Documentos de Académico
Documentos de Profesional
Documentos de Cultura
RESUMEN
En la práctica, este grupo demográfico está formado principalmente
por jóvenes o adolescentes que aprenden de forma autodidacta a
través de foros, vídeos y experimentación.
Para muchos, la principal motivación del pirateo es la reputación, el
estatus ante la comunidad de hackers, por diversión o
resentimiento.
Desde el punto de vista de la dotación de recursos, los Script
Kiddies utilizan herramientas de prueba de penetración existentes y
exploits disponibles públicamente.
En la mayoría de los casos, disponen de muy pocos fondos.
Tienden a demostrar pocos conocimientos de técnicas
profesionales, aparte de cuentas desechables o proxies básicos.
Desde el punto de vista defensivo, las organizaciones deben
asegurarse de que su planificación de parches sea eficaz. Si se
desarrolla algún exploit sencillo, es muy probable que se
despliegue en algún punto. Las defensas deben ser suficientes
para garantizar que otro destino parezca más fácil, lo que debería
ser suficientemente disuasorio.
Personas autodidactas, normalmente adolescentes Buscan mejorar su reputación o atacar para divertirse
Poca financiación; poca o ninguna ayuda y experiencia técnica; Asegúrese de que la planificación de parches sea eficaz y que
pueden utilizar herramientas gratuitas escritas por otros las defensas básicas de perímetro estén actualizadas
Grupo 2: Hactivistas
El segundo grupo son los hactivistas. Hactivista es un término que
combina "hacker" y "activista". Los hactivistas buscan un cambio político
o económico y utilizarán el hackeo para conseguirlo.
RESUMEN
Perfil de un hactivista
¿Quiénes son? ¿Cuál es su objetivo?
Operan a gran escala con distintas herramientas y su mayor Garantizar defensas que puedan afrontar un ataque disruptivo
tributo es el tamaño ampliado
RESUMEN
Amplia gama de herramientas y equipos, adquiridos y Es necesario tener personal muy cualificado que proteja los
omercializados en la web obscura activos críticos y realice copias de seguridad
RESUMEN
Especialistas altamente cualificados y entrenados Seguir planes estratégicos de varios años en una amplia gama
de cuestiones
Presupuestos enormes, herramientas muy avanzadas e Es increíblemente difícil; se requieren defensas totalmente
nvestigación de punta coordinadas en todos los aspectos de la organización
RESUMEN
Miembros del personal que trabajan contra los intereses de una Venganza o motivos financieros
organización, ya sea deliberada o accidentalmente
No se requiere presupuesto ni tampoco recursos; utilizan el Supervisar el personal atentamente y garantizar que la cultura
cceso que ya tienen de la organización sea eficaz en la prevención de estos
problemas
Tipos de ciberataques
Hay muchos métodos con los que un ciberatacante puede entrar y
explotar un sistema. A menudo, los ataques no son técnicos, sino una
explotación de cómo las personas interactúan con el sistema de forma
equivocada y vulnerable. En esta lección, hemos seleccionado algunos
tipos comunes de ciberataques. Es una muestra representativa que
proporciona varios ejemplos ilustrativos, en lugar de una lista completa.
Vamos a examinarlos detalladamente.
Ataque de Denegación de servicio (DoS)
Un ataque DoS es cualquier tipo de ataque que dé como resultado
una caída del sistema completa o parcial.
Los medios para realizar un ataque DoS varían de provocar la
caída del sistema a bloquearlo o que no pueda continuar su trabajo
debido a niveles anormales del tráfico de red enviado.
EJEMPLO
Un atacante puede enviar un archivo formateado malicioso a un servidor
para provocar su sobrecarga. Un ejemplo sería el ataque de mil millones
de risas, donde un archivo XML hace referencia a sí mismo,
expandiéndose a un archivo considerablemente más grande.
Malware
Malware es un término general para el software malicioso. Es un
software diseñado para afectar negativamente a un usuario de
destino sin el consentimiento informado del mismo.
A menudo se desencadena en secreto cuando el usuario ejecuta
un programa o descarga un archivo, a veces sin querer.
Una vez activo, el malware puede bloquear el acceso a datos y
programas, robar información o dejar los sistemas inoperables.
EJEMPLO
En los distintos tipos de malware, encontrará ejemplos relacionados con
su función, por ejemplo, registradores de claves (que capturan las
pulsaciones de una víctima) o secuestro de datos (donde se secuestran
los archivos de la víctima a cambio del pago de un rescate).
2. Vaya al mapa de amenazas de Observe los detalles del ataque que se desplazan en la parte in
Fortinet pantalla.
Puede averiguar rápidamente dónde se están produciendo
Ver más grande ataques actualmente.
Este es un subconjunto de datos. Seleccione ? para ver la leye
tipos de ataques visualizados. Seleccione i para obtener más i
3. Vaya al mapa en tiempo real de Vea los ataques en activo que se están produciendo en el map
ciberamenazas de Bitdefender países seleccionados.
Consulte las distintas instancias de correo no deseado, am
Ver más grande ataques.
Observe que hay un "país de ataque" y un "país de destino".
Este es el final de la lección. Asegúrese de seleccionar el recuadro
"Actividad finalizada" para realizar un minicuestionario y demostrar los
conocimientos que ha adquirido en esta lección. Se mostrarán tres
descripciones para identificar el tipo correcto de ciberataque que
representa. Esto es necesario para terminar la lección.
Financiación y rentabilidad de los
ciberdelitos
Si bien algunos ciberatacantes están motivados por el activismo o el
interés nacional, el principal impulsor del delito cibernético es la
rentabilidad. En esta lección, examinaremos algunos métodos sobre
cómo los ciberdelincuentes ganan y usan su dinero.
Ecosistema subterráneo
El primer elemento que resulta fundamental para la economía del delito
cibernético es un mercado internacional pujante compuesto por cientos
de foros, plataformas y sistemas. Dentro de este entorno de mercado, los
delincuentes compran y venden datos, identidades y herramientas para
obtener beneficios. Por ejemplo, un área de interés muy común es el
lavado de dinero. Si los ciberdelincuentes roban algo de dinero a una
víctima, deben tener un método para hacer que el dinero robado sea
utilizable y, de forma ideal, imposible de rastrear. Pueden hacerlo
mediante el uso de un tercero especialista, de manera similar a una
subcontratación.
Al igual que una economía tradicional, la especialización es un generador
de eficacia y permite a los delincuentes centrarse en lo que cada uno
hace mejor.
Inyección inicial de efectivo
En un mercado consolidado, entonces, ¿cómo obtienen dinero los
delincuentes? A continuación se detallan tres métodos generales
mediante los cuales pueden hacerlo.
Robo a la El método más directo son los delincuentes que intentan robar dinero de su víctima
víctima objetivo.
Si bien esto puede hacerse poniendo en jaque sistemas bancarios o cuentas, la
forma más común es a través de un fraude o engaño.
Estas estafas son a menudo el "cebo de soporte técnico" u otros trucos similares
destinados a persuadir a una víctima para que ceda al criminal un beneficio
financiero, como regalar datos bancarios e información personal.
Contratación de A veces los delincuentes ofrecen sus servicios para llevar a cabo tareas ilegales en
un delincuente representación de personas y organizaciones normales.
Esto se hace comúnmente mediante un ataque de denegación de servicio (DoS) que
intenta sobrecargar partes clave de un servicio. Por ejemplo, un delincuente puede
ofrecer la posibilidad de que una organización o una persona individual deje fuera
de combate a un competidor o rival.
En este modelo, el criminal no coge el dinero de la víctima. Alternativamente, la
organización o la persona individual le paga unos honorarios.
Otro ejemplo de esto es el mal uso de un sistema bajo un estilo mercenario.
Imagine a una persona que contrata a un delincuente para robar la propiedad
intelectual clave de un competidor o destruir las bases de datos de un rival.
1. La primera etapa del viaje implica a una banda criminal que crea una pieza de malware que registra
pulsaciones de teclado y capturas de pantalla.
2. Los autores de malware compran una lista de direcciones de correo electrónico conocidas a un
tercero y envían el malware como un archivo adjunto de correo electrónico. El objetivo es que el
malware opere en las máquinas de las víctimas para que sus datos bancarios y contraseñas puedan
ser robadas y enviadas a los autores del malware. A partir de este punto, su trabajo está hecho.
Tienen una lista de usuarios y contraseñas de inicios de sesión bancarios.
3. Ahora, el autor del malware puede intentar retirar dinero personalmente o vender los datos a otra
banda para que finalice el proceso.
4. La banda criminal puede intentar iniciar sesión utilizando las credenciales y realizar transferencias
de dinero a intermediarios con los que haya trabajado anteriormente. En este caso, los
intermediarios suelen ser individuos inocentes o desesperados que acuerdan permitir un flujo de
dinero a través de sus cuentas a cambio de una remuneración.
5. Para finalizar el proceso, la banda criminal puede obligar a los intermediarios a comprar y transferir
criptomonedas a cuentas controladas por la banda. Una vez hecho esto, se ha completado la
campaña. Si la policía investiga el delito, el proceso a menudo finaliza en el intermediario, que es el
punto donde se pierde la pista.
Ingeniería
En este curso aprenderá aspectos acerca de la importancia de las
personas a la hora de diseñar sistemas seguros. Las personas, ya sean
empleados o clientes, a menudo son mal gestionadas en entornos de
seguridad. Se les puede dar consejos confusos o contradictorios, evitar
que sigan las buenas prácticas o simplemente pueden cansarse. Todo
esto las pone en una posición vulnerable para ser potencialmente
víctimas de un posible atacante cibernético. En esta lección,
destacaremos la ingeniería social y las técnicas que usan los atacantes.
En lugar de piratear un sistema, ¡examinemos cómo se piratea a la
persona!
¿Qué es la ingeniería social?
La ingeniería social es el arte de hacer que alguien haga lo que usted
quiere que haga. ¡Se superpone en gran medida con los campos
académicos que incluyen psicología, biología e incluso matemáticas!
En ciberseguridad, la ingeniería social es el uso del engaño para
manipular a las personas para que divulguen información confidencial o
personal que luego puede usarse con fines fraudulentos. Básicamente,
¿cómo puede alguien engañar a otra persona para que renuncie a algo
que es privado? Los ataques de ingeniería social son el arte oscuro de
usar las interacciones sociales para engañar a alguien y hacer que
cometa un error de seguridad.
Las tácticas de ingeniería social pueden emplearse en persona, por
teléfono o en línea a través de sitios web, correo electrónico y redes
sociales.
Una vez que un atacante puede hacer que un individuo realice una
determinada acción, el atacante puede obtener acceso a sistemas
confidenciales, robar activos o avanzar hacia un ataque más complejo.
Esta noción de centrarse en persuadir o engañar a las personas puede
parecer poco fiable. Pero existen muchos casos prácticos que muestran
que la ingeniería social es una técnica increíblemente poderosa para los
atacantes.
EJEMPLOS
Las tácticas efectivas de ingeniería social pueden suponer el robo de los
ahorros de personas vulnerables a través de estafas y abusos de
confianza. Para las organizaciones con sedes físicas, la ingeniería social
también incluye el seguimiento personalizado, o muy de cerca, de
individuos para obtener acceso a zonas seguras.
¿Por qué funciona la ingeniería social?
La ingeniería social funciona porque los humanos son imperfectos. Hay
dos elementos clave para esto: nuestras decisiones son irracionales y
nuestra toma de decisiones es errónea. Veamos cada uno con mayor
detalle.
Comportamiento irracional
Todos podemos exhibir un comportamiento irracional al tomar decisiones
que no coinciden con nuestros intereses a largo plazo. Si todos nuestros
comportamientos estuvieran centrados y fueran lógicos, no
presentaríamos vicios. Por ejemplo, nadie jugaría a la lotería, y todos
comeríamos sano siempre. Esto queda muy lejos de la realidad.
En ingeniería social, se pueden utilizar elementos generadores de
beneficios o codicia a corto plazo para manipular un objetivo. Estos
objetivos se ponen en riesgo y a menudo suponen la comisión de delitos
sin saberlo.
EJEMPLOS
Una mejor demostración es el ejemplo de delincuentes que persuaden a
adultos jóvenes para que actúen como blanqueadores de dinero para
bandas criminales. También existen muchos otros planes para hacerse
rico rápidamente en línea. Las víctimas, en este caso, pican el cebo en el
plan a partir de falsas promesas.
También hay casos en que la inactividad es un gran activo para la
ingeniería social. Coger atajos y la tendencia a evitar reglas son
argumentos bastante efectivos para usarlos como táctica de ingeniería
social sobre un objetivo.
EJEMPLOS
Dentro de ciertas organizaciones, los empleados pueden omitir un largo
proceso empresarial, como verificar las identidades de las personas que
llaman u obtener los niveles correctos de aprobaciones para conceder
derechos de acceso.
NOTA IMPORTANTE
Expanda cada sección para obtener más información sobre las fuentes.
Redes sociales
Si bien la inteligencia de código abierto es muy potente, hay muchos callejones sin salida y existe un punto
de suerte en lo que un objetivo puede elegir compartir.
Es posible que deba cambiar a un enfoque diferente o a una nueva área para explorar.
Tenga en cuenta lo siguiente: las investigaciones de éxito pueden tomar semanas de trabajo de equipos
de investigadores capacitados para completarse.
Nota: Habrá muchas ocasiones durante una investigación en que la
información abierta no estará asequible. Algunas organizaciones e
individuos no tendrán tanta información pública como otras, por ejemplo,
debido a una buena seguridad operativa.
¿Por qué la inteligencia de código abierto es un área
de interés para todos?
Vivimos en un mundo altamente conectado donde el uso compartido es
frecuente. Todos debemos ser conscientes de que lo que compartimos
en línea es prácticamente permanente.
Incluso pequeñas piezas de información pueden combinarse para revelar
algo de interés externo. Este proceso se llama agregación de
información. Si bien el lugar de trabajo de una persona, la información
sobre los desplazamientos y los planes nocturnos típicos pueden ser
inocuos de forma aislada, juntos pueden usarse para realizar un
seguimiento de la vida de alguien.
EJEMPLO
Esto sería problemático en una organización en la que, hipotéticamente,
100 empleados pudieran revelar cada uno el 1% de una información
confidencial. Si una parte externa logra conjuntar las revelaciones
independientes, es posible lograr avances significativos o
descubrimientos adicionales.
Para las organizaciones, es importante tener en cuenta las técnicas
OSINT que emplean los ciberatacantes al diseñar las políticas de gestión
de la información. La conclusión es que la filtración de información es
mala para las organizaciones. Las organizaciones deben tomar medidas
para garantizar que se divulgue involuntariamente la menor cantidad de
información posible y se convierta en vulnerable para la recopilación.
Dado que tener información públicamente accesible es con frecuencia
esencial, el alcance de la información compartida debe registrarse y
comprenderse.
Actividad
Una de las mejores maneras de comenzar con la inteligencia de código
abierto es a través de un ejercicio de prueba y error. ¡Intente buscarse en
línea! ¿Qué inteligencia de código abierto podría alguien descubrir sobre
usted?
Exploración técnica
Las técnicas de análisis técnico son una parte esencial de la
administración de la red y del análisis de red en las organizaciones. Aquí,
centraremos nuestra atención en cómo los atacantes recopilan
información sobre sistemas y redes. Mientras investiga una máquina de
destino en una red, un atacante puede desear obtener más información
sobre la configuración técnica. Esto podría incluir detalles como:
NOTA IMPORTANTE
¡MIRE ESTO!
Si está interesado en investigar y dedicar más tiempo al tema del
análisis, puede explorar un sitio popular de análisis de puertos
llamado Network Mapper (Nmap). Es un analizador de red gratuito y de
código abierto. Puede comenzar explorando la introducción, la guía de
referencia u otros materiales en línea.
Ir a Nmap
Casos prácticos
Los ataques cibernéticos están en las noticias diariamente, con un
impacto en personas individuales y organizaciones, ya sea en el sector
público o privado. En esta lección, revisaremos tres casos prácticos de
perfil elevado de ataques cibernéticos para que pueda comprender el
alcance de lo que es posible y está sucediendo en el mundo. Cada caso
práctico se centra en un tipo diferente de actor de amenaza. Estos tres
casos prácticos son parte de un catálogo cada vez mayor de infracciones
de seguridad en el panorama internacional. Como participante dentro de
la comunidad de seguridad, es importante aprender de los ejemplos para
guiar la toma de decisiones en el futuro.
Stuxnet
Presentación de las armas cibernéticas
Cuando se identificó Stuxnet en 2010, era una de las colecciones de malware más avanzadas y específicas
observadas en la comunidad de seguridad. Stuxnet fue diseñado para apuntar a un sistema de control
específico del sector y modificar la configuración clave. Está ampliamente aceptado que el malware fue
diseñado para apuntar a las centrifugadoras utilizadas en el procesamiento de uranio iraní, como elemento
precursor para la producción de bombas nucleares.
Este es un ejemplo bien conocido de intrusión maliciosa. Si bien no se ha hecho pública una cifra sobre el
coste de los daños, la idea general fue que la infracción de datos fue el conjunto de filtraciones más
perjudicial de la historia de los Estados Unidos.
Impacto financiero
Visión general del módulo
Estrategia de seguridad
Para combatir los ciberataques y protegerse, las organizaciones deben
diseñar e implementar una estrategia de seguridad. Son dos caras de la
misma moneda: ¿cómo puede la organización mitigar las amenazas y
aumentar su preparación frente a una infracción de seguridad? En esta
lección, analizaremos la madurez de la seguridad, diez pasos que se
deben implementar como parte de la estrategia de seguridad de una
organización, y consideraciones adicionales.
La evolución de la madurez de seguridad
Como las personas, las organizaciones cambian con el tiempo. Esto se
refleja en la ciberseguridad como el nivel de madurez o experiencia.
Para una organización, es importante saber dónde se
encuentra actualmente y dónde desea estar estratégicamente en
el futuro en términos de su evolución de madurez de seguridad.
Determinadas organizaciones puede que no se hayan centrado en la
ciberseguridad y que sean más inmaduras desde el punto de vista del
sistema. También hay organizaciones maduras que están más "curtidas
en la batalla" porque han dado prioridad a la ciberseguridad desde hace
más tiempo.
En la tabla siguiente, se proporcionan varios ejemplos para entender el
grado de madurez de la seguridad de una organización a partir de varias
métricas.
a Signo de menos madurez Signo de más madurez
esos Los procesos pueden ser ad hoc o no se describen Los procesos se describen, revisan, miden y prueban.
formalmente.
a Signo de menos madurez Signo de más madurez
razgo No se han configurado formalmente roles de Descripciones de trabajo claras y liderazgo de arriba a
ciberseguridad o muy pocos. Los empleados pueden tener abajo para dar soporte a la estrategia de ciberseguridad
la ciberseguridad como una consideración secundaria
aparte de su rol principal. Existe muy poco liderazgo
formal.
amienta Existe muy poca inversión en herramientas. Pueden Las herramientas de ciberseguridad se aprovisionan co
utilizarse algunas herramientas de ciberseguridad si son resto del software y como parte de un presupuesto
gratis o están incluidas en otros paquetes de software. estructurado.
ura Muy poca gente piensa en la ciberseguridad. La ciberseguridad es una parte clave de la cultura de un
organización.
Nota: en lugar del obvio sí o no, es importante resaltar que la madurez
en ciberseguridad es una escala. Una organización puede mostrar
desarrollo en un área y no ser madura en otra.
¡COMPRUÉBELO!
Si desea obtener más información, a continuación se describen los cinco
niveles de madurez de seguridad que ofrecen la Revisión del Programa
de Asistencia de Seguridad de la Información (PRISMA) de NIST.
Niveles de madurez de seguridad: Revisión del Programa de Asistencia
de Seguridad de la Información (PRISMA)
Menor privilegio
Para las organizaciones, es importante decidir los niveles de permiso de
las aplicaciones y las personas dentro de una organización. Para ello, un
elemento clave es introducir el concepto de menor privilegio. Esto
significa que se otorgan los menores permisos para poder completar un
rol.
EJEMPLO
Una organización configura su base de datos de recursos humanos (HR)
de forma que los gestores tienen acceso de solo lectura a los datos para
los roles de trabajo que gestionan. Si un atacante roba las credenciales
de un determinado gestor, el atacante solo podrá poner en peligro la
confidencialidad de esos registros específicos. El atacante no podrá
modificarlos, ya que son de solo lectura. Tampoco podrán acceder a las
aplicaciones de otras áreas del negocio. .
Al introducir este control, la organización reduce las consecuencias de un
ataque con éxito cuando se compara con un sistema menos restringido.
En términos de riesgo, reducimos las consecuencias en este ejemplo.
También puede que oiga el término militar "radio de explosión" aplicado
en este contexto, donde el radio indica el área de efecto de un ataque. La
reducción de permisos es una buena forma de limitar el "radio de
explosión".
Gestión de parches y vulnerabilidades
Gestión de parches es el proceso de actualizar el software y gestión de
vulnerabilidades es el proceso de identificar los errores en el software.
Con el tiempo, puede que se descubran vulnerabilidades en el software
más antiguo. Las organizaciones que ejecutan un software obsoleto son
vulnerables a exploits antiguos. Asimismo, las nuevas versiones del
software pueden introducir nuevas vulnerabilidades. En general, la
actualización del software y las aplicaciones a la versión más reciente
reduce significativamente la probabilidad de que el ataque tenga éxito.
Cuando el software llega al final de su vida y ya no está soportado, su
gestión se convierte en un problema para los empleados de seguridad. Si
se descubre una vulnerabilidad, el proveedor de software puede que no
emita un parche de remediación.
Para evaluar qué software es vulnerable a un ataque específico, una
organización puede utilizar un escáner de vulnerabilidades. Es un
software que evalúa si hay vulnerabilidades en un servidor o una
aplicación. Los escáners de vulnerabilidades pueden basarse en la red
para examinar las vulnerabilidades mediante pruebas activas, o bien
pueden escanear el código fuente estático en busca de posibles errores.
Ambos escáners generan información útil para identificar los puntos
débiles antes que el atacante.
En relación con la idea de gestión de vulnerabilidades, también
existen controles compensatorios. Si se identifica una vulnerabilidad
para la que no hay disponible un parche, puede buscarse una solución
temporal. Incluye la opción de revertir una aplicación a una versión
anterior o inhabilitar una característica.
Defensa en profundidad
Una consideración clave final de defensa es que las organizaciones
utilicen un método por capas. El término defensa en
profundidad proviene originalmente del ejército y hace referencia a no
utilizar una única forma de defensa, sino disponerlas en capas. En TI,
esto significa que una organización puede aplicar defensas de red como,
por ejemplo, cortafuegos; defensas de dispositivos como, por ejemplo,
escáners de malware; y controles en datos clave mediante el uso del
cifrado.
Para que un ataque tuviera éxito, deberían burlarse todas las capas de la
defensa, lo cual es bastante difícil.
Este diagrama muestra el concepto de capas de la defensa en
profundidad.
Este es el final de la lección. Asegúrese de seleccionar el recuadro
"Actividad finalizada" para realizar un minicuestionario y demostrar los
conocimientos que ha adquirido en esta lección. Se mostrarán tres
preguntas. Esto es necesario para terminar la lección.
Detección de ataques
Si las defensas de una organización no consiguen evitar con éxito un
ciberataque, la siguiente prioridad de la organización será detectarlo.
Esto se realiza idealmente mientras el ataque está en curso o, en el
mejor de los casos, cuando la infracción no se ha producido todavía. En
esta lección, examinaremos los conceptos básicos de la detección de
ataques.
Registro
Lo más importante que debe establecer una organización para detectar
un ataque es alguna forma de registro. El registro es el proceso por el
que las acciones se registran con precisión en una ubicación segura. Los
registros deben estar a prueba de manipulaciones y actuar como un
registro permanente de lo que ha ocurrido en una red. Este proceso de
registro puede realizarse en aplicaciones o máquinas individuales.
Aunque una entrada de registro individual puede que no sea muy útil de
manera aislada, la organización puede utilizar una mayor recopilación
para realizar un seguimiento de los usuarios legítimos y los atacantes.
EJEMPLO
Este es un ejemplo de un formato de registro utilizado por los servidores
web Apache:
9.12.156.2 - bob [11/Jan/2020:14:16:34 -0700] "GET /index.html
HTTP/1.0" 200 4066
Puede ver que esta entrada de registro describe a un usuario llamado
"bob" que accede a una determinada página web con una anotación del
estado y la hora.
Supervisión de red
Además de registrar los sucesos que ocurren en los servidores, las
organizaciones también pueden supervisar las comunicaciones en su
red. Este enfoque se conoce como análisis de tráfico. El análisis de
tráfico puede utilizase para identificar qué se está haciendo en una red,
incluso de manera pasiva, mientras se utiliza el cifrado.
Determinados tipos de software malicioso que cambian de un dispositivo
a otro a menudo se detectan en una buena solución de supervisión de
red porque son demasiado obvios.
EJEMPLO
Si un dispositivo se está utilizando para transmitir vídeo, tendrá un
elevado consumo de ancho de banda en un periodo largo.
En comparación, si un dispositivo está descargando un archivo
grande, se observará un gran pico de demanda y después poco o nada.
Herramientas de Gestión de sucesos e información de
seguridad (SIEM)
Con toda la información recopilada, la correlación se convierte en una
tarea muy difícil y beneficiosa para las organizaciones. Un producto
de Gestión de sucesos e información de seguridad (SIEM) recopila
toda la información a través de las infraestructuras de tecnología de la
organización, y la agrega para que el equipo de ciberseguridad pueda
identificar sucesos y patrones de posibles ataques, así como analizarlos.
Esta es una captura de pantalla de un servicio SIEM denominado IBM
QRadar on Cloud. Es un software de análisis e información de seguridad
de red para supervisar amenazas y ataques internos.
Ver más grande
EJEMPLO
Un equipo de ciberseguridad que utiliza un producto SIEM puede decidir
que desea detectar un intento de inicio de sesión de fuerza bruta para
una determinada cuenta. Pueden definir un umbral de cinco inicios de
sesión fallidos por minuto. Si un atacante intenta comprometer una
cuenta del sistema probando millones de combinaciones de nombre de
usuario y contraseña, el atacante excederá el umbral y desencadenará
una alerta en SIEM, que avisa al equipo de ciberseguridad.
Centro de operaciones de seguridad (SOC)
A menudo, el grupo responsable de proteger la seguridad de una
organización forma parte de un centro de operaciones de seguridad
(SOC). Uno de los objetivos clave del SOC es detectar ataques en curso
utilizando SIEM y otras herramientas de supervisión.
Los analistas de seguridad forman el equipo de personas responsable de
evaluar la seguridad de una organización en el SOC. Si se detecta un
ataque o posible ataque, los analistas de seguridad decidirán cómo
responder a la situación siguiendo procedimientos de la organización.
Esta fotografía muestra el Centro de operaciones de ciberdefensa de
Microsoft. Opera 24×7 para defenderse de ciberamenazas.
En esta fase, una organización debe comenzar a planificar qué hará en caso de producirse una incidencia.
Los pasos típicos pueden implicar la preparación de recursos y procedimientos de prueba.
2. Identificación
3. Contención
Tan pronto como se detecta una incidencia, la prioridad es evitar que la situación empeore.
Los pasos pueden incluir segregar redes o cerrar rutas de acceso o determinados sistemas.
4. Erradicación
Al igual que una enfermedad en el cuerpo humano, determinados tipos de malware o atacantes deben
eliminarse por completo para mantener la seguridad.
Durante el paso de erradicación, los dispositivos se pueden borrar o restaurar a estados seguros.
Hay innumerables ejemplos en los que la erradicación incompleta provoca la reaparición de malware, por
lo que ser exhaustivo resulta fundamental.
5. Recuperación
Una vez que se resuelva la incidencia, se requiere volver al funcionamiento normal.
Esto puede implicar la eliminación de arreglos temporales o la restauración de determinados servicios.
6. Reflexión
Después de la incidencia, es importante tener la oportunidad de reflexionar no solo sobre aquello que ha
causado la incidencia, sino el nivel de efectividad de la respuesta.
Comúnmente, esta fase puede denominarse fase de las "Lecciones aprendidas". Sin embargo, "Lecciones
identificadas" puede ser un título más adecuado si no se realizan cambios.
Puede ver que este marco de incidencias proporciona un buen punto de
partida para empezar a crear una estructura. Ciertas formas de ataque o
incidencias pueden requerir la ampliación de determinadas etapas. Por
ejemplo, un evento de infracción de datos desde un dispositivo de
almacenamiento perdido puede no tener muchos pasos de erradicación,
pero el proceso de recuperación pude ser más largo, con un mayor
número de partes interesadas implicadas.
Preparación frente a incidencias
Como parte de las actividades empresariales estándar, muchas
organizaciones realizarán varias actividades simuladas para evaluar su
nivel de preparación. Esta tabla explica tres modalidades de pruebas de
este tipo.
Pruebas escritas Ejercicios de mesa Pruebas en directo
En esta prueba, se encuesta a los Este es un formato de prueba más La forma de prueba más realista
equipos de seguridad y se les complicado. En esta prueba, se reúne es realizar un ejercicio dentro de
hacen preguntas sobre su nivel de a varios miembros del personal clave y los sistemas de trabajo real. Las
preparación. Esto puede suponer se simula de principio a fin el proceso organizaciones pueden bloquear
identificar al personal clave, de respuesta a incidencias. Esta forma sus sistemas clave para probar
garantizar que se realicen copias de prueba permite a los equipos errores diversos y ver cómo
de seguridad y producir interactuar entre sí y ver cómo se responden sus equipos.
documentos del proceso, bajo puede desarrollar el escenario más
demanda. completo.
Continuidad del negocio y recuperación tras desastre
Vamos a examinar dos conceptos clave que debe conocer con respecto
a la respuesta frente a incidencias.
Introducción de la criptografía
En esta lección, presentaremos el campo matemático de la criptografía.
La criptografía es fundamental para comprender los conceptos vitales
dentro de la seguridad de la información y es algo que todos los
profesionales de ciberseguridad deben dominar para tener éxito.
La criptografía se define como el arte de escribir y resolver códigos.
Al comienzo de este curso, ya expusimos que mantener la información
como confidencial es uno de los objetivos clave de la seguridad de la
información. Guardar y compartir secretos han sido retos que han
existido durante miles de años. Si bien los métodos para lograrlo han
cambiado significativamente a lo largo de los años, los objetivos han
seguido siendo prácticamente los mismos.
Definición de comunicaciones seguras
Imagine una situación con tres participantes: Alice, Bob y Eve. Estos
tres personajes se han utilizado durante muchos años en el campo de la
criptografía para ilustrar conceptos. Alice y Bob quieren comunicarse de
forma segura y Eve quiere espiar la conversación.
Hay tres propiedades clave que deben tenerse en cuenta para
efectuar comunicaciones seguras de confianza.
Propiedad 1: Confidencialidad
Alice puede enviar un mensaje a Bob sin que Eve pueda entender su
contenido. Esta propiedad significa que el mensaje es privado.
Propiedad 2: Autenticidad
Eve no puede enviar un mensaje a Bob haciéndose pasar por Alice. Esta
propiedad se relaciona con el hecho de garantizar que la suplantación de
identidad sea imposible.
Propiedad 3: Integridad
Si Eve modifica un mensaje entre Alice y Bob, el receptor podrá
identificar que el mensaje ha sido modificado. Es posible manipular los
mensajes sin conocer su contenido. Por ejemplo, las personas pueden
hablar en voz alta para interrumpir una conversación presencial en un
idioma que no entienden.
Estas tres propiedades se logran mediante una variedad de algoritmos
matemáticos y otras técnicas. ¡Antiguamente, podrían ser cajas
precintadas y sellos de cera, pero para este curso, nos centraremos más
en las opciones matemáticas!
Cifrado
El cifrado es el proceso mediante el cual un mensaje se convierte en algo
que no se puede entender, excepto para quien tenga una clave de
descifrado para revertir el proceso. Cuando un mensaje se ha convertido
a un estado ilegible, se dice que está cifrado. A nivel general, hay dos
formas de cifrado en uso para el mundo actual: simétrico y asimétrico.
Cifrado simétrico
En el cifrado simétrico, el algoritmo para cifrar la información utiliza
la misma clave que el proceso de descifrado. El cifrado simétrico es
rápido y fácil de implementar. Se basa en que tanto el remitente como el
receptor tienen acceso a la misma clave, como una contraseña o
"secreto compartido", para mantener un enlace de información privada.
EJEMPLO
Un ejemplo simple es el cifrado basado en la rotación, donde los
caracteres aumentan o disminuyen en un número fijo de posiciones en el
alfabeto. El número de posiciones para avanzar y retroceder actúa como
la clave. Si el remitente está usando una clave de +1, los caracteres
rotan hacia adelante 1 posición y el receptor luego usa una rotación de -1
para recibir el mensaje original. En este cifrado, la palabra "FIESTA" se
cifra mediante un desplazamiento +1 en el alfabeto, para pasar a ser
"GJFTUB".
Cifrado asimétrico
En el cifrado asimétrico, el proceso para cifrar la información utiliza
una clave distinta para descifrar la información. Estas claves se
conocen como claves públicas y claves privadas. Se generan de forma
simultánea. Cuando se genera una clave pública, puede compartirse con
cualquier usuario. Cualquier persona que tenga una copia de la clave
pública puede cifrar un mensaje, que solo el titular de la clave privada
podrá descifrar.
EJEMPLO
En este diagrama, Alice es el remitente y Bob es el receptor. Representa
el proceso de transmisión. Alice cifra un mensaje mediante la clave
pública de Bob. Cuando el mensaje está cifrado, solo puede descifrarse
usando la clave privada de Bob. El mensaje cifrado se envía a Bob. Bob
puede descifrar el mensaje utilizando su clave privada. Resulta esencial
que Bob no comparta su clave privada con nadie, ya que de lo contrario,
podrían leer todos sus mensajes entrantes.
Provisión de contexto Si una organización descubre que ha sido atacada desde una ubicación o un grupo
desconocido, la organización puede usar fuentes de inteligencia para empezar a
conocer al atacante.
El contexto puede incluir información útil para colaborar en la atribución y la
orientación sobre qué debe esperarse a continuación.
Aprendizaje a partir de Hay algunas cosas que se aprenden mejor a partir de otras experiencias.
experiencias similares Las organizaciones pueden compartir información sobre cómo han sido atacadas por
sus atacantes, cómo se han defendido y qué efectividad han tenido sus enfoques.
Estas historias compartidas son un método excelente para fortalecer a toda a la
industria.
Fuentes de inteligencia de amenazas
Recopilar y desarrollar inteligencia sobre amenazas puede ser una tarea
compleja. Las organizaciones pueden participar en investigaciones
principales en las que se investigan a sí mismas o recopilan información
secundaria de otra fuente. Estas son algunas fuentes comunes de
inteligencia de amenazas que utilizan las organizaciones.
Plataformas de intercambio Existen varias plataformas en línea que permiten a los profesionales de la
de amenazas ciberseguridad acceder a bases de datos de información y análisis recopilados.
Pueden variar desde plataformas gratuitas hasta otras que se proporcionan bajo
un modelo de suscripción o en grupos sectoriales cerrados.
Un ejemplo es la plataforma IBM X-Force Exchange platform.
Conferencias Las conferencias son un buen método para que los profesionales de la seguridad
cibernética compartan los últimos avances en el sector.
Algunos investigadores hacen públicos sus descubrimientos para obtener un
mayor impacto publicitario sobre un evento.
También se generan oportunidades para recopilar información de conversaciones
informales en conferencias y redes.
Entre las conferencias se incluyen eventos como Black Hat, RSA Conference,
and CYBERUK.
Artículos y noticias Algunos medios de comunicación dedican esfuerzos considerables a cubrir los
desarrollos en el mundo de las TI. Un ejemplo es Security Intelligence.
A medida que ciertos problemas de seguridad se han vuelto más importantes, la
cantidad de cobertura ha aumentado significativamente.
También existe una buena colección de sitios más pequeños, además de los
medios tradicionales, destinados a un público más especializado. Entre los
ejemplos de blogs se incluye Krebs on Security and Graham Cluley.
Proveedores de productos Organizaciones como Microsoft, Google y Apple, que producen una gran
cantidad de software, con frecuencia generan avisos de seguridad periódicos
relacionados con sus productos.
Estos avisos pueden incluir información muy importante y son lecturas esenciales
para los administradores de sistemas.
Roles profesionales
Dentro del mundo de la inteligencia de amenazas cibernéticas, los roles
profesionales generalmente se pueden dividir en dos áreas: producción e
interpretación.
Mercado laboral
Module overview
Fuente: It’s not where you start – it’s how you finish: Addressing the
cybersecurity skills gap with a new collar approach, IBM Institute for
Business Value, 2017
¿Qué opina?
A continuación, se muestran algunas preguntas que debe responder.
Escriba la respuesta a cada una en los recuadros. Reflexionar y escribir
una respuesta es una buena forma de poner en orden sus ideas. Las
respuestas son confidenciales y solo se guardan en este curso para su
uso personal. Asegúrese de pulsar Guardar texto.
En términos de atributos básicos:
Guardar texto
Áreas de habilidades que debe desarrollar
Los profesionales de ciberseguridad tienen distintos orígenes, algunos de
ellos provienen del campo de TI y otros de campos totalmente diferentes.
La clave es desarrollar un conjunto de habilidades técnicas relevantes y
relacionadas con el lugar de trabajo que puedan ofrecerle los
conocimientos básicos necesarios para su puesto en ciberseguridad. A
continuación, se muestran algunas áreas de habilidades que debe
considerar. No es una lista exhaustiva, cubre las habilidades básicas a
tener en cuenta.
Área de
habilidades Descripción
Administración de Para los sistemas operativos Linux, UNIX y/o Windows, debe conocer los aspectos
sistemas básicos de la instalación, la configuración y el mantenimiento de los sistemas de
cliente y servidor. Debe conocer los modelos subyacentes para la gestión de
usuarios, los permisos, los sistemas de archivos y los scripts de mando.
Administración de Debe conocer los protocolos como, por ejemplo, TCP/IP, FTP y SMTP. En
red concreto, debe saber qué significan y cómo se utilizan a nivel práctico.
Servicio al cliente Necesita saber interactuar con clientes para ayudarles en el diagnóstico y solución de
los problema de seguridad.
Aptitud para la Necesita tener curiosidad y disposición para detectar y sondear el comportamiento
investigación inusual. Esto puede demostrarse con experiencia en la resolución de problemas de
TI o en un campo completamente distinto como, por ejemplo, la inteligencia militar.
La clave es demostrar la iniciativa de realizar el trabajo de detección necesario para
llegar al fondo de las situaciones sospechosas.
Cualquiera que trabaja en ciberseguridad debe ser imaginativo y poder
encontrar soluciones rápidamente para que las infracciones no se
conviertan en problemas masivos para una organización. Recuerde que
pensando creativamente es como los ciberatacantes entraron en primer
lugar. Un profesional de ciberseguridad debe ser igualmente creativo
para averiguar cómo entraron en el sistema.
En general, tener habilidades técnicas, ser crítico, interactuar con
personas y tener la "mentalidad de un detective" le ayudarán a lograr el
éxito.
Supervisan el tráfico de red del sistema para detectar la actividad sospechosa que pueda indicar la
presencia de hackers o malware, por ejemplo, troyanos y ransomware (secuestro de datos).
Investigan las alertas desencadenadas por la herramienta de Supervisión de Sucesos e Incidentes de
Seguridad (SIEM) (por ejemplo, IBM Security QRadar) cuando detecta sucesos sospechosos para
determinar si la alerta es un falso positivo (una falsa alarma) o un verdadero positivo (un incidente de
seguridad de la vida real que debe solucionarse). Si es una alerta de verdadero positivo, debe identificar el
contexto, la causa y los usuarios afectados.
Evalúan la gravedad del incidente de seguridad y asignan la valoración de riesgo correspondiente a los
incidentes (por ejemplo, gravedad baja o alta).
Escalan los incidentes de gravedad alta al experto en incidentes.
Supongamos que llega una alerta a la herramienta SIEM. El analista SOC determina que está relacionada
con una infección de malware en el sistema de uno de los directivos de la organización. Después de la
investigación, el analista SOC concluye que es un verdadero positivo. Como es un ataque que afecta a un
directivo que tiene acceso a información muy confidencial, el analista SOC le asigna una severidad alta.
Experto en incidentes
A continuación, también en SOC, hay un puesto de trabajo de nivel
medio denominado experto en incidentes.
Cazador de amenazas
A continuación, también en SOC, hay un puesto de trabajo de nivel
medio denominado cazador de amenazas.
Posible progresión profesional
Es posible entrar en la profesión de la ciberseguridad sin un título si se
empieza en un puesto de TI de nivel de entrada. A continuación, deberá
ascender hasta llegar a un puesto de ciberseguridad.
En términos de progresión profesional, se pueden dar varios escenarios.
Por ejemplo:
Asesor de seguridad
Administrador de seguridad
Probador de penetración
Administrador móvil
Analista de conformidad
¡NO SE LO PIERDA!
Este sitio web muestra varios casos interesantes de personas que tienen
perfiles y trayectorias profesionales totalmente diferentes en
ciberseguridad. Vea cómo han empezado o han progresado.
SecurityIntelligence: Voices of Security
Recursos útiles y guía de inicio
Esperamos que este curso le resulte informativo, interesante y educativo.
Puede ser una parte de su recorrido por la seguridad cibernética. Esta
lección le proporcionará inspiración para futuras exploraciones.
Recursos útiles
Primero, aquí tiene algunos recursos que puede consultar, marcar y tener
en cuenta si desea investigar más sobre la seguridad cibernética y estar
en contacto con los desarrollos prácticos más recientes. Se trata de una
lista supervisada. Hay muchas organizaciones y sitios web para revisar,
en función de sus intereses.
Nota: Estos recursos son sitios web reconocidos por el sector, en inglés.
Puede consultar estos recursos y cualquier otro que sea útil y pueda
descubrir en su idioma.
Organizaciones de ciberseguridad