Por ejemplo, nadie jugaría a la lotería, y todos
comeríamos sano siempre. Esto queda muy lejos de la realidad.
En ingeniería social, se pueden utilizar elementos generadores de
beneficios o codicia a corto plazo para manipular un objetivo. Estos
objetivos se ponen en riesgo y a menudo suponen la comisión de delitos
sin saberlo.
EJEMPLOS
Una mejor demostración es el ejemplo de delincuentes que persuaden a
adultos jóvenes para que actúen como blanqueadores de dinero para
bandas criminales. También existen muchos otros planes para hacerse
rico rápidamente en línea. Las víctimas, en este caso, pican el cebo en el
plan a partir de falsas promesas.
También hay casos en que la inactividad es un gran activo para la
ingeniería social. Coger atajos y la tendencia a evitar reglas son
argumentos bastante efectivos para usarlos como táctica de ingeniería
social sobre un objetivo.
EJEMPLOS
Dentro de ciertas organizaciones, los empleados pueden omitir un largo
proceso empresarial, como verificar las identidades de las personas que
llaman u obtener los niveles correctos de aprobaciones para conceder
derechos de acceso.
Toma de decisiones errónea

La toma de decisiones humanas varía mucho durante el día y depende
de circunstancias cambiantes. Por ejemplo, los colores que se muestran
en una sala, la presencia de otras personas, la cantidad de ruido y la
temperatura tienen un impacto biológico medible en las personas y
cambian sus procesos de toma de decisiones. Los atacantes se
benefician de la afectación de la toma de decisiones de un objetivo para
lograr un resultado.
EJEMPLOS
Los atacantes usan restricciones de tiempo para crear una sensación de
urgencia. Además, los atacantes pueden confundir a un objetivo
haciéndose pasar por una autoridad de confianza o incluso simulando un
posible interés amoroso. Cuando un atacante crea una razón falsa para
atacar a un objetivo, esta táctica puede etiquetarse como un pretexto.
Todos estos factores afectan la capacidad del objetivo de tomar una
buena decisión o incluso de identificar que están siendo manipulados
directamente.
¿De qué se compone un buen ataque de ingeniería
social?
Un buen ataque de ingeniería social generalmente tiene algunos
elementos comunes.
1. Está bien investigado. Si un ataque de ingeniería social está
intentando hacerse pasar por un miembro de una empresa, los
atacantes utilizarán el membrete, la jerga o el formato de la
empresa para ayudar a crear sensación de credibilidad. No todos
los métodos son igualmente eficaces para todos los casos. Los
atacantes cibernéticos investigan para determinar el mejor modo
de acción.
2. Se emite con confianza. Personalmente, los buenos ingenieros
sociales son objetivos preparados, confiados y tranquilizadores. Es
importante saber cuándo lanzar un ataque y cómo desarrollar una
relación con el objetivo. Por lo general, se desarrolla un ataque de
ingeniería social de alto valor sobre una serie de intercambios que
dan credibilidad y reducen las inhibiciones en cada intercambio.
Acelerar el proceso puede ser contraproducente y una forma de
que los ciberatacantes queden al descubierto a través de la
desesperación.
3. El ataque parece plausible y realista. Los mejores ataques de
ingeniería social son a menudo aquellos en los que la víctima ni
siquiera sabe que ha sido engañada.
¿Cómo puede uno defenderse contra la ingeniería
social?
Es importante que tanto los usuarios como los empleados sean
conscientes y se protejan contra estos ataques comunes de ingeniería
social.
Además de no confiar nunca en nadie, existe una regla simple para
defenderse contra los ataques de ingeniería social diseñados para
engañar a personas como usted. Esencialmente, la regla sagrada es que
si algo parece demasiado bueno para ser verdad, probablemente sea
falso. Por lo tanto, si alguna vez recibe una notificación de una ganancia
financiera inesperada, a partir de la nada, la propuesta de un
cazatalentos o un premio de un concurso en el cual no ha participado,
esté atento, sea curioso y no se ofusque con el posible beneficio.
Además, no tenga miedo de poner en tela de juicio a otras personas que
hacen solicitudes inusuales o parecen estar fuera de lugar. Si un colega
desconocido hace una solicitud extraña o ve a alguien merodeando en un
área restringida, lo mejor es que pida detalles al respecto o notifique sus
sospechas, según corresponda. Aunque alguien afirme haber sido
enviado por un ejecutivo de la oficina central y tener prisa por entrar en
un edificio, no hay ningún problema en hacer una pequeña pausa para
verificarlo. ¡A menudo, el coste de la verificación es mucho menor que
dejar que un impostor entre en la oficina!
Cuidado con el phishing
Específicamente para los muy comunes ataques de phishing por
correo electrónico, aquí tiene algunos consejos para ayudarle a
detectar correos electrónicos de phishing, ya sean personales o
profesionales.
1. Piense en si esperaba recibir el correo electrónico. ¿Tiene sentido

que el remitente haya elegido contactar con usted? ¿Es demasiado
bueno para ser verdad o le presiona para que actúe rápidamente?
2. Compruebe siempre la dirección de correo electrónico del
remitente. ¿Es de alguien o de una empresa que reconoce?
3. Busque el saludo. ¿Se dirige a usted con un saludo genérico como
"Querido/a señor/a", en lugar de su nombre?
4. Busque posibles errores ortográficos o de gramática en el correo
electrónico. ¿Tiene una gramática pobre o muchos errores de
ortografía?
5. Determine qué se le solicita el correo electrónico. ¿Le está
pidiendo que visite un sitio web falso? ¿Que llame a un número de
servicio al cliente falso? ¿Que abra archivos adjuntos que no ha
solicitado?
6. Busque los indicadores de alerta de una solicitud falsa (por
ejemplo, si se le solicita su información bancaria o alguna
contraseña) que normalmente forman parte del correo electrónico
de phishing. Después, no haga clic en un enlace sin verificar la
URL a la que apunta.
o ¿La URL incluye un enlace no seguro? Para saber si es un
enlace seguro, verifique que la URL empiece por "https".
o ¿La URL lo dirige a un sitio web completamente diferente?
Algunas URL intentan parecer intencionalmente legítimas;
por ejemplo, esta es una URL falsa para PayPal:
www.paypall.accountlogin.com/signin. Observe la falta de
ortografía de "PayPal".
NOTA IMPORTANTE
Si recibe un correo electrónico que cree que podría ser phishing, no

responda de ninguna manera y no haga clic en ningún enlace ni abra
ningún archivo adjunto. La mayoría de servicios de correo electrónico
tienen un método para notificar un correo electrónico como spam.
Si tiene alguna duda, puede ponerse en contacto con el remitente a
través de un canal de confianza como un número de teléfono de contacto
previamente guardado o acceder a la dirección web del servicio desde
sus registros.
Inteligencia de código abierto

La inteligencia de código abierto (OSINT) se ha convertido en un tema
importante de interés en la última década, tanto dentro de las actividades
gubernamentales como en el sector privado. El término "abierto" se utiliza
para referirse a operaciones de inteligencia que utilizan información
disponible públicamente, como la información que se encuentra en la
web abierta, blogs y sitios web. OSINT es toda la información que se
puede recopilar fácilmente sin ningún método de recogida activo, como
piratería, escuchas telefónicas, etc. En esta lección, examinaremos las
ventajas de OSINT, las fuentes y algunas áreas de interés para
organizaciones e individuos. Comprenderá mejor cómo los atacantes
pueden recopilar información sobre una organización o un individuo
objetivos.
Las investigaciones de código abierto pueden ser realizadas por
periodistas, investigadores y atacantes maliciosos. Aquí, nos
centraremos en los atacantes que utilizan estos enfoques como parte de
una fase de reconocimiento para un ataque a mayor escala.
Comparación de OSINT con otras opciones
alternativas
Las formas tradicionales de recopilación de información, como la
interferencia de teléfonos, las imágenes de satélite y las intercepciones
de inteligencia de señales, suelen ser muy caras, complejas y, a menudo,
ilegales. En comparación, el uso de información abierta puede resultar
ser virtualmente gratis y considerablemente fácil de adquirir.
EJEMPLO
¿Qué pasa si un periodista quiere localizar dónde está un miembro de un
partido político en un momento determinado? Una opción podría ser
intentar colocar ilegalmente una pieza de malware en el teléfono móvil
del individuo para conocer sus coordenadas GPS. Pero podría ser mucho
más simple vigilar de cerca la cuenta de Twitter del individuo. Todo lo
que se necesita es que uno de los ayudantes del político publique un
mensaje etiquetado de ubicación o una foto con una referencia
reconocible, y el periodista tendrá su respuesta. Si bien este ejemplo
parece simple, las unidades militares han utilizado las mismas técnicas
para realizar un seguimiento de sus adversarios en países extranjeros.
Otra ventaja de la inteligencia de código abierto es que en gran parte
es indetectable para el objetivo.
EJEMPLO
¿Qué pasa si un atacante desea recopilar información sobre los sistemas
de control dentro de una central eléctrica? Si intenta analizar la red
externa de la planta energética, se puede detectar al atacante y poner en
riesgo la opacidad de su plan. Pero si el atacante encuentra a un
ingeniero de sistemas que debate unos planes confidenciales en línea a
través de una plataforma de blogs con registros de acceso, es posible
que la compañía no pueda detectarlo.
Fuentes de información abierta
Un atacante está a punto de iniciar la recopilación de información básica
sobre una organización o un individuo. ¿Por dónde podría empezar el
atacante? Aquí tiene algunas fuentes comunes para proporcionar
ejemplos ilustrativos. Existen infinidad de fuentes posibles, y se
descubren otras nuevas constantemente.
Expanda cada sección para obtener más información sobre las fuentes.
Sitios web de empresas
 Aunque parezca demasiado evidente, el sitio web de una empresa

puede ser revelador en términos de la información que la empresa
decide poner a disposición del público.
 Puede revelar información útil, como puntos de contacto, perfiles
externos de redes sociales, creación de direcciones y mucho más.
 Las empresas pueden cometer errores con la información que
hacen pública, lo cual significa que puede que la información que
pasa al dominio público puede ser más detallada de lo que la
empresa podría desear.
 Las búsquedas pueden aumentarse con algunas funciones de
búsqueda avanzada a menudo denominadas "Google
hacking" para encontrar información más avanzada y archivos
revelados involuntariamente.
 También hay opciones para recuperar el sitio web heredado de una
empresa, como el uso de Wayback Machine. Esta puede ser una
herramienta poderosa para los atacantes, de cara a determinar
para qué se estaba utilizando un sitio web en ciertos momentos.
Medios de comunicación y noticias
 Si alguien ya ha hecho el trabajo duro, ¿por qué repetir el

esfuerzo? Hay muy buenos periodistas expertos en procesar la
información abierta.
 Si bien es poco probable que los atacantes encuentren una
coincidencia exacta para lo que están buscando, es bastante
probable que algunos artículos puedan proporcionar ayuda para
futuras investigaciones.
 Otras fuentes de información preprocesada o de base puede incluir
analistas de la industria, agencias de calificación y otros
organismos de evaluación.
Redes sociales
 En la era de las redes sociales, las personas están contentas de

poder compartir información y ponerla a disposición de todos.
 La información de las redes sociales se puede reunir de manera
bastante eficaz para obtener una perspectiva precisa sobre la vida
personal y laboral de un individuo. Por ejemplo, se tiene noticia de
empleados que comparten fotos de tarjetas de identificación,
diagramas de red e incluso notas adhesivas con contraseñas.
 Para los ciberatacantes, hasta los pequeños datos pueden agregar
credibilidad a un ataque de ingeniería social.
o Por ejemplo, si un atacante descubre que un objetivo ha
asistido recientemente a una conferencia, el atacante puede
iniciar un correo electrónico de "spear phishing" para
compartir que el atacante encontró el nombre del objetivo en
la lista de asistentes y quiere hacer un seguimiento.
Registros públicos o gubernamentales
 Muchos países del mundo mantienen registros detallados de

ciudadanos y empresas. Estas fuentes de información pueden ser
muy valiosas para los ciberatacantes.
o Por ejemplo, un conjunto de registros hospitalarios puede
identificar el lugar y la fecha de nacimiento de una persona y
un padrón electoral puede identificar la dirección de otra. La
disponibilidad de este tipo de información es una razón clave
por la cual estas informaciones nunca deberían formar parte
de un proceso de seguridad sin garantías adicionales.
 Para las empresas, muchos mercados de valores requieren que se
ponga a disposición una cierta cantidad de información financiera.
 Por ejemplo, en el Reino Unido las empresas deben proporcionar
información a la Companies House para poder operar. Toda esta
información puede ser de interés para un cibernético.
Buenas reglas para recopilar información abierta
Si está realizando una investigación con información abierta, aquí tiene
algunas pautas simples que puede seguir. A medida que tenga más
experiencia, aprenderá sugerencias y trucos adicionales, pero este
debería ser un buen punto de partida.
1. Obtener mucha información: la cantidad importa
 Cuanta más información, mejor.

 Las herramientas de análisis que buscan enlaces entre conjuntos de datos funcionan mejor con más
información.
Tenga en cuenta lo siguiente: nunca se sabe cuál será la información clave, guarde todo el material
inicial, antes de ir depurándolo.
2. Disponer de toda una gama: cree una imagen desde muchas perspectivas
 No confíe en una sola fuente.

 ¡No todo lo que está en línea es cierto! Como norma general, una sola fuente es fácil de falsificar (por
ejemplo, un perfil de redes sociales con muchas fotos halagadoras), pero es mucho más difícil gestionar la
falsificación de varias fuentes.
Tenga en cuenta lo siguiente: si descubre que un objetivo ha eliminado o ha intentado ocultar
información, este hecho puede ser de interés.
3. No se quede atascado: prepárese para fallar y no se frustre
 Si bien la inteligencia de código abierto es muy potente, hay muchos callejones sin salida y existe un punto
de suerte en lo que un objetivo puede elegir compartir.
 Es posible que deba cambiar a un enfoque diferente o a una nueva área para explorar.
Tenga en cuenta lo siguiente: las investigaciones de éxito pueden tomar semanas de trabajo de equipos
de investigadores capacitados para completarse.
Nota: Habrá muchas ocasiones durante una investigación en que la
información abierta no estará asequible. Algunas organizaciones e
individuos no tendrán tanta información pública como otras, por ejemplo,
debido a una buena seguridad operativa.
¿Por qué la inteligencia de código abierto es un área
de interés para todos?
Vivimos en un mundo altamente conectado donde el uso compartido es
frecuente. Todos debemos ser conscientes de que lo que compartimos
en línea es prácticamente permanente.
Incluso pequeñas piezas de información pueden combinarse para revelar
algo de interés externo. Este proceso se llama agregación de
información. Si bien el lugar de trabajo de una persona, la información
sobre los desplazamientos y los planes nocturnos típicos pueden ser
inocuos de forma aislada, juntos pueden usarse para realizar un
seguimiento de la vida de alguien.
EJEMPLO
Esto sería problemático en una organización en la que, hipotéticamente,
100 empleados pudieran revelar cada uno el 1% de una información
confidencial. Si una parte externa logra conjuntar las revelaciones
independientes, es posible lograr avances significativos o
descubrimientos adicionales.
Para las organizaciones, es importante tener en cuenta las técnicas
OSINT que emplean los ciberatacantes al diseñar las políticas de gestión
de la información. La conclusión es que la filtración de información es
mala para las organizaciones. Las organizaciones deben tomar medidas
para garantizar que se divulgue involuntariamente la menor cantidad de
información posible y se convierta en vulnerable para la recopilación.
Dado que tener información públicamente accesible es con frecuencia
esencial, el alcance de la información compartida debe registrarse y
comprenderse.
Actividad
Una de las mejores maneras de comenzar con la inteligencia de código
abierto es a través de un ejercicio de prueba y error. ¡Intente buscarse en
línea! ¿Qué inteligencia de código abierto podría alguien descubrir sobre
usted?
 Dedique unos minutos ahora a abrir nuevas ventanas de un

navegador de Internet para acceder a Google, a los sitios de redes
sociales, etc. para realizar algunas búsquedas de su nombre.
o Si es posible, use un navegador web nuevo sin cookies ni
historial para evitar volver a los sitios en función de su
actividad anterior. Esto se puede hacer usando ventanas de
navegador de Internet nuevas, privadas o en modo de
incógnito.
 ¿Podría alguien encontrar su dirección, lugar de trabajo u otra
información personal? ¿Qué nivel de privacidad tienen sus redes
sociales?
 Una vez que haya hecho esto, puede intentar pedir a un amigo o
familiar que repita el proceso para ver si encuentra cosas nuevas, y
preguntarle el método utilizado para llegar a estas informaciones.
¿Cuál sería su conclusión? No hay ninguna necesidad de compartir
demasiadas cosas. Estar muy atento es de gran importancia.
Exploración técnica
Las técnicas de análisis técnico son una parte esencial de la
administración de la red y del análisis de red en las organizaciones. Aquí,
centraremos nuestra atención en cómo los atacantes recopilan
información sobre sistemas y redes. Mientras investiga una máquina de
destino en una red, un atacante puede desear obtener más información
sobre la configuración técnica. Esto podría incluir detalles como:
 ¿Qué servicios se ejecutan en la máquina?

 ¿Qué sistema operativo está en uso?
 ¿Alguno de los servicios es vulnerable a ataques conocidos?
En esta lección, conocerá las técnicas de análisis técnico y para qué las
usan los atacantes. Nos centraremos en cómo el análisis puede ser
utilizado por un intruso malintencionado durante la etapa de
reconocimiento de un ataque.
Prueba de ping
¿De qué se trata?
En una prueba de ping, una máquina de análisis envía un paquete de
Protocolo de Mensajes de Control de Internet (ICMP) a la dirección de
protocolo de Internet (dirección IP) de la máquina de destino. Este
paquete de salida se denomina paquete de solicitud de eco.
Un paquete es una pequeña cantidad de datos con formato, algo similar
a la versión digital de una postal. Si la máquina de destino responde con
un paquete de respuesta de eco, la máquina de análisis sabe que la
máquina de destino probablemente esté activa y encendida.
Este diagrama muestra un teléfono haciendo "ping" a dos direcciones IP
en su red local y esperando una respuesta.
¿Qué información proporciona?

Se trata de una prueba básica. Las organizaciones la utilizan
comúnmente para depurar problemas de redes. Identifica el estado de
una máquina. También proporciona una indicación de cuán "lejos" de la
red se encuentra la máquina, utilizando una propiedad conocida como el
"tiempo de vida" de un paquete (TTL). Cada router que reenvía el
paquete en adelante disminuye el tiempo de vida en uno.
EJEMPLO
Si un paquete comienza con un tiempo de vida de 120 y llega al destino
con 108 restantes, ha pasado por 12 etapas. Esta funcionalidad se puede
usar en el siguiente análisis. Se puede iniciar una prueba de ping
utilizando el comando'ping nombre_destino' en máquinas Windows.
Una prueba de ping indica a los atacantes y defensores si una máquina
responde y, cuando se repite en un barrido, cuántos dispositivos hay en
una red.
Traceroute
¿De qué se trata?
Se puede calcular un traceroute entre dos equipos enviando paquetes
que tengan "tiempos de vida" (TTL) crecientes o decrecientes. Cuando
un paquete está en tránsito y su "tiempo de vida" se reduce a cero, la
máquina que procesa el paquete envía un mensaje de error al punto de
origen, lo cual indica que no se ha alcanzado el destino.
Este diagrama muestra un dispositivo que asigna su conexión entre sí
mismo y una dirección de destino. Una analogía física para este proceso
son los saltos en serie de una piedra lanzada en un lago, con saltos cada
vez mayores.

Este comportamiento puede usarse para asignar una red y determinar
cuántos conmutadores y routers existen entre usted y su destino.
EJEMPLO
Imagine que un objetivo está a 12 saltos de distancia. Si se envía un
paquete con un "tiempo de vida" de 11 hacia el objetivo, fallará en el
paso final de enrutamiento. Se devolverá un paquete de mensaje de error
al analizador, pero al hacerlo, se revelará la dirección IP del enrutador a
11 pasos de distancia. Como el "tiempo de vida" se reduce a uno en unas
pocas pruebas nuevas, se puede generar una lista completa de los
nodos de red entre el analizador y el objetivo.
Análisis de puertos
¿De qué se trata?
En las redes, las aplicaciones se hacen accesibles externamente a través
de servicios de publicidad en puertos digitales. Podemos imaginarlo
como pisos de un edificio. La dirección IP establecería el edificio y cada
uno de los pisos sería un número de puerto diferente.
La mayoría de los análisis de puertos se basan en la idea de intentar
abrir una conexión con un cierto número de puertos en la máquina de
destino. En caso de que el puerto comience a aceptar una conexión, el
dispositivo de análisis observa el descubrimiento y se rechaza la
conexión. Un puerto que acepta una conexión se define como "abierto".
Este diagrama muestra una máquina que analiza un servidor probando
sistemáticamente los puertos para ver si hay un servicio disponible en
cada uno. Después de cuatro intentos, el analizador ha identificado
cuatro puertos que rechazan las conexiones y se definirían como puertos
"cerrados".
Al trabajar a través de la lista de puertos "conocidos" en un dispositivo de
destino, un analizador a menudo puede determinar para qué se utiliza la
máquina. Dentro del Protocolo de Control de Transmisión (TCP), hay un
total de 65.536 puertos, de los cuales los primeros 1.024 son puertos
"bien conocidos". Un puerto "bien conocido" o de "sistema" tiene una
aplicación específica asociada que se consensúa internacionalmente. Un
analizador común, como Network Mapper (Nmap), normalmente analiza
los 1.000 puertos más comunes para un protocolo determinado. Esto
incluye algunos puertos "bien conocidos", mientras que otros serán
puertos de número superior relacionados con el usuario (1.024 - 49.151).
EJEMPLO
El puerto TCP 80 normalmente se reserva para aplicaciones http o
servidores web. El hecho de que esté "abierto" en una máquina de
destino puede resultar de interés para un investigador, ya que muestra
que una aplicación basada en web puede estar en uso.
Análisis de vulnerabilidades de red
¿De qué se trata?
Otra forma de prueba es el análisis de vulnerabilidades. Hay dos
métodos principales:
1. Se realizan ciertas acciones para explotar la vulnerabilidad, de cara

a determinar si existe en el sistema de destino. Esto a menudo se
conoce como análisis dinámico si se realiza en tiempo real.
2. Los números de versión del software (p. ej., una versión de Apache
o MySQL) se comparan con una base de datos que contiene
información conocida de vulnerabilidades de la aplicación.
NOTA IMPORTANTE
Tenga en cuenta que el análisis dinámico puede realizar

automáticamente acciones que son ilegales en ciertos países. Solo debe
analizar objetivos para los que se tiene el consentimiento del propietario.
Un análisis de vulnerabilidad de red a menudo se interpretará como la
etapa de planificación de un ataque.
El análisis de vulnerabilidades de red es una herramienta poderosa para
que ambas organizaciones identifiquen vulnerabilidades en su propia red
y para que los atacantes encuentren víctimas potenciales. Ciertas
organizaciones realizan periódicamente estos análisis para identificar
errores que se han introducido, de cara a corregirlos.
EJEMPLO
Un analizador puede intentar conectarse a un servidor y verificar si está
ejecutando una versión no actualizada de una aplicación. Si la aplicación
no está actualizada e incluye una vulnerabilidad conocida, el analizador
puede intentar explotar la vulnerabilidad para confirmar su existencia y
notificar el descubrimiento.
Motor de búsqueda para Internet
Otra herramienta para el análisis técnico es el Shodan search engine. Se
describe a sí mismo como el primer motor de búsqueda del mundo para
dispositivos conectados a Internet. Es de interés para atacantes
maliciosos e investigadores de seguridad por igual. Ofrece un amplio
catálogo de resultados de análisis recopilados que abarcan miles de
millones de registros. Estos registros almacenados se pueden usar para
rastrear aplicaciones a escala en todo el mundo.
¡MIRE ESTO!
Si está interesado en investigar y dedicar más tiempo al tema del
análisis, puede explorar un sitio popular de análisis de puertos
llamado Network Mapper (Nmap). Es un analizador de red gratuito y de
código abierto. Puede comenzar explorando la introducción, la guía de
referencia u otros materiales en línea.
Ir a Nmap
Casos prácticos
Los ataques cibernéticos están en las noticias diariamente, con un
impacto en personas individuales y organizaciones, ya sea en el sector
público o privado. En esta lección, revisaremos tres casos prácticos de
perfil elevado de ataques cibernéticos para que pueda comprender el
alcance de lo que es posible y está sucediendo en el mundo. Cada caso
práctico se centra en un tipo diferente de actor de amenaza. Estos tres
casos prácticos son parte de un catálogo cada vez mayor de infracciones
de seguridad en el panorama internacional. Como participante dentro de
la comunidad de seguridad, es importante aprender de los ejemplos para
guiar la toma de decisiones en el futuro.
Stuxnet
Presentación de las armas cibernéticas
Cuando se identificó Stuxnet en 2010, era una de las colecciones de malware más avanzadas y específicas
observadas en la comunidad de seguridad. Stuxnet fue diseñado para apuntar a un sistema de control
específico del sector y modificar la configuración clave. Está ampliamente aceptado que el malware fue
diseñado para apuntar a las centrifugadoras utilizadas en el procesamiento de uranio iraní, como elemento
precursor para la producción de bombas nucleares.
Entidades relacionadas con este ataque

Fuente: StuxNet : A malware that gave the 4th dimension to war, Medium, Shayan Anwar, julio de 2019
Aquí se presentan algunas consideraciones que hicieron que este ataque fuera particularmente interesante.
 Stuxnet utilizó cuatro vulnerabilidades no identificadas previamente y un par de certificados

digitales comprometidos, y se ocultó en un nivel muy bajo dentro de los sistemas informáticos.
Técnicamente hablando, era considerablemente más avanzado que cualquier malware anterior.
 El malware se propagó a través de unidades USB infectadas. Un error común dentro de la
ciberseguridad es suponer que si un sistema no está conectado a Internet, un adversario no podría
introducir malware en la red local.
 Los autores del malware fueron persistentes. Su campaña dirigida fue progresando durante meses
mientras seguían ajustando y actualizando las herramientas que usaban.
En muchos aspectos, Stuxnet fue el ejemplo definitivo de un arma cibernética desplegada para lograr un
objetivo militar y político concreto. Es la base de las expectativas internacionales sobre las futuras armas
cibernéticas que vendrán.

Equifax
Una infracción de datos a gran escala evitable expone a cientos de
millones de personas
En 2017, la agencia de calificación crediticia estadounidense Equifax fue hackeada. Después de que la
organización no pudo aplicar un parche de seguridad a una base de datos, un grupo de piratas informáticos
pudo obtener acceso a la red de Equifax. Dentro de la red había un conjunto de credenciales
administrativas almacenadas sin cifrado ni controles de acceso básicos. Una vez que los atacantes tuvieran
las credenciales administrativas, podían controlar la mayoría de los sistemas y lo hicieron sin ser
detectados durante meses. Según la Comisión Federal de Comercio de EE. UU., los atacantes robaron al
menos 147 millones de nombres y fechas de nacimiento, 145,5 millones de números de la Seguridad
Social y 209.000 números de tarjetas de pago y fechas de vencimiento. [1]
Este caso práctico se hizo notorio tanto por el impacto y la escala de la infracción de datos como por los
errores básicos cometidos, dentro de la organización, que lo hicieron posible. Debido a la escala de la
violación, colocó la idea de violaciones de datos en la atención de los Estados Unidos. Debido a la escala
de la infracción, hizo que las infracciones de datos recibieran una atención especial en los Estados Unidos.
[1] Equifax to Pay $575 Million as Part of Settlement with FTC, CFPB, and States Related to 2017 Data
Breach, Comisión de Comercio Federal de EE.UU, Nota de prensa, julio de 2019

Agencia de Seguridad Nacional de EE.UU.
Un intruso filtra información altamente sensible y dañina
En 2013, un subcontratista de la Agencia de Seguridad Nacional (NSA) llamado Edward Snowden publicó
una cantidad significativa de información clasificada. Pudo acceder a la información gracias a su puesto
de trabajo y mediante pocas herramientas técnicas y conocimientos.
Cuando los archivos se hicieron públicos, el impacto en los EE.UU. y sus aliados internacionales fue
considerable. Los archivos filtrados incluían descripciones generales sobre prestaciones técnicas,
orientación sobre operaciones y otro tipo de material altamente confidencial. Como resultado, salieron a la
luz varios acuerdos comerciales entre la NSA y las compañías estadounidenses, con un alto nivel de
detalles.
Este es un ejemplo bien conocido de intrusión maliciosa. Si bien no se ha hecho pública una cifra sobre el
coste de los daños, la idea general fue que la infracción de datos fue el conjunto de filtraciones más
perjudicial de la historia de los Estados Unidos.
Impacto financiero
Ya conoce los aspectos básicos de la ciberseguridad y los distintos tipos

de amenaza a los que se enfrenta una organización. Este módulo se
centra en el aspecto "defensivo" de la ciberseguridad, es decir, las
organizaciones y sus técnicas y herramientas. Cómo detectan, se
protegen y responden a los ataques. Se incluyen los siguientes temas:
 Impacto financiero de la ciberdelincuencia en las organizaciones

 Madurez de la seguridad
 Un enfoque de estrategia de seguridad que las organizaciones
pueden utilizar para defenderse de ciberataques utilizando los 10
pasos de seguridad del Centro de Ciberseguridad Nacional
 Métodos comunes que utilizan las organizaciones para:
o Evitar ciberataques
o Detectar ciberataques
o Responder y recuperarse de ciberataques
 Propiedades clave de la comunicación segura
 Criptografía simétrica y asimétrica
 Fuentes de información sobre amenazas y ventajas para las
organizaciones
Coste de las infracciones de datos

En primer lugar, vamos a ver lo perjudiciales que pueden ser los
ciberataques para las organizaciones y cuál puede ser su coste. El coste
de los ciberdelitos para las organizaciones puede ser muy gravoso y
difícil de pronosticar.
El informe anual sobre el Coste de las infracciones de datos, realizado
por Ponemon Institute y patrocinado por IBM Security, analiza los costes
de las infracciones de datos notificados por 507 organizaciones en 16
zonas geográficas y 17 industrias. Según el informe de 2019, el coste
medio total global de una infracción de datos es de 3,92 millones
USD, mientas que el coste para EE.UU. es mucho más alto, alrededor de
8,19 millones USD. El valor de EE.UU. ha aumentado significativamente
desde 2006, cuando fue de 3,54 millones USD. En este diagrama se
describen estos y otros factores clave sobre el coste medio de las
infracciones de datos. Los importes son en USD.
Fuente: Cost of a Data Breach Report: 2019, estudio realizado por

Ponemon Institute
Las infracciones de datos pueden provocar terribles pérdidas financieras
y afectar la reputación de una organización durante años. La máxima
contribución a estos costes era la pérdida de negocios. Es algo que
puede perdurar durante años después de un ataque. Asimismo, hay
sanciones por incumplimiento y costes de remediación que pueden
afectar a la organización.
EJEMPLO
En Europa, la reciente introducción del Reglamento General de
Protección de Datos (GDPR) ha complicado significativamente la labor
de las organizaciones. El límite máximo de las sanciones para las
organizaciones negligentes es considerablemente mayor que en la
legislación anterior. En julio de 2019, el Comisionado de Información del
Reino Unido intentó sancionar a British Airways con 183,39 millones de
libras (aproximadamente, 240 millones USD) por una infracción de datos
de 2018. Esta es la mayor sanción propuesta hasta la fecha y constituye
una referencia para las próximas incidencias.
Estos elevados costes debidos al impacto directo y a las sanciones
actúan como un factor clave en la industria de la ciberseguridad. En los
próximos años, cuando otras partes del mundo adopten estándares de
datos igual de estrictos que en Europa, es probable que el número de
casos de alto impacto aumente significativamente.
Cómo enfrentarse al reto del aumento de ataques
Hiscox es una aseguradora especializada global. El informe Hiscox
Cyber Readiness Report 2019™ evalúa cómo están de preparadas las
empresas para combatir los ciberataques. El informe anual encuestó
aproximadamente a 5.400 profesionales de los sectores público y privado
de EE.UU., Reino Unido, Alemania, Bélgica, Francia, España y Países
Bajos que son responsables de la ciberseguridad de su empresa. Estimó
que el coste y la frecuencia de los ataque es cada vez mayor. De hecho,
el 61% de las empresas experimentaron un ciberataque el año
pasado, comparado con un 45% en 2018.
A medida que los ciberataques alcanzan una nueva intensidad, las
organizaciones dejan de estar preparadas para enfrentarse a los retos. El
informe Hiscox Cyber Readiness Report 2019™ también descubrió que:
 Solo el 10% de las organizaciones que respondieron se
categorizaron como “expertas” en términos de ciberpreparación
 Casi el 74% se describieron como “principiantes" no preparadas,
según el modelo de ciberpreparación de Hiscox
Pueden ver que los ciberataques son un coste inevitable de hacer
negocios hoy día. Las organizaciones todavía tienen que hacer algunos
progresos antes de estar ciberpreparadas y también deben desarrollar
estrategias de seguridad.
Una buena metáfora de un ciberataque es el de un contaminante del
medio ambiente. La acumulación de ataques es algo que todos debemos
gestionar, no se pueden ignorar para siempre y el problema empeora con
la inacción.
Estrategia de seguridad
Para combatir los ciberataques y protegerse, las organizaciones deben
diseñar e implementar una estrategia de seguridad. Son dos caras de la
misma moneda: ¿cómo puede la organización mitigar las amenazas y
aumentar su preparación frente a una infracción de seguridad? En esta
lección, analizaremos la madurez de la seguridad, diez pasos que se
deben implementar como parte de la estrategia de seguridad de una
organización, y consideraciones adicionales.
La evolución de la madurez de seguridad
Como las personas, las organizaciones cambian con el tiempo. Esto se
refleja en la ciberseguridad como el nivel de madurez o experiencia.
Para una organización, es importante saber dónde se
encuentra actualmente y dónde desea estar estratégicamente en
el futuro en términos de su evolución de madurez de seguridad.
Determinadas organizaciones puede que no se hayan centrado en la
ciberseguridad y que sean más inmaduras desde el punto de vista del
sistema. También hay organizaciones maduras que están más "curtidas
en la batalla" porque han dado prioridad a la ciberseguridad desde hace
más tiempo.
En la tabla siguiente, se proporcionan varios ejemplos para entender el
grado de madurez de la seguridad de una organización a partir de varias
métricas.
a Signo de menos madurez Signo de más madurez
esos Los procesos pueden ser ad hoc o no se describen Los procesos se describen, revisan, miden y prueban.
formalmente.
a Signo de menos madurez Signo de más madurez
razgo No se han configurado formalmente roles de Descripciones de trabajo claras y liderazgo de arriba a
ciberseguridad o muy pocos. Los empleados pueden tener abajo para dar soporte a la estrategia de ciberseguridad
la ciberseguridad como una consideración secundaria
aparte de su rol principal. Existe muy poco liderazgo
formal.
amienta Existe muy poca inversión en herramientas. Pueden Las herramientas de ciberseguridad se aprovisionan co
utilizarse algunas herramientas de ciberseguridad si son resto del software y como parte de un presupuesto
gratis o están incluidas en otros paquetes de software. estructurado.
ura Muy poca gente piensa en la ciberseguridad. La ciberseguridad es una parte clave de la cultura de un
organización.
Nota: en lugar del obvio sí o no, es importante resaltar que la madurez
en ciberseguridad es una escala. Una organización puede mostrar
desarrollo en un área y no ser madura en otra.
¡COMPRUÉBELO!
Si desea obtener más información, a continuación se describen los cinco
niveles de madurez de seguridad que ofrecen la Revisión del Programa
de Asistencia de Seguridad de la Información (PRISMA) de NIST.
Niveles de madurez de seguridad: Revisión del Programa de Asistencia
de Seguridad de la Información (PRISMA)
Punto de partida para las organizaciones

Puede ser difícil para las organizaciones decidir dónde empezar con la
ciberseguridad y dónde centrar los recursos disponibles, por ejemplo, los
empleados, el capital y el tiempo. Un enfoque es considerar los
siguientes 10 Pasos para la Ciberseguridad ofrecidos por el Centro de
Ciberseguridad Nacional del Reino Unido.
Entender el ciberentorno y adoptar un enfoque que tenga en cuenta los
10 pasos puede ser una forma eficaz de ayudar a las organizaciones a
estructurar sus defensas contra los ataques.
Un enfoque eficaz de ciberseguridad empieza por establecer un régimen
de gestión de riesgos eficaz. Esto se visualiza en el centro del siguiente
diagrama. A continuación, se describen este primer paso y los nueve
restantes. En este módulo, analizaremos más detalladamente un par de
pasos relevantes, los centrados en la supervisión y la gestión de
incidentes.
Aumente o descargue el diagrama y dedique un par de minutos a revisar
los 10 pasos para tener una descripción general.
Ver más grande
Los 10 pasos para la seguridad cibernética son:
 Configurar el régimen de gestión de riesgos

 Seguridad de red
 Educación y conciencia del usuario
 Prevención de malware
 Controles de medios extraíbles
 Configuración segura
 Gestión de privilegios de usuario
 Gestión de incidencias
 Supervisión
 Trabajo doméstico y móvil
Descargue la infografía
Acceda al resumen ejecutivo que describe cada paso para obtener más
información
Mercado del sector de la seguridad
Otra consideración para las organizaciones que inician una estrategia de
ciberseguridad es que es improbable que deban empezar desde cero o
trabajar de manera aislada para lograr sus objetivos. Es mucho lo que se
ha creado y desarrollado ya. Hay un amplio mercado en el sector de
productos y servicios de seguridad. La mayoría de grandes empresas
tienen productos de varios proveedores de ciberseguridad. Por
ejemplo, pueden adquirir a un proveedor un sistema de prevención de
pérdida de datos en una base de datos para evitar el robo de información
y adquirir un cortafuegos a otro. Estas distintas compañías pueden
contribuir cada una a formar un vibrante ecosistema soportado por una
amplia gama de autoridades estándar, organizaciones benéficas y
entidades gubernamentales.
Protección contra ataques

El primer interés de una organización respecto a la ciberseguridad
es evitar que un ataque tenga éxito. En esta lección, veremos cómo
puede conseguirse en la práctica y analizaremos algunos enfoques
comunes que siguen las organizaciones.
¿Cuál es el objetivo?
Una seguridad absoluta en el mundo real, donde sea imposible realizar
un ataque, desgraciadamente es poco factible. Aunque se puede
garantizar el perfecto funcionamiento de programas pequeños o
sencillos, un sistema interconectado realista es mucho más complejo.
Por lo tanto, el énfasis se pone en dificultar al máximo los ciberataques.
Si un responsable de defensa sabe que se necesitan 100.000 USD de
recursos para poner en peligro un sistema que solo vale 80.000 USD
para un atacante, no es probable que se produzca el ataque y la defensa
puede "funcionar" a pesar de sus imperfecciones.
El objetivo en ciberseguridad es reducir el riesgo operativo a un
nivel aceptable mediante la introducción de la combinación correcta
de personas, procesos y tecnologías.
Teniendo en cuenta este objetivo, vamos a examinar algunas estrategias
generales con las que las organizaciones pueden evitar los
ciberataques.
Examinar el perímetro
Uno de los primeros conceptos a tener en cuenta es el de la superficie
de ataque. En ciberseguridad, este término hace referencia a la suma
total de la infraestructura de una organización y el entorno de software
expuesto donde el atacante puede decidir atacar. La protección de la
superficie de ataque era mucho menos complicada cuando las
organizaciones tenían un "perímetro" definido que separaba claramente
sus activos del mundo exterior. Actualmente, mantener la superficie de
ataque lo más pequeña posible es una medida de seguridad básica. Esto
puede hacerse limitando qué servicios son extremadamente accesibles,
qué dispositivos pueden conectarse, etc.
EJEMPLO
Supongamos que una organización tiene un sistema de registro de
pagos. Desea que los empleados puedan acceder a él desde un
pequeño número de oficinas. Una buena estrategia de seguridad sería
restringir el acceso a un número fijo de puntos de acceso que son
necesarios. El tráfico externo, por ejemplo, el de la Internet más amplia
puede ignorarse en el perímetro. Esta regla simple reduce drásticamente
el alcance de los atacantes. En lugar de tener miles de millones de
direcciones de Protocolo Internet (IP) desde las que lanzar un ataque, el
atacante se verá obligado a poner en peligro un dispositivo de confianza
y utilizarlo para realizar los ataques. Esto aumenta la dificultad para el
atacante.
En los últimos años, las organizaciones han aumentado su complejidad
con métodos de acceso remoto, WiFi de invitado, políticas de Traiga su
propio dispositivo (BYOD), etc. Es difícil conseguir tener un perímetro
seguro. Como mínimo, las organizaciones deben considerar su perímetro
y supervisarlo como parte de una estrategia de ciberseguridad mayor y
más completa.
Segregación de red
Un enfoque importante cuando se diseña un sistema más seguro es
utilizar una zona desmilitarizada (DMZ). Este término proviene del
lenguaje militar. En una red, se utiliza para hacer referencia al área
intermedia en la red que se controla y gestiona parcialmente. Los
servidores de la DMZ pueden ser utilizados por aplicaciones internas y
externas.
La arquitectura a menudo se configura para que una parte externa pueda
acceder a los datos en la DMZ, pero no al área de red confidencial. Por
ejemplo, un cliente externo puede realizar pedidos en un sistema de
pago digital o acceder al correo, pero no a la información confidencial de
la compañía.
Si un área de una organización se ve afectada durante un ataque, este
no se propaga inmediatamente a los otros sistemas más confidenciales.
Un atacante que pone en peligro un servidor en la DMZ necesitará un
segundo ataque con éxito para avanzar en la organización.
Este diagrama muestra que un usuario externo legítimo puede acceder a
las aplicaciones y los servidores de color azul verdoso, pero no a las
aplicaciones y los servidores de color azul, que son más confidenciales.
Menor privilegio
Para las organizaciones, es importante decidir los niveles de permiso de
las aplicaciones y las personas dentro de una organización. Para ello, un
elemento clave es introducir el concepto de menor privilegio. Esto
significa que se otorgan los menores permisos para poder completar un
rol.
EJEMPLO
Una organización configura su base de datos de recursos humanos (HR)
de forma que los gestores tienen acceso de solo lectura a los datos para
los roles de trabajo que gestionan. Si un atacante roba las credenciales
de un determinado gestor, el atacante solo podrá poner en peligro la
confidencialidad de esos registros específicos. El atacante no podrá
modificarlos, ya que son de solo lectura. Tampoco podrán acceder a las
aplicaciones de otras áreas del negocio. .
Al introducir este control, la organización reduce las consecuencias de un
ataque con éxito cuando se compara con un sistema menos restringido.
En términos de riesgo, reducimos las consecuencias en este ejemplo.
También puede que oiga el término militar "radio de explosión" aplicado
en este contexto, donde el radio indica el área de efecto de un ataque. La
reducción de permisos es una buena forma de limitar el "radio de
explosión".
Gestión de parches y vulnerabilidades
Gestión de parches es el proceso de actualizar el software y gestión de
vulnerabilidades es el proceso de identificar los errores en el software.
Con el tiempo, puede que se descubran vulnerabilidades en el software
más antiguo. Las organizaciones que ejecutan un software obsoleto son
vulnerables a exploits antiguos. Asimismo, las nuevas versiones del
software pueden introducir nuevas vulnerabilidades. En general, la
actualización del software y las aplicaciones a la versión más reciente
reduce significativamente la probabilidad de que el ataque tenga éxito.
Cuando el software llega al final de su vida y ya no está soportado, su
gestión se convierte en un problema para los empleados de seguridad. Si
se descubre una vulnerabilidad, el proveedor de software puede que no
emita un parche de remediación.
Para evaluar qué software es vulnerable a un ataque específico, una
organización puede utilizar un escáner de vulnerabilidades. Es un
software que evalúa si hay vulnerabilidades en un servidor o una
aplicación. Los escáners de vulnerabilidades pueden basarse en la red
para examinar las vulnerabilidades mediante pruebas activas, o bien
pueden escanear el código fuente estático en busca de posibles errores.
Ambos escáners generan información útil para identificar los puntos
débiles antes que el atacante.
En relación con la idea de gestión de vulnerabilidades, también
existen controles compensatorios. Si se identifica una vulnerabilidad
para la que no hay disponible un parche, puede buscarse una solución
temporal. Incluye la opción de revertir una aplicación a una versión
anterior o inhabilitar una característica.
Defensa en profundidad
Una consideración clave final de defensa es que las organizaciones
utilicen un método por capas. El término defensa en
profundidad proviene originalmente del ejército y hace referencia a no
utilizar una única forma de defensa, sino disponerlas en capas. En TI,
esto significa que una organización puede aplicar defensas de red como,
por ejemplo, cortafuegos; defensas de dispositivos como, por ejemplo,
escáners de malware; y controles en datos clave mediante el uso del
cifrado.
Para que un ataque tuviera éxito, deberían burlarse todas las capas de la
defensa, lo cual es bastante difícil.
Este diagrama muestra el concepto de capas de la defensa en
profundidad.

preguntas. Esto es necesario para terminar la lección.
Detección de ataques
Si las defensas de una organización no consiguen evitar con éxito un
ciberataque, la siguiente prioridad de la organización será detectarlo.
Esto se realiza idealmente mientras el ataque está en curso o, en el
mejor de los casos, cuando la infracción no se ha producido todavía. En
esta lección, examinaremos los conceptos básicos de la detección de
ataques.
Registro
Lo más importante que debe establecer una organización para detectar
un ataque es alguna forma de registro. El registro es el proceso por el
que las acciones se registran con precisión en una ubicación segura. Los
registros deben estar a prueba de manipulaciones y actuar como un
registro permanente de lo que ha ocurrido en una red. Este proceso de
registro puede realizarse en aplicaciones o máquinas individuales.
Aunque una entrada de registro individual puede que no sea muy útil de
manera aislada, la organización puede utilizar una mayor recopilación
para realizar un seguimiento de los usuarios legítimos y los atacantes.
EJEMPLO
Este es un ejemplo de un formato de registro utilizado por los servidores
web Apache:
9.12.156.2 - bob [11/Jan/2020:14:16:34 -0700] "GET /index.html
HTTP/1.0" 200 4066
Puede ver que esta entrada de registro describe a un usuario llamado
"bob" que accede a una determinada página web con una anotación del
estado y la hora.
Supervisión de red
Además de registrar los sucesos que ocurren en los servidores, las
organizaciones también pueden supervisar las comunicaciones en su
red. Este enfoque se conoce como análisis de tráfico. El análisis de
tráfico puede utilizase para identificar qué se está haciendo en una red,
incluso de manera pasiva, mientras se utiliza el cifrado.
Determinados tipos de software malicioso que cambian de un dispositivo
a otro a menudo se detectan en una buena solución de supervisión de
red porque son demasiado obvios.
EJEMPLO
Si un dispositivo se está utilizando para transmitir vídeo, tendrá un
elevado consumo de ancho de banda en un periodo largo.
En comparación, si un dispositivo está descargando un archivo
grande, se observará un gran pico de demanda y después poco o nada.
Herramientas de Gestión de sucesos e información de
seguridad (SIEM)
Con toda la información recopilada, la correlación se convierte en una
tarea muy difícil y beneficiosa para las organizaciones. Un producto
de Gestión de sucesos e información de seguridad (SIEM) recopila
toda la información a través de las infraestructuras de tecnología de la
organización, y la agrega para que el equipo de ciberseguridad pueda
identificar sucesos y patrones de posibles ataques, así como analizarlos.
Esta es una captura de pantalla de un servicio SIEM denominado IBM
QRadar on Cloud. Es un software de análisis e información de seguridad
de red para supervisar amenazas y ataques internos.
Ver más grande
EJEMPLO
Un equipo de ciberseguridad que utiliza un producto SIEM puede decidir
que desea detectar un intento de inicio de sesión de fuerza bruta para
una determinada cuenta. Pueden definir un umbral de cinco inicios de
sesión fallidos por minuto. Si un atacante intenta comprometer una
cuenta del sistema probando millones de combinaciones de nombre de
usuario y contraseña, el atacante excederá el umbral y desencadenará
una alerta en SIEM, que avisa al equipo de ciberseguridad.
Centro de operaciones de seguridad (SOC)
A menudo, el grupo responsable de proteger la seguridad de una
organización forma parte de un centro de operaciones de seguridad
(SOC). Uno de los objetivos clave del SOC es detectar ataques en curso
utilizando SIEM y otras herramientas de supervisión.
Los analistas de seguridad forman el equipo de personas responsable de
evaluar la seguridad de una organización en el SOC. Si se detecta un
ataque o posible ataque, los analistas de seguridad decidirán cómo
responder a la situación siguiendo procedimientos de la organización.
Esta fotografía muestra el Centro de operaciones de ciberdefensa de
Microsoft. Opera 24×7 para defenderse de ciberamenazas.
Fuente: Microsoft’s Cyber Defense Operations Center shares best

practices, Microsoft Secure Blog Staff, enero de 2017
Falsas alarmas
Uno de los equilibrios más difíciles en un SOC es ajustar la
confidencialidad de distintos umbrales. Hay casos en los que puede
desencadenarse una alerta aunque la acción sea legítima. Esto se
denomina un falso positivo, en el que se registra un suceso como
malicioso cuando no lo es.
Confirmar si una alerta es un falso positivo es responsabilidad del
analista de seguridad. Si una alerta desencadena demasiados falsos
positivos, deberán ajustarse los umbrales en valores más altos.
EJEMPLO
Puede provocarse un falso positivo cuando una empleada vuelve al
trabajo de sus vacaciones y olvida su contraseña. Si la empleada intenta
adivinar su contraseña incorrectamente, sus repetidos intentos pueden
exceder el umbral y desencadenar una alerta.
Actividad
En esta actividad, puede ponerse el sombrero de detective para revisar
atentamente el siguiente conjunto de datos. La tabla muestra un registro
de los archivos de una organización que se modifican en un periodo
de tiempo fijo, desde las 12 de la medianoche. Por su experiencia, sabe
que esta actividad es bastante predecible con elevados niveles de
automatización. ¿Puede identificar un intervalo de tiempo en el que se
haya producido una gran cantidad de actividad de manera
inesperada? Una inusual cantidad de cambios puede indicar una
actividad desconocida o no autorizada.
Respuesta a los ataques
Incluso aunque dispongan de las mejores defensas, es inevitable que
todas las organizaciones deban responder a un ataque cibernético en
algún momento. Diseñar unos sistemas resistentes a través de
preparación y procesos bien definidos resulta una parte fundamental de
la planificación de la seguridad. En esta lección, presentaremos los
conceptos básicos de respuesta a incidencias.
Presentación de la respuesta a incidencias
El SANS Institute ofrece muchos cursos, eventos y recursos de
formación disponibles en línea. Uno de los documentos que produjeron
es el Incident Handler’s Handbook de Patrick Kral, que proporciona un
buen marco para la gestión de incidencias. Repasaremos brevemente
las seis fases que los profesionales de ciberseguridad pueden utilizar de
forma conjunta para responder a una incidencia.
1. Preparación
 En esta fase, una organización debe comenzar a planificar qué hará en caso de producirse una incidencia.
 Los pasos típicos pueden implicar la preparación de recursos y procedimientos de prueba.
2. Identificación
 El primer paso para responder a una incidencia es detectarlo.

 Una vez que se ha confirmado una incidencia, el proceso continúa a la siguiente fase.
3. Contención
 Tan pronto como se detecta una incidencia, la prioridad es evitar que la situación empeore.
 Los pasos pueden incluir segregar redes o cerrar rutas de acceso o determinados sistemas.
4. Erradicación
 Al igual que una enfermedad en el cuerpo humano, determinados tipos de malware o atacantes deben
eliminarse por completo para mantener la seguridad.
 Durante el paso de erradicación, los dispositivos se pueden borrar o restaurar a estados seguros.
 Hay innumerables ejemplos en los que la erradicación incompleta provoca la reaparición de malware, por
lo que ser exhaustivo resulta fundamental.
5. Recuperación
 Una vez que se resuelva la incidencia, se requiere volver al funcionamiento normal.
 Esto puede implicar la eliminación de arreglos temporales o la restauración de determinados servicios.
6. Reflexión
 Después de la incidencia, es importante tener la oportunidad de reflexionar no solo sobre aquello que ha
causado la incidencia, sino el nivel de efectividad de la respuesta.
 Comúnmente, esta fase puede denominarse fase de las "Lecciones aprendidas". Sin embargo, "Lecciones
identificadas" puede ser un título más adecuado si no se realizan cambios.

Puede ver que este marco de incidencias proporciona un buen punto de
partida para empezar a crear una estructura. Ciertas formas de ataque o
incidencias pueden requerir la ampliación de determinadas etapas. Por
ejemplo, un evento de infracción de datos desde un dispositivo de
almacenamiento perdido puede no tener muchos pasos de erradicación,
pero el proceso de recuperación pude ser más largo, con un mayor
número de partes interesadas implicadas.
Preparación frente a incidencias
Como parte de las actividades empresariales estándar, muchas
organizaciones realizarán varias actividades simuladas para evaluar su
nivel de preparación. Esta tabla explica tres modalidades de pruebas de
este tipo.
Pruebas escritas Ejercicios de mesa Pruebas en directo
En esta prueba, se encuesta a los Este es un formato de prueba más La forma de prueba más realista
equipos de seguridad y se les complicado. En esta prueba, se reúne es realizar un ejercicio dentro de
hacen preguntas sobre su nivel de a varios miembros del personal clave y los sistemas de trabajo real. Las
preparación. Esto puede suponer se simula de principio a fin el proceso organizaciones pueden bloquear
identificar al personal clave, de respuesta a incidencias. Esta forma sus sistemas clave para probar
garantizar que se realicen copias de prueba permite a los equipos errores diversos y ver cómo
de seguridad y producir interactuar entre sí y ver cómo se responden sus equipos.
documentos del proceso, bajo puede desarrollar el escenario más
demanda. completo.

Continuidad del negocio y recuperación tras desastre
Vamos a examinar dos conceptos clave que debe conocer con respecto
a la respuesta frente a incidencias.
1. Continuidad del negocio: se basa en la capacidad de una

organización para continuar funcionando a pesar de una incidencia.
Puede implicar tener sitios de copia de seguridad para hacerse
cargo de la prestación de servicios o una tecnología de copia de
seguridad para asumir la responsabilidad si se produce un error
general.
2. Recuperación tras desastre: se basa en la capacidad de una
organización para recuperarse en caso de producirse un desastre.
Un desastre de ciberseguridad puede suponer el borrado de todos
los sistemas de una organización o la eliminación de bases de
datos completas. En este proceso de planificación de recuperación,
las organizaciones deben estar preparadas para comenzar
prácticamente sin nada.
Tanto los procesos de planificación de continuidad como los de
recuperación tienen altos niveles de superposición con otras funciones
de seguridad. Si bien antiguamente las preocupaciones se centraban
principalmente en desastres naturales, como inundaciones, terremotos o
incendios, cada vez resulta más evidente que los ataques cibernéticos
pueden ser igual o más perjudiciales que los desastres naturales.
Mientras que para una organización multinacional es extremadamente
improbable que todos sus sitios se vean afectados por un corte de
energía simultáneamente, resulta mucho más plausible que se produzca
un ataque cibernético que apague los servicios globales clave, como los
archivos compartidos de una organización o sus sistemas de
administración de dominio.
Ventajas de disponer de equipos de respuesta a
incidencias
Las ventajas de disponer de equipos de respuesta a incidencias puede
destacarse mediante el siguiente análisis extraído del informe 2019 Cost
of a Data llevado a cabo por el Instituto Ponemon y patrocinado por IBM
Security.
Las empresas estudiaron que disponer de un equipo de
respuesta a incidencias y de pruebas exhaustivas de sus planes
de respuesta supuso un ahorro de más de 1,2 millones de USD.
La capacidad de una organización para responder eficazmente tras una
infracción de datos quedó reforzada por la presencia de un equipo de respuesta
a incidencias (IR) que seguía un plan de respuesta a incidencias. En la
investigación de este año, descubrimos que las organizaciones con un equipo de
respuesta a incidencias ampliaron sus ahorros de costes al realizar también
pruebas exhaustivas de su plan de IR, de modo que el efecto combinado del
equipo de IR y las pruebas del plan de IR produjo un mayor ahorro de costes que
cualquier otro proceso de seguridad. Las organizaciones que realizaron pruebas
exhaustivas de un plan de IR tuvieron un coste total promedio por infracciones
de 1,23 millones de USD inferior al de las que no tenían un equipo de respuesta
a incidencias o probaron su plan de respuesta a incidencias (3,51 millones de
USD frente a 4,74 millones de USD). Probar el plan de respuesta a incidencias,
a través de ejercicios de mesa o simulaciones del plan en un entorno como un
recinto cibernético, ayudó a los equipos a responder más rápidamente y a
contener potencialmente la infracción con más anticipación.
Introducción de la criptografía
En esta lección, presentaremos el campo matemático de la criptografía.
La criptografía es fundamental para comprender los conceptos vitales
dentro de la seguridad de la información y es algo que todos los
profesionales de ciberseguridad deben dominar para tener éxito.
La criptografía se define como el arte de escribir y resolver códigos.
Al comienzo de este curso, ya expusimos que mantener la información
como confidencial es uno de los objetivos clave de la seguridad de la
información. Guardar y compartir secretos han sido retos que han
existido durante miles de años. Si bien los métodos para lograrlo han
cambiado significativamente a lo largo de los años, los objetivos han
seguido siendo prácticamente los mismos.
Definición de comunicaciones seguras
Imagine una situación con tres participantes: Alice, Bob y Eve. Estos
tres personajes se han utilizado durante muchos años en el campo de la
criptografía para ilustrar conceptos. Alice y Bob quieren comunicarse de
forma segura y Eve quiere espiar la conversación.
Hay tres propiedades clave que deben tenerse en cuenta para
efectuar comunicaciones seguras de confianza.
Propiedad 1: Confidencialidad
Alice puede enviar un mensaje a Bob sin que Eve pueda entender su
contenido. Esta propiedad significa que el mensaje es privado.
Propiedad 2: Autenticidad
Eve no puede enviar un mensaje a Bob haciéndose pasar por Alice. Esta
propiedad se relaciona con el hecho de garantizar que la suplantación de
identidad sea imposible.
Propiedad 3: Integridad
Si Eve modifica un mensaje entre Alice y Bob, el receptor podrá
identificar que el mensaje ha sido modificado. Es posible manipular los
mensajes sin conocer su contenido. Por ejemplo, las personas pueden
hablar en voz alta para interrumpir una conversación presencial en un
idioma que no entienden.

Estas tres propiedades se logran mediante una variedad de algoritmos
matemáticos y otras técnicas. ¡Antiguamente, podrían ser cajas
precintadas y sellos de cera, pero para este curso, nos centraremos más
en las opciones matemáticas!
Cifrado
El cifrado es el proceso mediante el cual un mensaje se convierte en algo
que no se puede entender, excepto para quien tenga una clave de
descifrado para revertir el proceso. Cuando un mensaje se ha convertido
a un estado ilegible, se dice que está cifrado. A nivel general, hay dos
formas de cifrado en uso para el mundo actual: simétrico y asimétrico.
Cifrado simétrico
En el cifrado simétrico, el algoritmo para cifrar la información utiliza
la misma clave que el proceso de descifrado. El cifrado simétrico es
rápido y fácil de implementar. Se basa en que tanto el remitente como el
receptor tienen acceso a la misma clave, como una contraseña o
"secreto compartido", para mantener un enlace de información privada.
EJEMPLO
Un ejemplo simple es el cifrado basado en la rotación, donde los
caracteres aumentan o disminuyen en un número fijo de posiciones en el
alfabeto. El número de posiciones para avanzar y retroceder actúa como
la clave. Si el remitente está usando una clave de +1, los caracteres
rotan hacia adelante 1 posición y el receptor luego usa una rotación de -1
para recibir el mensaje original. En este cifrado, la palabra "FIESTA" se
cifra mediante un desplazamiento +1 en el alfabeto, para pasar a ser
"GJFTUB".
Los algoritmos en uso actualmente que siguen los modelos simétricos

incluyen versiones del Estándar de cifrado avanzado (AES). ¡Es lo que
probablemente usa su navegador para ver esta página de forma segura!
Cifrado asimétrico
En el cifrado asimétrico, el proceso para cifrar la información utiliza
una clave distinta para descifrar la información. Estas claves se
conocen como claves públicas y claves privadas. Se generan de forma
simultánea. Cuando se genera una clave pública, puede compartirse con
cualquier usuario. Cualquier persona que tenga una copia de la clave
pública puede cifrar un mensaje, que solo el titular de la clave privada
podrá descifrar.
EJEMPLO
En este diagrama, Alice es el remitente y Bob es el receptor. Representa
el proceso de transmisión. Alice cifra un mensaje mediante la clave
pública de Bob. Cuando el mensaje está cifrado, solo puede descifrarse
usando la clave privada de Bob. El mensaje cifrado se envía a Bob. Bob
puede descifrar el mensaje utilizando su clave privada. Resulta esencial
que Bob no comparta su clave privada con nadie, ya que de lo contrario,
podrían leer todos sus mensajes entrantes.
La principal ventaja que ofrece el cifrado asimétrico es que las

organizaciones pueden comunicarse de forma segura con una entidad
con la que no han intercambiado previamente una "clave". Además,
puede garantizar que se está enviando un mensaje al destinatario
correcto.
EJEMPLO
Una de las ventajas de la criptografía asimétrica puede ejemplificarse
mediante las compras en línea. Los clientes pueden comprar productos
en tiendas sin tener que ir físicamente a la ubicación para crear una clave
simétrica, única y compartida.
Si la criptografía simétrica fuera la única opción, la clave simétrica
acordada debería usarse para cifrar y descifrar todas las transacciones
futuras entre el cliente y la tienda.
En comparación, usar la criptografía asimétrica es cómodo y ahorra
tiempo, ya que no es necesario el encuentro presencial. Sin esta ventaja,
sería prácticamente imposible utilizar las compras en línea de manera
segura.
Introducción a la inteligencia de amenazas

Tradicionalmente, en las operaciones militares, la inteligencia a menudo
se percibe como un multiplicador de fuerza. Permite a un general usar los
recursos que tiene a su disposición para lograr su mayor impacto.
Si conoces al enemigo y te conoces a ti mismo,
no temas el resultado de cien batallas;
si te conoces a ti mismo, pero no conoces al enemigo,
por cada batalla ganada perderás otra.
— El arte de la guerra, Sun Tzu

En el mundo moderno de la ciberseguridad, conocer a tus enemigos es
dominar la inteligencia de amenazas.
En esta lección, trataremos brevemente sobre cómo se benefician las
organizaciones de estar al corriente de la inteligencia de amenazas y las
fuentes que usan comúnmente.
¿Qué es la inteligencia de amenazas?
Como concepto básico, el Ministerio de Defensa del Reino Unido define
la inteligencia como “la adquisición y análisis dirigidos y coordinados de
información para evaluar capacidades, intenciones y oportunidades de
explotación por parte de líderes en todos los niveles.”
Fuente: Joint Doctrine Publication (JDP) 2-00: Understanding and
intelligence support to joint operations, tercera edición, agosto de 2011
Posteriormente, la inteligencia de amenazas cibernéticas son datos
recopilados y analizados por una organización para comprender los
motivos y el comportamiento de los ciberatacantes. Este es un
subconjunto del panorama de la inteligencia, que exploraremos más a
fondo.
Dentro de la ciberseguridad, la inteligencia generalmente se centra en
las tácticas, técnicas y procedimientos (TTP) del atacante u
otros indicadores de compromiso (IOCs). ¿Qué significan estos
términos?
 Tácticas son el "por qué", que significa el objetivo táctico del

adversario o el motivo para realizar una acción. Por ejemplo, un
adversario puede querer aumentar sus privilegios.
 Técnicas son el "cómo", es decir, las formas en que un adversario
logra un objetivo táctico realizando una acción. Por ejemplo, un
adversario puede omitir los controles de acceso para aumentar sus
privilegios.
 Procedimientos son la implementación específica que el
adversario utiliza para las técnicas. Por ejemplo, un adversario
puede usar una herramienta o un programa específico para
aumentar sus privilegios.
 Indicadores de compromiso (IOCs) son firmas relacionadas con

la actividad del atacante. Por ejemplo, determinadas direcciones IP
pueden estar asociadas con grupos de amenazas o con ciertos
archivos. La presencia de un IOC puede indicar que una
organización ya ha quedado en riesgo en algún momento, de ahí el
nombre.
Ventajas de la inteligencia de amenazas
Las organizaciones pueden beneficiarse de la inteligencia de amenazas
en las siguientes áreas.
Provisión de una  Una ventaja clave de la inteligencia de amenazas es que permite a las
advertencia organizaciones prepararse para los ataques.
 Ciertos desarrollos geopolíticos o técnicos tienen el potencial de cambiar el perfil de
riesgo de una organización con bastante rapidez.
 Disponer de algún tipo de aviso previo para que las organizaciones puedan preparar
mejor sus defensas de cara a evitar que ocurra un ataque.
Provisión de indicadores  La inteligencia de amenazas ayuda a las actividades de detección gracias a la

de compromiso (IOCs) provisión de indicadores de compromiso.
 Pueden ser determinadas direcciones IP utilizadas por atacantes, hash de archivos o
dominios.
 Un defensor dentro de una organización puede buscar estos signos y agregar reglas
de detección para alertar cuando se detecten.
Provisión de contexto  Si una organización descubre que ha sido atacada desde una ubicación o un grupo
desconocido, la organización puede usar fuentes de inteligencia para empezar a
conocer al atacante.
 El contexto puede incluir información útil para colaborar en la atribución y la
orientación sobre qué debe esperarse a continuación.
Aprendizaje a partir de  Hay algunas cosas que se aprenden mejor a partir de otras experiencias.
experiencias similares  Las organizaciones pueden compartir información sobre cómo han sido atacadas por
sus atacantes, cómo se han defendido y qué efectividad han tenido sus enfoques.
 Estas historias compartidas son un método excelente para fortalecer a toda a la
industria.

Fuentes de inteligencia de amenazas
Recopilar y desarrollar inteligencia sobre amenazas puede ser una tarea
compleja. Las organizaciones pueden participar en investigaciones
principales en las que se investigan a sí mismas o recopilan información
secundaria de otra fuente. Estas son algunas fuentes comunes de
inteligencia de amenazas que utilizan las organizaciones.
Plataformas de intercambio  Existen varias plataformas en línea que permiten a los profesionales de la
de amenazas ciberseguridad acceder a bases de datos de información y análisis recopilados.
 Pueden variar desde plataformas gratuitas hasta otras que se proporcionan bajo
un modelo de suscripción o en grupos sectoriales cerrados.
 Un ejemplo es la plataforma IBM X-Force Exchange platform.
Conferencias  Las conferencias son un buen método para que los profesionales de la seguridad
cibernética compartan los últimos avances en el sector.
 Algunos investigadores hacen públicos sus descubrimientos para obtener un
mayor impacto publicitario sobre un evento.
 También se generan oportunidades para recopilar información de conversaciones
informales en conferencias y redes.
 Entre las conferencias se incluyen eventos como Black Hat, RSA Conference,
and CYBERUK.
Artículos y noticias  Algunos medios de comunicación dedican esfuerzos considerables a cubrir los
desarrollos en el mundo de las TI. Un ejemplo es Security Intelligence.
 A medida que ciertos problemas de seguridad se han vuelto más importantes, la
cantidad de cobertura ha aumentado significativamente.
 También existe una buena colección de sitios más pequeños, además de los
medios tradicionales, destinados a un público más especializado. Entre los
ejemplos de blogs se incluye Krebs on Security and Graham Cluley.
Proveedores de productos  Organizaciones como Microsoft, Google y Apple, que producen una gran
cantidad de software, con frecuencia generan avisos de seguridad periódicos
relacionados con sus productos.
 Estos avisos pueden incluir información muy importante y son lecturas esenciales
para los administradores de sistemas.

Roles profesionales
Dentro del mundo de la inteligencia de amenazas cibernéticas, los roles
profesionales generalmente se pueden dividir en dos áreas: producción e
interpretación.
 En el lado de la producción, hay una variedad de roles

profesionales implicados en la recopilación y el enriquecimiento de
la información. Algunos de estos roles tienen un enfoque técnico,
como los relacionados con el desarrollo de analizadores o
rastreadores web, o la realización de análisis de software. Otros
roles pueden implicar más un medio engañoso y la infiltración en
mercados y bandas criminales. Finalmente, hay roles involucrados
en la traducción, el análisis lingüístico y la psicometría (la ciencia
de medir las capacidades y los procesos mentales). Todos estos
roles recopilan información y producen inteligencia a partir de ella.
 En el lado de la interpretación, a menos que el desarrollo de la

inteligencia se realice internamente o de forma comisionada, es
muy raro que la inteligencia les diga a los analistas todo lo que a
ellos les gustaría. Los analistas de seguridad pueden recibir varias
advertencias relacionadas con una variedad de temas.
Posteriormente, deben revisar los descubrimientos y decidir las
mejores acciones recomendables para llevar a cabo. La
interpretación debe tener en cuenta atributos organizativos únicos,
como los requisitos de eficacia de la información confidencial o
propia. ¡No hay un modelo único global!
Información clave
A modo de conclusión, la inteligencia de amenazas permite a las
organizaciones actuar de manera sistemática y planificada en lugar de
utilizar estimaciones o confiar en estándares. Esto significa que las
defensas han sido diseñadas para afrontar los ataques que
experimentarán en lugar de diseñarse para cumplir con un estándar
sectorial o normativo. Esto es especialmente importante para las
organizaciones que operan de forma compleja o anómala, para las
cuales las normativas a menudo son una orientación insuficiente.
Actividad
Supongamos que está en un equipo de seguridad y se le ha pedido que presente un informe de inteligencia de amenazas para
resumir lo que ha sucedido en las últimas 24 horas. Pruebe y busque información sobre la plataforma IBM X-Force Exchange
platform.
Escriba su respuesta en el cuadro. Su respuesta es solo para usted y solo se guarda en este curso para usted. Asegúrese de hacer
clic en Guardar texto.
¿Qué información proporcionaría hoy? ¿Cuáles son las últimas tendencias en inteligencia, avisos, actividades de amenazas,
etc.?
¡Consulte el mapa de actividad de amenazas en la sección sobre Actividad de amenazas!
Mercado laboral
Module overview

Este módulo se centra en la creciente necesidad actual de profesionales
de ciberseguridad en todo el mundo. Se incluyen los siguientes temas:
 La demanda de profesionales de ciberseguridad en el mercado de

trabajo actual
 Los principales atributos y habilidades que deben poseer los
profesionales de ciberseguridad
 Las principales responsabilidades de los trabajos de ciberseguridad
más comunes
 Las certificaciones de ciberseguridad que hay disponibles
 Recursos para obtener más información y ver las opciones que
deben tenerse en cuenta para empezar una carrera profesional en
ciberseguridad
Mercado de trabajo actual

La ciberseguridad es un campo fascinante y en constante crecimiento
que se encuentra en la intersección de las tecnologías establecidas y las
amenazas de ciberseguridad emergentes. Como carrera profesional,
requiere una amplia variedad de habilidades y características personales,
algunas de las cuales puede que ya posea. Los profesionales de
ciberseguridad no siempre han estudiado la típica licenciatura de cuatro
años. Provienen de distintos orígenes. Puede que esté empezando su
carrera, cambiando de trabajo o empezando una segunda carrera.
Si está considerando una carrera en ciberseguridad, es importante
conocer el mercado de trabajo actual y las proyecciones en el futuro, las
habilidades que necesita para empezar y tener éxito en un trabajo de
ciberseguridad, y algunos de los puestos de trabajo más comunes.
Vamos a ampliar la información sobre la gran demanda de profesionales
de ciberseguridad en todo el mundo.
Si hay una tendencia que todos observamos es que la ciberseguridad es
un mercado en rápido crecimiento con excelentes oportunidades
profesionales. Da igual cómo haga las cuentas, en la próxima década
habrá una gran necesidad de profesionales de ciberseguridad. A
continuación, se muestran algunos datos clave:
abrá 3,5 millones ofertas de De los 3,5 millones de trabajos EE.UU. tiene un total de La tasa de desempleo en
abajo de ciberseguridad en ciberseguridad vacantes población activa contratada ciberseguridad es de un cer
obalmente en 2021, frente que se esperan en 2021, en ciberseguridad de 715.000 por ciento en 2019, valor que
millón de puestos que había Cybersecurity Ventures estima personas, y actualmente se ha mantenido desde 2011.
n 2014. que más de 2 millones de las hay 314.000 puestos
ofertas serán en la región de vacantes, según Cyber Seek,
Asia-Pacífico y alrededor de un proyecto desarrollado por
400.000 serán en Europa. National Initiative for
Cybersecurity Education
(NICE), un programa del
Instituto Nacional de
Estándares y Tecnología
(NIST).
Fuente: Cybersecurity Talent Crunch To Create 3.5 Million Unfilled Jobs
Globally By 2021, Cybersecurity Ventures, octubre de 2019
rincipales atributos y habilidades

Según el informe State of Cybersecurity 2019 Report de ISACA, el 69 por
ciento de las empresas han notificado tener equipos de seguridad con
falta de personal. La falta de profesionales de ciberseguridad cualificados
deja muchos puestos vacantes y un déficit de competencias cada vez
mayor. Puede que se esté preguntando qué conocimientos necesita para
enfrentarse a las amenazas de seguridad. Si le gustan los retos y
resolver problemas difíciles, este puede ser un gran campo de trabajo
para usted. Vamos a explorar las características personales y habilidades
típicas que necesita para tener éxito en la ciberseguridad.
¿En qué habilidades deben centrarse los nuevos profesionales de
ciberseguridad? Independientemente de la formación académica del
profesional, hay algunos elementos fundamentales. Estos pueden
clasificarse en dos grupos; atributos básicos y habilidades.
 Los atributos básicos pueden considerarse una disposición

general muy útil para los profesionales de la seguridad: un conjunto
de rasgos de personalidad y comportamientos adquiridos comunes.
 Las habilidades incluyen habilidades técnicas y relacionadas con
el lugar de trabajo.
Un nuevo profesional de la seguridad puede que no tenga todas estas
habilidades al principio, pero si se centra en ellas, con el tiempo podrá
tener una carrera profesional más flexible y la base para puestos de
liderazgo técnicos o relacionados con la empresa.
En esta tabla se muestran las habilidades y los atributos básicos que
deben tener los profesionales. ¿Es su caso? Dedique un momento a
revisarla.
Fuente: It’s not where you start – it’s how you finish: Addressing the
cybersecurity skills gap with a new collar approach, IBM Institute for
Business Value, 2017
¿Qué opina?
A continuación, se muestran algunas preguntas que debe responder.
Escriba la respuesta a cada una en los recuadros. Reflexionar y escribir
una respuesta es una buena forma de poner en orden sus ideas. Las
respuestas son confidenciales y solo se guardan en este curso para su
uso personal. Asegúrese de pulsar Guardar texto.
En términos de atributos básicos:
 ¿Se considera un Explorador de naturaleza inquisitiva y que

disfruta con los retos? ¿Le gusta que cada día sea diferente y
presente nuevos retos, frente a seguir una rutina?
 ¿Se considera un Solucionador de problemas al que le gusta
observar los detalles y de carácter metódico?
 ¿Se considera un Estudiante, un aprendiz vitalicio al que le gusta
estar al día de los últimos desarrollos, amenazas y tendencias de
ciberseguridad? ¿Tiene aptitudes para crear una red de contactos
y tener su propia comunidad de conocimiento (por ejemplo, colegas
o participantes en conferencias)?
 ¿Se considera un Guardián protector y fiable? ¿Desea defender
su reputación y la de su empresa para no ser el que "dejó pasar la
amenaza"?
 ¿Se considera un Asesor al que le gusta trabajar en equipo para
resolver problemas de negocio?
1. Piense en sus atributos básicos. ¿Qué atributos básicos tiene
actualmente y qué atributos básicos le gustaría desarrollar en un futuro?
Guardar texto

En términos de habilidades:
 ¿Se considera un Explorador que puede entender los escenarios,

los riesgos y los "casos hipotéticos"?
 ¿Se considera un Solucionador de problemas que puede

aumentar sus habilidades de codificación, descubrir cómo se crean
las cosas y conseguir experiencia práctica y certificaciones?
 ¿Se considera un Estudiante que puede aumentar sus

conocimientos de seguridad y adaptarse a las tecnologías de
seguridad emergentes?
 ¿Se considera un Guardián que puede familiarizarse y aumentar

sus conocimientos sobre legislación y el respeto de los
reglamentos?
 ¿Se considera un Asesor que puede comunicar con eficacia

complejos técnicos y trabajar con distintos equipos?
2. Piense en sus habilidades. ¿Qué habilidades tiene actualmente y qué
habilidades le gustaría desarrollar en un futuro?
Guardar texto
Áreas de habilidades que debe desarrollar
Los profesionales de ciberseguridad tienen distintos orígenes, algunos de
ellos provienen del campo de TI y otros de campos totalmente diferentes.
La clave es desarrollar un conjunto de habilidades técnicas relevantes y
relacionadas con el lugar de trabajo que puedan ofrecerle los
conocimientos básicos necesarios para su puesto en ciberseguridad. A
continuación, se muestran algunas áreas de habilidades que debe
considerar. No es una lista exhaustiva, cubre las habilidades básicas a
tener en cuenta.
Área de
habilidades Descripción
Administración de Para los sistemas operativos Linux, UNIX y/o Windows, debe conocer los aspectos
sistemas básicos de la instalación, la configuración y el mantenimiento de los sistemas de
cliente y servidor. Debe conocer los modelos subyacentes para la gestión de
usuarios, los permisos, los sistemas de archivos y los scripts de mando.
Administración de Debe conocer los protocolos como, por ejemplo, TCP/IP, FTP y SMTP. En
red concreto, debe saber qué significan y cómo se utilizan a nivel práctico.
Servicio al cliente Necesita saber interactuar con clientes para ayudarles en el diagnóstico y solución de
los problema de seguridad.
Comunicaciones Necesita saber comunicar de forma sucinta, utilizando comunicación verbal y

escrita, información técnica sobre incidentes de seguridad y la remediación de
dichos incidentes.
Aptitud para la Necesita tener curiosidad y disposición para detectar y sondear el comportamiento
investigación inusual. Esto puede demostrarse con experiencia en la resolución de problemas de
TI o en un campo completamente distinto como, por ejemplo, la inteligencia militar.
La clave es demostrar la iniciativa de realizar el trabajo de detección necesario para
llegar al fondo de las situaciones sospechosas.

Cualquiera que trabaja en ciberseguridad debe ser imaginativo y poder
encontrar soluciones rápidamente para que las infracciones no se
conviertan en problemas masivos para una organización. Recuerde que
pensando creativamente es como los ciberatacantes entraron en primer
lugar. Un profesional de ciberseguridad debe ser igualmente creativo
para averiguar cómo entraron en el sistema.
En general, tener habilidades técnicas, ser crítico, interactuar con
personas y tener la "mentalidad de un detective" le ayudarán a lograr el
éxito.
Puestos de trabajo de ciberseguridad

Los profesionales de ciberseguridad están en la línea de frente de la
defensa contra ciberdelitos para proteger sistemas vitales de amenazas
internas y externas como, por ejemplo, malware, hackers e ingeniería
social.
Todas las organizaciones tienen algún tipo de necesidad de seguridad de
la información. Los datos deben protegerse en cualquier lugar. La
ciberseguridad abarca muchos sectores. Las instituciones financieras, así
como los sectores del gobierno, el sector educativo y los minoristas son
algunos de los principales actores debido a su tamaño.
Hay muchas oportunidades de ciberseguridad diferentes, y en dichas
áreas hay decenas de puestos que requieren distintas habilidades y
experiencia. Algunos puestos pueden requerir viajar, mientras que otros
se desempeñan en una ubicación fija como, por ejemplo, un centro de
operaciones de seguridad (SOC). Este equipo centralizado supervisa una
organización en busca de posibles incidentes de seguridad, los investiga
y (si es necesario) los remedia. En esta lección, analizaremos algunos de
los puestos más interesantes de ciberseguridad.
Nota: hay muchos más puestos de trabajo en el campo de la

ciberseguridad. No es una lita completa. Los puestos de trabajo varían
por compañía y área de seguridad, así como por nombre. Estos son
algunos de los puestos más comunes.
Analista SOC
En el centro de operaciones de seguridad (SOC) de la compañía, hay
un nivel de entrada denominado el analista SOC.
 También se conoce como analista de ciberseguridad o analista de

priorización.
 Este puesto es "reactivo", ya que el analista SOC responde a
alertas individuales e investiga, como si fuera un detective, a partir
de unas pruebas.Puede ver referencias a un analista SOC como un
puesto de "Nivel 1". Los niveles con un número cada vez mayor se
utilizan para indicar los niveles de responsabilidad y los requisitos
de experiencia correspondientes. También puede ver referencias a
un puesto "Junior".
¿Qué hacen durante un día típico?
 Supervisan el tráfico de red del sistema para detectar la actividad sospechosa que pueda indicar la
presencia de hackers o malware, por ejemplo, troyanos y ransomware (secuestro de datos).
 Investigan las alertas desencadenadas por la herramienta de Supervisión de Sucesos e Incidentes de
Seguridad (SIEM) (por ejemplo, IBM Security QRadar) cuando detecta sucesos sospechosos para
determinar si la alerta es un falso positivo (una falsa alarma) o un verdadero positivo (un incidente de
seguridad de la vida real que debe solucionarse). Si es una alerta de verdadero positivo, debe identificar el
contexto, la causa y los usuarios afectados.
 Evalúan la gravedad del incidente de seguridad y asignan la valoración de riesgo correspondiente a los
incidentes (por ejemplo, gravedad baja o alta).
 Escalan los incidentes de gravedad alta al experto en incidentes.
¿Cuál sería un ejemplo de lo que hace un analista SOC?
Supongamos que llega una alerta a la herramienta SIEM. El analista SOC determina que está relacionada
con una infección de malware en el sistema de uno de los directivos de la organización. Después de la
investigación, el analista SOC concluye que es un verdadero positivo. Como es un ataque que afecta a un
directivo que tiene acceso a información muy confidencial, el analista SOC le asigna una severidad alta.
¿Cuáles son las habilidades necesarias para este puesto de trabajo?
 Habilidades de administración de sistemas y redes de sistemas.

o Por ejemplo, ¿cómo fluye la conexión a través de una dirección IP y cómo fluye a través de una
red, un direccionador y los dispositivos asociados con la red? ¿Cómo se administra un servidor
Windows y un servidor Linux? ¿Qué es un servidor de bases de datos? ¿Cómo se consultan y se
interpretan los registros del sistema de todos los sucesos y transacciones de un dispositivo,
direccionador, cortafuegos, etc.?
Nota: este puesto no requiere habilidades de programación de sistemas. La codificación no es un requisito para
este rol.

Experto en incidentes
A continuación, también en SOC, hay un puesto de trabajo de nivel
medio denominado experto en incidentes.
 También se conoce como analista de respuestas a incidentes.

 Este puesto determina si una alerta notificada es un ataque a una
organización o una amenaza persistente en la red de una empresa,
y garantiza su solución.
 Determinan el alcance de un incidente de ciberseguridad. Por ejemplo, si se detecta malware en la

estación de trabajo de una persona en un departamento de recursos humanos, ¿se ha propagado a otros
sistemas de ese departamento? ¿Se ha propagado a otras partes de la empresa? ¿Se ha contenido el
comportamiento malicioso con las defensas automatizadas (por ejemplo, el software antivirus y los
cortafuegos) o se han comprometido activos de la empresa?
 Planifican la solución en función del alcance del incidente de ciberseguridad. Esto implica investigar la
naturaleza del incidente (por ejemplo, qué tipo de comportamiento malicioso busca el malware) y
determinar cómo se debe responder a él.
 Implementan la solución con los equipos adecuados, por ejemplo, abriendo incidencias de TI para recrear
una imagen de los sistemas infectados, formando a los usuarios finales sobre cómo evitar pulsar archivos
adjuntos de correo de suplantación de identidad, o comunicando la gravedad de una infracción de datos a
los directivos correspondientes cuanto antes.
¿Cuál sería un ejemplo de lo que hace un experto en incidentes?
Supongamos que se notifica un incidente de malware de gravedad alta en el ordenador de un directivo. El

experto en incidentes determina si hay otros empleados afectados por el malware, cómo se debe responder
al incidente y colabora con otros para conseguir su solución.

 Familiaridad con la empresa y las políticas corporativas (por ejemplo, datos, privacidad, leyes)
 Habilidades de solución para seleccionar las acciones correctivas adecuadas, técnicas y no técnicas

Cazador de amenazas
A continuación, también en SOC, hay un puesto de trabajo de nivel
medio denominado cazador de amenazas.
 También se conoce como analista de amenazas.

 Este puesto es "proactivo", ya que el cazador de amenazas realiza
búsquedas para estar actualizado sobre las últimas amenazas,
cómo han evolucionado y las reglas de código para desencadenar
alertas en la herramienta SIEM para la empresa.
 Investigan de forma proactiva el "panorama de amenazas" mediante una supervisión continua de

distintos recursos de amenaza, por ejemplo, IBM X-Force Exchange.
 Evalúan qué amenazas nuevas y emergentes suponen el máximo riesgo para su organización, en función
de criterios como los sectores de destino, las vulnerabilidades explotadas y las tácticas utilizadas por las
amenazas.
 Responden a estas amenazas de la siguiente manera:
o Implementando cambios de configuración del sistema.
o Programando la automatización en herramientas de seguridad para detectar automáticamente la
actividad que es característica de estas amenazas.
o Sensibilizando a la organización de los posibles ataques.
¿Cuál sería un ejemplo de lo que hace un cazador de amenazas?

Supongamos que se ha anunciado una amenaza de ransomware (secuestro de datos) completamente nueva. El
cazador de amenazas investigará esta amenaza e implementará la automatización para evitar que la amenaza
penetre en la organización y detectarla si intenta penetrar.

 Conocer las fuentes de información de amenazas e implementar la automatización para detectar el
comportamiento sospechoso
Nota: los cazadores de amenazas a menudo tienen experiencia en otros puestos de seguridad, por ejemplo,
analista SOC, experto en incidentes, en pruebas de penetración o analista de pruebas de vulnerabilidad.

Posible progresión profesional
Es posible entrar en la profesión de la ciberseguridad sin un título si se
empieza en un puesto de TI de nivel de entrada. A continuación, deberá
ascender hasta llegar a un puesto de ciberseguridad.
En términos de progresión profesional, se pueden dar varios escenarios.
Por ejemplo:
 Puede empezar como administrador de sistemas y, con el tiempo,

hacer un cambio lateral a un puesto de analista SOC.
 Puede empezar como un analista SOC y continuar en ese puesto
durante mucho tiempo.
 Puede empezar como un analista SOC y quizás convertirse en jefe
de equipo SOC o avanzar hasta convertirse en un experto en
incidentes.
 Puede desempeñar una combinación de las responsabilidades de
un analista SOC, un experto en incidentes y un cazador de
amenazas.
 Como analista SOC, puede realizar un cambio lateral a un
administrador de sistemas o un puesto de administrador de gestión
de identidad y acceso (IAM).
Nota: esto dependerá de la madurez de la empresa. Las organizaciones
más maduras pueden contratar los tres puestos de trabajo (analista SOC,
experto en incidentes y analista de amenazas). Una organización menos
madura puede tener una persona dedicada a una combinación de los
tres puestos de trabajo.
Puestos de trabajo adicionales
A continuación, se muestran algunos puestos para familiarizarse con
ellos.
Expanda cada puesto de trabajo para ver una descripción.
Asesor de seguridad
Administrador de seguridad
Administrador de Gestión de Identidad y Acceso (IAM)
Probador de penetración
Administrador móvil
Analista de conformidad
¡NO SE LO PIERDA!
Este sitio web muestra varios casos interesantes de personas que tienen
perfiles y trayectorias profesionales totalmente diferentes en
ciberseguridad. Vea cómo han empezado o han progresado.
SecurityIntelligence: Voices of Security
Recursos útiles y guía de inicio
Esperamos que este curso le resulte informativo, interesante y educativo.
Puede ser una parte de su recorrido por la seguridad cibernética. Esta
lección le proporcionará inspiración para futuras exploraciones.
Recursos útiles
Primero, aquí tiene algunos recursos que puede consultar, marcar y tener
en cuenta si desea investigar más sobre la seguridad cibernética y estar
en contacto con los desarrollos prácticos más recientes. Se trata de una
lista supervisada. Hay muchas organizaciones y sitios web para revisar,
en función de sus intereses.
Nota: Estos recursos son sitios web reconocidos por el sector, en inglés.
Puede consultar estos recursos y cualquier otro que sea útil y pueda
descubrir en su idioma.
Organizaciones de ciberseguridad
 El NIST (National Institute of Standards and Technology) es una

unidad del Departamento de Comercio de los EE.UU que hace el
mantenimiento de los estándares de medición. Tiene un programa
para implementar la seguridad cibernética práctica y la privacidad a
través de la participación y la aplicación efectiva de estándares y
prácticas recomendadas necesarias para que los EE.UU. adopten
prestaciones de seguridad cibernética.
 El NCSC (National Cyber Security Centre) es la máxima autoridad
del Reino Unido en cuestiones de ciberseguridad. El sitio web
contiene muchos documentos de asesoramiento y orientación para
sectores específicos.
 La OWASP (Open Web Application Security Project) es una
organización benéfica internacional sin fines de lucro, enfocada a la
mejora de la seguridad del software. Proporciona una fuente
neutral de información sobre prácticas recomendadas, y actúa
también como organismo activo que defiende los estándares
abiertos.
 La ISSA (Information Systems Security Association) es una
organización sin fines de lucro centrada en la seguridad de la
información. Está comprometida con la promoción de un mundo
digital seguro. La mayoría de los recursos de la ISSA son para
miembros. Puede echar un vistazo a las ventajas derivadas de
convertirse en miembro y ver si existen centros locales cerca de
usted. Busque si hay un centro local cerca de usted y eche un
vistazo al sitio web del centro.
 La WiCyS (Women in Cybersecurity) es una organización sin fines
de lucro con sede en los Estados Unidos para miembros que se
dedica a reunir a las mujeres del sector de la ciberseguridad de
ámbitos diversos, como el académico, la investigación y la
industria, para compartir conocimientos, experiencias, contactos y
tutorización.
 El FIRST (Forum of Incident Response and Security Teams) es un
foro global y un reconocido líder mundial en respuesta a
incidencias. FIRST proporciona documentos actualizados de
prácticas recomendadas, publicaciones, etc.
Publicaciones y plataformas de ciberseguridad
 Cybersecurity Ventures es responsable de Cybercrime Magazine.

Cybersecurity Ventures es el investigador líder mundial de la
economía cibernética global y una fuente de confianza de datos,
cifras y estadísticas de seguridad cibernética. Proporciona los
últimos datos del mercado de cibereconomía, ideas y predicciones
innovadoras a una audiencia global de profesionales de
ciberseguridad.
 Security Intelligence es un sitio que proporciona análisis e
información de todo el sector de la ciberseguridad. Encontrará las
últimas noticias, investigaciones, podcasts, etc.
 SC Media comparte orientación y conocimiento de expertos de la
industria, características detalladas y noticias actuales, así como
revisiones de productos independientes en varias formas de
contenido en asociación con y para ejecutivos de seguridad de la
información de alto nivel y sus equipos técnicos.
 Wired Threat Level es una serie de artículos de seguridad
cibernética de la revista Wired.
 IBM X-Force Exchange es una plataforma de inteligencia de
amenazas públicas que asesora en relación con alertas sobre
nuevos ataques, vulnerabilidades y campañas. Proporciona una
vista geográfica en tiempo real de la actividad de amenazas en
directo. Puede buscar o enviar un archivo para analizar, mantener
sus propias investigaciones y ver lo que otros comparten.
Blogs de ciberseguridad
 Krebs on Security es una colección de blogs sobre seguridad

informática y delitos cibernéticos creados por Brian Krebs,
periodista estadounidense de investigación.
 Graham Cluley es una colección de blogs con noticias actuales,
opiniones y consejos sobre seguridad informática escritos por
Graham Cluley, conferenciante y analista independiente británico.
 El blog Recorded Future proporciona análisis de inteligencia de
amenazas cibernéticas, perspectivas de la industria, novedades de
la empresa Recorded Future, etc.
Introducción al sector
¿Qué viene a continuación? ¿Qué puede hacer para iniciarse en la
industria de la ciberseguridad? Dependiendo de su interés y experiencia,
si está considerando la posibilidad de iniciar una carrera en
ciberseguridad, puede explorar estas diferentes opciones.
 ¡Amplíe sus conocimientos! Cuanto más se familiarice con la

ciberseguridad, más posibilidades tendrá para explorar. Intente
hacer un seguimiento de sus intereses y descubra nuevos roles y
sectores que quizás no haya tenido en cuenta antes.
 ¡Siga aprendiendo! Este es el principio de su experiencia de

aprendizaje. Puede seguir aprendiendo buscando en línea temas
adicionales sobre seguridad cibernética y tomando en
consideración algunos de estos recursos de formación.
o El Cyboc (Cyber Security Body Of Knowledge) tiene como
objetivo ser un organismo integral de conocimiento para
informar y apuntalar la formación y la capacitación
profesional para el sector de seguridad cibernética. Sirve
como una excelente guía de referencia para temas de
seguridad.
o El SANS Institute es una institución cooperativa de
investigación y formación. La base de SANS es un gran
número de profesionales de seguridad en diversas
organizaciones globales, desde corporaciones hasta
universidades, que trabajan juntas para ayudar a toda la
comunidad de seguridad de la información. SANS es una
fuente de confianza de dimensiones importantes para
la formación en seguridad de la información y la certificación
de seguridad.
o La IBM Security Learning Academy proporciona formación
técnica gratuita sobre los productos de IBM Security. Puede
explorar el catálogo de cursos y diseñar su propio currículum
al inscribirse en ellos.
 Tenga en cuenta que deberá crear una cuenta con un
ID de IBM.
o ¡Y esté atento a las nuevas ofertas formativas de este
programa!
 ¡Explore nuevas oportunidades! Si está buscando empleo,
puede comenzar a explorar el mercado de trabajo. Consulte las
ofertas de trabajo para identificar las ofertas y calificaciones más
habituales. Hágase una idea de qué trabajos podrían resultarle
atractivos en el futuro y trabaje para cumplir sus requisito

Grupos de Actores de La Amenaza

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Grupos de Actores de La Amenaza

Cargado por

Copyright:

Formatos disponibles

Grupos de actores de la amenaza

Visión general del módulo

Este módulo se centra en el aspecto "ofensivo" de la ciberseguridad, es

 Tipos de grupos de ciberatacantes

Grupos de actores de la amenaza

Grupo 1: Script Kiddie

Perfil de un Script Kiddie

¿Qué recursos tienen? ¿Cómo puede protegerse contra ellos?

 El atributo definitorio clave de los hactivistas es que están

dealistas motivados que forman coaliciones flexibles Desean propiciar un cambio

¿Qué recursos tienen? ¿Cómo puede protegerse contra ellos?

Grupo 3: Banda criminal

 Este es el grupo en más rápido crecimiento y, como resultado, el

Grupos de personas en equipos nacionales e internacionales Motivados por intereses lucrativos

¿Qué recursos tienen? ¿Cómo puede protegerse contra ellos?

Grupo 4: Hacker de estado-nación o amenazas

 La función de los hackers de estado-nación es proporcionar una

Perfil de un hacker de estado-nación

¿Qué recursos tienen? ¿Cómo puede protegerse contra ellos?

Grupo 5: Amenazas internas

 Las amenazas internas pueden empezar por una simple actitud

Perfil de una amenaza interna

¿Qué recursos tienen? ¿Cómo puede protegerse contra ellos?

Nota: a veces, estas descripciones de los tipos de ciberatacantes no son

Hackers de sombrero blanco

Ataque de Denegación de servicio distribuida (DDoS)

Ataque de suplantación de identidad

Ataque de Man in the middle (MitM)

Ataque de Sistema de nombres de dominio (DNS)

Inyección de Lenguaje de consulta estructurado (SQL)

Esto representa un buen número de ciberataques diferentes que afectan

Extorsión a la  En este modelo, el delincuente adquiere la capacidad de perturbar a una víctima

Toma de decisiones errónea

1. Piense en si esperaba recibir el correo electrónico. ¿Tiene sentido

Si recibe un correo electrónico que cree que podría ser phishing, no

Inteligencia de código abierto

Sitios web de empresas

 Aunque parezca demasiado evidente, el sitio web de una empresa

Medios de comunicación y noticias

 Si alguien ya ha hecho el trabajo duro, ¿por qué repetir el

 En la era de las redes sociales, las personas están contentas de

Registros públicos o gubernamentales

 Muchos países del mundo mantienen registros detallados de

 Cuanta más información, mejor.

2. Disponer de toda una gama: cree una imagen desde muchas perspectivas

 No confíe en una sola fuente.

3. No se quede atascado: prepárese para fallar y no se frustre

 Dedique unos minutos ahora a abrir nuevas ventanas de un

 ¿Qué servicios se ejecutan en la máquina?

¿Qué información proporciona?

¿Qué información proporciona?

1. Se realizan ciertas acciones para explotar la vulnerabilidad, de cara

Tenga en cuenta que el análisis dinámico puede realizar

Entidades relacionadas con este ataque

 Stuxnet utilizó cuatro vulnerabilidades no identificadas previamente y un par de certificados

Ya conoce los aspectos básicos de la ciberseguridad y los distintos tipos

 Impacto financiero de la ciberdelincuencia en las organizaciones

Coste de las infracciones de datos

Fuente: Cost of a Data Breach Report: 2019, estudio realizado por

Punto de partida para las organizaciones

 Configurar el régimen de gestión de riesgos

Protección contra ataques

Fuente: Microsoft’s Cyber Defense Operations Center shares best