Amenazas,

vulnerabilidades y
riesgos
SEGURIDAD INFORMATICA

Amenazas
• Agentes capaces de explorar los fallos
de seguridad y causan daños a los
activos de una empresa
• Fenómeno o proceso natural o
causado por el ser humano que
puede poner en peligro a un grupo de
personas y su ambiente

Ing. Daisy Imbaquingo MsC.

SEGURIDAD INFORMATICA

Clasificación de las Amenazas

Las amenazas son constantes y pueden ocurrir en cualquier momento . Esta relación de
frecuencia-tiempo, se basa en el concepto de riesgo , lo cual representa la probabilidad de
que una amenaza se concrete por medio de una vulnerabilidad o punto débil . Las mismas
se podrán dividir en tres grandes grupos.

Involuntarias - son amenazas

Amenazas naturales –
condiciones de la naturaleza y la
intemperie que podrán causar
daños a los activos, tales como
fuego, inundación, terremotos,
resultantes de acciones
Intencionales – son amenazas
inconscientes de usuarios, por
deliberadas, fraudes, vandalismo,
virus electrónicos, muchas veces
sabotajes, espionaje, invasiones y
causadas por la falta de
ataques, robos y hurtos de
conocimiento en el uso de los
información, entre otras.
activos, tales como errores y
accidentes.

Ing. Daisy Imbaquingo MsC.

SEGURIDAD INFORMATICA

Vulnerabilidad
• Es una falla o debilidad en cualquier componente de un sistema de información: hardware,
software u operación, que puede ser utilizada por una amenaza para causar daño al sistema.
• Incapacidad de resistencia cuando se presenta un fenómeno amenazante, o incapacidad para reponerse
después de que ha ocurrido un desastre.
• Afectan a la confidencialidad, disponibilidad e integridad de los activos.

Vulnerabilidades físicas Vulnerabilidades naturales

Vulnerabilidades de hardware Vulnerabilidades de software

Vulnerabilidades de medios de
Vulnerabilidades humanas
almacenaje

Ing. Daisy Imbaquingo MsC.

SEGURIDAD INFORMATICA

Tipos de Vulnerabilidades
Vulnerabilidades físicas
 Los puntos débiles de orden físico son aquellos presentes en los ambientes en los cuales la
información se está almacenando o manejando.
 Instalaciones inadecuadas del espacio de trabajo
 Ausencia de recursos para el combate a incendios;
 Disposición desorganizada de cables de energía y de red
 Ausencia de identificación de personas y de locales, entre otros.
 Afectan directamente los principios básicos de la seguridad de la información, principalmente la
disponibilidad.

Ing. Daisy Imbaquingo MsC.

SEGURIDAD INFORMATICA

Vulnerabilidades naturales
 Los puntos débiles naturales son aquellos relacionados con las condiciones de la naturaleza que
puedan colocar en riesgo la información.
 La humedad
 El polvo y la contaminación
 Ambientes sin protección contra incendios
 Locales cercanos a ríos propensos a inundaciones
 Infraestructura incapaz de resistir a las manifestaciones de la naturaleza como
terremotos, maremotos, huracanes etc.

Ing. Daisy Imbaquingo MsC.

SEGURIDAD INFORMATICA

Vulnerabilidades de hardware
 Los posibles defectos en la fabricación o configuración de los equipos de la empresa
que pudieran permitir el ataque o alteración de los mismos.
 Desactualizaciones conforme con las orientaciones de los fabricantes
 Conservación inadecuada de los equipos.
 Área de almacenamiento insuficiente, procesamiento y velocidad adecuados.
 Falta de configuración de respaldos o equipos de contingencia pudiera
representar una vulnerabilidad para los sistemas de la empresa.

Ing. Daisy Imbaquingo MsC.

SEGURIDAD INFORMATICA

Vulnerabilidades de software

 Los puntos débiles de aplicaciones permiten que ocurran accesos indebidos a sistemas
informáticos incluso sin el conocimiento de un usuario o administrador de red.
 La configuración e instalación indebidas de los programas de computadora.
 Lectores de e-mail que permiten la ejecución de códigos maliciosos
 Editores de texto que permiten la ejecución de virus de macro etc.,
 También podrán tener puntos débiles de aplicaciones los programas utilizados para la
edición de texto e imagen
 Software para la automatización de procesos y los que permiten la lectura de la
información de una persona o empresa, como los navegadores de páginas del Internet.
 La configuración e instalación inadecuada, ausencia de actualización, programación
insegura etc.

Ing. Daisy Imbaquingo MsC.

SEGURIDAD INFORMATICA

Vulnerabilidades de medios de almacenaje

 Los medios de almacenamiento son los soportes físicos o magnéticos que se utilizan
para almacenar la información.
 Pen drives, cd, discos duros de los servidores y de las bases de datos, así como
lo que está registrado en papel.
 Plazo de validez y caducidad defecto de fabricación
 Uso incorrecto, lugar de almacenamiento en locales insalubres o con alto nivel
de humedad, magnetismo o estática , moho, etc.

Ing. Daisy Imbaquingo MsC.

SEGURIDAD INFORMATICA

Vulnerabilidades de comunicación
 Este tipo de punto débil abarca todo el tránsito de la información. Donde sea que la
información transite, ya sea vía cable, satélite, fibra óptica u ondas de radio, debe
existir seguridad. El éxito en el tránsito de los datos es un aspecto crucial en la
implementación de la seguridad de la información.
 La información puede ser alterada en su estado original, afectando su integridad.
 Por lo tanto, la seguridad de la información también está asociada con el
desempeño de los equipos involucrados en la comunicación, pues se preocupa por:
la calidad del ambiente que fue preparado para el tránsito, tratamiento,
almacenamiento y lectura de la información.
.

Ing. Daisy Imbaquingo MsC.

SEGURIDAD INFORMATICA

Vulnerabilidades humanas
 Esta categoría de vulnerabilidad está relacionada con los daños que las personas pueden
causar a la información y al ambiente tecnológico que la soporta.
 Falta de capacitación específica para la ejecución de las actividades inherentes a las
funciones de cada uno,
 Falta de conciencia de seguridad para las actividades de rutina, los errores,
omisiones, insatisfacciones etc.
 En lo que se refiere a las vulnerabilidades humanas de origen externo, podemos
considerar todas aquéllas que puedan ser exploradas por amenazas como: vandalismo,
estafas, invasiones, etc.

Ing. Daisy Imbaquingo MsC.

 Tipos de vulnerabilidades según cómo afectan al sistema de
información:
1. Vulnerabilidades conocidas sobre aplicaciones instaladas. Las
empresas que desarrollan el programa al que afecta tienen
conocimiento, por lo que ya existe una solución.
2. Vulnerabilidades conocidas sobre aplicaciones no instaladas.
También son conocidas por las empresas desarrolladoras de la
aplicación, pero como no se tiene la aplicación instalada no se
tendría porqué actuar.
3. Vulnerabilidades aún no conocidas. Las que aún no han sido
detectadas por la empresa que desarrolla el programa, por lo que, si
alguien extraño detectara alguna, podría utilizarla contra los sistemas
instalados
 Clasificación de las vulnerabilidades en función de su gravedad:

TIPO DEFINICIÓN
Permite la propagación de un gusano de Internet sin
CRÍTICA la acción del usuario.
Pone en peligro la confidencialidad, integridad o
disponibilidad de los datos de los usuarios, o
también, la integridad o disponibilidad de los
IMPORTANTE recursos de procesamiento.
No existe mayor daño y el impacto se puede reducir en
gran medida realizando configuraciones
MODERADA predeterminadas, auditorías programadas, etc
Muy difícil de aprovechar o cuyo impacto es mínimo.
BAJA
Principales ataques que puede sufrir un sistema si se aprovechan sus
vulnerabilidades:

ATAQUE DEFINICIÓN
Un recurso del sistema o la red deja de estar disponible
INTERRUPCIÓN debido a un ataque.
Un intruso accede a la información de nuestro equipo o a
INTERCEPCIÓN la que enviamos por la red.

La información ha sido modificada sin autorización, por

MODIFICACIÓN lo que ya no es válida.
Se crea un producto (por ejemplo una página web)
difícil de distinguir del auténtico y que puede utilizarse
FABRICACIÓN para suplantar identidad o phishing.
 Objetivo del Análisis de VULNERABILIDADES
Es el descubrimiento, identificación y clasificación de vulnerabilidades y/o
debilidades presentes en los equipos, servicios, sistemas informáticos de la
organización, para prevenir incidentes de seguridad.
 Beneficios
● Obtiene un inventario exacto de los activos de la infraestructura.
● Ofrece un punto inicial en materia de seguridad y cómo tomar
iniciativas para fortalecerlas en eltiempo.
● Recomendaciones para reducir las vulnerabilidades de los
sistemas que protegen la información y activos de la
organización.
● Cumplimiento de leyes y regulaciones (ISO 27002).
● Identifica lagunas en la infraestructuratecnológica.
 ¿Por qué hacer un análisis de
vulnerabilidades?
● Evaluación de riesgos.
● Auditoría de red.
● Proporciona orientación para los controles de seguridad.
● Validación de cumplimiento.
● Monitoreo continuo.
 Riesgo = Probabilidad de que una amenaza se vuelva realidad.

Amenaza Ataque Vulnerabilidad

Una amenaza que se lleva Una debilidad que puede hacer
Un potencial problema a la en ejecución. que una amenaza se vuelva
seguridad del activo Se aprovecha de las realidad
vulnerabilidades

Activos
 Ejemplos del Mundo Informático:

Amenaza: El atacante podrían instalar un Vulnerabilidad: Los antivirus de las

computadoras no tiene actualizadas las
malware para robar información valiosa definiciones de virus

Amenaza: Ladrones podrían entrar para Vulnerabilidad: Las cerraduras de las

robarse los equipos de cómputo instalaciones son muy débiles

Amenaza: Atacantes podrían adivinar la Vulnerabilidad: El administrador de la red

contraseña del administrador de la red usa una contraseña muy sencilla
 Conceptos Básicos de Seguridad
Riesgo
Amenaza Vulnerabilidad
Ataque

Activo: Joyas

Vulnerabilidad: Ventana Amenaza: Las joyas

abierta podrían ser robadas

Riesgo: Probabilidad de que una

persona entre por la ventana a Ataque: Cuando el ladrón entra por la
robar (seguridad del vecindario) ventana abierta para robar las joyas
AMENAZAS VULNERABILIDADES
Código malicioso 1. .
(virus, troyano, gusano) 2. .
3. .
4. .
5. .
6. .
Ataque de denegación de 1. .
servicio 2. .
3. .
Fallas de hardware 1. .
2. .
3. .
Fallas de equipos de 1. .
comunicación 2. .
3. .